Загрузка не удалась. Возможно, проблемы с правами доступа?

FIXME

Социальная инженерия. Роль человеческого фактора в защите информации.

Что это?

Социальная инженерия - это манипулирование человеком в целях достижения каких-либо результатов. Ее суть – организовать процесс, в результате которого человек начинает думать так, как вы этого хотите. Социальная инженерия - один из основных инструментов хакеров 21 века.

Как это работает?

Методы социальной инженерии заключаются в том, чтобы использовать человеческий фактор для получения информации. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки с помощью мобильного телефона или проникновения на предприятие под видом сотрудника.

Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

Почему данная тема актуальна?

Какой бы крутой не было программно-аппаратная защита, всегда остается в уязвимости человек. По данным статистики среди удачных взломов информационных систем, приходится 80% использование социальной инженерии.

Области применения социальной инженерии:

  1. Дестабилизация работы компании, с целю дальнейшего её разрушения;
  2. Финансовые механизмы в организации;
  3. Фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным частных лиц;
  4. Воровство клиентских баз данных;
  5. Конкурентная разведка;
  6. Информация о более перспективных сотрудников с целью их дальнейшего переманивания в другую, свою организацию.

Популярные виды соц. Инженерии

Претекстинг

Претекстинг - это набор действий, проведенный по какому-то, заранее готовому сценарию (претексту). Данная техника предполагает использование голосовых средств таких как телефон, SKYPE и т.д

Фишинг

Фишинг - это вид интернет-мошенничества, целью которого является получения конфиденциальной информации – логина и пароля.

Пожалуй, это самой распространенный вид соц инженерии. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию.

Как распознать фишинг атаку

  • Ведения, вызывающие беспокойство или угрозы например, закрытие пользовательских банковских счетов
  • Обещания огромного денежного платежа с минимальными усилиями или вовсе без него.
  • Запросы о добровольных пожертвованиях от лица благотворительных организаций
  • Грамматические, пунктуационные и орфографические ошибки.

Сбор информации из открытых источников

Данный метод предполагает сбор информации о человеке из открыты источников, главным образом из социальные сетей. К примеру такие сайты как «Одноклассники», «ВКонтакте» содержат огромное количество ценных данных, которые люди не пытаются скрыть.

Дорожное яблоко

Злоумышленник подбрасывает инфицированные физические носители (диски, флешки) в места общего доступа, где они могут быть найдены, такие как туалеты, лифты, столовые и т.д. Носители оформляются как официальные для компании, которую атакуют и сопровождаются подписью, которая должна вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство, в итоге получает троян и находится под управлением злоумышленника.

Обратная социальная инженерия

Вы получаете данные, которыми пользователи готовы поделиться. Но в отличии от классических методов «лесенки», здесь пользователь сам говорит что нужно. Это эффективная трёхходовка: вы подстраиваете неприятность пользователю, обеспечиваете контакт с собой, затем проводите атаку. Пример — приходите в охраняемый периметр как уборщик, заменяете номер техподдержки в распечатке на стене на свой, а затем устраиваете мелкую неполадку. Уже через день вам звонит расстроенный пользователь, готовый поделиться всеми своими знаниями с компетентным специалистом. Ваша авторизация проблем не вызывает — ведь человек сам знает, кому и зачем он звонит.

Красивая вариация – банковский IVR-фишинг, когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.

Защита от социальной инженерии

Нужно не только знать, как нападать, нужно знать и как защищаться. Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии. Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно. С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети. Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.

Пример социальной инженерии не из it-сферы

Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

Основная модель социальной инженерии

Предполагается, что каждый сотрудник имеет свой уровень компетентности в вопросах безопасности и свой уровень доступа. Линейные сотрудники (например, девушки с ресепшна) не имеют доступа к критичной информации, то есть даже захват их аккаунтов и получение всех известных им данных не нанесёт компании серьёзного урона. Но их данные могут использоваться для перехода на следующую ступень уже внутри защищённой зоны. Например, вы можете получить имена сотрудников и позвонить уровнем выше, представившись одним из них. При этом можно играть в авторитета (как в примере с врачами выше), а можно просто задать пару невинных вопросов и получить кусочек мозаики. Или же продвинуться дальше, к следующему более знающему сотруднику, используя тот факт, что в команде принято помогать друг другу, а не включать паранойю на вопросы о ряде важных данных. Даже при наличии жесткой инструкции есть шансы, что эмоции всегда перевесят.

Не верите? Представьте ситуацию, когда злоумышленник звонит одной и той же девушке из колл-центра несколько раз в неделю в течение месяца. Он представляется сотрудником, приносит море позитива, живо разговаривает, уточняет какие-то открытые мелочи, иногда просит мелкой помощи. Чёткую авторизацию заменяет тот факт, что человек звонит часто. Десять, двадцать, если надо — тридцать раз. До тех пор, пока не становится одним из явлений жизни. Он свой, ведь он в курсе разных мелочей работы компании и звонит постоянно. На 31-й раз атакующий опять делает мелкую просьбу, но на этот раз касающуюся важных данных. И если надо, приводит логичное и правдоподобное обоснование, почему это требуется, и в какой он беде. Конечно же, нормальный человек ему поможет.

Вывод

Итак, социальная инженерия может использоваться и для сбора данных о цели («Привет! У меня был телефон 4-го отдела, но я забыл»), и для получения закрытой информации («Ага, спасибо. Вот ещё что, мне кажется, это подозрительный клиент. Подскажешь номер его карты, которой он расплачивался последний раз?»), прямого получения доступа к системе: «Так, что именно вы вводите сейчас? По буквам, пожалуйста. Семь-эс как доллар-процент-дэ-тэ большую…»). И даже для получения вещей, которые иначе достать невозможно. Например — если компьютер физически отключен от сети, «обработанный» человек сможет подключить его.

В топике про подготовку к хакерскому турниру была задача про девушку на респшене, случайно отлучившуюся на 30 секунд. Что бы вы успели сделать за это время? Поставить что-то на её машину? Нет, не хватит времени или прав юзера. Украсть документы со стола или отправить себе все письма? Не лучшая идея, вас заметят. Даже просто сесть за её компьютер — уже опасно из-за возможной скрыто смонтированной камеры в офисе. Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее. За свидание не судят, зато оно даст вам кучу данных про иерархию в компании и личные дела сотрудников.

Источники