Методы социальной инженерии, или атаки на человеческий фактор
Даже систему, обладающую высокой степенью защиты, можно взломать просто потому, что ею управляет человек.
КАРТИНКА
Даже систему, обладающую высокой степенью защиты, можно взломать просто потому, что ею управляет человек.
Социальная инженерия применяется для:
- сбора сведений о цели;
- получения конфиденциальной информации;
- прямого доступа к системе;
- получения данных, которые иначе достать невозможно.
В сфере информационной безопасности термин «социальная инженерия» используется для описания науки и искусства психологической манипуляции. По статистике, 55% убытков, связанных с нарушениями информационной безопасности, возникают по вине сотрудников, подвергшихся влиянию социальных инженеров.
Особенности атак на человеческий фактор
- Не требуют значительных затрат;
- Не требуют специальных знаний;
- Могут продолжаться на протяжении длительного срока;
- Сложно отслеживаются.
Человек зачастую намного более уязвим, чем система. Именно поэтому социальная инженерия направлена на получение информации при помощи человека, особенно в тех случаях, когда невозможно получить доступ к системе (например, компьютер с важными данными отключен от сети).
Общий подход к атаке
- Сбор информации о жертве (зачастую через социальные сети);
- Установление доверительных отношений;
- Эксплуатация;
- Сокрытие следов пребывания.
Общий принцип всех атак – введение жертвы в заблуждение. Для этого могут использоваться различные тактики, направленные на эмоции, слабости или иные особенности личности:
- Любовь
- Сочувствие и жалость
- Жадность и желание быстрых результатов
- Страх перед начальством
- Неопытность
- Лень
Популярные техники социальной инженерии
Фишинг
Фишинг-атаки – это самый популярный вид мошенничества в социальной инженерии. Целью фишинга является незаконное получение конфиденциальных данных пользователей (логина и пароля). Для атаки пользователей хакеры используют электронную почту, предварительно собрав из открытых источников список работников компании и их имейл-адреса. После сбора адресов взломщики переходят к подготовке письма с полезной нагрузкой.
Полезная нагрузка, как правило, может быть двух типов:
- Поддельная страница корпоративного ресурса, которая используется для кражи паролей пользователей корпоративной сети.
- Вредоносный офисный документ.
Для создания поддельной страницы хакеры копируют HTML- и JavaScript-код оригинального корпоративного ресурса и добавляют изменения, которые позволяют получать пароль и логин, вводимые пользователями.
В офисные файлы, как правило, добавляют вредоносный код, который выполняется при открытии. Для добавления кода используют стандартную функцию Microsoft Office — создание макросов. Запущенный документ скачивает исполняемый файл, который заражает рабочую машину пользователя и предоставляет взломщикам удаленный доступ для кражи информации.
Социальная инженерия: рекомендации по защите
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендую соблюдать следующие правила защиты:
- не используйте один и тот же пароль для доступа к внешним и корпоративным ресурсам;
- не открывайте письма, полученные из ненадежных источников;
- блокируйте компьютер, когда не находитесь на рабочем месте;
- обсуждайте по телефону и в личном разговоре только необходимую информацию;
- необходимо удалять все конфиденциальные документы с портативных устройств.
Если вы все еще считаете, что социальная инженерия не заслуживает должного внимания, почитайте о таких известных социальных инженерах, как Виктор Люстиг (человек, который дважды продал Эйфелеву башню) или Робин Сейдж (фальшивый аккаунт в Facebook, благодаря которому Томас Райан получил доступ к секретной информации американских спецслужб).