Соціальна інженерія в інформаційній безпеці

10

Зміст

  • Огляд
  • Що таке «соціальна інженерія»
  • Виявлення/зупинка атак соціальної інженерії

Огляд

Найбільшим помилкою багатьох людей є те, що кіберзлочинці атакують облікові записи користувачів тільки з допомогою просунутих інструментів і технік. Але це зовсім не так. Кіберзлочинці зрозуміли, що часто найпростішим способом крадіжки вашої інформації, злому облікового запису або зараження ваших систем є введення вас в оману, що змусить вас зробити помилку. У цій статті ми поговоримо про такому вигляді атак, званих соціальна інженерія, як вони працюють і як від них захиститися.

Що таке «соціальна інженерія»

Соціальна інженерія – це психологічна атака, де з допомогою обману вас змушують зробити те, що ви не повинні. Концепція даних атак зовсім не нова, їй вже тисячі років. Згадайте «злодіїв на довіру» або шахраїв – у них подібні прийоми. Сучасні технології дозволяють обманювати людей більш ефективно, так як ви не можете їх бачити, отже, вони можуть видавати себе за будь-що або кого завгодно, обманюючи мільйони людей, включаючи вас. Крім того, за допомогою соціальної інженерії можна подолати багато технології безпеки. Розглянемо два приклади атак, щоб легше зрозуміти, як вони відбуваються, та як захистити себе від них.
Соціальна інженерія в інформаційній безпеціВам телефонують і представляються службою підтримки комп’ютерної компанії, вашого інтернет провайдера або навіть службою підтримки Microsoft. Людина, яка телефонує, повідомляє, що ваш комп’ютер підозріло активний в Інтернеті, це означає, що він заражений вірусом і пропонує допомогу в пошуку та знешкодження вірусу. Потім, використовуючи велику кількість комп’ютерних термінів, переконує вас у тому, що комп’ютер дійсно заражений. Наприклад, може попросити вас перевірити наявність певних файлів у комп’ютері, покроково пояснивши, де їх шукати. Після того, ваш співрозмовник повідомляє, що це і є віруси, хоча насправді це звичайні системні файли, які є на будь-якому комп’ютері в світі. Але якщо у шахраїв вдасться переконати вас, що це віруси, то вони запропонують купити антивірус або дозволити віддалений доступ до комп’ютера для його установки. У будь-якому випадку ви отримаєте вірус. Тільки в першому випадку ви заплатите гроші за шкідливу програму. Якщо ви дозволите їм віддалений доступ до комп’ютера, то крім установки вірусу, вони ще й вкрадуть ваші дані будуть вимагати за них викуп або будуть використовувати їх у своїх цілях.
Другий приклад атаки по електронній пошті, яка називається Афера «Керівник» найчастіше може трапиться на роботі. Кібершахраї відправляють вам лист від імені начальника або колеги. У листі потрібні негайні дії, наприклад, терміновий переказ коштів або конфіденційних даних працівника. Найчастіше в листі вимагають порушити деякі процедури безпеки через терміновість. Наприклад, відправити конфіденційну інформацію на особисту пошту @gmail.com. Такого роду атаки найбільш небезпечні, так як злочинці ретельно їх розробляють. У цьому випадку технології безпеки, антивіруси або файрволли, не можуть виявити або зупинити атаку, так як не задіяні шкідливі програми або посилання.
Пам’ятайте, що атаки за допомогою соціальної інженерії відбуваються не тільки по телефону або по електронній пошті, а можуть бути з будь-яких текстових повідомлень, в соціальних мережах і навіть особисто. Ось ключові моменти, які слід знати, щоб захистити себе.

Виявлення/зупинка атак соціальної інженерії

На щастя, легко виявити такі атаки можна за допомогою здорового глузду – це і є найкращий захист. Якщо що-то вам здається дуже підозрілим або неправильним, то це і є атака. Ось приклади найбільш популярних атак соціальної інженерії:

  • Хтось створює ситуацію терміновості, намагаючись змусити вас зробити помилку.
  • Хтось запитує інформацію, яку їм або не належить знати або вони вже повинні знати її, наприклад, номери банківських рахунків.
  • Хтось запитує ваш пароль. Ні одна легальна організація не має права цього робити.
  • Хтось змушує вас порушити або ігнорувати процедури безпеки, прийняті у вашій компанії.
  • Щось занадто добре, щоб бути правдою. Наприклад, вам повідомляють, що ви виграли в лотерею або отримали призовий iPad, хоча ніколи не брали участь у розіграші.
  • Якщо ви отримали лист від колеги, написане в незвичайному стилі, і створюється враження, що лист написаний іншою людиною. Можливо, обліковий запис колеги зламали і намагаються вас обдурити. Щоб це перевірити, зв’яжіться з цією людиною іншим способом, наприклад, по телефону або поговоріть з ним особисто.

Якщо вам здається, що хтось намагається вас обдурити, відразу припиніть спілкуватися з ним. Якщо атака відбувається на робочому місці, негайно повідомте в службу підтримки або в відділ інформаційної безпеки.

Про автора

Джеймс Лін (@jameslyne) – сертифікований інструктор Інституту SANS і керівник глобального відділу досліджень компаній Sophos. Він аналізує і декомпилирует новітні і складні винаходу кіберзлочинців.