| Компания: | Panda Security в России |
| Компания: | Panda Security |
Конечно, заманчиво было бы представить, что хакеры – это застенчивые и социально неумелые люди, которые общаются с пользователями только через их компьютеры, но такое предположение, к сожалению, редко соответствует действительности. На самом деле, социальные возможности хакеров в значительной степени работают в их пользу в качестве метода внедрения.
Такие техники называются социальной инженерией, и они представляют собой обман и манипуляцию жертвой, чтобы вынудить ее совершать человеческие ошибки, в результате которых можно будет нарушить безопасность IT-систем.
Социальная психология как метод внедрения
Данная форма внедрения на устройство жертвы не связана с использованием уязвимостей в IT-системе, и скорее всего, относится к социальному взаимодействию (онлайн, по телефону или лично) между хакером и самым слабым звеном в цепочке IT-безопасности – пользователем. Самые успешные методы социальной инженерии основаны на харизме и возможностях хакера по решению проблем, и почти всегда учитывают глубокие знания психологии человека, наших иррациональных импульсов, нашего чувства доверия, любопытства, влечения и страха.
Например, хакер попытается выдать себя за другого человека (допустим, сотрудник службы безопасности или технический персонал) или будет претендовать на роль представителя органов власти с тем, чтобы уговорить жертву предоставить требуемую конфиденциальную информацию. Причем, это все должно делаться таким образом, чтобы жертва даже не осознала, что в настоящий момент ее обманывают.
Кевин Митник, один из самых известных хакеров в 90-е годы, теперь работает консультантом по цифровой безопасности. Он говорит, что социальная инженерия, как правило, основывается на четырех фундаментальных принципах:
1. `Мы все хотим помочь`
2. `Первая реакция – это доверие другому человеку`
3. `Мы не любим говорить нет`
4. `Каждый человек любит, когда его хвалят `
Примером этому может служить Крис Никерсон, основатель Lares, американской консалтинговой компании в сфере безопасности, которая использует методы социальной инженерии для тестирования уровней безопасности в компаниях с помощью тестов `red team tests`. Вооружившись только общедоступной информацией в Интернете и надев футболку известного телекоммуникационного оператора, Никерсон пытается (как правило, успешно) получить доступ к офисам компании и произвести определенные действия с рабочими станциями прямо на глазах сотрудников.
Краткая классификация методов
- * Пассивный – основан на наблюдениях и анализе поведения жертвы, чтобы иметь возможность восстановить его распорядок дня, создать примерный психологический портрет и т.д.
- * Удаленный – основан на запросе информации по электронной почте или по телефону.
- * Локальный, но не агрессивный – предполагает осуществление таких действий, как визуальная слежка за домом жертвы, поиск конфиденциальной информации в мусоре жертвы и пр.
- * Локальный и агрессивный – Психологическое давление и кража персональных данных.
Что я могу сделать, чтобы сотрудники моей компании не стали жертвами?
В своей книге Hacking Linux Exposed (2003 год), Б. Хатч и Дж. Ли предложили следующие рекомендации, которые актуальны и по сей день:
- Обучайте пользователей` – учтите, что такой тип атаки всегда запускается против человека, а потому лучший способ ее предотвратить – это сделать так, чтобы все Ваши сотрудники были осведомлены о том, что необходимо делать, если речь идет о тактиках социальной инженерии.
- Будьте параноиком` – авторы рекомендуют `культивировать здоровую паранойю`, т.к. это нормальный подход, потому что хакеры будут остерегаться тех, кто им не доверяет. «Они ищут самый доверчивый объект», - пишут авторы.
- Спрашивайте их обо всем` – рекомендуется всегда спрашивать человека, с которым Вы общаетесь, зачем он запрашивает такую информацию. `Большинство атак с использованием методов социальной инженерии терпят неудачу, если предполагаемая жертва начинает задавать хакеру вопросы `.
- Всегда проверяйте, откуда они` – если нам подозрителен запрос, который пришел по электронной почте, то необходимо проверить его, перезвонив по телефону. Если мы лично общаемся с человеком, которого мы не знаем, то необходимо потребовать удостоверение личности.
- Учитесь говорить нет` – когда хакер применяет методы социальной инженерии, то вполне нормально, когда он или она делает это так, что отклоняется от нормы делового этикета, или пытается заставить жертву что-то сделать. Оставайтесь в рамках установленных правил – это хорошая форма обороны в таких случаях.
- Также рекомендуется компаниям использовать хорошую платформу EDR (для обнаружения и защиты от угроз), такую как Adaptive Defense 360.
Это означает, что если пользователь попал в ловушку и нажимает на ссылку для скачивания зараженного приложения, то оно незамедлительно блокируется. Решение также в реальном времени проинформирует сотрудников службы безопасности компании, чтобы они могли оперативно предпринять требуемые действия.
Оригинал статьи: Social Engineering techniques – What they are and How businesses can avoid them
Panda Security в России +7(495)105 94 51, marketing@rus.pandasecurity.com http://www.pandasecurity.com
