Методы социальной инженерии: что это такое и как компании могут избежать их

Анонс
Компания: Panda Security в России
Компания: Panda Security
Image:20150916 Social Engineering techniques_1.jpg


Конечно, заманчиво было бы представить, что хакеры – это застенчивые и социально неумелые люди, которые общаются с пользователями только через их компьютеры, но такое предположение, к сожалению, редко соответствует действительности. На самом деле, социальные возможности хакеров в значительной степени работают в их пользу в качестве метода внедрения.

Такие техники называются социальной инженерией, и они представляют собой обман и манипуляцию жертвой, чтобы вынудить ее совершать человеческие ошибки, в результате которых можно будет нарушить безопасность IT-систем.

Социальная психология как метод внедрения

Данная форма внедрения на устройство жертвы не связана с использованием уязвимостей в IT-системе, и скорее всего, относится к социальному взаимодействию (онлайн, по телефону или лично) между хакером и самым слабым звеном в цепочке IT-безопасности – пользователем. Самые успешные методы социальной инженерии основаны на харизме и возможностях хакера по решению проблем, и почти всегда учитывают глубокие знания психологии человека, наших иррациональных импульсов, нашего чувства доверия, любопытства, влечения и страха.

Например, хакер попытается выдать себя за другого человека (допустим, сотрудник службы безопасности или технический персонал) или будет претендовать на роль представителя органов власти с тем, чтобы уговорить жертву предоставить требуемую конфиденциальную информацию. Причем, это все должно делаться таким образом, чтобы жертва даже не осознала, что в настоящий момент ее обманывают.

Кевин Митник, один из самых известных хакеров в 90-е годы, теперь работает консультантом по цифровой безопасности. Он говорит, что социальная инженерия, как правило, основывается на четырех фундаментальных принципах:

1. `Мы все хотим помочь`

2. `Первая реакция – это доверие другому человеку`

3. `Мы не любим говорить нет`

4. `Каждый человек любит, когда его хвалят `


Примером этому может служить Крис Никерсон, основатель Lares, американской консалтинговой компании в сфере безопасности, которая использует методы социальной инженерии для тестирования уровней безопасности в компаниях с помощью тестов `red team tests`. Вооружившись только общедоступной информацией в Интернете и надев футболку известного телекоммуникационного оператора, Никерсон пытается (как правило, успешно) получить доступ к офисам компании и произвести определенные действия с рабочими станциями прямо на глазах сотрудников.

Краткая классификация методов

  • * Пассивный – основан на наблюдениях и анализе поведения жертвы, чтобы иметь возможность восстановить его распорядок дня, создать примерный психологический портрет и т.д.

  • * Удаленный – основан на запросе информации по электронной почте или по телефону.

  • * Локальный, но не агрессивный – предполагает осуществление таких действий, как визуальная слежка за домом жертвы, поиск конфиденциальной информации в мусоре жертвы и пр.

  • * Локальный и агрессивный – Психологическое давление и кража персональных данных.

Что я могу сделать, чтобы сотрудники моей компании не стали жертвами?


В своей книге Hacking Linux Exposed (2003 год), Б. Хатч и Дж. Ли предложили следующие рекомендации, которые актуальны и по сей день:

  • Обучайте пользователей` – учтите, что такой тип атаки всегда запускается против человека, а потому лучший способ ее предотвратить – это сделать так, чтобы все Ваши сотрудники были осведомлены о том, что необходимо делать, если речь идет о тактиках социальной инженерии.

  • Будьте параноиком` – авторы рекомендуют `культивировать здоровую паранойю`, т.к. это нормальный подход, потому что хакеры будут остерегаться тех, кто им не доверяет. «Они ищут самый доверчивый объект», - пишут авторы.

  • Спрашивайте их обо всем` – рекомендуется всегда спрашивать человека, с которым Вы общаетесь, зачем он запрашивает такую информацию. `Большинство атак с использованием методов социальной инженерии терпят неудачу, если предполагаемая жертва начинает задавать хакеру вопросы `.

  • Всегда проверяйте, откуда они` – если нам подозрителен запрос, который пришел по электронной почте, то необходимо проверить его, перезвонив по телефону. Если мы лично общаемся с человеком, которого мы не знаем, то необходимо потребовать удостоверение личности.

  • Учитесь говорить нет` – когда хакер применяет методы социальной инженерии, то вполне нормально, когда он или она делает это так, что отклоняется от нормы делового этикета, или пытается заставить жертву что-то сделать. Оставайтесь в рамках установленных правил – это хорошая форма обороны в таких случаях.

  • Также рекомендуется компаниям использовать хорошую платформу EDR (для обнаружения и защиты от угроз), такую как Adaptive Defense 360.


Это означает, что если пользователь попал в ловушку и нажимает на ссылку для скачивания зараженного приложения, то оно незамедлительно блокируется. Решение также в реальном времени проинформирует сотрудников службы безопасности компании, чтобы они могли оперативно предпринять требуемые действия.


Оригинал статьи: Social Engineering techniques – What they are and How businesses can avoid them

Panda Security в России +7(495)105 94 51, marketing@rus.pandasecurity.com http://www.pandasecurity.com