У многих организаций есть враги, которые хотят создать проблемы с помощью социальной инженерии. Эти люди могут быть действующими или бывшими сотрудниками, стремящимися отомстить, конкурентами, желающими получить преимущество, или хакерами, пытающимися доказать свою ценность. В любом случае информация, полученная с помощью социальной инженерии, может быть полезна тем, кто надеется начать хакерскую атаку против вашей организации.
Независимо от того, кто вызывает проблемы, каждая организация подвергается риску социальной инженерии — особенно с учётом обширного присутствия в Интернете средней компании. Более крупные компании, расположенные в нескольких местах, часто более уязвимы, учитывая их сложность, но компании меньшего размера также могут быть атакованы. Всё, от администраторов до охранников, руководителей и ИТ-специалистов, являются потенциальными жертвами социальной инженерии. Сотрудники службы поддержки и call-центра особенно уязвимы, потому что они обучены быть полезными и готовыми предоставить информацию.
Социальная инженерия имеет серьёзные последствия. Поскольку цель социальной инженерии — заставить кого-то предоставить информацию, которая ведёт к нечестным выгодам, возможно всё. Эффективные социальные инженеры могут получить следующую информацию:
- Пароли пользователей.
- Знаки безопасности или ключи от здания и даже от компьютерного зала.
- Интеллектуальная собственность, такая как проектные спецификации, исходный код и другая документация по исследованиям и разработкам.
- Конфиденциальные финансовые отчёты.
- Личная и конфиденциальная информация о сотрудниках.
- Лично идентифицирующая информация (PII), такая как медицинские записи и данные кредитной карты.
- Списки клиентов и перспективы продаж.
В случае утечки какой-либо из предшествующей информации могут возникнуть финансовые потери, снижение морального духа сотрудников, снижение лояльности клиентов и даже проблемы с соблюдением правовых и нормативных требований. Возможности безграничны.
От атак социальной инженерии сложно защититься по разным причинам. Во-первых, они плохо документированы. Во-вторых, социальные инженеры ограничены только своим воображением. Кроме того, поскольку существует так много методов, восстановление и защита после атаки затруднены. Более того, жёсткие, «хрустящие» внешние брандмауэры и системы предотвращения вторжений часто создают ложное ощущение безопасности, что ещё больше усугубляет проблему.
С социальной инженерией вы никогда не узнаёте следующий метод атаки. В лучших вещах , которые вы можете сделать , чтобы противодействовать социальное engineerin г являются сохранять бдительность, понять мотивы и методологию в социальном инженере, и защиты от наиболее распространённых атак через постоянное осознание безопасности в вашей организации.
Как социальные инженеры укрепляют доверие, чтобы получить информацию
Доверие — так трудно завоевать, но так легко потерять. Доверие — это суть социальной инженерии. Большинство людей доверяют другим до тех пор, пока ситуация не заставит их этого не делать. Люди хотят помогать друг другу, особенно если можно построить доверительные отношения и просьба о помощи кажется разумной. Большинство людей хотят работать в команде и не понимают, что может случиться, если они сообщат слишком много информации источнику, которому нельзя доверять. Это доверие позволяет социальным инженерам достигать своих целей. Создание глубокого доверия часто требует времени, но хитрые социальные инженеры могут добиться его за считанные минуты или часы. Как они это делают?
- Симпатичность: Кто не может относиться к хорошему человеку? Все любят вежливость. Чем дружелюбнее социальные инженеры — не переусердствуйте — тем выше их шансы получить то, что они хотят. Социальные инженеры часто начинают строить отношения с установления общих интересов. Они часто используют информацию, полученную на этапе исследования, чтобы определить, что нравится жертве, и сделать вид, что им тоже нравятся эти вещи. Они могут позвонить жертвам или встретиться с ними лично и, основываясь на информации, которую социальные инженеры узнали о человеке, начать говорить о местных спортивных командах или о том, как прекрасно снова быть одиноким. Несколько сдержанных и чётко сформулированных комментариев могут стать началом хороших новых отношений.
- Правдоподобность: Правдоподобие частично основано на знаниях социальных инженеров и на том, насколько они симпатичны. Социальные инженеры также используют имитацию — возможно, выдавая себя за новых сотрудников или коллег, с которыми жертва ещё не встречалась. Они могут даже изображать из себя поставщиков, которые ведут бизнес с организацией. Они часто скромно претендуют на власть влиять на людей. Самый распространённый приём социальной инженерии — сделать что-то хорошее, чтобы жертва почувствовала себя обязанной быть милой в ответ или стать командным игроком для организации.
Социальная инженерия: обман через слова и действия
Коварные социальные инженеры могут получать инсайдерскую информацию от своих жертв разными способами. Они часто говорят и сосредоточены на том, чтобы поддерживать разговор, не давая жертвам много времени подумать о том, что они говорят. Однако, если они неосторожны или чрезмерно обеспокоены во время атак социальной инженерии, следующие подсказки могут их выдать:
- Вести себя излишне дружелюбно или нетерпеливо.
- Упоминание имён известных людей в организации.
- Хвастаться своим авторитетом в организации.
- Угрожают выговором, если их просьбы не будут выполнены.
- Нервное поведение при вопросе (поджимание губ и ёрзание — особенно рук и ног, потому что управление частями тела, находящимися дальше от лица, требует более сознательных усилий).
- Излишний акцент на деталях.
- Испытывают физиологические изменения, такие как расширение зрачков или изменение высоты голоса.
- Появление бросилось.
- Отказ предоставить информацию.
- Предоставление информации и ответы на незаданные вопросы.
- Знать информацию, которой не должно быть постороннему.
- Использует инсайдерскую речь или сленг, несмотря на то, что известен как аутсайдер.
- Задавать странные вопросы.
- Ошибки в написании слов в письменных сообщениях.
Хороший социальный инженер неочевиден с помощью предыдущих действий, но эти признаки могут указывать на то, что злонамеренное поведение находится в разработке. Если человек социопат или психопат, конечно, ваш опыт может отличаться.
Социальные инженеры часто делают кому-то одолжение, а затем оборачиваются и спрашивают этого человека, не возражает ли он или она им помочь. Этот распространённый приём социальной инженерии работает довольно хорошо. Социальные инженеры также используют так называемую обратную социальную инженерию. Предлагают помощь при возникновении конкретной проблемы. По прошествии некоторого времени проблема возникает (часто по инициативе социального инженера), и затем социальный инженер помогает решить проблему. Они могут показаться героями, которые могут способствовать их делу. Социальные инженеры могут попросить ничего не подозревающего сотрудника об услуге. Да, они прямо просят об одолжении. Многие попадают в эту ловушку.
Выдать себя за сотрудника легко. Социальные инженеры могут носить похожую форму, делать поддельные идентификационные значки или просто одеваться как настоящие сотрудники. Люди думают: «Эй, он выглядит и ведёт себя как я, значит, он один из нас». Социальные инженеры также изображают из себя сотрудников, звонящих с внешней телефонной линии. Этот трюк — особенно популярный способ использования персонала службы поддержки и call-центра. Социальные инженеры знают, что эти сотрудники легко попадают в колею, потому что их задачи повторяются, например, говорят: «Привет, могу я узнать номер вашего клиента, пожалуйста?» вновь и вновь.
Социальная инженерия: обман через технологии
Технологии могут упростить жизнь социальному инженеру и сделать её веселее. Часто злонамеренный запрос информации исходит от компьютера или другого электронного объекта, который, по мнению жертв, они могут идентифицировать. Но подделать имя компьютера, адрес электронной почты, номер факса или сетевой адрес очень просто. К счастью, вы можете предпринять несколько контрмер против этого типа атак.
Хакеры могут обмануть с помощью технологий, отправив электронное письмо с запросом у жертв критически важной информации. Такое электронное письмо обычно содержит ссылку, которая направляет жертв на профессиональный, законно выглядящий веб-сайт, который «обновляет» такую информацию об учётной записи, как идентификаторы пользователей, пароли и номера социального страхования. Они также могут проделать этот трюк в социальных сетях, таких как Facebook и Twitter .
Многие спам-сообщения и фишинговые сообщения также используют этот приём. Большинство пользователей завалены таким количеством спама и другой нежелательной электронной почты, что часто теряют бдительность и открывают электронные письма и вложения, которые им не следует делать. Эти электронные письма обычно выглядят профессионально и правдоподобно и часто заставляют людей раскрывать информацию, которую они никогда не должны отдавать в обмен на подарок. Эти уловки социальной инженерии могут возникать, когда хакер, который уже проник в сеть, отправляет сообщения или создаёт поддельные всплывающие окна в интернете. Те же уловки случаются и с обменом мгновенными сообщениями и со смартфонами.
В некоторых широко разрекламированных инцидентах хакеры отправляли своим жертвам по электронной почте патч, якобы исходящий от Microsoft или другого известного поставщика. Сообщение на самом деле исходит от хакера, который хочет, чтобы пользователь установил патч, который устанавливает троянский кейлоггер или создаёт бэкдор в компьютеры и сети.
Хакеры используют эти бэкдоры для взлома систем организации или использования компьютеров жертв (известных как зомби) в качестве стартовых площадок для атаки на другую систему. Даже вирусы и черви могут использовать социальную инженерию. Червь LoveBug, например, сообщил пользователям, что у них есть тайные поклонники. Когда жертвы открыли письмо, было уже слишком поздно. Их компьютеры были заражены (и, что ещё хуже, у них не было тайных поклонников).
Многие компьютерные тактики социальной инженерии могут выполняться анонимно через прокси-серверы интернета, анонимайзеры, ремейлеры и базовые SMTP-серверы с открытым ретранслятором. Когда люди попадают на запросы конфиденциальной личной или корпоративной информации, источники этих атак социальной инженерии часто невозможно отследить.
