Как взламывают «операционную систему» человека
Киберпреступники зачастую пользуются методами социальной инженерии – рядом приемов, позволяющих подтолкнуть человека к раскрытию ценной информации. Опасность таких атак высока, а жертва обычно не понимает, что ее действия наносят вред. Эксперты компании McAfee постарались разобраться в этой проблеме и выделили основные виды атак, каналы, которыми пользуются злоумышленники, а также разработали методы защиты.Попытки применения методов социотехники не всегда линейны: та или иная отдельная атака может быть частью более крупной кампании по сбору взаимосвязанных данных. Например, злоумышленники могут провести одну атаку, получить необходимую информацию и исчезнуть. Или же они могут провести ряд атак, относящихся к категории «охота», а затем, используя собранную информацию, инициировать атаку, относящуюся к категории «животноводство».
Каналы атаки
Для проведения атак злоумышленники могут использовать разные каналы. Нередко для социотехнических атак используются вредоносные веб-сайты. Согласно отчету компании Verizon о расследовании утечек данных за 2014 г. (2014 Verizon Data Breach Investigations Report), в 20% атак, проводимых с целью шпионажа, для доставки вредоносного ПО используются механизмы стратегического взлома веб-сайтов.
Самыми распространенными видами социотехнических атак с использованием электронной почты являются фишинг вообще и целенаправленный фишинг в частности. Рассылка электронных почтовых сообщений – эффективный метод проведения атаки, поскольку, согласно отчету Verizon, по ссылкам в фишинговых электронных сообщениях переходит 18% пользователей.
Телефон в качестве канала связи пользуется популярностью у информационных посредников. Бывает, что злоумышленники встречаются с сотрудником компании лично, тогда они могут принудительно или обманным путем заставить его предоставить информацию. Почтовая служба не столь популярна, как другие каналы связи, но тоже присутствует в общей статистике по атакам. Также злоумышленники используют факс – примером такой атаки может быть поддельное сообщение от системы электронных платежей.
Защита от социотехнических атак
Эксперты компании McAfee Радж Самани и Чарльз Макфарланд выделяют средства, которые можно использовать для уменьшения опасности социотехнических атак. Условно они разделены на три категории: люди, процессы и технологии.
Людям эксперты советуют устанавливать четкие границы. Все сотрудники должны быть ознакомлены с принятыми в организации правилами раскрытия информации и иерархическим порядком обработки запросов, выходящих за пределы их полномочий. Также должна быть разработана и внедрена программа повышения осведомленности сотрудников в вопросах безопасности, предполагающая постоянное обучение сотрудников. Для привлечения внимания сотрудников McAfee разработал специальный тест на умение распознавать фишинг.
Сотрудники не должны бояться сомневаться даже в самых безобидных на вид запросах. Например, сотрудник должен не бояться расспросить человека, пытающегося вслед за ним пройти в служебное помещение. Даже самая незначительная на вид информация, такая как номера телефонов (информация, дающая новые возможности), может быть использована для проведения атаки, поэтому полезно объяснять важность любых сведений.
Важно также не заниматься поиском виновных. Объекты социотехнических атак являются жертвами. Наказывая отдельных сотрудников, ставших жертвами обмана, работодатель создает атмосферу, в которой сотрудники не будут готовы признаваться в разглашении информации. Будучи один раз обманутыми, они могут попасть под контроль злоумышленника, который затем может начать их шантажировать.
С точки зрения процессов рекомендуется при обнаружении подозрительных действий составлять отчеты с указанием всех подробностей. Это помогает расследовать инциденты. Также при переходе на вредоносную веб-страницу у сотрудника должна отобразиться блокирующая страница с информацией о причинах блокировки.
Компаниям также рекомендуется оповещать клиентов. Когда организация отказывает звонящим в предоставлении информации, она должна сообщить им об этом и проверить, имеет ли звонящий право на получение запрашиваемой информации. Кроме того, организациям следует установить порядок обмена информацией с клиентами. Например, PayPal предоставляет пользователям следующую инструкцию по проверке подлинности получаемых электронных сообщений: «в своих электронных письмах мы никогда не запрашиваем информацию следующего типа: номера банковских карт, номера банковских счетов, номера водительских удостоверений, адреса электронной почты, пароли, ваше полное имя».
Для персонала, непосредственно работающего с клиентами, должен быть разработан простой порядок передачи потенциально мошеннических сообщений на рассмотрение в вышестоящие инстанции. Кроме того, стоит регулярно проводить проверки на уязвимость сотрудников к социотехническим атакам.
Избежать утечек информации также помогут простые технологические решения. Необходимо регулярно записывать входящие телефонные звонки – это помогает расследовать инциденты. Подозрительные звонки должны перенаправляться на контролируемый номер. Электронные сообщения, содержащие известные и неизвестные вредоносные программы, стоит сразу удалять. В компании должна быть настроена фильтрация веб-трафика и заблокирован доступ к вредоносным сайтам. Кроме того, нужна строгая проверка подлинности. Не устраняя полностью риск того, что в результате социотехнической атаки пользователи могут раскрыть злоумышленникам свои учетные данные, многофакторная проверка подлинности, однако, значительно усложняет злоумышленникам задачу получения учетных данных.
Опасность социотехнических атак очень серьезна. С их помощью киберпреступники незаконно получают доступ к информации, используемой в различных вредоносных целях. Для эффективной борьбы с этой проблемой необходимо понимать природу социотехнических атак. Это значит, что необходимо уметь выявлять наиболее вероятные действующие лица, используемые ими методы проведения атак и имеющиеся у них ресурсы, а затем принимать соответствующие меры по снижению уровня риска, связанного с такими атаками.