Социальная инженерия

У меня на канале уже несколько раз встречалось такое понятие как СИ - Социальная инженерия. Хотелось бы рассказать побольше о том, что это вообще такое.

Ну, для начала-это вид хакерства. Только взламывается тут не компьютер, а человек, человеческий мозг. Вы, наверное, и сами можете догадаться, что гораздо проще развести человека на какие-то действия, чем взломать компьютер, которым он управляет.

Можно выделить основные сферы применения СИ:

• Сбор сведений о цели
• Получение конфиденциальной информации
• Прямой доступ к системе
• Получения вещей, которые иначе достать невозможно.

В общем, в информационной безопасности термин "социальная инженерия" значит "наука" психологической манипуляции. Кстати, если открыть статистику разных убытков компаний, которые связаны с нарушением информационной безопасности, то 55% таких случаев возникли по вине сотрудников, которыми манипулировали.

В чем достоинства и особенности СИ перед компьютерным взломом

• Небольшие денежные затраты.
• Не нужны глубокие специальные знания
• Могут продолжаться на протяжении длительного срока;
• Сложно отслеживаются.

Человек зачастую намного более уязвим, чем система. Именно поэтому социальная инженерия направлена на получение информации при помощи человека, особенно в тех случаях, когда невозможно получить доступ к системе (например, компьютер с важными данными отключен от сети).

Общий подход к атаке

• Сбор информации о жертве (зачастую через социальные сети);
• Установление доверительных отношений;
• Эксплуатация;
• Сокрытие следов пребывания.

Общий принцип всех атак – введение жертвы в заблуждение. Для этого могут использоваться различные тактики, направленные на эмоции, слабости или иные особенности личности:

• Любовь
• Сочувствие и жалость
• Жадность и желание быстрых результатов
• Страх перед начальством
• Неопытность
• Лень

Популярные техники социальной инженерии

Фишинг

Фишинг-атаки – это самый популярный вид мошенничества в социальной инженерии. Целью фишинга является незаконное получение конфиденциальных данных пользователей (логина и пароля). Многие фишинговые письма написаны плохо и содержат грамматические ошибки. В этих письмах злоумышленники указывают гиперссылку на копию сайта (например, почтового клиента) с формой, где необходимо ввести свой логин, пароль и другую личную информацию.

Претекстинг

Претекстинг – это атака, проводимая по заранее подготовленному сценарию. Такие атаки направлены на развитие чувства доверия жертвы к злоумышленнику. Атаки обычно осуществляются по телефону. Этот метод зачастую не требует предварительной подготовки и поиска данных о жертве.

Троянский конь

Эта техника использует такие качества потенциальной жертвы, как любопытство и алчность. Социальный инженер отправляет e-mail с бесплатным видео или обновлением антивируса во вложении. Жертва сохраняет вложенные файлы, которые на самом деле являются троянскими программами. Такая техника останется эффективной до тех пор, пока пользователи продолжают бездумно сохранять или открывать любые вложения.

Кви про кво

При использовании этого вида атаки злоумышленники обещают жертве выгоду в обмен на факты. Например, злоумышленник звонит в компанию, представляется сотрудником технической поддержки и предлагают установить «необходимое» программное обеспечение. После того, как получено согласие на установку программ, нарушитель получает доступ к системе и ко всем данным, хранящимся в ней.

Tailgating

Tailgating или piggybacking подразумевает несанкционированный проход злоумышленника вместе с законным пользователем через пропускной пункт. Такой способ невозможно применять в компаниях, где сотрудникам необходимо использовать пропуски для входа на территорию предприятия.

Очевидно, что социальная инженерия может нанести огромный ущерб любой организации. Именно поэтому необходимо принимать все возможные меры, для предотвращения атак на человеческий фактор.

Социальная инженерия: рекомендации по защите

Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:

• не используйте один и тот же пароль для доступа к внешним и корпоративным ресурсам;
• не открывайте письма, полученные из ненадежных источников;
• блокируйте компьютер, когда не находитесь на рабочем месте;
• установите антивирус;
• ознакомьтесь с политикой конфиденциальности вашей компании. Все сотрудники должны быть проинструктированы о том, как вести себя с посетителями и что делать при обнаружении незаконного проникновения;
• обсуждайте по телефону и в личном разговоре только необходимую информацию;
• необходимо удалять все конфиденциальные документы с портативных устройств.

Если вы все еще считаете, что социальная инженерия не заслуживает должного внимания, почитайте о таких известных социальных инженерах, как Виктор Люстиг (человек, который дважды продал Эйфелеву башню) или Робин Сейдж (фальшивый аккаунт в Facebook, благодаря которому Томас Райан получил доступ к секретной информации американских спецслужб).