Даже систему, обладающую высокой степенью защиты, можно взломать просто потому, что ею управляет человек.
Если вы все еще считаете, что социальная инженерия не заслуживает должного внимания, почитайте о таких известных социальных инженерах, как Виктор Люстиг (человек, который дважды продал Эйфелеву башню) или Робин Сейдж (фальшивый аккаунт в Facebook, благодаря которому Томас Райан получил доступ к секретной информации американских спецслужб).
Социальная инженерия применяется для:
Особенности атак на человеческий фактор:
Общий подход к атаке:
Фишинг
Фишинг-атаки – это самый популярный вид мошенничества в социальной инженерии. Целью фишинга является незаконное получение конфиденциальных данных пользователей (логина и пароля). Для атаки пользователей хакеры используют например электронную почту, предварительно собрав из открытых источников список работников компании и их email-адреса. После сбора адресов взломщики переходят к подготовке письма с полезной нагрузкой.
Полезная нагрузка, как правило, может быть двух типов:
1. Поддельная страница корпоративного ресурса, которая используется для кражи паролей пользователей корпоративной сети.
2. Вредоносный офисный документ.
Для создания поддельной страницы хакеры копируют HTML и JavaScript код оригинального корпоративного ресурса и добавляют изменения, которые позволяют получать пароль и логин, вводимые пользователями.
В офисные файлы, как правило, добавляют вредоносный код, который выполняется при открытии. Для добавления кода используют стандартную функцию Microsoft Office — создание макросов.
Троянский конь
Эта техника использует такие качества потенциальной жертвы, как любопытство и алчность. Социальный инженер отправляет e-mail с бесплатным видео или обновлением антивируса во вложении. Жертва сохраняет вложенные файлы, которые на самом деле являются троянскими программами. Такая техника останется эффективной до тех пор, пока пользователи продолжают бездумно сохранять или открывать любые вложения.
Помимо вложений хакеры могут использовать USB-устройства (накопители и другую периферию).
В такой атаке, как и в случае с вложениями, хакеры эксплуатируют любопытство пользователя, который обнаружил флешку на парковке или получил её в подарок на мероприятии.
При подключении такого устройства компьютер определит его как клавиатуру. После этого флешка пошлет компьютеру команды для установки вредоносного программного обеспечения или кражи конфиденциальных данных. Со стороны пользователю будет казаться, что кто-то набирает на компьютере команды с клавиатуры.
Примеры команд, которые можно использовать для атаки пользователей с помощью USB-устройств, можно посмотреть здесь — https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads
Претекстинг
Претекстинг – это атака, проводимая по заранее подготовленному сценарию. Такие атаки направлены на развитие чувства доверия жертвы к хакеру. Атаки обычно осуществляются по телефону. Этот метод зачастую не требует предварительной подготовки и поиска данных о жертве.
Кви про кво
При использовании этого вида атаки хакеры обещают жертве выгоду в обмен на факты. Например, хакер звонит в компанию, представляется сотрудником технической поддержки и предлагает установить «необходимое» программное обеспечение. После того, как получено согласие на установку программ, нарушитель получает доступ к системе и ко всем данным, хранящимся в ней.
Tailgating
Tailgating или piggybacking подразумевает несанкционированный проход хакера вместе с законным пользователем через пропускной пункт. Такой способ невозможно применять в компаниях, где сотрудникам необходимо использовать пропуски для входа на территорию предприятия.
Социальная инженерия: рекомендации по защите:
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендую соблюдать следующие правила защиты:
Если вы все еще считаете, что социальная инженерия не заслуживает должного внимания, почитайте о таких известных социальных инженерах, как Виктор Люстиг (человек, который дважды продал Эйфелеву башню) или Робин Сейдж (фальшивый аккаунт в Facebook, благодаря которому Томас Райан получил доступ к секретной информации американских спецслужб).
Социальная инженерия применяется для:
- сбора сведений о цели;
- получения конфиденциальной информации;
- прямого доступа к системе;
- получения данных, которые иначе достать невозможно.
Особенности атак на человеческий фактор:
- Не требуют значительных затрат;
- Не требуют специальных знаний;
- Могут продолжаться на протяжении длительного срока;
- Сложно отслеживаются.
Общий подход к атаке:
- Сбор информации о жертве (зачастую через социальные сети);
- Установление доверительных отношений;
- Эксплуатация;
- Скрытие следов пребывания.
- Любовь
- Сочувствие и жалость
- Жадность и желание быстрых результатов
- Страх перед начальством
- Неопытность
- Лень
Фишинг
Фишинг-атаки – это самый популярный вид мошенничества в социальной инженерии. Целью фишинга является незаконное получение конфиденциальных данных пользователей (логина и пароля). Для атаки пользователей хакеры используют например электронную почту, предварительно собрав из открытых источников список работников компании и их email-адреса. После сбора адресов взломщики переходят к подготовке письма с полезной нагрузкой.
Полезная нагрузка, как правило, может быть двух типов:
1. Поддельная страница корпоративного ресурса, которая используется для кражи паролей пользователей корпоративной сети.
2. Вредоносный офисный документ.
Для создания поддельной страницы хакеры копируют HTML и JavaScript код оригинального корпоративного ресурса и добавляют изменения, которые позволяют получать пароль и логин, вводимые пользователями.
В офисные файлы, как правило, добавляют вредоносный код, который выполняется при открытии. Для добавления кода используют стандартную функцию Microsoft Office — создание макросов.
Троянский конь
Эта техника использует такие качества потенциальной жертвы, как любопытство и алчность. Социальный инженер отправляет e-mail с бесплатным видео или обновлением антивируса во вложении. Жертва сохраняет вложенные файлы, которые на самом деле являются троянскими программами. Такая техника останется эффективной до тех пор, пока пользователи продолжают бездумно сохранять или открывать любые вложения.
Помимо вложений хакеры могут использовать USB-устройства (накопители и другую периферию).
В такой атаке, как и в случае с вложениями, хакеры эксплуатируют любопытство пользователя, который обнаружил флешку на парковке или получил её в подарок на мероприятии.
При подключении такого устройства компьютер определит его как клавиатуру. После этого флешка пошлет компьютеру команды для установки вредоносного программного обеспечения или кражи конфиденциальных данных. Со стороны пользователю будет казаться, что кто-то набирает на компьютере команды с клавиатуры.
Примеры команд, которые можно использовать для атаки пользователей с помощью USB-устройств, можно посмотреть здесь — https://github.com/hak5darren/USB-Rubber-Ducky/wiki/Payloads
Претекстинг
Претекстинг – это атака, проводимая по заранее подготовленному сценарию. Такие атаки направлены на развитие чувства доверия жертвы к хакеру. Атаки обычно осуществляются по телефону. Этот метод зачастую не требует предварительной подготовки и поиска данных о жертве.
Кви про кво
При использовании этого вида атаки хакеры обещают жертве выгоду в обмен на факты. Например, хакер звонит в компанию, представляется сотрудником технической поддержки и предлагает установить «необходимое» программное обеспечение. После того, как получено согласие на установку программ, нарушитель получает доступ к системе и ко всем данным, хранящимся в ней.
Tailgating
Tailgating или piggybacking подразумевает несанкционированный проход хакера вместе с законным пользователем через пропускной пункт. Такой способ невозможно применять в компаниях, где сотрудникам необходимо использовать пропуски для входа на территорию предприятия.
Социальная инженерия: рекомендации по защите:
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендую соблюдать следующие правила защиты:
- не используйте один и тот же пароль для доступа к внешним и корпоративным ресурсам;
- не открывайте письма, полученные из ненадежных источников;
- блокируйте компьютер, когда не находитесь на рабочем месте;
- обсуждайте по телефону и в личном разговоре только необходимую информацию;
- необходимо удалять все конфиденциальные документы с портативных устройств.