Борьба со взломами веб-проекта, предотвращение несанкционированного доступа к чувствительной информации — задача, требующая комплексного подхода, ручного, автоматического мониторинга, хорошей защиты. Но среди всей, казалось бы, надежно выстроенной системы, по-прежнему остается слабое звено — сам человек, владелец, админ оберегаемого сайта. Им доступны все «ходы-выходы», различного рода информация, при этом они — люди, которые могут поддаться методам социальной инженерии.
Мы решили подробнее рассказать о подобных попытках «взлома», как их минимизировать, существует ли лучшая защита от социальной инженерии, в чем она заключается.
Что такое социальная инженерия и почему она работает
Ряд способов, нацеленных на манипуляцию людьми для получения конфиденциальных сведений, принято называть социальной инженерией.
Мошенники используют различные средства, чтобы добраться до банковских реквизитов, получить доступ к паролям различных аккаунтов, личных кабинетов. Многим злоумышленникам интересно попасть в ПК жертвы, чтобы заразить его вирусом, способствующим передаче информации своему хозяину. Для этого дела необходимо преодолевать выставленную защиту. И здесь может пригодиться один из приемов социальной инженерии, так как проще получить от пользователя необходимую информацию, расположив к себе.
Обычно злоумышленники строят свою тактику на двух этапах:
- Исследование информации о жертве. Одновременно ведется работа по завоеванию ее доверия.
- Попытка получить от человека чувствительные данные. В ход идут различные уловки при условии, что первый этап «охмурения» прошел успешно.
С какими видами уловок приходится сталкиваться пользователям, рассмотрим ниже.
Атаки с использованием социальной инженерии
Изощренный ум интернет-преступников создал достаточно много типов атак, которые преодолевают даже хорошую защиту ресурса, если владелец дал слабину.
Фишинг (целевой, голосовой, SMS-фишинг)
Атака рассчитана на получение конфиденциальных сведений в виде паролей, данных банковских карт, логинов. Целью фишингового способа может быть установка на компьютеры пользователей шпионского, вирусного программного обеспечения, которая происходит при переходе людей на клон оригинального сайта.
Существует несколько видов Phishing-атак, рассмотрим основные:
- Целевой — кибератака нацелена на определенного пользователя, по итогу на всю компанию. Мошенники собирают сведения о выбранной жертве, посылают Email от имени силовых структур, вышестоящего руководства с весьма правдоподобной текстовкой и просьбой подтвердить определенные данные по предоставляемой ссылке. Конечной целью является не сам человек, а корпоративная сеть, которая может иметь хорошую защиту от DDoS, но не от подобного способа.
- Голосовой — в данном случае злоумышленник для сбора необходимой информации использует телефонные переговоры. Он может играть роль представителя службы безопасности, сотрудника банка. Многие из преступников делают своей целью пожилых людей, хорошо внушаемых, плохо осведомленных. Один из вариантов убедить человека выполнить необходимое действие — посулить ему денежную помощь.
- Смишинг — использование SMS-сообщений, приходящих на мобильный телефон якобы с номера, например, финансового учреждения. Текст СМС-ки может быть пугающего содержания с предложением срочно предпринять рекомендуемые действия, перейдя по прилагаемой ссылке, перезвонив по указанному номеру, сообщив личные данные. Тематики могут быть различны: попавший в беду родственник, попытка мошенников списать деньги со счета, оформить кредит.
Претекстинг
Примитивный, но часто срабатывающий способ социальной инженерии — откровенное вранье одного сотрудника-мошенника другому с целью получить от последнего доступ к привилегированным данным. В ход идут «наезды» с упреками, что ему мешают выполнять свои обязанности, задержка будет стоить денег и т. д. Результат: взлома нет — данные есть.
«Кви про кво» (услуга за услугу)
К подобной атаке прибегают те, кто не располагает современными инструментами для совершения взлома. Способ сводится к сбору информации, далее разыгрыванию спектакля: мошенник, выбрав достойную цель, создает видимость оказания серьезной услуги. Например, звонит человеку с высокими полномочиями, представляется представителем техподдержки и обрисовывают сложную ситуацию, в которую может попасть собеседник. Но проблема может быть решена, для этого необходимо сделать несколько действий. Цель злоумышленника — осуществить чужими руками запуск вредоносного программного обеспечения, похищение важных данных. Какая бы ни была у ресурса хорошая защита, противодействовать социальной инженерии она не сможет.
Обратная социальная инженерия
Данный способ социальной инженерии основан на человеческих чувствах: доверчивости, отсутствии внимательности. В данном случае злоумышленники помогают потенциальной жертве, чтобы сформировать доверительные отношения. Подобный подход часто можно наблюдать при поиске работы. Лжеработодатели предлагают тестовое задание, хвалят якобы хорошие результаты, проводят незначительную оплату, далее предлагают для полноценной работы внести определенную сумму в качестве «страховых», для проверки работоспособности рабочего счета и т. д. Надо ли говорить, что дальнейшего сотрудничества не последует?
«Пугалка» (Scareware)
Способ напугать человека. Часто для этого используют всплывающие окна, которые имеют место при визитах пользователей на взломанные ресурсы. Люди думают, что их ПК «поймали» вирус. Через определенное время злоумышленник предлагает озадаченному пользователю решение проблемы, например, установку антивирусной программы. На самом деле она и есть вредоносный софт, который будет выуживать необходимую мошенникам информацию.
Как понять, что вас обманывают
Противодействовать способам социальной инженерии непросто, в них используются методы работы с человеческими чувствами: отзывчивость, уважение к руководству, стремление получить финансовую помощь, любопытство. Чтобы не попасть в неприятную ситуацию, старайтесь своевременно реагировать на «развод».
Проверьте источник
Проанализируйте источник сообщения, не торопитесь ему доверять. Если это Email, то сравните его с предыдущими посланиями этого отправителя. Определите, куда ведет линк, наведя на него курсор (кликать нельзя). Обратите внимание на грамотность — наличие ошибок может указать на поддельность письма.
Если сомнения не покинули, посетите официальный сайт, спишитесь, созвонитесь с представителем организации, попросите его прокомментировать полученное письмо.
Потребуйте данные, удостоверяющие личность
Злоумышленники действуют не только через интернет, они могут войти в здание компании, пройти мимо охраны, неся стопку папок, коробки. Здесь необходимо думать не о том, как тяжело человеку, а есть ли у него удостоверение, право зайти. Подобное правило должно действовать, если вас просят предоставить информацию — поинтересуйтесь, кто звонит, попросите назвать номер телефона его директора. Это поможет проверить подлинность звонящего. Для того чтобы выиграть время, можете сказать, что необходимо уточнить запрашиваемые данные, позже перезвоните сами.
Возьмите паузу и подумайте
Не спешите выполнить просьбу незнакомца, даже если он апеллирует сведениями личного характера (называет имя, отчество, представляется сотрудником именно вашего банка).
Что они о вас знают
Необходимо проанализировать, что знает о вас собеседник, где может взять эту информацию, может ли она быть в открытых источниках. Если звонит сотрудник банка, то он наверняка знает ваши ФИО, но для внесения изменения в счет непременно попросит озвучить условное слово. Если процедура не соблюдена — есть повод заподозрить неладное.
Насколько их слова правдоподобны
В некоторых случаях вас спасет внимательность. Задавайте вопросы, уточняйте детали, вспоминайте привычки своих друзей, родных, от чьего имени пришло сообщение, сделан звонок. Это поможет убедиться, насколько правдива предоставляемая информация, поможет найти несостыковки. Расчет социальных инженеров на внезапность, диалог, при котором некогда подумать, любопытство, жадность. Однако, никто вам не может запретить оценить, насколько реально ваш родственник может задолжать «браткам», застрять в чужом городе. Это может стать одним из способов хорошей защиты от социальной инженерии, но не единственным.
Как защититься от социальной инженерии
Основа защиты — в информировании своих сотрудников, пользователей о различных видах кибератак, приемах психологического прессинга со стороны интернет-преступников. Одновременно рекомендуется проводить ряд мероприятий.
Установите надежный спам-фильтр
Почтовый клиент может не отмечать некоторые письма в качестве подозрительных, недостаточно реагировать на спам-рассылки. В этом случае рекомендуется обратиться к настройкам надежного спам-фильтра. Инструмент имеет возможность использовать разные способы для выявления нежелательной корреспонденции. Хороший фильтр находит файлы, линки, вызывающие подозрение, помещает в черный список сомнительные адреса, проводит анализ сообщений на предмет фальшивости.
Своевременно обновляйте антивирусное ПО
Систематически делайте обновление проверенной антивирусной программы. Это даст хорошую защиту от проникновения на ПК вредоносного ПО из ссылок фишинговой рассылки.
Повышайте компетентность в вопросах информационной безопасности
Более 90% всех инцидентов с кибератаками происходит из-за недостаточной осведомленности пользователей, их ошибок. Поэтому важно постоянно следить за «изысканиями» со стороны злоумышленников и за «новинками» в рамках защиты от новых способов социальной инженерии. Необходимо понимание необходимости аутентификации, периодического обновления паролей, обеспечения безопасности физического оборудования.
Сотрудники организации должны четко понимать, каким кибер-воздействиям они могут подвергнуться, как себя вести, к кому обратиться за помощью.
Не принимайте поспешных решений
Спешка нужна только в определенных случаях, кибератаки посредством социальной инженерии к ним не относятся. Почувствовав психологический нажим, умейте ему противостоять. Предложите перезвонить самому, сошлитесь на отсутствие требуемых данных, забывчивость или просто сразу прекратите разговор, переписку, пока все не проверите.
Заключение
Наша статья рассчитана на широкий круг пользователей. Подводя итоги, хотим еще раз напомнить, что станет хорошими способами защиты от социальной инженерии:
- тщательная проверка данных отправителя электронных сообщений;
- настороженность при получении неожиданных вестей от близкого круга людей;
- исключайте загрузки файлов из подозрительных email-рассылок;
- взять в привычку не активизировать линки из писем, пока нет уверенности, что они направляют на оригинальный ресурс.
