При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.
Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.
Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.
Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.
Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.
Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.
При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.
Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.
Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.
Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.
И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.
Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».
Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.
Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.
Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.
Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.
Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!
Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.
Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.
Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.
То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.
Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.
Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:
Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.
В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.
Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.
Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.
Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.
Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.
Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.
Ссылки по теме
Социальная инженерия – определение
Как вредоносное ПО проникает на компьютеры и в информационные системы