И сегодня, когда владение информацией стало активно использоваться в коммерческих целях, важную роль в информационной безопасности играет человеческий фактор. Фрикинг — набор технологий позволявший произвести взлом уличных телефонов, а далее с помощью методов СИ получить доступ к управлению телефонными сетями. К концу 70-х фрикеры настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели. Несколько вырезок из журнала «MIT Technology Review», посвященных киберпсихологии.
Для самых важных учетных записей используйте двухфакторную аутентификацию, чтобы их нельзя было взломать с помощью одного лишь пароля. Можно использовать распознавание голоса, дополнительное устройство безопасности, отпечаток пальца или SMS-подтверждение. Это поможет предотвратить установку вредоносных программ по ссылкам в фишинговых письмах. Антивирусное ПО, например Kaspersky Anti-Virus, защитит ваши сети и данные. Будьте особенно осторожны, если вам внушают, что ситуация неотложная.
Риски безопасности и конфиденциальности в виртуальной и дополненной реальности
Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. Во-первых, необходимо убедиться, что на том конце действительно находится сотрудник организации, сделать это можно различными способами, как уже говорилось выше, например с помощью кодовых слов. Даже когда личность сотрудника подтверждена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией.
Поймать мошенника смогли лишь в 1969 году во Франции. Социальная инженерия – акт манипулирования человеком для достижения целей, которые могут быть или не быть в его интересах. Социальная инженерия — это целенаправленная деятельность специально подготовленных людей по переустройству (преобразованию) социального мира. Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети. Люди действуют изо дня в день, основываясь на личных предположениях и предубеждениях.
Почему это работает? Психологические аспекты социальной инженерии
Для повышения уровня безопасности можно менять кодовое слово каждый день и рассылать его по корпоративной почте. Это метод, когда жертва, как ни парадоксально, сама сообщает злоумышленнику нужную ему информацию. Например, сотрудники службы технической поддержки никогда не будут спрашивать у пользователей логин или пароль, так как эта информация у них уже есть или она им не нужна. Однако, многие пользователи ради ускорения процесса добровольно сообщают эти сведения злоумышленнику, представившемуся сотрудником техподдержки, по телефону.
Самое главное – повышение осведомлённости сотрудников. Но его невозможно не открыть, если за ним следует второе, в котором просьба стереть предыдущее письмо, так как оно содержит сверхсекретную информацию. Обрамление – это информация и жизненный опыт, которые формируют нашу реакцию на события, а также решения, которые мы принимаем.
- Только личная бдительность и критический подход позволит распознать угрозу социальной инженерии и признаки манипуляции Вашими действиями.
- Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним.
- Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы.
Для оказания большего эффекта эта политика должна быть зафиксирована письменно. Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлоггер на компьютер директора компании. Этот случай смоделирован на основе реальных событий. Мастер-класс по социальной инженерии, подготовленный совместными усилиями Гарвардской школы бизнеса и Кевина Митника (родоначальника социальной инженерии).
Необходимо максимально ограничить права пользователя в системе. Внедрить СКУД, которая не подвержена атаке клонирования, например на основе HID iclass se или mifare desfire. Иметь гостевые пропуски для посетителей с ограниченным радиусом действия. Если вы стали свидетелем такой ситуации, предложите сопровождение до пункта назначения. Расскажем про одну атаку с физическим проникновением, где аудитор выступал в качестве кандидата на открытую вакансию тестируемой компании. Означает ли это, что никому нельзя придерживать двери или показывать короткий путь в библиотеку?
Вторая – попытка получить данные посредством SMS-сообщений. Автоматическое мышление значительно повышает продуктивность человека, так как позволяет выполнять большое количество операций за короткое время. Но в то же время оно может быть источником ошибок и порождает уязвимости к психологическим атакам.
Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником. Навыки социального инженера могут пригодиться и самому специалисту по безопасности при отборе кадров. Правильно организованное собеседование позволяет выявить слабые и сильные места кандидатов. Зачастую крупные организации прибегают к стрессовым собеседованиям. В этом случае личные и профессиональные вопросы задаются таким образом, чтобы чередовать напряжение и непринужденную атмосферу.
Курьерские службы
Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника. Тот факт, что большинство людей оставляют огромное количество информации о себе в сети Интернет, играет на руку социальным инженерам. По «цифровым следам» своей жертвы, её страничкам в соцсетях злоумышленник может составить представление о характере, интересах, привычках человека и использовать эти данные в ходе атаки.
Обратная социальная инженерия — данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные. Применение техник социальной инженерии требует умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей, регистраторов доменных имен, баз данных операторов связи и тд.
Принцип атаки с использованием социальной инженерии основывается на вызове у жертвы чувства доверия. По своей природе большинство людей склонны доверять, когда к ним обращается дружелюбный и общительный человек с каким-либо вопросом или обоснованной на первый взгляд просьбой о помощи. Например, распространенным способом выманивания у сотрудника компании конфиденциальной информации по-прежнему остается телефонный звонок злоумышленника, представившегося коллегой или сотрудником техподдержки.
Далее развивать вектор атаки мы не стали, поскольку цель была достигнута – проникновение на территорию прошло успешно. Злоумышленник может облачиться в платье горничной рабочую одежду или спецовку и сделать вид, что он пришел из организации-подрядчика заниматься ремонтными или техническими работами. Под этим прикрытием он может, например, получить физический доступ к внутренней сети предприятия или установить свое оборудование для того, чтобы собрать как можно больше информации об интересующей его системе. Не работайте с важной информацией на глазах у посторонних людей.
Страх подавляет разум, или как изолироваться от социального инженера
Поддельные страницы умело маскируются под страницы официальных сайтов (могут быть практически идентичны), а среди фишинговых ссылок могут быть и ссылки на легитимные источники. В случае успеха атакующий получает («ловит») данные пользователя и затем с их помощью авторизуется на настоящем ресурсе, получая незаконный доступ. Цель атаки — кража учетных или других данных пользователя. Для кражи используются фишинговые ресурсы, замаскированные под настоящие, легитимные. Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей).
Взлом электронной почты и рассылка по контактам
Злоумышленник может осведомиться о кратчайшем пути в библиотеку, попросить прикурить или помочь сориентировать по гугл-картам и найти нужный корпус. В одной из последних статей мы рассуждали об изменениях в сценариях социальной инженерии, которые спровоцировала мировая пандемия COVID-19. Разумеется, все тонкости рассмотреть в рамках одной публикации невозможно, поэтому сегодня продолжим нашу беседу и расскажем об особенностях физического проникновения злоумышленника на территорию компании.
Аннотация научной статьи по СМИ (медиа) и массовым коммуникациям, автор научной работы — Ламинина Ольга Геннадьевна
Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уговоры социального инженера. Такое стимулирование приведет к тому, что все работники будут осторожно относиться к общению с посторонними лицами. В случае возникновения подозрений они предпочтут обратиться в службу безопасности, зная, что и их могут поощрить за проявленную бдительность и следование разработанным в компании правилам. Для подготовки сотрудников к отражению угроз, исходящих со стороны социальных инженеров, необходимо проводить тесты с использованием методов социальной инженерии. Они позволяют понять, насколько работники компании доверчивы и в какой мере выполняют требования безопасности.
Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией?