Методы социальной инженерии

Аватар пользователя zdor
Автор: Здор Вадим, InfoWatch
(0)
()
Опубликовано в:

Давайте остановимся на четырех основных методах социальной инженерии, особенно опасных для информационной безопасности организации: фишинг, работа под прикрытием (pretexting), подброс инфицированных медийных носителей и проникновение на территорию без допуска (tailgating).

1) Фишинг

Фишинг заключается в отправке сообщений по электронной почте пользователю с целью убедить пользователя выполнить какое-либо действие. Целью большинства фишинговых писем является попытка принуждения пользователя нажать что-то и записать последовательность его действий, или же установить вредоносное ПО как часть более широкомасштабной попытки проникновения.

Ключ к успешной кампании фишинга - персонализация. Модификация электронного сообщения под конкретного пользователя, якобы полученного из надежного (или располагающего доверием) источника, увеличивает вероятность того, что пользователь прочитает почту или даже последует рекомендациям, обозначенным в тексте сообщения. Профессиональный злоумышленник всегда уделит внимание проверке орфографии и грамматики; хорошо написанное сообщение, даже короткое, имеет больше шансов на успех.

Целевой фишинг (spear phishing) является гораздо более изощренным, чем обычный фишинг. Вместо массовой рассылки сообщений, целевой фишинг сконцентрирован на одном конкретном пользователе или организации. Электронные письма или сообщения,  отправленные в таком виде, для большей подлинности обычно включают конкретную, тщательно отобранную информацию о человеке или компании. Эти целевые рассылки преследуют явные вредоносные целей: как правило, они используются для получения конкретной корпоративной интеллектуальной собственности  или личной информации.

Обычной жертвой целевого фишинга является высокопоставленное, нетехническое лицо в организации.  И главная опасность заключается не в том, что информация о клиентах, адресах их электронной почты, или другая информация компании будет скомпрометирована, а в том, что злоумышленники к этому моменту вполне ясно представляют себе, как они будут использовать эту информации дальше. Украденная информация используется для еще более изощренных атак.

2) Pretexting

Pretexting предполагает использование голосовых средств связи (телефон, Skype и т.п.) для получения информации, как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи. Этот метод особенно эффективен по отношению к нетехническим пользователям, которые могут владеть полезной информацией.

Наилучшая стратегия - использование поначалу небольших запросов и упоминание имен реальных людей в организации, обычно вышестоящих. В процессе разговора злоумышленник объясняет, что он нуждаются в помощи (большинство людей готовы исполнить небольшие задачи, которые не воспринимаются как подозрительные запросы). Как только доверительная связь установлена,  злоумышленник может попросить что-то более существенное и с большим успехом.

3) Подброс инфицированных медийных носителей

Еще один интересный способ добычи конфиденциальной информации - подброс цифровых носителей (например, флешки) в каких-либо публичных местах, на стоянке или у входа в здание. На флэш-накопитель записывается программа, инициирующая атаку клиентской рабочей станции или сети при ее открытии. Вредоносное ПО находится внутри Excel, Word или PDF файлов, обычно помещаемых на такие носители, а сами устройства помечаются, привлекающими внимание надписями, такими как: «Финансовый отчет», «Прайс-лист», « Строго конфиденциально» и т.д.

4) Несанкционированное проникновение

Проникновение на территорию без допуска предполагает получение физического доступа на объект путем принуждения или обмана сотрудников или просто в обход периметра безопасности. Нарушители планируют получение конфиденциальных данных или установку скрытых устройств в очень короткий промежуток времени, так как им необходимо  покинуть объект  очень быстро. Они могут сфотографировать  документы, оставленные на принтерах или столах, или установить устройства, обеспечивающие последующий Wi-Fi или 3G доступ к сети.

Заключение

Несомненно, технические средства контроля могут и должны быть использованы для предотвращения нежелательных утечек информации путем социального инжиниринга. Фишинг-атаки в первую очередь контентно-центрированы и использование классических систем предотвращения утечек информации может оказать неоценимую услугу в раннем обнаружении и блокировании подобных попыток компрометации чувствительных данных. Средства контроля съемных носителей и внешних устройств помогут защитить интеллектуальную собственность организации в том случае, если кто-то из ее сотрудников пал случайной жертвой подброшенного устройства с привлекательным содержимым.

Однако наиболее действенной будет программа обучения вопросам информационной безопасности. Сотрудники должны быть обучены тому, что электронная почта компании предназначена в первую очередь для ведения бизнеса, тем самым ограничивая возможное попадание адресов электронной почты пользователей в Интернет. Сотрудники также должны быть осторожны при работе с вложениями из незнакомых источников. Организации также должны иметь формальную политику для использования социальных сетей, запрещающую или ограничивающую информацию, которую сотрудники могут размещать на своих личных страницах. Сайты социальных сетей представляют собой отличный инструмент для социального инжиниринга. Регламентирование данных о компании, размещаемых сотрудниками на сайтах социальных сетей, будет способствовать повышению уровня общей информационной  безопасности компании.

 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.