Социальная инженерия: как действуют мошенники и что нужно для защиты компании

Социальная инженерия: как действуют мошенники и что нужно для защиты компании

«ПРОСВЕТ.ПРЕСС». Социальная инженерия – манипуляция людьми, вынуждающая их делать нужные для злоумышленников действия. Это технология получения доступа к зданиям, системам или данным путем использования человеческой психологии, а не с помощью технических методов взлома. Так, социальный инженер может позвонить сотруднику компании, выдать себя за работника службы технической поддержки и попытаться обманом заставить его раскрыть свой пароль. Цель манипуляции всегда заключается в завоевании доверия одного или нескольких работников.

Система безопасности организаций имеет аппаратное, программное обеспечение и wetware – человеко-компьютерные интерфейсы. С самой современной технологией защиты первые две составляющие вполне реально сделать непроницаемыми. Но при достаточном терпении и знании психологии социальный инженер способен найти слабые места в wetware, чтобы обмануть ничего не подозревающую жертву и заставить ее раскрыть конфиденциальную информацию.

Чего хотят социальные инженеры

Задача мошенников заключается в получении личной информации, которая затем приводит к финансовой краже, хищению личных данных, или в подготовке к целенаправленной атаке. Социальные инженеры ищут способы установки вредоносных программ для обеспечения лучшего доступа к персональным данным, компьютерным системам или учетным записям. В ряде случаев агрессоры пытаются найти информацию, которая даст им или заказчикам конкурентное преимущество в определенной сфере.

Вот что мошенники стараются заполучить:

• пароли и номера счетов;

• ключи и личную информацию;

• карты доступа и удостоверения личности;

• списки телефонов;

• подробную информацию о компьютерной системе;

• данные человека с правами доступа;

• информацию о серверах, сетях, непубличных URL, интрасетях.

Как действуют социальные инженеры

Чтобы обмануть человека или группу лиц, злоумышленники используют доверие, готовность жертвы помочь, легкодоступную информацию, психологические знания, подразумеваемый или мнимый авторитет, технологии воздействия на личность. Часто они совершают несколько небольших атак для достижения конечного результата, а изъятые фрагменты данных объединяют в убедительную историю. Социальная инженерия эксплуатирует профессиональные, карьерные возможности людей для сбора информации и проникновения в организацию.

Сбор информации: агрессор применяет различные методы для получения сведений о выбранных целях. Затем собранный материал задействуется в построении отношений с объектом нападения либо с человеком, который важен для успеха атаки.

Развитие отношений: социальный инженер использует готовность оппонента доверять, чтобы развить с ним взаимопонимание. Налаживая связь и вызывая расположение, мошенник позиционирует себя честным, порядочным членом общества.

Эксплуатация: войдя в доверие, злоумышленник манипулирует жертвой, чтобы раскрыть информацию (например, узнать пароли) или выполнить действие (например, создать учетную запись). Такой шаг может быть концом или началом следующего этапа атаки.

Выполнение: как только цель отработала задание, запрошенное агрессором, цикл завершен.

Типы социальной инженерии

Фишинг. Вид интернет-мошенничества, направленный на получение учетных данных пользователя обманным путем. Чаще всего это делается с помощью массовых рассылок писем, уведомлений от якобы авторитетных учреждений. Фишинговые атаки направлены на кражу паролей, номеров кредитных карт, реквизитов банковского счета и другой конфиденциальной информации.

Подводная охота. Если традиционный фишинг является актом забрасывания широкой сети в надежде поймать что-либо, подводная охота – тщательное нацеливание на конкретного человека или организацию, индивидуальная настройки атаки на жертву.

Троянский конь. Вредоносное приложение, предназначенное для того, чтобы хакеры могли получить удаленный доступ к целевой компьютерной системе. Трояны могут поступать через нежелательные загрузки со скомпрометированных сайтов, через установленные онлайн-игры или другие интернет-приложения.

Плечевой серфинг. Метод прямого наблюдения (подсматривание) для изъятия информации. Плечевой серфинг особенно эффективен в людных местах, потому что относительно легко наблюдать за человеком, когда он заполняет документ, набирает ПИН-код в банкомате или вводит пароль, сидя в кафе.

Способы защиты от влияния социальной инженерии

1. Политика безопасности. Продуманные нормативы обеспечат четкое направление действий сотрудников организации.

2. Надежная архитектура безопасности. Еще на этапе проектирования системы защиты детально прорабатываются контрмеры против угроз, определенных при оценке рисков.

3. Физическая безопасность. Применение пропусков, указывающих статус каждого сотрудника.

4. Образование/осведомленность. Хорошая программа обучения и повышения компетенции, ориентированная на требуемый тип поведения. Учебный курс должен предоставить пользователям контрольный список признаков, по которым распознается возможная атака социальной инженерии.

5. Ограничение утечки информации. Сайты, доступные для всех сотрудников базы данных, интернет-реестры и другие источники сведений должны указывать только общую информацию, а не имена рабочих и служащих.

6. Стратегия реагирования на инциденты. Так, если пользователь получает запрос, он должен проверить его подлинность, прежде чем действовать в соответствии с инструкциями.

7. Культура безопасности. Следует рассматривать как долгосрочные инвестиции, требующие постоянных усилий для поддержания и развития.

Социальная инженерия позволяет злоумышленникам получить доступ к вашим информационным ресурсам без необходимости быть техническим специалистом, экспертом по сети или безопасности. Атакующий задействует множество тактик, чтобы обмануть жертву и заставить ее выдать информацию, необходимую для проникновения, или получить сведения без ведома объекта нападения.

Социальные инженеры способны стать угрозой благополучию любой организации. Важно хорошо понимать значимость опасности и способы ее проявления. Только тогда можно применять и поддерживать эффективные контрмеры для защиты компании.

Нет Оценки
0 Оценки
Была ли эта статья полезной? Пожалуйста, оцените эту статью, чтобы дать нам ценную информацию для наших улучшений.
  1. Супер!
  2. Мне нравится
  3. Ничего нового
  4. Так себе
  5. Я зол
Понравилась статья? Поделитесь ей в соц сетях или в мессенджер
Оставить комментарий

Оставить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

3 × 2 =