В любой большой или даже маленькой организации есть в защите информации слабые места. Даже если на всех компьютерах компании стоит наилучшее программное обеспечение, пароли всех сотрудников являются наисложнейшими, а за всеми компьютерами следят самые умные администраторы — все равно можно найти слабое место. И одним, самым главным, “слабым местом” являются люди, которые работают в компании, имеют доступ к компьютерным системам и являются в большей или меньшей степени носителем информации об организации. Людям собирающимся украсть информацию или иными словами взломщикам, только на руку человеческий фактор. И именно на людях они пробуют различные способы влияния называющиеся социальным инжинирингом. О нем то я и попробую сегодня рассказать в статье и о том какую опасность он несет для для обычных пользователей, и для организаций.

Давайте для начала поймем, что такое социальный инжиниринг — это термин, который используют взломщики и хакеры, обозначающий несанкционированный доступ к информации, но совершенно противоположный взлому программного обозначения. Цель не взломать, а обхитрить людей так, что бы они сами дали пороли или иную информацию, которая в дальнейшем сможет помочь хакерам нарушить безопасность системы. Такое мошенничество включает в себя звонки по телефону в организацию и выявление тех сотрудников, которые владеют нужной информацией, а затем звонок выявленному администратору от несуществующего сотрудника, который якобы имеет проблемы доступа к системе.

Социальный инжиниринг напрямую связан с психологией, но развивается как отдельная его часть. В наше время подход инжиниринга используется очень часто, особенно для незаметной работы взломщика по краже документов. Этим способом обучают шпионов и тайных агентов, для тайного проникновения без оставления следов.

Человек способен думать, рассуждать, приходить к тому или иному выводу, но не всегда выводы могут оказаться настоящими, собственными, а не навязанные извне, такие какие они нужны кому то другому. Но самое интересное и главное помогающее мошенникам, что человек может не замечать, что его умозаключения ложные. Он до последнего момента может думать, что все он решил сам. Именно этой особенностью пользуются люди практикующие социальный инжиниринг.

Смысл социального инжиниринга является кража информации. Люди занимающиеся этим стараются без лишнего внимания украсть информацию, а потом распорядится ею по своему усмотрению: продать или шантажировать первичного владельца. По статистике очень часто оказывается, что подобные проделки происходят по заказу конкурирующей фирмы.

А теперь давайте рассмотрим способы социального инжиниринга.

Human denial of service (HDoS)

Суть этой атаки заключается в том, что бы незаметно заставить человека не реагировать на те или иные ситуации.

Например, отвлекающем маневром служит симуляция атаки на какой нибудь порт. Системный администратор отвлекается на ошибки, а в это время без проблем проникают на сервер и берут ту информацию, которая нужна. Но администратор может быть уверенным, что в этом порту ошибок быть не может и тогда проникновение хакера моментально будет замечено. Вся суть этого способа заключается в том, что взломщик должен знать психологию и уровень знаний системного администратора. Без этих знаний проникновение на сервер не возможен.

Способ “звонок”.

Под этим способом подразумевается телефонный звонок так называемой “жертве”. Мошенник звонит жертве и с помощью правильно поставленной речи и психологически правильно заданных вопросов вводит ее в заблуждение и выведывает всю нужную информацию.

Например: звонит мошенник и сообщает, что он по просьбе администратора проверяетт работоспособность системы безопасности. Затем он просит назвать пароль и имя пользователя, а после этого вся нужная ему информация у него в кармане.

Визуальный контакт.

Самый сложный способ. Справится с ней под силу только профессионально подготовленным людям. Смысл этого способа заключается в том, что обязательно надо найти подход к жертве. После того, как подход найден можно будет с его помощью понравится жертве, втереться ей в доверие. А уже после этого жертва сама выложит всю нужную информацию и ей будет казаться, что она ничего важного не рассказывает. Только вот делать такое может только профессионал.

Электронная почта.

Это самый распространенный у взломщиков способ вытягивания информации. В большинстве случаев взломщики отправляют письмо жертве от якобы знакомого ей человека. Самое сложное в этом способе — это скопировать манеру и стиль письма этого знакомого. Если жертва поверит в обман, то здесь уже можно вытягивать всю информацию, какая только может понадобится взломщику.

Враньё - это целая технология, которая имеет название «Социальная инженерия». Качественное враньё является неотъемлемой частью «Социальной инженерии», без применения которой в современных условиях не обходится ни один, как начинающий так и прожжённый, взломщик.

Взломщики бываю разные: взломщик компьютерных рабочих станций, взломщик серверов, взломщик компьютерных сетей, взломщик телефонных сетей, взломщик (выносильщик ) просто мозга и т. д., - и все они в качестве вспомогательного инструмента применяют «Социальную инженерию» или просто ложь, на которой в основном и построена «Социальная инженерия», да собственно и большая часть жизни всего человечества.

В детстве нам внушали, что лгать не можно. Никому и сроду. Впрочем, как это часто бывает, жизнь перечёркивает всё школьные уроки и настырно тычет нас в тот факт, что без неправды и не туда и ни сюда, - « Не нае соврёшь, не проживёшь ». Самые наилучшие вруны лгут, как это ни удивительно, иногда и практически никогда не сознаются в этом. О иных тайнах искусства вранья мы поговорим в этой статье.

Враньём пронизаны практически все сферы жизнедеятельности человека, включая религию, а неугомонные британские исследователи всего и вся на всём белом свете и прилегающих к нему галактиках ещё и добавляют: « Оказывается, что всякий человек за свою жизнь врёт примерно более 88 тыс. раз! ».

В перечень самого популярного вранья входят, безусловно, и всеми затёртые: « Бабла нет, я теперь сам на мели », « Очень рад тебя видеть », « Мы вам перезвоним » и « Большое спасибо, мне реально оч. нравится ». Выходит, что лгут все, всем и всякий раз. Но кое-кто врёт замечательно, теша окружающих и облегчая себе жизнь, а иные - не совсем, принося при этом боль и страдания всем вокруг.

Итак, как же научиться просто, безопасно и красиво «пудрить мозги» (вешать на уши лапшу, гнать пургу, обманывать )? В данном ремесле, как и в любом другом, существуют свои не писанные законы и секреты.

« Профессор, конечно, лопух, но аппаратура при нем, при нем. Как слышно? »

Большое и маленькое враньё требуют одинаково щепетильного отношения

Это одно из основных правил, которое обязан заучить предстоящий мэтр вранья. Каждое твоё враньё, независимо от её значения, придётся навеки запомнить и последующее враньё строить с учётом предыдущего. Впрочем некоторым может показаться, что хватит лишь запомнить самую основную ложь, а ложь по мелким формальностям не достойна запоминания. Вот так, как правило, и горят неопытные лгуны, - нагородив гору вранья, они затем забывают, кого, когда и как «причёсывали».

Потому-то стремись запоминать каждое своё, даже самое маленькое, враньё. А потому как человеческая память не бесконечна и всё своё «гонилово» тебе запомнить уж точно не получится, то из данного умозаключения вытекает основное правило: Лги как можно реже, имхо лишь так сможешь добиться правдоподобности.

Песок в глаза, лапшу на уши

Истинный мэтр (гонильщик) лжи, подобен испанскому тореадору, который достаёт шпагу лишь в самое решающее мгновение и наносит всего-навсего 1-н удар. Всё прочее время он мастерски отвлекает жертву при помощи ловких манипуляций красным плащом. В ходе вешания лапши на уши используют подобные методы, и ловкое переключение внимания собеседника на иной объект либо перемена темы беседы время от времени вообще избавляет вас от нужды лгать. Заблаговременно продумай свою стратегию поведения так, дабы вообще не пришлось гнать всякую пургу. Да смотри не перестарайся, ведь неловкое использование мулеты может обойтись тореадор в жизнь!

Тяжело в учёбе, легко на работе

В любой профессии необходимы практические занятия, а уж в такой профессии, как лжец, без практики точно никак не обойтись. Но потому, как практиковаться на живых людях весьма не гуманно, то практиковаться мы будем на себе. Встанем впереди зеркала и будем повторяй своё враньё до тех пор, пока оно не начнёт выглядеть абсолютно природным. В идеале мы должны убедить самих себя в правдивости нашей лжи. Безупречный обман - это тот, в который мы сами поверили.

И я, то не я, и брехня то не моя

Если тебя стали подозревать во вранье, то самое плохое, что в такой ситуации можно сделать, так это приступить к своему оправданию и начать придумывать всё новое и новое враньё. Когда дом начал шататься, то из него надобно как можно скорее убегать, а не в срочном порядке достраивать дополнительные этажи. Потому-то на любые обвинения нужно отвечать оскорблённым и гордым молчанием либо же съезжать на иную тематику.

Относительно «добровольной сдачи в анальный плен», то такая сдача равносильна прямому выстрелу в висок. Зачастую бывают такие обстоятельства, когда правда равнобедренно ущербна для обеих сторон и противная сторона невзирая на свои обвинения во лжи, как и сам лгун, не желала бы её слышать. Не отступай и не сдавайся, даже в том случае, когда тебя буквально прижали к стенке. Гни свою линию наперекор подтверждениям, логике и здравому толку (в Крыму нет наших войск, - это всё народная самооборона ).

Только Ты, да только Я

Можно обдумать стратегию поведения на немало ходов вперёд, можно возле зеркала отработать блестящие актёрские навыки и отработать правдивые интонации разговора, придумать отмазку, обеспечить себе свидетелей, пути отхода и вторую линию обороны.

А родные и близкие люди всё равно могут узнать правду. Научному объяснению это не поддаётся, ведь мы не верим в типа « во сне приснилось » или « жоп сердцем чувствую » … « что ты пиз лгун-фантаст ». Скажем по-иному, между некими людьми может устанавливается своеобразная психофизиологическая невербальная (астральная) связь, благодаря которой они неосознанно ощущают мельчайшие модификации состояния друг друга. потому-то предпочтительно даже не пытаться лгать родным и близким людям.

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор - самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг - интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка - использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея - способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы - это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг - это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг - это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг - нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии - многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. - «то за это») - попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия - еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.

Здравствуйте, дорогие друзья! Давно с вами не обсуждали безопасность, а если быть точнее, данные, которые хранятся не только на ваших компьютерах, но и даже у ваших друзей и коллег. Сегодня поведаю о таком понятии, как социальная инженерия. Вы узнаете, что такое социальная инженерия и как себя предостеречь.

Социальная инженерия – это метод несанкционированного доступа к информационным системам, который был основан на особенностях психологического поведения человека. Любому хакеру в прямом или косвенном смысле, представляет интерес, получение доступа к защищенной информации, пароли, данные о банковских картах и т.п.

Основное отличие данного метода является то, что объектом нападения выбирается не машина, а ее пользователь. Методы социальной инженерии основаны на использовании человеческого фактора. Злоумышленник овладевает необходимой ему информацией в беседе по телефону или, проникая в офис под видом работника.

Претекстинг представляет собой набор действий, отвечающих определенному сценарию, заранее подготовленному (претексту). Для получения информации в данной технике используются голосовые средства (телефон, Skype). Представившись третьим лицом и притворившись, что нуждается в помощи, мошенник заставляет собеседника сообщить пароль или зарегистрироваться на фишинговой web-странице и тем самым получает необходимую информацию.

Давайте представим ситуацию. Вы работаете в большой организации, примерно полгода. Вам звонит человек, который представляется, как работник из какого-нибудь филиала. «Здравствуйте, Ваше имя или должность, мы не можем зайти в почту, которая служит для приема заявок в нашей компании. К нам недавно поступила заявка из нашего города, а шеф просто убьет за такую оплошность, подскажите пароль от почты.

Конечно, когда сейчас читаете его просьбу, кажется немного глупым давать пароль человеку, которого вы первый раз слышите. Но так как люди любят помогать по мелочам, (для вас же не трудно сказать 8-16 символов от пароля?) тут может проколоться каждый человек.

Фишинг (выуживание) – этот вид интернет-мошенничества направлен на получение логинов и паролей. Наиболее популярным видом фишинга является направление жертве сообщения по электронной почте под видом официального письма, например, от платежной системы или банка. В письме, как правило, сообщается об утере данных, о неисправностях в системе и содержится просьба ввести конфиденциальную информацию, пройдя по ссылке.

Ссылка перенаправляет жертву на фишинговую страницу, в точности похожая на страницу официального сайта. Распознать фишинговую атаку неподготовленному человеку сложно, но вполне возможно. В таких сообщениях, как правило, содержатся сведения об угрозах (например, о закрытии банковского счета) или, наоборот, обещание денежного приза даром, просьбы о помощи от лица благотворительной организации. Также фишинговые сообщения можно распознать по адресу, куда вас просят зайти.

К самым популярным фишинговым атакам относится мошенничество с использованием бренда известной фирмы. От лица известной фирмы производится рассылка электронных писем, в которых содержится поздравление с определенным праздником (для примера) и информация о проведении конкурса. Для участия в конкурсе требуется срочно изменить данные учетной записи.

Расскажу, личный опыт. Не кидайте в меня камни 😉 . Было это очень давно, когда я интересовался…... Да да фишингом. В то время было очень модно сидеть в Моем мире и я этим воспользовался. Как-то раз я увидел от майл.ру предложение установить «золотой агент» за деньги. Когда вам говорят купи, вы думаете, а вот когда вам скажут что выиграли, люди сразу ведутся.

Все точно до мелочей не помню, но было примерно так.

Написал сообщение: «Здравствуйте, ИМЯ! Команда Майл.РУ рада Вас поздравить Вы выиграли «золотой агент». Каждый 1000-ый наш пользователь получает его бесплатно. Чтобы его активировать, вам надо зайти на свою страницу и активировать его в Настройках – бла бла бла.»

Ну как Вам предложение? А золотой Skype хотите дорогие читатели? Про все технические тонкости не рассказываю, так как есть молодые люди, которые только и ждут подробной инструкции. Но надо отметить то, что 30% пользователей «Моего мира» перешли по ссылке и ввели свой логин и пароль. Данные пароли я удалил, так как это был просто эксперимент.

Смишинг . Сейчас очень популярны сотовые телефоны, а чтобы узнать ваш номер, не составит труда даже школьнику, который сидит с вашим сыном или дочкой за одной партой. Мошенник, узнав номер, отправляет вам фишинговую ссылку, куда просит зайти для активации бонусных денег на вашей карте. Где естественно есть поля ввода персональных данных. Также могут попросить отправить смс с вашими данными от карты.

Вроде бы нормальная ситуация, а подвох совсем рядом.

Кви про кво («услуга за услугу») – вид атаки, подразумевающий звонок мошенника, например от лица службы технической поддержки. Злоумышленник в процессе опроса работника о возможных технических неполадках заставляет его вводить команды, которые позволяют запустить вредоносное программное обеспечение. Которые можно разместить на открытых ресурсах: социальные сети, серверы компании и т.д.

Посмотрите видео для примера:

Вам могут выслать файл (вирус) на почту, потом позвонить и сказать, что пришел срочный документ и надо его посмотреть. Открывая прикрепленный к письму файл, пользователь сам устанавливает на компьютер вредоносную программу, которая позволяет получить доступ к конфиденциальным данным.

Берегите себя и ваши данные. До скорой встречи!

Социальная инженерия - метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.

Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.


Рисунок 1 – Основные типы социальной инженерии

Меры противодействия

Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:

  • Пользовательские учетные данные являются собственностью компании.
    • Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.
  • Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности .
    • Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.
  • Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.
    • Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечку информации.
  • На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.
    • На компьютерах сотрудников также необходимо установить брандмауэр.
  • В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.
    • Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.
  • Все сотрудники должны быть проинструктированы, как вести себя с посетителями.
    • Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.
  • Необходимо максимально ограничить права пользователя в системе.
    • Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!