Соц. инженерия

Скрытая угроза: искусство социальной инженерии и как обезопасить себя

Социальная инженерия — это психологическая атака на компанию или организацию, направленная на использование естественной склонности людей доверять другим.
При социальной инженерии злоумышленник придумывает знакомый объекту предлог, а затем, используя его когнитивные предубеждения, вызывает у него ложное чувство безопасности и доверия. Короче говоря, злоумышленник берет на себя роль альтер-эго, которому, как ожидается, объект будет доверять.

Используя фальсифицированные доверительные отношения, злоумышленник вынуждает цель разгласить конфиденциальные данные или выполнить действие, которое она обычно не совершает. Некоторые утечки данных, например учетные данные, могут быть конечной целью злоумышленника. Другие данные, например, имя руководителя отдела, могут быть средством достижения цели.

Последний тип данных может показаться тривиальным, но именно этот факт заслуживает внимания по двум причинам.

  • Во-первых, поскольку информация не кажется важной, объект не будет тщательно ее охранять. Поэтому они, скорее всего, охотно раскроют ее, не вызывая подозрений.
  • Во-вторых, социальная инженерия — это итеративный процесс. Каждый кусочек информации, полученный злоумышленником, может быть использован для дальнейшего усиления видимой легитимности его предлога, что, в свою очередь, вызывает большее доверие у целей, которые впоследствии с большей вероятностью будут разглашать все более конфиденциальную информацию.

Социальная инженерия может считаться смелым подходом к взлому, поскольку часто требует от злоумышленников прямого контакта с объектом атаки — по телефону или лично.
В крайнем случае, злоумышленник получает физический доступ в помещения, предназначенные для публичного доступа, например, в серверные комнаты или хранилища. Подобные дерзкие тактики социальной инженерии часто используются в Голливуде в фильмах про ограбления.
И, как и в кино, социальная инженерия в реальном мире требует тщательной проработки и планирования, а также тщательно продуманных предлогов.

Какое отношение социальная инженерия имеет к безопасности ИБ-системы?

Как уже говорилось, социальная инженерия не всегда является самоцелью, а часто служит средством достижения цели. Социальная инженерия может быть лишь одним из аспектов комплексной атаки на особо надежную систему.

Например, предположим, что с помощью технического эксплойта злоумышленник получил доступ к учетным данным пользователя. Но представим, что конечная цель злоумышленника — получить доступ к системе, требующей двухфакторной аутентификации с помощью токена-брелока, на котором каждую минуту отображаются разные шесть цифр. Используя социальную инженерию и убедительный предлог, злоумышленник сможет обманом заставить пользователя разгласить многофакторную информацию, позволяющую получить доступ к системе.

Распространенные атаки с использованием социальной инженерии

Поскольку злоумышленники обычно пытаются получить конфиденциальную информацию, они обычно выдают себя за сотрудников ИТ-отдела или службы технической поддержки.

Злоумышленники изучают свои цели, используя разведданные из открытых источников (OSINT), которые агрегируют общедоступную информацию с сайтов компаний, социальных сетей и т.д., чтобы создать предлог для первоначальной атаки.

Вот четыре популярные атаки социальной инженерии:

  • Атаки с использованием телефонной социальной инженерии: Злоумышленники звонят жертвам и направляют их на фишинговые сайты или напрямую запрашивают конфиденциальные данные.
  • Атаки с использованием социальной инженерии при личном присутствии: Злоумышленники выдают себя за ремонтников, строителей или другие аналогичные поддельные роли, чтобы получить доступ к закрытым помещениям.
  • Слежка: Злоумышленники выдают себя за сотрудников и следуют за уполномоченными лицами через запертые двери в закрытые зоны.
  • Социально-инженерные атаки третьих лиц: Злоумышленники преследуют цель через третью сторону, т.е. за пределами организации-цели. Цель атаки — заразить телефон или компьютер человека вредоносным ПО, которое затем будет подключено к сети целевой организации. В качестве третьей стороны может выступать сайт знакомств или социальной сети.

Возможные последствия успешной атаки с использованием социальной инженерии

Человеческий фактор часто является самым слабым звеном в системе. Поскольку атаки социальной инженерии направлены на людей, они часто полностью обходят многие технические средства контроля безопасности. Одним словом, атаки с использованием социальной инженерии часто приводят к тому, что злоумышленник получает доступ к целевой организации и предоставляет ей тот же доступ, что и действительно авторизованный член организации, например, сотрудник.

По сути, это позволяет злоумышленнику действовать как злонамеренный инсайдер, проникать в различные системы организации и осуществлять утечку конфиденциальных данных. В конечном итоге социальная инженерия может привести к полной компрометации организации, то есть все данные организации (электронная почта, учетные данные, исходный код, данные клиентов и т.д.) могут быть похищены злоумышленниками.

Как ваша компания может предотвратить атаки с использованием социальной инженерии?

Red Team

Чтобы минимизировать ущерб от проникновения социальной инженерии, многие организации проводят тестирование на проникновение посредством Red Team для выявления областей, требующих улучшения. Оценка «красной команды» имитирует реальный сценарий атаки с использованием методов социальной инженерии. Ценность тестирования заключается в том, что по ее завершении эксперты могут назначить действия, которые укрепят общую защиту организации и будут соответствовать ее бизнес-потребностям.

Ознакомительное обучение

Одним из лучших средств защиты от атак социальной инженерии является обучение навыкам социальной инженерии. Такое обучение поможет сотрудникам осознать риски и привить скептическое отношение к подозрительным действиям.

Конечной целью такого обучения является формирование деловой культуры, способствующей безопасному мышлению и действиям. В качестве примера можно привести запрет на хождение хвостом, противостояние подозрительным лицам, проверку личности незнакомых людей перед обсуждением конфиденциальной информации, сообщение о подозрительной активности и т.д.

Безопасная архитектура

Безопасная система создается с нуля и проектируется с учетом того, что один или несколько компонентов в определенный момент будут скомпрометированы. Соответственно, в защищенные системы включаются средства защиты от сбоев, предназначенные для автоматического уменьшения побочного ущерба от таких сбоев. Подобные конструктивные особенности могут быть применены к системе в ретроспективе после анализа безопасного проектирования и архитектуры.

Курихин Андрей Валерьевич
Автор статьи:

Технический писатель

Услуги для Вас

RED Team (Редтиминг)

Полная проверка эффективности системы защиты предприятия

Подробнее

Социальная инженерия

Анализ подготовки персонала, моделирование социальных атак

Подробнее

Пентест (pentest)

Тестирование на проникновение: анализ уязвимостей, моделирование хакерских атак

Подробнее
LiteraFort.ru » Публикации » Скрытая угроза: искусство социальной инженерии и как обезопасить себя