Фраза дня: социальная инженерия

Что такое социальная инженерия?
Социальная инженерия - это вектор атаки, который в значительной степени зависит от взаимодействия с людьми и часто включает в себя манипулирование людьми с целью нарушения обычных процедур безопасности и передовых методов для получения несанкционированного доступа к системам, сетям или физическим объектам или для получения финансовой выгоды.

Субъекты угроз используют методы социальной инженерии, чтобы скрыть свою истинную личность и мотивы, представляя себя доверенными лицами или источниками информации. Цель состоит в том, чтобы повлиять, манипулировать или обманом заставить пользователей раскрыть конфиденциальную информацию или получить доступ внутри организации. Многие методы социальной инженерии полагаются на готовность людей быть полезными или боязнь наказания. Например, злоумышленник может притвориться сотрудником, у которого возникла неотложная проблема, требующая доступа к дополнительным сетевым ресурсам.

Социальная инженерия - популярная тактика среди злоумышленников, потому что часто проще эксплуатировать людей, чем найти уязвимости в сети или программном обеспечении. Хакеры часто используют тактику социальной инженерии в качестве первого шага в более крупной кампании по проникновению в систему или сеть и кражи конфиденциальных данных или распространению вредоносного ПО.

Как работает социальная инженерия?
Социальные инженеры используют различные тактики для проведения атак.

Первым шагом в большинстве атак социальной инженерии является проведение злоумышленником исследования и разведки цели. Например, если целью является предприятие, хакер может собирать сведения об организационной структуре, внутренних операциях, общепринятом жаргоне, используемом в отрасли, и возможных деловых партнерах, среди другой информации.

Одна из распространенных тактик социальных инженеров - сосредоточиться на поведении и моделях сотрудников, которые имеют низкоуровневый, но начальный доступ, например охранника или администратора; злоумышленники могут сканировать профили в социальных сетях в поисках личной информации и изучать их поведение в Интернете и лично.

Оттуда социальный инженер может спланировать атаку на основе собранной информации и использовать слабые места, обнаруженные на этапе разведки.

Если атака успешна, злоумышленник получает доступ к конфиденциальной информации, такой как номера социального страхования и данные кредитной карты или банковского счета; зарабатывает деньги не по назначению; или получает доступ к защищенным системам или сетям.

Типы атак социальной инженерии
Популярные типы атак социальной инженерии включают следующие методы:

• Травля. Злоумышленник оставляет зараженное вредоносным ПО физическое устройство, такое как флэш-накопитель с универсальной последовательной шиной, в месте, где его обязательно можно найти. Затем цель берет устройство и вставляет его в свой компьютер, непреднамеренно устанавливая вредоносное ПО.
• Фишинг. Когда злоумышленник отправляет мошенническое электронное письмо, замаскированное под законное, часто якобы отправленное из надежного источника. Сообщение предназначено для того, чтобы обманом заставить получателя поделиться финансовой или личной информацией или щелкнуть ссылку, по которой устанавливается вредоносное ПО.
• Целевой фишинг. Это похоже на фишинг, но атака рассчитана на конкретного человека или организацию.
• Вишинг. Вишинг, также известный как голосовой фишинг, предполагает использование социальной инженерии по телефону для сбора финансовой или личной информации от цели.
• Китобойный промысел. Особый тип фишинг-атаки, китобойная атака нацелена на высокопоставленных сотрудников, таких как финансовый директор или главный исполнительный директор, чтобы обманом заставить целевого сотрудника раскрыть конфиденциальную информацию.
• Претекст. Одна сторона лжет другой, чтобы получить доступ к конфиденциальным данным. Например, мошенничество с предлогом может включать злоумышленника, который притворяется, что ему нужны финансовые или личные данные для подтверждения личности получателя.
• Пугающее ПО. Это включает в себя обман жертвы, заставляя ее думать, что ее компьютер заражен вредоносным ПО или случайно загрузил нелегальный контент. Затем злоумышленник предлагает жертве решение, которое устранит фиктивную проблему; на самом деле жертву просто обманом заставляют загрузить и установить вредоносное ПО злоумышленника.
• Поливочная яма. Злоумышленник пытается скомпрометировать определенную группу людей, заражая веб-сайты, которые они, как известно, посещают и которым доверяют, с целью получения доступа к сети.
• Диверсионная кража. В этом типе атаки социальные инженеры обманом заставляют службу доставки или курьерскую компанию пойти не в то место получения или возврата, таким образом перехватывая транзакцию.
• Услуга за услугу. Это атака, при которой социальный инженер делает вид, что предоставляет что-то в обмен на информацию или помощь цели. Например, хакер вызывает набор случайных чисел в организации и притворяется специалистом технической поддержки, отвечая на запрос. В конце концов, хакер найдет кого-то, у кого есть законная техническая проблема, и он будет притворяться, что ему помогает. Благодаря этому взаимодействию хакер может указать тип цели в командах для запуска вредоносного ПО или может собирать информацию о пароле.
• Ловушка для меда. В этой атаке социальный инженер притворяется привлекательным человеком, чтобы взаимодействовать с человеком в сети, подделывать отношения в сети и собирать конфиденциальную информацию через эти отношения.
• Задержка. Иногда это называется совмещением, когда хакер входит в охраняемое здание, следуя за кем-то с авторизованной картой доступа. Эта атака предполагает, что человек, имеющий законный доступ в здание, достаточно вежлив, чтобы держать дверь открытой для человека, стоящего за ним, предполагая, что ему разрешено там находиться.
• Несанкционированное программное обеспечение безопасности. Это тип вредоносного ПО, которое обманом заставляет жертв платить за поддельное удаление вредоносного ПО.
• Погружение в мусорные контейнеры. Это атака социальной инженерии, когда человек ищет в мусоре компании информацию, такую ​​как пароли или коды доступа, написанные на стикерах или обрывках бумаги, которые могут быть использованы для проникновения в сеть организации.
• Фарминг. С помощью этого типа онлайн-мошенничества киберпреступник устанавливает вредоносный код на компьютер или сервер, который автоматически направляет пользователя на поддельный веб-сайт, где пользователь может быть обманут, чтобы предоставить личную информацию.
   

Примеры атак социальной инженерии
Пожалуй, самый известный пример атаки социальной инженерии - это легендарная Троянская война, в которой греки смогли проникнуть в город Трою и выиграть войну, спрятавшись внутри гигантского деревянного коня, который был представлен троянской армии в качестве символа. мира.

В наше время Фрэнк Абигнейл считается одним из ведущих экспертов в области методов социальной инженерии. В 1960-х годах он использовал различные тактики, чтобы выдать себя за как минимум восемь человек, включая пилота авиалинии, врача и юриста. В то время Абигнейл также подделывал чеки. После заключения он стал консультантом по безопасности Федерального бюро расследований и начал свою собственную консультацию по финансовому мошенничеству. Его опыт молодого мошенника стал известен благодаря его бестселлеру «Поймай меня, если сможешь» и экранизации оскароносного режиссера Стивена Спилберга.

Когда-то известный как «самый разыскиваемый хакер в мире», Кевин Митник убедил сотрудника Motorola передать ему исходный код MicroTAC Ultra Lite, нового раскладного телефона компании. Это был 1992 год, и Митник, который бежал от полиции, жил в Денвере под вымышленным именем. В то время он был обеспокоен тем, что федеральное правительство его отслеживает. Чтобы скрыть свое местонахождение от властей, Митник использовал исходный код для взлома Motorola MicroTAC Ultra Lite, а затем попытался изменить идентификационные данные телефона или отключить возможность подключения вышек сотовой связи к телефону.

Чтобы получить исходный код устройства, Митник позвонил в Motorola и был связан с отделом, работающим над ним. Затем он убедил сотрудника Motorola, что он - коллега, и убедил этого сотрудника прислать ему исходный код. В конечном итоге Митник был арестован и отсидел пять лет за взлом. Сегодня он мультимиллионер и автор ряда книг по взлому и безопасности. Востребованный спикер, Митник также руководит компанией по кибербезопасности Mitnick Security.

Более свежим примером успешной атаки социальной инженерии стала утечка данных компании RSA, занимающейся безопасностью, в 2011 году. Злоумышленник отправил два разных фишинговых письма в течение двух дней небольшим группам сотрудников RSA. В письмах была тема «План набора на 2011 год» и вложения в виде файла Excel. Таблица содержала вредоносный код, который при открытии файла устанавливал бэкдор через уязвимость Adobe Flash. Хотя никогда не было ясно, какая именно информация была украдена, если таковая была, система двухфакторной аутентификации (2FA) RSA SecurID была скомпрометирована, и компания потратила около 66 миллионов долларов на восстановление после атаки.

В 2013 году Сирийская электронная армия смогла получить доступ к аккаунту Associated Press (AP) в Twitter, включив вредоносную ссылку в фишинговое письмо. Электронное письмо было отправлено сотрудникам AP под видом коллеги. Затем хакеры опубликовали в Твиттере фальшивую новость из аккаунта AP, в которой говорилось, что в Белом доме прогремели два взрыва и был ранен тогдашний президент Барак Обама. Это вызвало такую ​​значительную реакцию, что промышленный индекс Доу-Джонса упал на 150 пунктов менее чем за 5 минут.

Также в 2013 году фишинговая афера привела к массивной утечке данных Target. Фишинговое письмо было отправлено субподрядчику по отоплению, вентиляции и кондиционированию воздуха, который был одним из деловых партнеров Target. В электронном письме содержался троян Citadel, который позволил злоумышленникам проникнуть в системы точек продаж Target и украсть информацию о 40 миллионах кредитных и дебетовых карт клиентов. В том же году Министерство труда США подверглось атаке водяного пара, и его веб-сайты были заражены вредоносным ПО через уязвимость в Internet Explorer, которая установила троян для удаленного доступа Poison Ivy.

В 2015 году киберпреступники получили доступ к личной учетной записи электронной почты AOL Джона Бреннана, тогдашнего директора Центрального разведывательного управления. Один из хакеров объяснил СМИ, как он использовал методы социальной инженерии, чтобы выдать себя за технического специалиста Verizon и запросить информацию об учетной записи Бреннана в Verizon. Получив данные учетной записи Verizon Бреннана, хакеры связались с AOL и использовали эту информацию, чтобы правильно ответить на контрольные вопросы для учетной записи электронной почты Бреннана.

Предотвращение социальной инженерии
Компании могут использовать ряд стратегий для предотвращения атак социальной инженерии, в том числе следующие:

• Убедитесь, что отделы информационных технологий регулярно проводят тестирование на проникновение с использованием методов социальной инженерии. Это поможет администраторам узнать, какие типы пользователей представляют наибольший риск для определенных типов атак, а также определить, каким сотрудникам требуется дополнительное обучение.
• Начните программу обучения навыкам безопасности, которая поможет предотвратить атаки социальной инженерии. Если пользователи знают, как выглядят атаки социальной инженерии, они с меньшей вероятностью станут жертвами.
• Внедрите безопасную электронную почту и веб-шлюзы, чтобы сканировать электронные письма на предмет вредоносных ссылок и отфильтровывать их, тем самым уменьшая вероятность того, что сотрудник нажмет на одну из них.
• Регулярно обновляйте антивредоносное и антивирусное ПО, чтобы предотвратить установку вредоносных программ из фишинговых писем.
• Будьте в курсе обновлений программного обеспечения и прошивки на конечных точках.
• Следите за сотрудниками, которые обрабатывают конфиденциальную информацию, и включите для них расширенные меры аутентификации.
• Внедрите 2FA для доступа к ключевым учетным записям, например, код подтверждения через текстовое сообщение или распознавание голоса.
• Убедитесь, что сотрудники не используют повторно одни и те же пароли для личных и рабочих учетных записей. Если хакер, совершающий атаку социальной инженерии, получает пароль от учетной записи сотрудника в социальной сети, хакер также может получить доступ к рабочим учетным записям сотрудника.
• Внедрите фильтры спама, чтобы определить, какие электронные письма могут быть спамом. Спам-фильтр может иметь черный список подозрительных адресов Интернет-протокола или идентификаторов отправителей, или они могут обнаруживать подозрительные файлы или ссылки, а также анализировать содержимое электронных писем, чтобы определить, какие из них могут быть поддельными.