Социальная инженерия методы: Социальная инженерия. Основные типы социальной инженерии и методы защиты от них

Содержание

Социальная инженерия. Основные типы социальной инженерии и методы защиты от них

Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии.

Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Рассмотрим основные типы социальной инженерии и методы защиты от них.


Претекстинг — это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей — авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

Обратная социальная инженерия — данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.

Рисунок 1 – Основные типы социальной инженерии


Меры противодействия


Основным способом защиты от методов социальной инженерии является обучение сотрудников. Все работники компании должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Кроме того, у каждого сотрудника компании, в зависимости от подразделения и должности, должны быть инструкции о том, как и на какие темы можно общаться с собеседником, какую информацию можно предоставлять для службы технической поддержки, как и что должен сообщить сотрудник компании для получения той или иной информации от другого сотрудника.

Кроме этого, можно выделить следующие правила:


  • Пользовательские учетные данные являются собственностью компании.
  • Всем сотрудникам в день приема на работу должно быть разъяснено то, что те логины и пароли, которые им выдали, нельзя использовать в других целях (на web-сайтах, для личной почты и т.п), передавать третьим лицам или другим сотрудникам компании, которые не имеют на это право. Например, очень часто, уходя в отпуск, сотрудник может передать свои авторизационные данные своему коллеге для того, чтобы тот смог выполнить некоторую работу или посмотреть определенные данные в момент его отсутствия.
  • Необходимо проводить вступительные и регулярные обучения сотрудников компании, направленные на повышения знаний по информационной безопасности.
  • Проведение таких инструктажей позволит сотрудникам компании иметь актуальные данные о существующих методах социальной инженерии, а также не забывать основные правила по информационной безопасности.
  • Обязательным является наличие регламентов по безопасности, а также инструкций, к которым пользователь должен всегда иметь доступ. В инструкциях должны быть описаны действия сотрудников при возникновении той или иной ситуации.
  • Например, в регламенте можно прописать, что необходимо делать и куда обращаться при попытке третьего лица запросить конфиденциальную информацию или учетные данные сотрудников. Такие действия позволят вычислить злоумышленника и не допустить утечку информации.
  • На компьютерах сотрудников всегда должно быть актуальное антивирусное программное обеспечение.
  • На компьютерах сотрудников также необходимо установить брандмауэр.
  • В корпоративной сети компании необходимо использовать системы обнаружения и предотвращения атак.
  • Также необходимо использовать системы предотвращения утечек конфиденциальной информации. Все это позволит снизить риск возникновения фитиновых атак.
  • Все сотрудники должны быть проинструктированы, как вести себя с посетителями.
  • Необходимы четкие правила для установления личности посетителя и его сопровождения. Посетителей всегда должен сопровождать кто-то из сотрудников компании. Если сотрудник встречает неизвестного ему посетителя, он должен в корректной форме поинтересоваться, с какой целью посетитель находится в данном помещении и где его сопровождение. При необходимости сотрудник должен сообщить о неизвестном посетители в службу безопасности.
  • Необходимо максимально ограничить права пользователя в системе.
  • Например, можно ограничить доступ к web-сайтам и запретить использование съемных носителей. Ведь, если сотрудник не сможет попасть на фишинговый сайт или использовать на компьютере флеш-накопитель с «троянской программой», то и потерять личные данные он также не сможет.

Исходя из всего перечисленного, можно сделать вывод: основной способ защиты от социальной инженерии – это обучение сотрудников. Необходимо знать и помнить, что незнание не освобождает от ответственности. Каждый пользователь системы должен знать об опасности раскрытия конфиденциальной информации и знать способы, которые помогут предотвратить утечку. Предупрежден – значит вооружен!

Ещё одним методом защиты от утечки информации является решение «Сервер в Израиле», позволяющее обеспечить высокий уровень конфиденциальности информации.

Социальная инженерия – защита и предотвращение

Что такое социальная инженерия?

При слове «кибербезопасность» большинство думает о том, как защититься от хакеров, использующих технические уязвимости сетей. Но есть и другой способ проникнуть в организации и сети – через человеческие слабости. Это и есть социальная инженерия: способ обманом заставить кого-то раскрыть информацию или предоставить доступ к сетям данных.

Например, некто, притворяясь сотрудником службы поддержки, может попросить пользователей сообщить их пароли. Удивительно, как часто люди добровольно выдают эти данные, особенно если им кажется, что запрос поступает от уполномоченного лица.

Проще говоря, в случае социальной инженерии мошенники манипулируют людьми, чтобы получить от них информацию или доступ к ней.

=»Как работает социальная инженерия»

 

Виды атак с использованием социальной инженерии

Атаки с использованием социальной инженерии бывают разными. Поэтому важно в целом понимать, что такое социальная инженерия и как она работает. Научившись распознавать основной механизм действия, вы сможете гораздо легче вычислять подобные атаки.

Ловля «на живца»

Ловец «на живца» оставляет приманку – например, флешку с вирусом. Нашедший из любопытства вставляет ее в свой компьютер, и вирус поражает систему. Существует даже флешка, повреждающая компьютеры, – она заряжается через USB-порт и затем высвобождает мощный заряд через устройство ввода. И стоит такая флешка всего 54 доллара США.

Претекстинг

Злоумышленник использует предлог, чтобы привлечь внимание жертвы и заставить ее сообщить информацию. Например, во время безобидного, казалось бы, интернет-опроса у вас могут попросить данные вашего банковского счета. Или к вам подойдет человек с папкой документов и скажет, что проверяет внутренние системы. Но он может оказаться мошенником, пытающимся похитить у вас ценные данные.

Фишинг

При фишинговой атаке вы получаете письмо или сообщение от кажущегося надежным источника с просьбой предоставить информацию. Хорошо известный пример – письмо якобы от банка, который просит клиентов «подтвердить» конфиденциальную информацию и направляет их на поддельный сайт, где их учетные данные будут зафиксированы. Целевой фишинг – это отправка письма определенному сотруднику якобы от высшего руководства компании, запрашивающего конфиденциальные сведения.

Вишинг и смишинг

Это две разновидности фишинга. Первая подразумевает «голосовой фишинг», то есть телефонное мошенничество. Злоумышленник может притвориться сослуживцем – например, сотрудником IT-отдела, которому нужны ваши учетные данные. Вторая – попытка получить данные посредством SMS-сообщений.

«Ты – мне, я – тебе»

Говорят, честный обмен – не грабеж, но не в этом случае. Многие социальные инженеры убеждают своих жертв в том, что те получат что-то в обмен на данные или доступ к ним. Так работает фальшивый антивирус, предлагающий пользователю устранить угрозу на его компьютере, хотя сам «антивирус» и есть угроза.

Взлом электронной почты и рассылка по контактам

Злоумышленник взламывает почту человека или его учетную запись в социальной сети, получая доступ к его контактам. Теперь от имени жертвы он может сообщить им, что его ограбили, и попросить перечислить ему денег или разослать ссылку на вредоносное ПО или клавиатурный шпион под видом интересного видео.

«Охота» и фарминг

И наконец, несколько более продвинутых методов социальной инженерии. Большинство простых методов, описанных выше, являются формой «охоты». Все просто: проникнуть, захватить информацию и убраться восвояси.

Однако некоторые социальные инженеры налаживают связь с жертвой, чтобы получить больше данных за более длительный период времени. Этот метод известен как фарминг и представляет для злоумышленника повышенный риск разоблачения. Но в случае успеха он также дает гораздо больший «урожай».

Как избежать атаки с использованием социальной инженерии

Социальным инженерам особенно сложно противодействовать, поскольку они используют особенности человеческой натуры – любопытство, уважение к властям, желание помочь другу. Но есть ряд советов о том, как обнаружить их атаки.

Проверяйте источник

Задумайтесь на минуту о том, откуда исходит сообщение, – не доверяйте ему слепо. На вашем столе неизвестно откуда появилась флешка? Вам внезапно позвонили и сообщили, что вы получили в наследство 5 миллионов долларов? Ваш руководитель просит в письме предоставить ему массу данных об отдельных сотрудниках? Все это выглядит очень подозрительно, поэтому и действовать следует с осторожностью.

Проверить источник нетрудно. Например, посмотреть на заголовок электронного письма и сравнить его с другими письмами того же отправителя. Проверьте, куда ведут ссылки, – поддельные гиперссылки легко выявить, просто наведя на них курсор (только не нажимайте!). Проверьте орфографию: в банках над перепиской с клиентами работают целые отделы квалифицированных специалистов. Письмо с явными ошибками, вероятно, подделка.

Если сомневаетесь, перейдите на официальный сайт, свяжитесь с представителем и попросите подтвердить или опровергнуть сообщение.

Что им известно?

Знает ли тот, кто вам звонит или пишет, всю соответствующую информацию – например, ваше полное имя? Сотрудник банка уж точно должен иметь перед глазами все ваши данные и обязательно спросит проверочное слово, прежде чем разрешит вам вносить изменения в свой счет. Если этого не произошло, с большой долей вероятности письмо, сообщение или звонок – фальшивка. Будьте осторожны!

Остановитесь и подумайте

Социальные инженеры часто используют иллюзию срочности в расчете на то, что жертва не будет особо задумываться о происходящем. Всего минута размышлений может помочь вам выявить и предотвратить атаку.

Не спешите сообщать данные по телефону или переходить по ссылке. Лучше перезвоните по официальному номеру или перейдите на официальный сайт. Используйте другой способ связи, чтобы проверить благонадежность источника. Например, если друг в электронном письме просит перечислить ему деньги, напишите или позвоните ему по телефону, чтобы убедиться, что письмо действительно от него.

Требуйте данные, удостоверяющие личность

Социальному инженеру проще всего проникнуть в охраняемое здание, неся в руках коробку или кипу папок. Кто-нибудь обязательно придержит для него дверь. Не попадайтесь на эту удочку: всегда требуйте удостоверение личности.

То же правило действует и в других ситуациях. Если у вас запрашивают информацию – уточните имя и номер звонящего или его непосредственного руководителя. Затем просто проверьте эту информацию в интернете или справочнике прежде, чем сообщать какие-либо персональные данные. Если вы не знаете человека, который запрашивает информацию, и все еще сомневаетесь – скажите, что уточните у кого-нибудь и потом перезвоните.

Используйте надежный спам-фильтр

Если ваш почтовый клиент недостаточно тщательно фильтрует спам или не помечает письма как подозрительные, попробуйте изменить настройки. Хорошие спам-фильтры используют разнообразную информацию для распознавания нежелательных писем. Они могут выявлять подозрительные файлы или ссылки, заносить в черный список ненадежные IP-адреса или сомнительных отправителей и анализировать содержимое писем, чтобы обнаруживать фальшивки.

Насколько это правдоподобно?

Некоторые социальные инженеры рассчитывают на то, что вы не станете вдумываться. Попробуйте оценить, насколько реалистична ситуация, – так вы можете избежать атаки. Например:

  • Если бы ваш друг действительно застрял в Китае, он бы вам скорее написал на почту, позвонил или написал SMS?
  • Насколько вероятно, что нигерийский принц оставил вам в наследство миллион долларов?
  • Стал бы банк по телефону узнавать данные вашего счета? Кстати, многие банки фиксируют все звонки клиентам и всю переписку с ними. Так что, если вы не уверены, – перепроверьте.

Не спешите

Будьте особенно осторожны, если вам внушают, что ситуация неотложная. Это стандартный способ злоумышленников помешать вам все обдумать. Если чувствуете, что на вас давят, – притормозите. Скажите, что вам нужно время, чтобы добыть информацию, вам нужно спросить своего начальника, у вас сейчас нет нужных данных, – что угодно, чтобы дать себе время на осмысление.

В большинстве случаев мошенник не станет рисковать, осознав, что эффект неожиданности пропал.

Защитите свои устройства

Важно защитить устройства, чтобы даже в случае успешной атаки социальный инженер не смог получить слишком много информации. Будь то смартфон, домашняя сеть или крупная корпоративная система, принцип действия одинаков.

  • Обновляйте защиту от вирусов и вредоносного ПО. Это поможет предотвратить установку вредоносных программ по ссылкам в фишинговых письмах. Антивирусное ПО, например Kaspersky Anti-Virus, защитит ваши сети и данные.
  • Регулярно обновляйте ПО и прошивки, обращая особое внимание на исправления безопасности.
  • Не запускайте смартфон с root-правами, а сеть или компьютер – в режиме администратора. Даже если социальный инженер получит пароль к вашей учетной записи пользователя, он не сможет изменить конфигурацию системы или что-либо на нее установить.
  • Не используйте один и тот же пароль для разных учетных записей. Вы ведь не хотите, чтобы злоумышленник, завладев одним паролем, смог войти во все ваши учетные записи.
  • Для самых важных учетных записей используйте двухфакторную аутентификацию, чтобы их нельзя было взломать с помощью одного лишь пароля. Можно использовать распознавание голоса, дополнительное устройство безопасности, отпечаток пальца или SMS-подтверждение.
  • Если вы только что сообщили пароль от своей учетной записи и подозреваете, что вас «провели», немедленно смените пароль.
  • Будьте в курсе новых угроз кибербезопасности– регулярно читайте публикации нашего Центра ресурсов, чтобы узнавать о новых методах атаки по мере их появления. Так у вас меньше шансов стать их жертвой.

Подумайте о своем цифровом следе

Задумайтесь о вашем присутствии в Сети. Публикуя много личной информации в интернете (например, в социальных сетях), вы помогаете злоумышленникам. Например, в качестве проверочного слова многие сервисы предлагают использовать кличку вашего первого питомца. Делились ли вы этими сведениями в Facebook? Если да, то вы подвергаетесь риску! Кроме того, некоторые социальные инженеры входят в доверие, упоминая недавние события, которыми человек поделился в социальных сетях.

Советуем сдержаннее рассказывать о себе и сделать ваши публикации доступными только для друзей. Не нужно паранойи, просто будьте аккуратны.

Задумайтесь, какими еще аспектами своей жизни вы делитесь онлайн. Если, например, вы разместили в Сети свое резюме, стоит удалить оттуда свой адрес, номер телефона, дату рождения – любую полезную информацию, которой может воспользоваться преступник. Некоторые социальные инженеры очень тщательно готовятся к атаке, собирая все возможные данные о жертве, чтобы поймать ее на крючок. Не давайте им такой возможности.

Атаки с использованием социальной инженерии крайне опасны, поскольку происходят в совершенно обыденных ситуациях. Однако, полностью понимая их механизм и принимая элементарные меры предосторожности, вы гораздо меньше рискуете стать их жертвой.

Ссылки по теме

Социальная инженерия – определение

Как вредоносное ПО проникает на компьютеры и в информационные системы

Мошенничество с техподдержкой

Социальная инженерия (Social engineering)

Социальная инженерия (social engineering, социнжиниринг) — это метод манипулирования мыслями и поступками людей. Он базируется на психологических особенностях личности и закономерностях человеческого мышления.

Иногда можно встретить трактовку социальной инженерии как метода несанкционированного получения доступа к секретным данным, что не вполне соответствует действительности: ряд техник психологического воздействия может применяться законно. Впрочем, в наши дни получение закрытой информации, имеющей ценность, все же является одной из основных сфер применения социнжиниринга.

В социальной инженерии есть несколько техник, используемых для достижения поставленных задач. Все они основаны на ошибках, допускаемых человеком в поведении. Например, фишинг применяется для сбора логинов и паролей пользователей путем рассылки писем и сообщений, побуждающих жертву сообщить интересующую злоумышленника информацию. Претекстинг состоит в выдаче себя за другого человека для получения желаемых данных. Такая атака выполняется по телефону или почте. К ней предварительно готовятся, чтобы вызвать доверие пользователя.

Получить информацию о человеке можно через источники с открытым доступом, в основном — из социальных сетей. Одной из техник социальной инженерии является «плечевой серфинг», который применяется в транспорте, в кафе и других общественных местах, позволяющих через плечо жертвы наблюдать за компьютерными устройствами и телефонами. Бывают ситуации, в которых пользователь сам предлагает мошеннику необходимую информацию, будучи уверенным в порядочности человека. В таком случае говорят об обратной социальной инженерии.

Классификация угроз социальной инженерии (social engineering)

Все угрозы, направленные на пользователя посредством социальной инженерии, можно разделить на несколько групп.

  • Угрозы, исходящие от использования телефона. Телефон является самым популярным средством общения, поэтому служит отличным инструментом для воздействия на человека. По телефону легко выдать себя за другого, поэтому, применяя актерское мастерство, злоумышленник легко убеждает жертву перевести определенную сумму на банковский счет или сообщить личные данные. Распространены способы выуживания денег посредством сообщений («смишинг») и телефонных звонков о выигрышах в конкурсах или лотереях, просьб о перечислении денег на неотложные нужды. Для безопасности рекомендуется скептически относиться к SMS-сообщениям сомнительного характера, игнорировать приходящие в них ссылки. Необходимо проверять личность абонента, использовать услугу определения номера.
  • Угрозы, исходящие от электронных писем (фишинг). По электронной почте могут приходить письма, содержащие ложную информацию от имени банков и других учреждений, вынуждающую переходить по ссылке и вводить свои личные данные. По почте, как и на телефон, могут приходить ложные просьбы о помощи близким людям, сообщения о подарках, выигрышах и прочих бесплатных бонусах, для получения которых необходимо перевести деньги. Обезопасить себя от злоумышленников можно игнорированием писем от неизвестных адресатов.
  • Угрозы при использовании службы мгновенного обмена сообщениями. Пользователи быстро оценили удобство мессенджеров. Доступность и быстрота такого способа общения делают его открытым для всевозможных атак. Для безопасности стоит игнорировать сообщения от неизвестных пользователей, не сообщать им личную информацию, не переходить по присланным ссылкам.

Объект воздействия

Социальная инженерия направлена не на компьютерную технику, а на ее пользователя. Интерес представляют все платежеспособные лица, а также пользователи, обладающие ценной информацией, сотрудники предприятий и государственных учреждений.

Метод применяется с целью выполнения финансовых операций, взлома, кражи сведений (например, клиентских баз, персональных данных) и другого несанкционированного доступа к информации. Социальная инженерия помогает конкурентам осуществлять разведку, выявлять слабые стороны организации, переманивать сотрудников.

Источник угрозы

Злоумышленники используют социальную инженерию для получения материальной выгоды или для добычи данных для перепродажи. Социальная инженерия может использоваться в качестве одного из инструментов сложных целевых кибератак.

Источником угрозы могут быть электронные письма, текстовые сообщения в любых мессенджерах, SMS-сообщения и телефонные звонки. Мошенники могут выдавать себя за сотрудников банков и других финансовых организаций, государственных служащих, сотрудников силовых ведомств, интернет-провайдеров, представителей почтовых сервисов и крупных веб-ресурсов и т.п.

Анализ риска 

Для защиты компании от мошенничества необходимо обучать персонал распознавать социальную инженерию и правильно на нее реагировать, запретить сотрудникам обмениваться паролями или иметь один общий, обеспечить защиту клиентских баз и другой конфиденциальной информации, применять особую процедуру подтверждения для лиц, запрашивающих доступ к каким-либо данным.

В браузерах появилась опция «антифишинг», предупреждающая посетителей сайта о ненадежности или опасности ресурса. Защититься от угроз, присылаемых в электронных письмах, помогут спам-фильтры. Существует услуга мониторинга, востребованная компаниями, которые наиболее часто подвергаются атакам злоумышленников. Снизят риски и более сложные методы авторизации.

 

как снизить риск угрозы проникновения

    • Социальные инженеры пользуются тем, что психологические манипуляции не требуют больших затрат и специфических знаний (кроме нескольких психологических приемов), их можно применять в течение длительного времени, а еще их сложно обнаружить. Люди, которые владеют ценной информацией или имеют к ней доступ, сравнимы с доступным плодом: они на виду и до них очень легко дотянуться.

Этим активно пользуются мошенники: согласно отчету Verizon, в 2018 году в 17 % случаев утечка данных произошла именно в результате применения методов социальной инженерии. А Джон Макафи (создатель антивируса McAfee) утверждает, что три четверти инструментов среднего хакера – это методы социальной инженерии и у особо успешных хакеров их доля достигает 90 %.

Инструменты социальной инженерии[Инструменты]

В арсенале социального инженера много приемов, и очень редко он использует их по одиночке. Скорее, он будет умело их сочетать в зависимости от ситуации, чтобы достичь максимального эффекта.

Фишинг (fishing) – техника получения логина и пароля для авторизации в компьютерной системе. С этим видом атаки, вероятно, сталкивался каждый интернет-пользователь. Выглядит это так: вы получаете письмо с просьбой перейти по ссылке или нажать на кнопку. А чтобы вы сделали это наверняка, письмо выглядит как важное сообщение от авторитетного сервиса: платежной системы, банка или любого другого, которому вы доверяете и активно пользуетесь.

Достаточно нажать на ссылку или кнопку, авторизоваться на поддельной странице, и ваши логин с паролем окажутся у мошенников. Самые крупные взломы персональных данных за последнее десятилетие всегда начинались с массовой фишинговой рассылки.

Претекстинг (pretexting) – техника атак, где злоумышленник представляется другим человеком и под его видом получает нужные данные. Простейший пример: коллега внезапно звонит с просьбой сообщить информацию, которую знаете только вы. Обычно звонок делают из шумного помещения, как вариант, ночью, когда жертве трудно определить подлинность голоса. Для этого вида атак важно иметь заготовленный сценарий разговора (обман подразумевает голосовое общение), знать несколько фактов о жертве и действовать максимально быстро, не оставляя времени на размышления.

Поиск информации в открытых источниках – сбор данных в социальных сетях. Там можно узнать Ф. И. О. человека и его родных, телефонные номера, клички питомцев, местонахождение и запланированные поездки.

Плечевой серфинг (shoulder surfing) – техника, при которой нужную информацию подсматривают из-за плеча. Проще всего это сделать в местах большого скопления людей: в кафе, общественном транспорте, в зале ожидания аэропорта или вокзала.

Социальная инженерия наоборот (reverse engineering) – жертва сама делится конфиденциальной информацией с мошенником. Тому достаточно представиться сотрудником техподдержки банка, сотового оператора или любой другой организации, в которой человек оставил персональные данные. Внутри компании работает другая схема: злоумышленник предлагает услугу, от которой жертва не может или не хочет отказаться, передавая ему свои данные для авторизации или другую ценную информацию. Троянский конь (или «дорожное яблоко») – использование физических носителей информации, которые подбрасывают потенциальной жертве (ею может стать любой человек). Флешка или диск «случайно» появляются там, где их легко найти, а чтобы повысить их шансы быть найденными, мошенники наносят на них логотип компании или делают интригующую надпись. Жертве очень хочется узнать, что же находится на носителе, она вставляет его в компьютер и… дальше можно не объяснять, что происходит.

Что будет делать среднестатистический мошенник, чтобы получить информацию о компании с помощью социальной инженерии? Он точно изучит активность ее сотрудников в социальных сетях, просмотрит общедоступные видеоролики и текстовые упоминания об организации. Вероятно, обратится к фишингу, а если позволят обстоятельства, просто подсмотрит данные для авторизации. Люди до сих пор записывают пароли на стикерах и приклеивают их монитор, пользуются корпоративными сервисами в открытых Wi-Fi-сетях. Заметьте, чтобы получить информацию этими способами, мошеннику даже не придется применять сложные психологические приемы или втираться в доверие к потенциальной жертве!

Фазы социальной инженерии

В любом художественном фильме о мошенниках можно увидеть, как работает социальная инженерия на практике: «Поймай меня, если сможешь», «Лучшее предложение», «Афера Томаса Крауна», «Взлом» или «Один дома». Везде прослеживается сценарий, по которому развиваются события.

Социальные инженеры, как и любые хакеры, скрывают свое истинное лицо

Типичная схема действий

Представьте себя в роли социального инженера, которому нужно получить ценную информацию. Тогда дорожная карта будет выглядеть следующим образом:

      1. Сбор информации. Начальные сведения помогут ближе изучить цель и понять, с чем вы имеете дело. Подойдут активные и пассивные методы по методологии OSINT (Open source intelligence) – разведки на основе открытых источников. К открытым источникам относятся СМИ, публикации в интернете, общедоступные данные аэросъемок и радиомониторинга, публичные отчеты государственных и коммерческих организаций, профессиональные отчеты, конференции, доклады
      2. Выбор жертвы – человека, слабости которого будут вам полезны. Лучшими претендентами на эту роль станут те, кого легко обмануть, ввести в заблуждение, люди с чувством обиды или выраженной эмпатией
      3. Подготовка технического решения для фишинга. Самая трудоемкая и затратная часть в социальной инженерии, которая включает регистрацию домена, хостинга, их настройку и обкатку
      4. Контакт. Войти в круг доверия жертвы

На финальном этапе вы используете полученную информацию для достижения заветной цели: например, узнать пароль к системе или схему расположения камер видеонаблюдения. В отличие от других мошенников вам, вероятно, не придется заметать следы. Даже если жертва осознает собственный промах, она вряд ли поделится этой информацией с руководством, ведь признаваться в собственной глупости – занятие не самое приятное.

Социальная инженерия и тестирование на проникновение[Тестирование на проникновение]

Разоблачить киберпреступников еще до того, как они нанесут удар по информационной безопасности, помогает тест на проникновение (penetration testing, pentest или пентест). Это спланированная целенаправленная атака, которая позволяет проверить, насколько поведение сотрудников делает компанию уязвимой. Пентесты проводят как в классической IT-среде, так и в других критически важных отраслях: энергетической, транспортной, ресурсодобывающей. Результаты тестирования покажут, соблюдают сотрудники компании принципы информационной безопасности или нет и насколько эффективны меры по повышению их осведомленности в этом вопросе.

Тестирование на проникновение – этичный вид хакинга, когда социальные инженеры в «белых шляпах» (White Hat) действуют с пользой для компании: находят уязвимости, вызванные человеческим фактором. Рейчел Тобак (@RachelTobac), известный «хакер в белой шляпе», упоминает рабочий прием из мира социальных инженеров: «занятые руки открывают двери». Это значит, что пока вы держите коробку с пончиками, кто-нибудь обязательно придержит дверь и позволит вам войти в нее, даже если у вас нет ключа доступа.

Вернемся к тестам на проникновение. В любой сфере они преследуют общие цели:

      • Узнать, какую информацию злоумышленники могут получить в результате атаки
      • Определить, насколько сотрудники компании поддаются психологическому манипулированию
      • Оценить эффективность действующих политик информационной безопасности
      • Разработать комплекс мероприятий для повышения осведомленности сотрудников

Любое тестирование на проникновение имитирует реальную атаку. Его задача – оценить реальный уровень информационной безопасности в компании и разработать план защиты от кибермошенников.

Пентест будет успешным, если проводить его не формально, а учитывать реальные мотивы и потребности потенциальных жертв. Самое простое, что можно сделать с человеком, – вызвать интерес сообщениями личного характера или возможностью быстро заработать, запугать (ему захочется скрыть некомпетентность или он чувствует угрозу быть ущемленным, наказанным), надавить на жалость.

Этапы теста на проникновение

Penetration testing состоит из следующих этапов:

      • Разработка плана испытаний
      • Выбор вектора атаки
      • Попытка проникновения
      • Подготовка отчета

Этот условный сценарий поможет понять, знают ли сотрудники о том, что могут стать доступной мишенью, объектом социальной инженерии. Пентест показывает, насколько они подкованы в этом вопросе, придерживаются ли принципов информационной безопасности и вообще эффективны ли эти принципы на практике. И еще одна важная задача – узнать, насколько далеко злоумышленники могут переместиться вглубь компании в физическом и в информационном плане.

Кибермошенники часто ищут жертвы в соцсетях

Пентест в социальной инженерии – что не надо делать

Тестирование на проникновение – это не повод поймать за руку доверчивого сотрудника, а возможность предотвратить потенциальные атаки и повысить осведомленность сотрудников о том, как поддерживать принципы информационной безопасности во благо компании. В идеале результатом пентеста станет разработка программы повышения осведомленности (Security Awareness Program), которая закроет проблемы в уязвимых местах.

Методы защиты от социальной инженерии[Методы защиты]

Защищаться от техник социальной инженерии сложно, так как жертвы часто не догадываются о том, что их обманули и использовали их слабости, чтобы заполучить конфиденциальную информацию. Решить проблему можно одним способом: повысить осознанность сотрудников. А для этого их придется обучить правилам работы с информацией и донести опасность ее раскрытия. Вот что для этого можно сделать.

Определить информацию, уязвимую к атаке

Сотрудники должны уметь классифицировать информацию по степени защищенности и понимать, раскрытие каких данных может причинить вред компании. Например, пользовательские учетные данные всегда принадлежат организации, их нельзя передавать третьим лицам или оставлять в открытом доступе. Значит, придется распрощаться со стикерами, где написаны логины/пароли, не авторизовываться на корпоративных ресурсах через открытые Wi-Fi-сети. Также помогает привычка блокировать ПК или ноутбук в свое отсутствие.

Повысить компетентность в вопросах информационной безопасности

Техники социальной инженерии постоянно совершенствуются, а кибермошенники находят новые способы сыграть на человеческих эмоциях. Потому сотрудникам компании необходимо знать, жертвами каких потенциальных атак они могут стать и как вести себя в подобных ситуациях. Например, куда следует написать/позвонить, если третьи лица запросили у них конфиденциальную информацию или данные для авторизации.

Ограничить права доступа к информационным системам

Доступ на копирование, скачивание, изменение информации должны иметь только те сотрудники, которым это необходимо для выполнения должностных обязанностей. В некоторых компаниях целесообразно запретить использование съемных носителей.

Подготовить инструкции по обмену информацией

В любом отделе и подразделении все – от рядового офисного сотрудника до руководителя – должны иметь четкие инструкции о том, в каких условиях они могут раскрыть важную для компании информацию. В инструкции можно указать, какие сведения можно передавать службам техподдержки, представителям контролирующих органов и т. п.

Обновить антивирусное ПО до актуальной версии

Это поможет сделать компьютеры сотрудников менее уязвимыми к массовым фишинговым атакам. Современное антивирусное ПО включает инструменты для защиты от шпионских и вредоносных программ, и предупреждает при переходе по подозрительным ссылкам. Впрочем, доступа к социальным сетям на рабочем месте лучше не давать – это первое, чем обязательно воспользуются социальные инженеры.

Социальная инженерия — что это и как применяется на практике

Социальная инженерия — это совокупность психологических и социологических приемов, методов и технологий, которые позволяют получить конфиденциальную информацию. Кибермошенников, которые используют эти приемы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека, который считается наименее устойчивым к внешнему воздействию. Почему так происходит?

Предпосылки для появления социальной инженерии

«Миром правят данные», «данные — новая нефть». Эти выражения отражают сегодняшнюю картину отношения к информации. У бизнеса — как в IT-сфере, так и любой другой — информация часто имеет очень высокую ценность и от нее зависит успешность компании, ее развитие, безопасность клиентов и репутация. Но в любой системе, которая связана с получением, хранением, обработкой данных, всегда участвует человек. И пока другие методы защиты справляются с сохранением конфиденциальных данных в тайне, человеческий фактор становится тем ключом, который открывает двери мошенникам.

В social engineering все строится вокруг слабостей человека. С одной стороны, это личностные качества: сопереживание, наивность, доверчивость, лояльность к чужим слабостям, страх. С другой — качества профессиональные: недостаток знаний, неумение применять их на практике, игнорирование инструкций и должностных обязанностей. Поэтому социальную инженерию часто называют «взломом» человека. На практике каждый взлом может иметь серьезные последствия, в первую очередь, для компании, в которой работает человек.

Ежегодный ущерб от киберпреступников, которые используют приемы социальной инженерии, оценивается в десятки миллиардов долларов США. Одним из самых первых громких дел с применением social engineering’а стало дело Кевина Митника. Его начинания продолжили другие: Братья Бадир, хакер по имени Архангел, Питер Фостер. Некоторые истории легли в основу сценариев для художественных фильмов — например, кинолента «Поймай меня, если сможешь» с Леонардо ди Каприо в главной роли основана на реальных фактах.

Основные приемы социальной инженерии

Фишинг

Это сбор пользовательских данных для авторизации (логинов и паролей) в различных онлайн-сервисах. Фишинг популярен, о нем многие знают, но, тем не менее, попадаются на его «удочку». Обычно он представляет собой массовые рассылки спама по электронной почте. Потенциальным жертвам приходят письма якобы от сервисов, которыми они пользуются: платежных систем, онлайн-магазинов и т. п. Эти письма — поддельные, их задача в том, чтобы заставить пользователя перейти по ссылке или кнопке, а затем оставить мошенникам авторизационные данные. Чтобы вызвать больше доверия, мошенники придумывают серьезные причины для перехода по ссылке: например, просят жертву обновить пароль или подтвердить какое-то действие в системе.

Претекстинг

Методика психологической манипуляции по заранее подготовленному сценарию. Сценарий реализуется во время голосового общения, в ходе которого жертва сообщает киберпреступнику нужную ему информацию или выполняет действие, которое приведет его к желанной цели. Часто социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или других служб, которым человек по умолчанию доверяет. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счета, реальную проблему, с которой она обращалась в эту службу ранее.

Плечевой серфинг

Проще говоря, это подглядывание из-за спины. Так легко получить пароли и логины для входа в местах общественного пользования: кафе и ресторанах, парках и залах ожидания в аэропорту или на вокзале.

Сбор данных из открытых источников

Это не только соцсети (хотя сегодня они особенно актуальны), но и информация в поисковых системах, блогах, на форумах, в профессиональных сообществах и сообществах по интересам, на сайтах с частными объявлениями, на офлайн-мероприятиях: конференциях, докладах, мастер-классах.

«Кви про кво»

Второе название — «услуга за услугу». Эта техника атаки предполагает общение по электронной почте или телефону. Мошенник представляется сотрудником, например, техподдержки, и предлагает жертве помочь ему устранить определенные неполадки в онлайн-системе или на рабочем месте. Жертва, выполняя его указания, лично передает ему средства доступа к важной информации.

Троянский конь/дорожное яблоко

Метод предполагает подбрасывание «приманки», которая с высокой вероятностью заинтересует потенциальную жертву. Такой приманкой обычно становится носитель информации — например, флеш-карта, CD-диск или карта памяти к телефону. Жертве станет любопытно, что находится на носителе, она вставит их в ноутбук или телефон, а мошенник с помощью специальной программы получит доступ к информации. Приманкой может быть и email-сообщение, которое сулит получение быстрой прибыли, выигрыша, наследства и других вещей, которые точно заинтересуют многих получателей письма и заставят выполнить содержащиеся в нем инструкции.

Обратная социальная инженерия

Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. В этой ситуации мошенники часто прибегают к диверсиям: подстраивают поломку компьютера, проблемы с авторизацией и делают так, чтобы сотрудник попросил их помочь с устранением проблемы.

Что такое социальная инженерия, уже понятно по перечисленным методам. Но это далеко не все, чем пользуются кибермошенники. В мире популярен мобильный банкинг, и социальные инженеры применяют свои знания, чтобы получить доступ к карточным счетам жертвы. Так выделилось отдельное направление, которое называют кардингом. За этим определением скрываются махинации с банковскими картами. Если раньше использовались физические способы получения информации (специальные устройства считывали пароли прямо на терминалах), то теперь это проще сделать с помощью методов социальной инженерии, психологическими приемами заставляя жертву раскрыть номер карты, срок ее действия, CVV-код и получить полный контроль над банковским счетом.

Мошенники активно пользуются социальными сетями, в которых пользователи делятся событиями из личной жизни и увлечениями. Чтобы получить доступ к аккаунту (любому, не только в соцсети), хакеры изучают страницу потенциальной жертвы: когда и где она родилась и живет, кто ее родители, ее хобби, какие мероприятия посещает, с кем дружит. Взломав профиль друга жертвы, легко будет установить с ней контакт и получить нужные сведения, прикрываясь благими намерениями.

Еще один инструмент социальных инженеров — СМС-рассылки. В них обычно сообщают о  выигранных автомобилях и крупных суммах, об угрозе немедленной блокировки банковской карты и попавших в беду родственниках. Человек, у которого таким способом вызвали интерес, сочувствие или страх, способен на многое, в том числе поделиться секретной информацией, не подозревая, что передает ее в руки мошенников.

Методы работы социальных инженеров

Опытный социальный инженер редко использует одну технику сбора данных. Обычно методы социальной инженерии — это комплекс инструментов, которые применяются в зависимости от обстоятельств. Он:

  • представляется сотрудником сервисных служб, проверяющим или руководителем;
  • подглядывает из-за плеча, чтобы узнать логин и пароль;
  • отправляет фишинговые электронные письма и сообщения в мессенджеры;
  • тайно записывает нажатия клавиш, пока жертва работает за компьютером;
  • записывает голосовые сообщения, похожие на сообщения роботов;
  • просит о помощи, где жертва раскроет важны данные.

Атака методами социальной инженерии

  • Сбор информации о потенциальном объекте.  Чтобы эффективно применить методы социальной инженерии, нужно знать, с чем и кем имеет дело кибермошенник. В компании преступника может заинтересовать количество сотрудников, графики их работы, перемещения, страхи, конфликты на рабочем месте и другое, что делает их уязвимыми.
  • Выбор жертвы и сбор данных о ней. Наибольший интерес представляют данные для авторизации, аккаунты в социальных сетях, сообщения на форумах, в чатах, сведения о перемещении, личный адрес, связи с другими людьми (родственниками, коллегами, друзьями), общедоступная информация из поисковых сервисов.
  • Информационная атака. Получение физического или онлайн-доступа к ценной информации, сбор базы логинов/паролей, документы или другая цель, которую преследует кибермошенник. Атака осуществляется после контакта мошенника с жертвой. Установить контакт можно разными способами: в реальном или телефонном разговоре, онлайн (отправив письмо на e-mail или написав в соцсети).
  • Использование полученных данных. Информацию, которая попала в руки киберпреступнику, можно использовать для доступа к банковскому счету, чтобы скомпрометировать компанию, попросить выкуп за возврат доступа или нераспространение украденного.

Что такое тест на проникновение

Когда упоминается социальная инженерия, определение ее предполагает, что по ту сторону от жертвы всегда стоит кибермошенник. Это не так. Сегодня инструменты социального инжиниринга используются для повышения информационной безопасности предприятия через тесты на проникновение.

Специалисты, которые занимаются тестированием на проникновение, точно также используют психологические и социологические приемы для получения ценной корпоративной информации. Но их цель — закрыть слабые места, выявить пробелы в знаниях сотрудников и повысить сознательность там, где речь идет о конфиденциальных данных и способах обращения с ними.

Как защитить компанию от социальной инженерии

Так как самым уязвимым элементов в системе безопасности остается человек, мероприятия по защите будут затрагивать именно его. Исключением будет установка последних обновлений для антивирусных приложений и надежного брандмауэра на рабочие машины сотрудников.

Инструкции по работе с информацией

Информация, с которой работает сотрудник, является собственностью компании. То же касается авторизационных данных в корпоративных системах. Некоторые компании уже перешли на регулярную смену прав доступа, но некоторые сотрудники продолжают оставлять логины и пароли на виду, не скрывая их от потенциальных мошенников или легко передаю их третьим лицам без должных оснований.

Инструкции по общению с клиентами/посетителями/техподдержкой

Не важно, кем является человек, который хочет прямо или косвенно получить от сотрудника ценные данные или доступ к ним. Главное, чтобы сотрудник имел четкие инструкции, какую информацию он вправе передавать и на каких основаниях. Третьи лица, которые не связаны с компанией, но интересуются процессами в ней, должны вызывать подозрение и ответную реакцию: о них следует доложить службе безопасности компании.

Повышение осведомленности

Регулярно появляются новые способы информационных атак, методы взлома, в том числе, социальной инженерии. Значит, компании необходимо регулярно обучать персонал принципам работы с корпоративными данными и напоминать об ответственности, которая на них возложена. Сотрудники обязаны знать, к каким последствиям может привести раскрытие конфиденциальных данных с помощью социальной инженерии. Помимо этого, руководству компании следует разработать регламенты и инструкции, касающиеся вопросов хранения, использования, распространения и передачи авторизационных и других данных третьим лицам.

актуальная угроза и меры защиты

Содержание:

Что такое «социальная инженерия»

Термин «социальная инженерия» обозначает способ получения злоумышленником нужной информации или управления действиями человека без использования технических средств. Суть социальной инженерии заключается в применении только психологических методов воздействия на людей, убеждения, внушения доверия и хитрости. В основе методов социальной инженерии всегда лежит манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией. Основная задача социального инженера — «подобрать ключ» к каждому конкретному человеку и сыграть на его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил необходимые злоумышленнику действия. В результате успешных атак с применением методов социальной инженерии жертва добровольно и зачастую без каких-либо подозрений предоставляет злоумышленнику важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или необходимые возможности для получения доступа к целевой системе в обход ограничений безопасности. Типичным примером атаки социального инженера является звонок или рассылка сообщений клиенту банка от лица сотрудника этого банка. Клиенту сообщают, что его карта заблокирована и под предлогом восстановления карты просят предоставить реквизиты и кодовое слово.

Жертвы и цели социальных инженеров

Жертвой атаки с использованием социальной инженерии может стать каждый человек. Универсального средства защиты от них не существует. Весь вопрос лишь в том, насколько изощренную и достоверную схему обмана сможет придумать социальный инженер, чтобы втереться в доверие и заставить свою жертву совершить требуемые и заранее спрогнозированные действия. Целями атак социальных инженеров становятся как простые пользователи, так и сотрудники различных компаний и банков. В первом случае основной мотив злоумышленника — корысть, во втором случае — получение доступа в корпоративную сеть с целью кражи данных, конкурентной разведки, нарушения работы информационных систем. Даже надежно защищенная при помощи новейших технических и аппаратных средств и изолированная от сети Интернет информационная система уязвима к атакам подобного рода просто потому, что с ней работают и ею управляют люди. Социальная инженерия, как правило, является одним из этапов спланированной компьютерной атаки. Злоумышленнику проще сначала «взломать» человека и получить доступ к системе или убедить жертву самостоятельно запустить на компьютере вредоносный файл, чем тратить время на поиск и эксплуатацию технических уязвимостей.

Техники социальной инженерии

Принцип атаки с использованием социальной инженерии основывается на вызове у жертвы чувства доверия. По своей природе большинство людей склонны доверять, когда к ним обращается дружелюбный и общительный человек с каким-либо вопросом или обоснованной на первый взгляд просьбой о помощи. Например, распространенным способом выманивания у сотрудника компании конфиденциальной информации по-прежнему остается телефонный звонок злоумышленника, представившегося коллегой или сотрудником техподдержки. Если социальный инженер провел предварительную работу, выяснил имя и фамилию своей жертвы, должность, рабочий телефон, придумал достоверную и убедительную историю, овладел профессиональным сленгом, то у пользователя не возникнет никаких сомнений, и он без малейшего подозрения сообщит мошеннику любую информацию, в том числе логин и пароль от своей учетной записи. Тот факт, что большинство людей оставляют огромное количество информации о себе в сети Интернет, играет на руку социальным инженерам. По «цифровым следам» своей жертвы, её страничкам в соцсетях злоумышленник может составить представление о характере, интересах, привычках человека и использовать эти данные в ходе атаки. Каналы связи для осуществления атак методом социальной инженерии могут быть любые: электронная почта, мессенджеры, телефонные звонки, СМС-сообщения. Существуют различные техники социальной инженерии:
  • Фишинг. Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля. Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.
  • Вишинг или «голосовой фишинг». Разновидность фишинга, когда для связи со своей жертвой злоумышленник использует телефонную связь.
  • Претекстинг. Техника социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию. Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве. Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки.
  • Обратная социальная инженерия. Техника, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов. Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку. Затем каким-либо образом сообщает пользователю о своей возможности решать подобные технические проблемы (размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка). После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей доступ к компьютеру пользователя.

Рекомендации

Основным способом защиты от атак с использованием техник социальной инженерии является повышение осведомленности пользователей. Только личная бдительность и критический подход позволит распознать угрозу социальной инженерии и признаки манипуляции Вашими действиями. Если речь идет о компании, то все сотрудники должны быть предупреждены об опасности раскрытия персональной информации и конфиденциальной информации компании, а также о способах предотвращения утечки данных. Лучше всего это реализовать с помощью разработки четких и ясных инструкций, в которых будет прописано, какую информацию можно предоставлять другим лицам (посетителям, коллегам, в службу технической поддержки). Существует несколько простых правил, которые следует неукоснительно соблюдать всем пользователям.
  1. Никому и никогда не сообщайте логины и пароли от своих учетных записей. Даже если Вас пытаются убедить, что от этого зависит выполнение срочной и важной задачи. Помните, что сотрудники банка не имеют права запрашивать у Вас номер банковской карты, CVV/CVC-код и иную информацию, позволяющую произвести списание денежных средств.
  2. Не скачивайте вложения и не переходите по подозрительным ссылкам в письмах, полученных даже от известных Вам лиц. Всегда проверяйте с помощью других доступных каналов связи (телефонного звонка, сообщения в мессенджере), что отправитель письма — именно тот, за кого себя выдает.
  3. Перед переходом по ссылке из письма или сообщения наведите на неё курсор мыши, чтобы увидеть реальный URL-адрес страницы.
  4. Блокируйте компьютер, когда уходите от своего рабочего места.
  5. Используйте надежные и уникальные пароли для различных сервисов. Используйте менеджеры паролей.
Помните, от атак социальных инженеров позволит защититься только личная бдительность и критический подход.

Электронный научный архив УрФУ: Конференции, семинары

Submit DateTitleAuthor(s)
6-Feb-2020Innovative Approaches in Computer Science within Higher Education : материалы II Международной научно-практической конференции. Екатеринбург, 25–26 ноября 2019 г.
18-Dec-2018Содержание. Безопасность информационного пространства — 2017
18-Dec-2018Атрибуция программного кода с использованием алгоритмов машинного обученияГаращенко, А. Е.
18-Dec-2018Алгоритм скрытия конфиденциальных ассоциативных правилГаращенко, В. В.
18-Dec-2018Методы социальной инженерии в обесепечении информационной безопасности в организацииМоторина, В. О.
18-Dec-2018Способ восстановления данных в файловой системе ext4 с использованием информации журнала изменений томаГибилинда, Р. В.
18-Dec-2018Проблемы и методы обеспечения информационной безопасности в сетях M2MКарамышев, А. С.
18-Dec-2018Биометрическая идентификация как обеспечение информационной безопасности пользователя на мобильных устройствахДанилина, Е. Ю.; Ситникова, А. А.; Полякова, Е. Н.
18-Dec-2018Исследование помехоустойчивости Rake-приемникаБабушкина, Д. В.
18-Dec-2018Электронное голосование: опыт зарубежных стран и РоссииМоторина, В. О.
18-Dec-2018Обзор методов аутентификации в REST WEB APIЛазуков, Д. А.
18-Dec-2018Цифровая обработка сигналов в системах расширенного спектра с применением вейвлет-анализаМордвинкова, А. И.
18-Dec-2018Модификация алгоритма Барабаши — Альберт при синтезе массивов данных, имитирующих взаимодействие в социальных сетяхСушков, П. В.
18-Dec-2018Статистические характеристики синтезируемых массивов биллинговой информацииСеменищев, И. А.
18-Dec-2018Использование возможностей ИСУБД «CronosPro» для организации информационно-аналитической обеспечения деятельности по защите ИСПДнРясов, Е. В.
18-Dec-2018Формальная математическая модель синтеза массива биллинговой информацииСинадский, А. Н.
18-Dec-2018Безопасность веб-сайтов: SQL-инъекцияИзотов, И. Н.
18-Dec-2018Интеллектуальный анализ данных. Алгоритм С4.5Подоплелова, Е. С.
18-Dec-2018Проблема современных методов социальной инженерииБойко, И. А.; Стойчин, К. Л.
18-Dec-2018Предоставление услуг в сфере информационной безопасности с помощью онлайн-сервисаЕрофеева, Е. Е.; Терентьева, Е. А.; Полякова, Е. Н.; Дик, Д. И.

5 лучших методов социальной инженерии и способы их предотвращения

Узнайте, почему машинное обучение имеет решающее значение для защиты от новых киберугроз и как машинное обучение используется для защиты сетей и приложений.

Социальная инженерия — это угроза кибербезопасности, которая использует самое слабое звено в нашей цепочке безопасности — наши человеческие ресурсы — для получения доступа к корпоративным сетям. Злоумышленники используют все более изощренные уловки и эмоциональные манипуляции, чтобы заставить сотрудников, даже старшего звена, передать конфиденциальную информацию.Узнайте об этапах атаки социальной инженерии, каковы основные угрозы социальной инженерии по данным InfoSec Institute и передовые методы защиты от них.

В этой статье вы узнаете о:

Что такое социальная инженерия? Этапы атаки

Социальная инженерия — это попытка злоумышленников обмануть или манипулировать людьми, чтобы они отказались от доступа, учетных данных, банковских реквизитов или другой конфиденциальной информации.

Социальная инженерия проходит в три этапа:

  1. Исследование — злоумышленник выполняет разведку цели для сбора такой информации, как организационная структура, роли, поведение и вещи, на которые могут реагировать отдельные лица.Злоумышленники могут собирать данные через веб-сайты компаний, профили в социальных сетях и даже при личных визитах.
  2. Планирование — используя собранную информацию, злоумышленник выбирает свой режим атаки и разрабатывает стратегию и конкретные сообщения, которые они будут использовать для использования слабых мест целевых лиц.
  3. Execution — злоумышленник обычно выполняет атаку, отправляя сообщения по электронной почте или другому онлайн-каналу. В некоторых формах социальной инженерии злоумышленники активно взаимодействуют со своими жертвами; в других случаях цепочка уничтожений автоматизирована и обычно активируется, когда пользователь щелкает ссылку для посещения вредоносного веб-сайта или выполнения вредоносного кода.

Топ-5 методов социальной инженерии

По данным InfoSec Institute, следующие пять методов относятся к числу наиболее часто используемых атак социальной инженерии.

1. Фишинг

При фишинг-атаке злоумышленник использует сообщение, отправленное по электронной почте, в социальных сетях, клиентах обмена мгновенными сообщениями или SMS, чтобы получить конфиденциальную информацию от жертвы или обманом заставить ее щелкнуть ссылку на вредоносный веб-сайт.

Фишинговые сообщения привлекают внимание жертвы и призывают к действию, возбуждая любопытство, прося о помощи или вызывая другие эмоциональные триггеры.Они часто используют логотипы, изображения или стили текста, чтобы подделать личность организации, создавая впечатление, что сообщение исходит от коллеги по работе, банка жертвы или другого официального канала. В большинстве фишинговых сообщений используется ощущение срочности, заставляющее жертву поверить в негативные последствия, если они не предоставят оперативную конфиденциальную информацию.

2. Поливное отверстие

Атака watering hole включает запуск или загрузку вредоносного кода с легитимного веб-сайта, который обычно посещают цели атаки.Например, злоумышленники могут взломать сайт новостей финансовой индустрии, зная, что люди, которые работают в сфере финансов и, таким образом, представляют собой привлекательную цель, могут посетить этот сайт. Скомпрометированный сайт обычно устанавливает троян-бэкдор, который позволяет злоумышленнику взломать и удаленно управлять устройством жертвы.

Атаки Wateringhole обычно выполняются опытными злоумышленниками, обнаружившими уязвимость нулевого дня. Они могут ждать несколько месяцев, прежде чем выполнять настоящую атаку, чтобы сохранить ценность обнаруженного эксплойта.В некоторых случаях атаки wateringhole запускаются непосредственно против уязвимого программного обеспечения, используемого целевой аудиторией, а не на веб-сайт, который они посещают.

3. Нападение китов

Whaling, также известный как целевой фишинг, представляет собой тип фишинг-атаки, нацеленной на конкретных лиц с привилегированным доступом к системам или доступом к очень ценной конфиденциальной информации. Например, китобойная атака может быть проведена против руководителей высшего звена, богатых людей или сетевых администраторов.

Китобойная атака более сложна, чем обычная фишинговая атака. Злоумышленники проводят тщательные исследования, чтобы составить сообщение, которое заставит определенные цели отреагировать и выполнить желаемое действие. Электронные письма китобойного промысла часто выдают себя за важные деловые электронные письма, отправленные коллегой, сотрудником или менеджером цели, требующие срочного вмешательства со стороны жертвы.

4. Предварительный текст

При атаке с предлогом атаки злоумышленники создают поддельную личность и используют ее, чтобы манипулировать своими жертвами, чтобы они предоставили конфиденциальную информацию.Например, злоумышленники могут выдать себя за внешнего поставщика ИТ-услуг и запросить данные учетной записи и пароли пользователя, чтобы помочь им в решении проблемы. Или они могут притвориться финансовым учреждением жертвы, попросив у них подтвердить номер банковского счета или учетные данные банковского веб-сайта.

5. Нападения с приманкой и «услуга за услугу»

При атаке с применением травли злоумышленники предоставляют то, что жертвы считают полезным. Это может быть предполагаемое обновление программного обеспечения, которое на самом деле представляет собой вредоносный файл, зараженный USB-токен с этикеткой, указывающей, что он содержит ценную информацию и другие методы.

Атака quid pro quo похожа на травлю, но вместо обещания чего-то, что принесет пользу жертве, злоумышленники обещают выполнить действие, которое принесет им пользу, но требует взамен действия от жертвы. Например, злоумышленник может вызвать случайные добавочные номера в компанию, притворившись, что перезванивает по запросу в службу технической поддержки. Когда они выявляют человека, у которого действительно есть проблема с поддержкой, они делают вид, что помогают ему, но инструктируют его выполнить действия, которые могут поставить под угрозу их машину.

Другие атаки социальной инженерии

Ниже приведены дополнительные варианты социальной инженерии, которые могут поставить под угрозу ваши системы и конфиденциальные данные:

  • Vishing — голосовой фишинг похож на фишинг, но осуществляется путем звонков жертвам по телефону.
  • Scareware — отображает на устройстве пользователя уведомления, заставляющие их думать, что они заражены вредоносным ПО и нуждаются в установке программного обеспечения (вредоносного ПО злоумышленника) для очистки своей системы.
  • Кража с переадресацией — отправляет курьера или доставщика в неправильное место и занимает их место, чтобы забрать чувствительную посылку.
  • Медовая ловушка — злоумышленник выдает себя за привлекательного человека и фальсифицирует отношения в сети, чтобы получить конфиденциальную информацию от своей жертвы.
  • Tailgating — злоумышленник входит в безопасное помещение, следуя за кем-то с авторизованным доступом, прося его «просто придержать дверь» для него, чтобы он также мог войти.

Профилактика социальной инженерии

Следующие меры могут помочь предотвратить и предотвратить атаки социальной инженерии на вашу организацию.

Обучение по вопросам безопасности
Обучение по вопросам безопасности должно быть постоянным мероприятием в любой компании. Сотрудники могут просто не осознавать опасности социальной инженерии, а если и осознают, то со временем могут забыть подробности. Осведомленность сотрудников о безопасности и постоянное обновление — это первая линия защиты от социальной инженерии.

Средства защиты от вирусов и конечных точек
Основная мера — установка антивируса и других средств защиты конечных точек на пользовательских устройствах. Современные инструменты защиты конечных точек могут идентифицировать и блокировать очевидные фишинговые сообщения или любое сообщение, которое ссылается на вредоносные веб-сайты или IP-адреса, перечисленные в базах данных анализа угроз. Они также могут перехватывать и блокировать вредоносные процессы, выполняемые на устройстве пользователя.

Тестирование на проникновение
Существует бесчисленное множество творческих способов преодоления защиты организации с помощью социальной инженерии.Используя этичного хакера для проведения тестирования на проникновение, вы позволяете человеку с хакерскими навыками выявлять и пытаться использовать слабые места в вашей организации. Когда тест на проникновение успешно скомпрометирует чувствительные системы, он может помочь вам обнаружить сотрудников или системы, на защите которых вам нужно сосредоточиться, или методы социальной инженерии, которым вы особенно подвержены.

SIEM и UEBA
Атаки социальной инженерии неизбежно произойдут, поэтому вы должны убедиться, что у вашей организации есть средства для быстрого сбора данных об инцидентах безопасности, определения того, что происходит, и уведомления сотрудников службы безопасности, чтобы они могли принять меры.

Например, Exabeam Security Management Platform — это система управления событиями безопасности и информацией нового поколения (SIEM), основанная на аналитике событий и поведения пользователей (UEBA). Exabeam собирает события безопасности и журналы по всей вашей организации и использует UEBA для определения нормального поведения и предупреждения вас при возникновении подозрительной активности. Будь то переход пользователя на необычный веб-сайт или вредоносный процесс, выполняемый на устройстве пользователя, UEBA может помочь вам идентифицировать атаки социальной инженерии по мере их возникновения и быстро реагировать с помощью автоматических сценариев реагирования на инциденты для предотвращения повреждений.

Хотите узнать больше об угрозах кибербезопасности?
Посмотрите эти статьи:

6 типов атак социальной инженерии

Атаки социальной инженерии составляют значительную часть всех кибератак, и исследования показывают, что количество таких атак растет. По данным KnowBe4, более 90% успешных взломов и утечек данных начинаются с распространенного типа атаки социальной инженерии, называемого фишингом .

Социальные инженеры умны и используют тактику манипуляций, чтобы обманом заставить своих жертв раскрыть личную или конфиденциальную информацию.Как только социальный инженер обманом заставил свою жертву предоставить эту информацию, они могут использовать ее для дальнейших атак.

Один из лучших способов обезопасить себя от атак социальной инженерии — это идентифицировать их . Давайте рассмотрим шесть распространенных типов атак социальной инженерии:

1. Фишинг

Фишинг — это метод социальной инженерии, при котором злоумышленник отправляет мошеннические электронные письма, утверждая, что они отправлены из авторитетного и надежного источника.Например, социальный инженер может отправить электронное письмо от менеджера по работе с клиентами в вашем банке. Они могут заявить, что у них есть важная информация о вашей учетной записи, но потребовать, чтобы вы сначала ответили своим полным именем, датой рождения, номером социального страхования и номером учетной записи, чтобы они могли подтвердить вашу личность. В конечном счете, человек, отправляющий электронное письмо, не является сотрудником банка; это человек пытается украсть личные данные.

Фишинг, как правило, охватывает широкую сеть и пытается охватить как можно больше людей.Однако существует несколько типов фишинга, направленных на конкретные цели.

  • Целевой фишинг — это тип целевого фишинга по электронной почте. В случае целевой фишинг-атаки социальный инженер проведет свое исследование и настроит свои сайты на конкретного пользователя. Просматривая общедоступные профили цели в социальных сетях и используя Google для поиска информации о ней, злоумышленник может создать убедительную целевую атаку. Представьте, что человек регулярно публикует в социальных сетях информацию о том, что он занимается в определенном спортзале.В этом случае злоумышленник может создать целевое фишинговое письмо, которое, по всей видимости, пришло из ее местного спортзала. Жертва с большей вероятностью станет жертвой мошенничества, так как она узнала предполагаемого отправителя в своем спортзале.

  • Whaling — еще одна целенаправленная фишинговая афера. Однако при китобойном промысле социальные инженеры не нацелены на обычного пользователя, а нацелены на более ценные цели, такие как генеральные директора и финансовые директора. Китобойный промысел получил свое название из-за того, что в компании нацелены на так называемую «большую рыбу».

2. Вишинг и улыбка

В то время как фишинг используется для описания мошенничества с использованием электронной почты, аналогичные методы манипуляции практикуются с использованием других методов связи, таких как телефонные звонки и текстовые сообщения.

Вишинг (сокращение от голосового фишинга) происходит, когда мошенник пытается обманом заставить жертву раскрыть конфиденциальную информацию или предоставить ей доступ к компьютеру жертвы по телефону. Одна из популярных схем вишинга заключается в том, что злоумышленник звонит жертвам и притворяется сотрудником IRS.Звонящий часто угрожает или пытается запугать жертву, чтобы сообщить ей личную информацию или компенсацию. Вишинговые мошенничества, подобные этому, часто нацелены на пожилых людей, но любой может попасться на него, если не будет должным образом обучен.

Smishing (сокращение от SMS-фишинга) похож на фишинг и вишинг по электронной почте и включает в себя те же методы, но осуществляется через SMS / текстовые сообщения.

Посмотрите несколько реальных примеров фишинговых атак, прочитав наш блог «Примеры атак социальной инженерии».

3. Предварительный текст

Pretexting — это метод социальной инженерии, при котором злоумышленник создает сценарий, в котором жертва чувствует себя вынужденной подчиниться под ложным предлогом. Как правило, злоумышленник выдает себя за кого-то, кто занимает влиятельное положение, чтобы убедить жертву выполнять их приказы.

Во время этого типа атаки социальной инженерии злоумышленник может выдать себя за полицейских, высшее руководство компании, аудиторов, следователей или любую другую личность, которая, по их мнению, поможет им получить искомую информацию.

4. Наживка

Наживка ставит перед жертвой что-то заманчивое или любопытное, чтобы заманить ее в ловушку социальной инженерии. Схема приманки может предлагать бесплатную загрузку музыки или подарочную карту в попытке обманом заставить пользователя предоставить учетные данные.

Социальный инженер может раздавать бесплатные USB-накопители пользователям на конференции. Пользователь может подумать, что он просто получает бесплатное запоминающее устройство, но злоумышленник мог загрузить на него вредоносное ПО для удаленного доступа, которое заражает компьютер при подключении к сети.

5. Поперечный отвод и копирование

Tailgating — это упрощенная атака социальной инженерии, используемая для получения физического доступа к несанкционированному месту. Отслеживание достигается путем тщательного следования за авторизованным пользователем в зоне, не будучи замеченным авторизованным пользователем. Злоумышленник может запереть другого человека, быстро воткнув ногу или другой предмет в дверь прямо перед тем, как дверь будет полностью закрыта и заперта.

Копирование исключительно похоже на хвостохранилище.Основное различие между ними состоит в том, что в сценарии совмещения авторизованный пользователь знает об этом и позволяет другому человеку «совмещать» свои учетные данные. Авторизованный пользователь может быть вынужден по доброте придерживать надежную дверь открытой для женщины, держащей что-то вроде тяжелых коробок, или для человека, который называет себя новым сотрудником, забывшим свой пропуск.

Посмотрите, как социальные инженеры обманули крупные компании, такие как Target, Twitter и другие, прочитав Пять самых известных атак социальной инженерии за последнее десятилетие .

6. Quid Pro Quo

Quid pro quo (латинское «что-то за что-то») — это разновидность тактики социальной инженерии, при которой злоумышленник пытается обменять услугу на информацию. Сценарий «услуга за услугу» может включать в себя злоумышленник, который звонит на основные линии компаний, притворяясь сотрудниками ИТ-отдела, и пытается связаться с кем-то, у кого возникла техническая проблема.

Как только злоумышленник найдет пользователя, которому требуется техническая помощь, он скажет что-то вроде: «Я могу исправить это для вас.Чтобы продолжить, мне просто понадобятся ваши учетные данные ». Это простой и незамысловатый способ получения учетных данных пользователя.

Киберугрозы, выходящие за рамки социальной инженерии

Хотя социальная инженерия, без сомнения, является одним из самых распространенных способов, с помощью которых злоумышленники обманывают сотрудников и менеджеров, заставляя их раскрывать личную информацию, это не единственный способ, которым киберпреступники эксплуатируют малые и крупные компании.

Узнайте, с какими угрозами сталкиваетесь вы и ваша команда, загрузив нашу электронную книгу 5-½ шагов по предотвращению киберугроз .

Что такое социальная инженерия? Примеры и советы по предотвращению

Социальная инженерия — это искусство манипулировать людьми, чтобы они отказывались от конфиденциальной информации. Типы информации, которую ищут эти преступники, могут быть разными, но когда жертвами становятся отдельные лица, преступники обычно пытаются обманом заставить вас сообщить им ваши пароли или банковскую информацию или получить доступ к вашему компьютеру для тайной установки вредоносного программного обеспечения, что даст им доступ к вашему пароли и банковскую информацию, а также предоставление им контроля над вашим компьютером.

Преступники используют тактику социальной инженерии, потому что обычно легче использовать вашу естественную склонность к доверию, чем находить способы взломать ваше программное обеспечение. Например, гораздо легче обмануть кого-то, чтобы он дал вам свой пароль, чем вам попытаться взломать его пароль (если только пароль не является действительно ненадежным).

Развивается фишинг. Из этого руководства вы узнаете 11 способов, которыми хакеры пытаются заполучить ваши данные и как защитить себя.

Безопасность — это знание, кому и чему доверять.Важно знать, когда и когда не нужно верить человеку на слово, и когда человек, с которым вы общаетесь, является тем, кем он себя называет. То же самое и в отношении онлайн-взаимодействия и использования веб-сайта: когда вы уверены, что веб-сайт, который вы используете, является законным или безопасным для предоставления вашей информации?

Спросите любого специалиста по безопасности, и он скажет вам, что самое слабое звено в цепочке безопасности — это человек, который принимает человека или сценарий за чистую монету. Неважно, сколько замков и засовов на ваших дверях и окнах, есть ли сторожевые собаки, системы сигнализации, прожекторы, заборы с колючей проволокой и вооруженные сотрудники службы безопасности; Если вы доверяете человеку у ворот, который говорит, что он разносчик пиццы, и впускаете его, предварительно не проверив, является ли он законным, вы полностью подвергаетесь риску, который он представляет.

Как выглядит атака социальной инженерии?

Электронное письмо от друга

Если преступнику удастся взломать или подобрать пароль электронной почты одного человека, он получит доступ к списку контактов этого человека, а поскольку большинство людей везде используют один пароль, они, вероятно, также имеют доступ к контактам этого человека в социальных сетях.

Как только преступник получает эту учетную запись электронной почты под своим контролем, он отправляет электронные письма всем контактам человека или оставляет сообщения на всех социальных страницах своего друга и, возможно, на страницах друзей этого человека.

Воспользовавшись вашим доверием и любопытством, эти сообщения будут:
  • Содержит ссылку , которую вам просто нужно проверить — и поскольку ссылка исходит от друга, и вам интересно, вы доверяете ссылке и щелкаете — и заразитесь вредоносным ПО, чтобы преступник мог захватить вашу машину и собирайте ваши контактные данные и обманывайте их так же, как вас обманули

  • Содержит загружаемые изображений, музыки, фильмов, документов и т. Д., в который встроено вредоносное ПО. Если вы загрузите — что вы, вероятно, сделаете, так как вы думаете, что это от вашего друга, — вы заразитесь. Теперь преступник имеет доступ к вашей машине, учетной записи электронной почты, учетным записям и контактам в социальных сетях, и атака распространяется на всех, кого вы знаете. И так далее.

Электронная почта из другого надежного источника

Фишинговые атаки — это разновидность стратегии социальной инженерии, которая имитирует надежный источник и придумывает, казалось бы, логический сценарий для передачи учетных данных для входа или других конфиденциальных личных данных.Согласно данным Webroot, финансовые учреждения представляют подавляющее большинство вымышленных компаний, и, согласно ежегодному отчету Verizon о расследовании утечек данных, атаки социальной инженерии, включая фишинг и предтексты (см. Ниже), являются причиной 93% успешных утечек данных.

Эти сообщения могут быть использованы под убедительной историей или предлогом:
  • Срочно прошу вашей помощи. Ваш друг застрял в стране X, был ограблен, избит и находится в больнице.Им нужно, чтобы вы отправили деньги, чтобы они могли вернуться домой, и они расскажут вам, как отправить деньги преступнику.

  • Использовать попытки фишинга с кажущимся законным фоном . Как правило, фишер отправляет электронное письмо, мгновенное сообщение, комментарий или текстовое сообщение, которое, как представляется, исходит от законной, популярной компании, банка, учебного заведения или учреждения.

  • Попросите вас сделать пожертвование их благотворительной организации по сбору средств или другому делу. Скорее всего, с инструкциями, как отправить деньги преступнику. Пользуясь добротой и щедростью, эти фишеры просят помощи или поддержки в случае катастрофы, политической кампании или благотворительности, которые на мгновение становятся главными.

  • Представьте проблему, требующую от вас «проверки» вашей информации, щелкнув отображаемую ссылку и предоставив информацию в их форме. Местоположение ссылки может выглядеть вполне законным со всеми правильными логотипами и содержанием (на самом деле, преступники могли скопировать точный формат и содержание законного сайта).Поскольку все выглядит законным, вы доверяете электронной почте и фальшивому сайту и предоставляете любую информацию, которую запрашивает мошенник. Эти типы фишинговых атак часто включают предупреждение о том, что произойдет, если вы не примете меры в ближайшее время, потому что преступники знают, что, если они смогут заставить вас действовать раньше, чем вы подумаете, у вас больше шансов попасться на их попытку фишинга.

  • Сообщите вам, что вы «победитель». Может быть, в электронном письме написано письмо от лотереи, от мертвого родственника, или от миллионного человека, перешедшего на их сайт, и т. Д.Чтобы дать вам свой «выигрыш», вы должны предоставить информацию о маршруте вашего банка, чтобы они знали, как отправить его вам, или указать ваш адрес и номер телефона, чтобы они могли отправить приз, и вас также могут попросить доказать, кто вы часто указываете свой номер социального страхования. Это «жадные фиши», когда, даже если повод для рассказа неубедителен, люди хотят того, что им предлагают, и попадают в ловушку, отдавая свою информацию, затем опустошая свой банковский счет и украшая личность.

  • Представьте себя начальником или коллегой. Он может запросить обновленную информацию о важном частном проекте, над которым в настоящее время работает ваша компания, информацию о платежах, относящуюся к кредитной карте компании, или какой-либо другой запрос, маскирующийся под повседневную работу.

Сценарии наживки

Эти схемы социальной инженерии знают, что если вы запутаете то, что хотят люди, многие люди клюнут на эту наживку. Эти схемы часто можно найти на одноранговых сайтах, предлагающих загрузку чего-то вроде нового популярного фильма или музыки.Но схемы также можно найти на сайтах социальных сетей, вредоносных веб-сайтах, которые вы найдете в результатах поиска, и так далее.

Или эта схема может показаться очень выгодной на тематических сайтах, аукционных сайтах и ​​т. Д. Чтобы развеять ваши подозрения, вы можете увидеть, что у продавца хороший рейтинг (все спланировано и создано заранее).

Люди, попавшие на приманку, могут быть заражены вредоносным программным обеспечением, которое может генерировать любое количество новых эксплойтов против них самих и их контактов, могут потерять свои деньги, не получив купленный предмет, и, если они были достаточно глупы, чтобы заплатить чеком, могут обнаруживают, что их банковский счет пуст.

Ответ на вопрос, который у вас никогда не было

Преступники могут притвориться, будто отвечают на ваш запрос о помощи от компании, а также предлагают дополнительную помощь. Они выбирают компании, которыми пользуются миллионы людей, например, софтверную компанию или банк. Если вы не пользуетесь продуктом или услугой, вы проигнорируете электронную почту, телефонный звонок или сообщение, но если вы все-таки воспользуетесь услугой, есть большая вероятность, что вы ответите, потому что вам, вероятно, нужна помощь в решении проблемы. .

Например, даже если вы знаете, что изначально не задавали вопрос, у вас, вероятно, проблема с операционной системой вашего компьютера, и вы пользуетесь этой возможностью, чтобы исправить ее.Бесплатно! В тот момент, когда вы отвечаете, вы купили историю мошенника, оказали ему доверие и открылись для эксплуатации.

Представитель, который на самом деле является преступником, должен будет «аутентифицировать вас», чтобы вы вошли в «его систему» ​​или вы вошли в свой компьютер и либо предоставили ему удаленный доступ к вашему компьютеру, чтобы они могли «исправить» это. для вас, или скажите вам команды, чтобы вы могли исправить это самостоятельно с их помощью — где некоторые из команд, которые они говорят вам ввести, откроют для преступника путь позже вернуться к вашему компьютеру.

Создание недоверия

Некоторая социальная инженерия — это создание недоверия или начало конфликтов; это часто делают люди, которых вы знаете и которые злятся на вас, но это также делают противные люди, просто пытающиеся сеять хаос, люди, которые хотят сначала вызвать у вас недоверие к другим, чтобы затем они могли вмешаться в качестве героя и завоевать ваше доверие, или вымогателей, которые хотят манипулировать информацией, а затем угрожают вам раскрытием.

Эта форма социальной инженерии часто начинается с получения доступа к учетной записи электронной почты или другой учетной записи связи в клиенте обмена мгновенными сообщениями, социальной сети, чате, форуме и т. Д.Они достигают этого либо путем взлома, либо с помощью социальной инженерии, либо просто угадывая действительно слабые пароли.

  • Затем злоумышленник может изменить конфиденциальные или личные сообщения (включая изображения и аудио), используя базовые методы редактирования, и перенаправить их другим людям, чтобы создать драму, недоверие, смущение и т. Д. Они могут создать впечатление, что оно было отправлено случайно, или появиться как будто они дают вам знать, что «на самом деле» происходит.

  • В качестве альтернативы они могут использовать измененный материал для вымогательства денег либо у взломанного человека, либо у предполагаемого получателя.

Существуют буквально тысячи вариантов атак социальной инженерии. Единственное ограничение на количество способов социальной инженерии пользователей с помощью такого рода эксплойтов — это воображение преступника. И вы можете столкнуться с несколькими формами эксплойтов за одну атаку. Тогда преступник, скорее всего, продаст вашу информацию другим, чтобы они тоже могли использовать свои подвиги против вас, ваших друзей, друзей ваших друзей и т. Д., Поскольку преступники используют неуместное доверие людей.

Не становись жертвой

Несмотря на то, что фишинговые атаки являются необузданными, недолговечными и требуют всего нескольких пользователей, чтобы проглотить приманку для успешной кампании, существуют способы защитить себя. Большинство из них не требует гораздо большего, чем просто обращать внимание на детали перед вами. Помните следующее, чтобы не стать жертвой фишинга.

Полезные советы:

  • Притормозить. Спамеры хотят, чтобы вы сначала действовали, а потом думали.Если сообщение передает ощущение срочности или использует тактику продаж с высоким давлением, отнеситесь к этому скептически; никогда не позволяйте их срочности влиять на ваше внимательное рассмотрение.

  • Изучите факты . С подозрением относитесь к нежелательным сообщениям. Если письмо выглядит так, как будто оно от компании, которой вы пользуетесь, проведите собственное исследование. Воспользуйтесь поисковой системой, чтобы перейти на сайт реальной компании, или телефонным справочником, чтобы найти их номер телефона.

  • Не позволяйте ссылке определять, где вы приземляетесь. Сохраняйте контроль, находя веб-сайт самостоятельно с помощью поисковой системы, чтобы быть уверенным, что вы попадете туда, куда собираетесь попасть. При наведении указателя мыши на ссылки в электронном письме внизу будет отображаться фактический URL-адрес, но хорошая подделка все равно может сбить вас с пути.

  • Взлом электронной почты очень распространен. Хакеры, спамеры и социальные инженеры, берущие контроль над учетными записями электронной почты людей (и другими коммуникационными учетными записями), стали безудержными. Получив контроль над учетной записью электронной почты, они пользуются доверием контактов человека.Даже если отправителем оказывается кто-то из ваших знакомых, если вы не ожидаете письма со ссылкой или прикрепленным файлом, проверьте его у друга перед тем, как открывать ссылки или скачивать.

  • Остерегайтесь любой загрузки. Если вы не знаете отправителя лично и не ожидаете от него файла, загрузка чего-либо будет ошибкой.

  • Зарубежные предложения — подделка. Если вы получаете электронное письмо от иностранной лотереи или розыгрыша, деньги от неизвестного родственника или просьбы о переводе средств из другой страны в обмен на долю денег, это гарантированно является мошенничеством.

Способы защитить себя:

  • Удалите все запросы финансовой информации или паролей. Если вас попросят ответить на сообщение с личной информацией, это мошенничество.

  • Отклонять запросы о помощи или предложения о помощи. Законные компании и организации не обращаются к вам за помощью. Если вы специально не обращались за помощью к отправителю, рассмотрите любое предложение «помочь» восстановить кредитный рейтинг, рефинансировать дом, ответить на свой вопрос и т. Д., обман. Аналогичным образом, если вы получили запрос о помощи от благотворительной организации или организации, с которой у вас нет отношений, удалите его. Чтобы жертвовать, ищите авторитетные благотворительные организации самостоятельно, чтобы не попасться на мошенников.

  • Установите высокий уровень спам-фильтров . В каждой почтовой программе есть спам-фильтры. Чтобы найти свою, просмотрите параметры настроек и установите для них высокий уровень — просто не забывайте периодически проверять папку со спамом, чтобы убедиться, что в нее случайно попала легальная электронная почта.Вы также можете найти пошаговое руководство по настройке спам-фильтров, выполнив поиск по названию вашего почтового провайдера и по фразе «спам-фильтры».

  • Защитите свои вычислительные устройства . Установите антивирусное программное обеспечение, брандмауэры, фильтры электронной почты и поддерживайте их в актуальном состоянии. Настройте свою операционную систему на автоматическое обновление, и если ваш смартфон не обновляется автоматически, обновляйте его вручную всякий раз, когда вы получите уведомление об этом. Используйте средство защиты от фишинга, предлагаемое вашим веб-браузером или третьим лицом, чтобы предупредить вас о рисках.

База данных угроз Webroot содержит более 600 миллионов доменов и 27 миллиардов URL-адресов, отнесенных к категориям для защиты пользователей от сетевых угроз. Аналитика угроз, поддерживающая все наши продукты, помогает вам безопасно использовать Интернет, а наши решения для обеспечения безопасности мобильных устройств предлагают безопасный просмотр веб-страниц для предотвращения успешных фишинговых атак.

5 атак социальной инженерии, которых следует остерегаться

Все мы знаем о типах злоумышленников, которые используют свои технические знания для проникновения в защищенные компьютерные системы и компрометации конфиденциальных данных.Эта порода злоумышленников постоянно попадает в новости, побуждая нас противостоять их эксплойтам, инвестируя в новые технологии, которые укрепят нашу сетевую защиту.

Однако есть другой тип злоумышленников, который использует другую тактику, чтобы обойти наши инструменты и решения. Их называют «социальными инженерами», потому что они используют одну слабость, которая есть в каждой организации: человеческую психологию. Используя телефонные звонки и другие средства массовой информации, эти злоумышленники обманом заставляют людей передать доступ к конфиденциальной информации организации.

Социальная инженерия — это термин, охватывающий широкий спектр злонамеренных действий. Для целей этой статьи давайте сосредоточимся на пяти наиболее распространенных типах атак, которые социальные инженеры используют для нацеливания на своих жертв. Это фишинг, предлог, травля, услуга за услугу и поиск информации.

1. Фишинг

Фишинг — это наиболее распространенный тип атак социальной инженерии, который происходит сегодня. Но что это такое? На высоком уровне большинство фишинговых атак преследуют три цели:

  • Получите личную информацию, такую ​​как имена, адреса и номера социального страхования.
  • Используйте сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещены фишинговые целевые страницы.
  • Добавьте угрозы, страх и чувство срочности в попытке заставить пользователя быстро отреагировать.

Нет двух одинаковых фишинговых писем. На самом деле существует как минимум шесть различных подкатегорий фишинговых атак. Кроме того, все мы знаем, что некоторые из них плохо обработаны, поскольку их сообщения страдают орфографическими и грамматическими ошибками.Тем не менее, эти электронные письма обычно имеют одну и ту же цель — использовать поддельные веб-сайты или формы для кражи учетных данных пользователя и других личных данных.

Недавняя фишинговая кампания использовала взломанную учетную запись электронной почты для рассылки писем с атаками. В этих сообщениях получателям предлагалось просмотреть предложенный документ, щелкнув встроенный URL-адрес. Этот вредоносный URL-адрес, снабженный защитой URL-адресов Symantec во время щелчка, перенаправлял получателей на взломанную учетную запись SharePoint, которая доставляла второй вредоносный URL-адрес, встроенный в документ OneNote.Этот URL-адрес, в свою очередь, перенаправлял пользователей на фишинговую страницу, имитирующую портал входа в Microsoft Office 365.

2. Предварительный текст

Pretexting — это еще одна форма социальной инженерии, при которой злоумышленники сосредотачиваются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что ему нужны определенные биты информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для кражи личных данных или проведения вторичных атак.

Более сложные атаки иногда пытаются обманом заставить своих целей сделать что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы уговорить команду физической безопасности целевой компании пропустить их в здание.

В то время как фишинговые атаки в основном используют страх и срочность в своих интересах, атаки с предлогом основываются на формировании у жертвы ложного чувства доверия. Для этого злоумышленник должен создать правдоподобную историю, не оставляющую места для сомнений со стороны его цели.

Претекстинг может принимать и принимает различные формы. Тем не менее, многие злоумышленники, использующие этот тип атак, решают маскироваться под персонал отдела кадров или сотрудников отдела финансового развития. Эти маскировки позволяют им нацеливаться на руководителей высшего звена, как обнаружила Verizon в своем отчете о расследовании утечек данных за 2019 год (DBIR).

3. Наживка

Наживка во многом схожа с фишинговыми атаками. Однако то, что отличает их от других типов социальной инженерии, — это обещание предмета или товара, которые злоумышленники используют для соблазнения жертв.Байтеры могут воспользоваться предложением бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные.

Атаки с наживкой также не ограничиваются онлайн-схемами. Злоумышленники также могут сосредоточиться на эксплуатации человеческого любопытства с помощью физических носителей.

Например, еще в июле 2018 года KrebsOnSecurity сообщил о кампании атаки, нацеленной на государственные и местные правительственные учреждения в США. Операция разослала конверты с китайскими почтовыми марками, в которых было запутанное письмо, а также компакт-диск (CD).Смысл в том, чтобы возбудить любопытство получателей, чтобы они загрузили компакт-диск и тем самым случайно заразили свои компьютеры вредоносным ПО.

4. Quid Pro Quo

Подобно травле, атаки типа «услуга за услугу» обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму товара.

Один из самых распространенных типов атак на условиях «услуга за услугу», который проявляется в последние годы, — это когда мошенники выдают себя за U.S. Администрация социального обеспечения (SSA). Эти поддельные сотрудники SSA связываются со случайными людьми, сообщают им, что на их стороне возникла проблема с компьютером, и просят этих лиц подтвердить свой номер социального страхования, и все это с целью совершения кражи личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты SSA, которые говорят, что могут помочь пользователям подавать заявки на новые карты социального обеспечения, но вместо этого просто крадут их личную информацию.

Однако важно отметить, что злоумышленники могут использовать предложения «услуга за услугу», которые гораздо менее изощренны, чем уловки на тему SSA.Как показали более ранние атаки, офисные работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада.

5. Задняя дверь

Наш последний тип атак с помощью социальной инженерии известен как «совмещение». В этих типах атак кто-то без надлежащей аутентификации следует за аутентифицированным сотрудником в ограниченную зону. Злоумышленник может выдать себя за водителя доставки и ждать снаружи здания, чтобы начать работу.Когда сотрудник получает одобрение службы безопасности и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.

Tailgating работает не во всех корпоративных средах, например в крупных компаниях, для входа в которые требуется использование карточки-ключа. Однако на предприятиях среднего размера злоумышленники могут завязать беседы с сотрудниками и использовать это знакомство, чтобы пройти мимо стойки регистрации.

Фактически, Колин Гринлесс, консультант по безопасности в Siemens Enterprise Communications, использовал эту тактику для получения доступа на несколько этажей и в комнату данных в финансовой компании, акции которой котируются на бирже FTSE.Он даже смог открыть магазин в конференц-зале на третьем этаже и проработать там несколько дней.

https://twitter.com/TripwireInc/status/12836829469185

Рекомендации по социальной инженерии

Злоумышленники, использующие методы социальной инженерии, используют человеческую психологию и любопытство, чтобы скомпрометировать информацию своих целей. Помня об этом человеко-ориентированном подходе, организации должны помочь своим сотрудникам противостоять этим типам атак.

Вот несколько советов, которые организации могут включить в свои учебные программы по вопросам безопасности, которые помогут пользователям избегать схем социальной инженерии:

  • Не открывайте электронные письма из ненадежных источников. Свяжитесь с другом или членом семьи лично или по телефону, если вы получили от них подозрительное сообщение электронной почты.
  • Не давайте предложений от посторонних во благо сомнения. Если они кажутся слишком хорошими, чтобы быть правдой, вероятно, так оно и есть.
  • Заблокируйте свой портативный компьютер , когда вы находитесь вне рабочего места.
  • Купить антивирусное ПО. Ни одно антивирусное решение не может защитить от всех угроз, которые могут поставить под угрозу информацию пользователей, но они могут помочь защитить от некоторых.
  • Ознакомьтесь с политикой конфиденциальности вашей компании , чтобы понять, при каких обстоятельствах вы можете или должны позволить постороннему войти в здание.

Что такое социальная инженерия? | Определение

Социальная инженерия Определение

Социальная инженерия — это метод манипуляции, который использует человеческий фактор для получения личной информации, доступа или ценностей.В случае киберпреступности эти мошеннические действия с «взломом человека», как правило, склоняют ничего не подозревающих пользователей к раскрытию данных, распространению вредоносных программ или предоставлению доступа к системам с ограниченным доступом. Атаки могут происходить в Интернете, при личном контакте и при других взаимодействиях.

Мошенничество, основанное на социальной инженерии, строится на том, как люди думают и действуют. Таким образом, атаки социальной инженерии особенно полезны для манипулирования поведением пользователя. Как только злоумышленник понимает, что мотивирует действия пользователя, он может эффективно обмануть пользователя и манипулировать им.

Кроме того, хакеры пытаются использовать незнание пользователя. Благодаря скорости развития технологий многие потребители и сотрудники не подозревают об определенных угрозах, например о косвенных загрузках. Пользователи также могут не осознавать всю ценность личных данных, таких как номер телефона. В результате многие пользователи не знают, как лучше всего защитить себя и свою информацию.

Как правило, злоумышленники с социальной инженерией преследуют одну из двух целей:

  1. Саботаж: нарушение или повреждение данных с целью причинения вреда или неудобств.
  2. Кража: Получение ценностей, таких как информация, доступ или деньги.

Это определение социальной инженерии можно расширить, если точно знать, как оно работает.

Как работает социальная инженерия?

Большинство атак социальной инженерии основаны на реальном общении между злоумышленниками и жертвами. Злоумышленник склонен побуждать пользователя к компрометации, а не использовать методы грубой силы для взлома ваших данных.

Цикл атаки дает этим преступникам надежный способ обмануть вас.Шаги для цикла атаки социальной инженерии обычно следующие:

  1. Подготовьте , собрав справочную информацию о вас или более крупной группе, частью которой вы являетесь.
  2. Проникнуть в , установив отношения или инициируя взаимодействие, начавшееся с установления доверия.
  3. Эксплуатировать жертву , как только будет установлено доверие и слабость для продвижения атаки.
  4. Отключите , как только пользователь выполнит желаемое действие.

Этот процесс может происходить в одном электронном письме или в течение нескольких месяцев в серии чатов в социальных сетях. Это может быть даже личное общение. Но в конечном итоге это завершается действием, которое вы предпринимаете, например, делитесь своей информацией или подвергаете себя воздействию вредоносного ПО.

Важно остерегаться социальной инженерии как средства запутывания. Многие сотрудники и потребители не понимают, что всего несколько фрагментов информации могут дать хакерам доступ к нескольким сетям и учетным записям.

Маскируясь под сотрудников службы поддержки ИТ за законных пользователей, они получают ваши личные данные, такие как имя, дату рождения или адрес. Оттуда можно легко сбросить пароли и получить практически неограниченный доступ. Они могут красть деньги, распространять вредоносные программы социальной инженерии и многое другое.

Особенности атак социальной инженерии

Атаки социальной инженерии основаны на использовании злоумышленником убеждения и уверенности. Когда вы столкнетесь с этой тактикой, вы с большей вероятностью предпримете действия, которые в противном случае не совершили бы.

Среди большинства атак вы обнаружите, что вас вводят в заблуждение следующим образом:

Повышенные эмоции : Эмоциональные манипуляции дают злоумышленникам преимущество при любом взаимодействии. Вы гораздо чаще совершаете иррациональные или рискованные действия, когда находитесь в усиленном эмоциональном состоянии. Следующие ниже эмоции используются в равной мере, чтобы убедить вас.

  • Страх
  • Волнение
  • Любопытство
  • Гнев
  • Вина
  • Печаль

Срочность: Срочные возможности или запросы — еще один надежный инструмент в арсенале злоумышленника.У вас может быть мотивация пойти на компромисс под видом серьезной проблемы, требующей немедленного внимания. Кроме того, вы можете получить приз или награду, которая может исчезнуть, если вы не будете действовать быстро. Любой подход отменяет вашу способность критического мышления.

Доверие: Правдоподобность бесценна и необходима для атаки социальной инженерии. Поскольку злоумышленник в конечном итоге лжет вам, здесь важную роль играет уверенность. Они провели достаточно исследований, чтобы составить повествование, в которое легко поверить и которое вряд ли вызовет подозрения.

Есть некоторые исключения из этих признаков. В некоторых случаях злоумышленники используют более упрощенные методы социальной инженерии для получения доступа к сети или компьютеру. Например, хакер может часто посещать общественный ресторанный дворик в большом офисном здании и заниматься серфингом по плечу пользователей, работающих на своих планшетах или ноутбуках. Это может привести к появлению большого количества паролей и имен пользователей без отправки электронного письма или написания строчки кода вируса.

Теперь, когда вы понимаете основную концепцию, вы, вероятно, задаетесь вопросом: «Что такое атака социальной инженерии и как ее обнаружить?»

Типы атак социальной инженерии

Практически каждый тип атак кибербезопасности содержит какую-либо социальную инженерию.Например, классическая электронная почта и вирусная афера имеют социальную окраску.

Социальная инженерия может воздействовать на вас в цифровом виде не только с настольных устройств, но и с помощью мобильных атак. Однако с такой же легкостью вы можете столкнуться с угрозой лично. Эти атаки могут накладываться друг на друга и накладываться друг на друга, создавая мошенничество.

Вот некоторые распространенные методы, используемые злоумышленниками с помощью социальной инженерии:

Фишинговые атаки

Фишинговые атаки злоумышленники притворяются доверенным лицом или учреждением, пытаясь убедить вас раскрыть личные данные и другие ценности.

Атаки с использованием фишинга могут быть нацелены одним из двух способов:

  1. Спам-фишинг, или массовый фишинг — это широко распространенная атака, нацеленная на многих пользователей. Эти атаки не являются персонализированными и пытаются поймать любого ничего не подозревающего человека.
  2. Spear phishing и, соответственно, whaling , используют персонализированную информацию для нацеливания на определенных пользователей. Нападения китобойного промысла нацелены на особо ценные цели, такие как знаменитости, высшее руководство и высокопоставленные правительственные чиновники.

Будь то прямое общение или через поддельную форму веб-сайта, все, чем вы делитесь, попадает прямо в карман мошенника. Вас даже могут обмануть, загрузив вредоносное ПО, содержащее следующий этап фишинг-атаки. Каждый из методов, используемых в фишинге, имеет уникальные способы доставки, включая, помимо прочего:

Голосовой фишинг (вишинг) телефонных звонков могут быть автоматизированными системами сообщений, записывающими все ваши входные данные. Иногда живой человек может поговорить с вами, чтобы повысить доверие и срочность.

SMS-фишинг (smishing) текстовых сообщений или сообщений мобильного приложения может включать в себя веб-ссылку или подсказку с помощью мошеннического адреса электронной почты или номера телефона.

Электронный фишинг — это наиболее традиционный способ фишинга, использующий электронное письмо с призывом ответить или принять дальнейшие меры другими способами. Можно использовать веб-ссылки, номера телефонов или вложения вредоносных программ.

Angler phishing происходит в социальных сетях, где злоумышленник имитирует службу поддержки клиентов надежной компании.Они перехватывают ваше общение с брендом, чтобы перехватить и перенаправить ваш разговор в личные сообщения, где затем продвигают атаку.

Фишинг поисковой системы пытается разместить ссылки на поддельные веб-сайты в верхней части результатов поиска. Это может быть платная реклама или использование законных методов оптимизации для манипулирования рейтингом в поисковой сети.

URL-фишинг ссылок соблазняют вас перейти на фишинговые веб-сайты. Эти ссылки обычно доставляются в электронных письмах, текстах, сообщениях в социальных сетях и онлайн-рекламе.Атаки скрывают ссылки в тексте или кнопках с гиперссылками, используя инструменты сокращения ссылок, или обманчиво написанные URL-адреса.

Фишинг во время сеанса отображается как прерывание обычного просмотра веб-страниц. Например, вы можете видеть всплывающие окна с фальшивым логином для страниц, которые вы сейчас посещаете.

Приманка к атаке

Приманка злоупотребляет вашим естественным любопытством, чтобы вынудить вас раскрыться перед атакующим. Как правило, возможность чего-то бесплатного или эксклюзивного — это манипуляции, используемые для вашей эксплуатации.Атака обычно связана с заражением вас вредоносным ПО.

Популярные методы травли включают:

  • USB-накопители, оставленные в общественных местах, например, в библиотеках и на парковках.
  • Вложения электронной почты, включая подробную информацию о бесплатном предложении или мошенническом бесплатном программном обеспечении.

Физические взломы

Физические взломы вовлекают злоумышленников, которые появляются лично, выдавая себя за кого-то законного, чтобы получить доступ к иным неавторизованным областям или информации.

Атаки такого рода наиболее распространены в корпоративных средах, таких как правительства, предприятия или другие организации. Злоумышленники могут выдать себя за представителя известного поставщика, которому доверяют. Некоторые злоумышленники могут быть даже недавно уволенными сотрудниками из-за мести своему бывшему работодателю.

Они скрывают свою личность, но достаточно правдоподобны, чтобы избежать вопросов. Это требует небольшого исследования со стороны злоумышленника и сопряжено с высоким риском. Итак, если кто-то пытается использовать этот метод, он обнаружил явный потенциал для очень ценной награды в случае успеха.

Pretexting Attacks

Pretexting использует обманчивую личность в качестве «предлога» для установления доверия, например, выдавая себя за продавца или сотрудника предприятия. Такой подход требует от злоумышленника более активного взаимодействия с вами. Эксплойт следует, как только они убедят вас, что они законны.

Атаки с перехватом доступа

Перекрытие , или совмещение, — это слежка за авторизованным сотрудником в зону с ограниченным доступом.Злоумышленники могут проявить любезность, чтобы заставить вас придержать за них дверь или убедить вас, что они также имеют право находиться в этом районе. Претекст также может сыграть свою роль.

Quid Pro Quo Attacks

Quid pro quo — это термин, примерно означающий «услугу за услугу», что в контексте фишинга означает обмен вашей личной информации на вознаграждение или другую компенсацию. Подарки или предложения принять участие в исследованиях могут подвергнуть вас атаке такого типа.

Эксплуатация заключается в том, чтобы вдохновить вас на что-то ценное, что требует небольших вложений с вашей стороны. Однако злоумышленник просто забирает ваши данные без какого-либо вознаграждения для вас.

Атаки с использованием спуфинга DNS и отравления кеша

Спуфинг DNS манипулирует вашим браузером и веб-серверами для перехода на вредоносные веб-сайты, когда вы вводите законный URL. После заражения этим эксплойтом перенаправление продолжится до тех пор, пока из задействованных систем не будут удалены неточные данные маршрутизации.

Атаки с отравлением кэша DNS специально заражают ваше устройство инструкциями маршрутизации для законного URL-адреса или нескольких URL-адресов для подключения к мошенническим веб-сайтам.

Scareware Attacks

Scareware — это разновидность вредоносного ПО, используемого для запугивания вас и побуждающих к действию. Это обманчивое вредоносное ПО использует тревожные предупреждения, в которых сообщается о поддельном заражении вредоносным ПО или утверждается, что одна из ваших учетных записей была взломана.

В результате scareware подталкивает вас покупать мошенническое программное обеспечение для обеспечения кибербезопасности или разглашать личные данные, такие как учетные данные вашей учетной записи.

Атаки Watering Hole

Атаки Watering Hole заражают популярные веб-страницы вредоносными программами, поражая одновременно множество пользователей. От злоумышленника требуется тщательное планирование, чтобы найти слабые места на определенных сайтах. Они ищут существующие уязвимости, которые не известны и не исправлены — такими уязвимостями считаются эксплойтов нулевого дня .

В других случаях они могут обнаружить, что сайт не обновил свою инфраструктуру для устранения известных проблем. Владельцы веб-сайтов могут отложить обновления программного обеспечения, чтобы версии программного обеспечения, которые, как им известно, оставались стабильными.Они перейдут на новый уровень, как только более новая версия зарекомендует себя в области стабильности системы. Хакеры злоупотребляют этим поведением для нацеливания на недавно исправленные уязвимости.

Необычные методы социальной инженерии

В некоторых случаях киберпреступники использовали сложные методы для завершения своих кибератак, в том числе:

  • Фишинг по факсу: Когда клиенты одного банка получили поддельное электронное письмо, которое якобы было отправлено банком — просить клиента подтвердить свои коды доступа — метод подтверждения не был через обычные маршруты электронной почты / Интернета.Вместо этого клиента попросили распечатать форму в электронном письме, затем заполнить свои данные и отправить форму по факсу на номер телефона киберпреступника.
  • Традиционное распространение вредоносного ПО по почте: В Японии киберпреступники использовали службу доставки на дом для распространения компакт-дисков, зараженных троянскими шпионскими программами. Диски доставлены клиентам японского банка. Адреса клиентов ранее были украдены из базы данных банка.

Примеры атак социальной инженерии

Атаки вредоносного ПО заслуживают особого внимания, поскольку они распространены и имеют длительные последствия.

Когда создатели вредоносных программ используют методы социальной инженерии, они могут соблазнить неосторожного пользователя запустить зараженный файл или открыть ссылку на зараженный веб-сайт. Многие почтовые черви и другие вредоносные программы используют эти методы. Без комплексного программного обеспечения безопасности для мобильных и настольных устройств вы, скорее всего, подвергнете себя заражению.

Атаки червя

Киберпреступник стремится привлечь внимание пользователя к ссылке или зараженному файлу, а затем заставить пользователя щелкнуть по ней.

Примеры атак этого типа включают:

  • Червь LoveLetter , который в 2000 году перегрузил почтовые серверы многих компаний. Жертвы получили электронное письмо, в котором им предлагалось открыть прикрепленное любовное письмо. Когда они открыли прикрепленный файл, червь скопировал себя на все контакты в адресной книге жертвы. Этот червь до сих пор считается одним из самых разрушительных с точки зрения нанесенного им финансового ущерба.
  • Электронный червь Mydoom , появившийся в Интернете в январе 2004 года, использовал тексты, имитирующие технические сообщения, отправляемые почтовым сервером.
  • Червь Swen выдавал себя за сообщение, отправленное от Microsoft. Он утверждал, что вложение представляет собой патч, который устраняет уязвимости Windows. Неудивительно, что многие люди серьезно отнеслись к этому заявлению и попытались установить фиктивное исправление безопасности, хотя на самом деле это был червь.

Каналы доставки ссылок на вредоносное ПО

Ссылки на зараженные сайты могут быть отправлены по электронной почте, ICQ и другим системам обмена мгновенными сообщениями — или даже через Интернет-чаты IRC.Мобильные вирусы часто доставляются с помощью SMS-сообщений.

Какой бы метод доставки ни использовался, сообщение обычно будет содержать привлекательные или интригующие слова, которые побуждают ничего не подозревающего пользователя щелкнуть ссылку. Этот метод проникновения в систему может позволить вредоносной программе обойти антивирусные фильтры почтового сервера.

Одноранговые (P2P) сетевые атаки

Сети P2P также используются для распространения вредоносных программ. Червь или троянский вирус появится в сети P2P, но будет назван так, чтобы привлечь внимание и побудить пользователей загрузить и запустить файл.Например:

  • AIM & AOL Password Hacker.exe
  • Microsoft CD Key Generator.exe
  • PornStar3D.exe
  • Play Station emulator crack.exe

Пристыдить зараженных пользователей, не сообщающих об атаке

В некоторых случаях , создатели и распространители вредоносных программ принимают меры, снижающие вероятность того, что жертвы сообщат о заражении:

Жертвы могут ответить на поддельное предложение бесплатной утилиты или руководства, обещающего незаконные выгоды, например:

  • Бесплатный доступ в Интернет или мобильную связь.
  • Возможность скачать генератор номеров кредитных карт.
  • Способ увеличения баланса онлайн-аккаунта жертвы.

В этих случаях, когда загрузка оказывается троянским вирусом, жертва старается избегать раскрытия своих собственных незаконных намерений. Следовательно, жертва, вероятно, не будет сообщать о заражении в правоохранительные органы.

В качестве примера этого метода троянский вирус однажды был отправлен на адреса электронной почты, которые были взяты с веб-сайта по найму.Люди, которые зарегистрировались на сайте, получали поддельные предложения о работе, но в предложениях содержался троянский вирус. Атака в основном была нацелена на корпоративные адреса электронной почты. Киберпреступники знали, что сотрудники, получившие троян, не захотят сообщать своим работодателям о том, что они были заражены, пока они ищут альтернативную работу.

Как обнаружить атаки социальной инженерии

Защита от социальной инженерии требует от вас практики самосознания. Всегда замедляйтесь и думайте, прежде чем что-либо делать или отвечать.

Злоумышленники ожидают, что вы примете меры, прежде чем рассматривать риски, а это значит, что вам следует сделать обратное. Чтобы помочь вам, вот несколько вопросов, которые стоит задать себе, если вы подозреваете нападение:

  • Мои эмоции усилились? Когда вы особенно любопытны, напуганы или взволнованы, вы с меньшей вероятностью оцените последствия своих действий. Фактически, вы, вероятно, не будете рассматривать правомерность представленной вам ситуации. Считайте это красным флажком, если ваше эмоциональное состояние повышено.
  • Это сообщение пришло от законного отправителя? При получении подозрительного сообщения внимательно проверяйте адреса электронной почты и профили в социальных сетях. Могут быть символы, имитирующие другие, например «[email protected]» вместо «[email protected]». Также распространены поддельные профили в социальных сетях, которые дублируют фотографию вашего друга и другие детали.
  • Мой друг действительно отправил мне это сообщение? Всегда полезно спросить отправителя, были ли они истинными отправителями рассматриваемого сообщения.Был ли это ваш коллега или другой человек в вашей жизни, спросите его лично или по телефону, если это возможно. Они могут быть взломаны и не знать, или кто-то может выдавать себя за их учетные записи.
  • На веб-сайте, на котором я просматриваюсь, есть странная информация? Неверные URL-адреса, низкое качество изображения, старые или неправильные логотипы компании, а также опечатки на веб-страницах — все это может указывать на наличие мошенничества на веб-сайте. Если вы зашли на поддельный веб-сайт, обязательно немедленно покиньте его.
  • Звучит слишком хорошо, чтобы быть правдой? В случае бесплатных раздач или других методов таргетинга предложения являются сильной мотивацией для продвижения атаки социальной инженерии.Вы должны подумать, почему кто-то предлагает вам что-то ценное за небольшую выгоду с их стороны. Всегда будьте осторожны, потому что даже базовые данные, такие как ваш адрес электронной почты, могут быть собраны и проданы сомнительным рекламодателям.
  • Вложения или ссылки подозрительны? Если ссылка или имя файла в сообщении выглядят нечетко или странно, проверьте подлинность всего сообщения. Кроме того, подумайте, было ли само сообщение отправлено в нечетном контексте, в нечетное время или вызывает какие-либо другие красные флажки.
  • Может ли этот человек подтвердить свою личность? Если вы не можете убедить этого человека подтвердить свою личность в организации, которую он утверждает, что является ее частью, не давайте ему доступ, о котором они просят.Это применимо как при личном общении, так и в Интернете, поскольку для физических нарушений необходимо не обращать внимания на личность злоумышленника.

Как предотвратить атаки социальной инженерии

Помимо обнаружения атаки, вы также можете позаботиться о своей конфиденциальности и безопасности. Знание того, как предотвратить атаки социальной инженерии, невероятно важно для всех пользователей мобильных устройств и компьютеров.

Вот несколько важных способов защиты от всех типов кибератак:

Привычки безопасного общения и управления учетными записями

Онлайн-общение — это то место, где вы особенно уязвимы.Социальные сети, электронная почта, текстовые сообщения — общие цели, но вы также захотите учитывать личное общение.

Никогда не переходите по ссылкам в электронных письмах или сообщениях . Вам нужно всегда вручную вводить URL-адрес в адресную строку, независимо от отправителя. Тем не менее, сделайте дополнительный шаг в поисках официальной версии рассматриваемого URL-адреса. Никогда не используйте какой-либо URL-адрес, который вы не подтвердили как официальный или законный.

Использовать многофакторную аутентификацию.Учетные записи Online намного безопаснее, если для их защиты используется не только пароль. Многофакторная аутентификация добавляет дополнительные уровни для проверки вашей личности при входе в учетную запись. Эти «факторы» могут включать биометрические данные, такие как отпечаток пальца или распознавание лица, или временные коды доступа, отправленные в текстовом сообщении.

Используйте надежные пароли (и менеджер паролей). Каждый из ваших паролей должен быть уникальным и сложным. Старайтесь использовать разные типы символов, включая прописные буквы, числа и символы.Кроме того, вы, вероятно, захотите по возможности использовать более длинные пароли. Чтобы помочь вам управлять всеми своими пользовательскими паролями, вы можете использовать диспетчер паролей для безопасного хранения и запоминания их.

Не сообщайте названия школ, домашних животных, место рождения или другие личные данные. Вы могли неосознанно раскрывать ответы на свои секретные вопросы или части своего пароля. Если вы зададите контрольные вопросы, которые будут запоминающимися, но неточными, то преступнику будет сложнее взломать ваш аккаунт.Если бы вашей первой машиной была «Тойота», то написание лжи, как «машина клоуна», могло бы полностью отпугнуть любых любопытных хакеров.

Будьте очень осторожны, завязывая дружеские отношения только через Интернет. Хотя Интернет может быть отличным способом связи с людьми во всем мире, это распространенный метод атак социальной инженерии. Следите за сообщениями и красными флажками, указывающими на манипуляции или явное злоупотребление доверием.

Привычки безопасного использования сети

Взломанные онлайн-сети могут быть еще одной уязвимой точкой, используемой для фоновых исследований.Чтобы ваши данные не использовались против вас, примите меры защиты для любой сети, к которой вы подключены.

Никогда не позволяйте посторонним подключаться к вашей основной сети Wi-Fi. Дома или на рабочем месте должен быть доступен гостевой доступ к Wi-Fi. Это позволяет вашему основному зашифрованному и защищенному паролем соединению оставаться безопасным и защищенным от перехвата. Если кто-то решит «подслушать» информацию, он не сможет получить доступ к действиям, которые вы и другие люди хотели бы сохранить в тайне.

Используйте VPN . В случае, если кто-то в вашей основной сети — проводной, беспроводной или даже сотовой — найдет способ перехватить трафик, виртуальная частная сеть (VPN) может не допустить его. VPN — это сервисы, которые предоставляют вам частный зашифрованный «туннель» для любого используемого вами интернет-соединения. Ваше соединение не только защищено от посторонних глаз, но и ваши данные анонимны, поэтому их нельзя отследить до вас с помощью файлов cookie или других средств.

Обеспечение безопасности всех подключенных к сети устройств и служб. Многие люди знают о методах интернет-безопасности для мобильных и традиционных компьютерных устройств. Однако не менее важна защита самой сети, а также всех ваших интеллектуальных устройств и облачных сервисов. Обязательно защитите устройства, на которые часто не обращают внимания, например, автомобильные информационно-развлекательные системы и домашние сетевые маршрутизаторы. Утечки данных на этих устройствах могут привести к персонализации для аферы социальной инженерии.

Привычки безопасного использования устройств

Сохранение самих устройств так же важно, как и все другие виды вашего цифрового поведения.Защитите свой мобильный телефон, планшет и другие компьютерные устройства с помощью следующих советов:

Используйте комплексное программное обеспечение для обеспечения безопасности в Интернете. В случае успеха социальной тактики заражение вредоносным ПО становится обычным явлением. Для борьбы с руткитами, троянами и другими ботами критически важно использовать высококачественное решение для обеспечения безопасности в Интернете, которое может как устранить заражение, так и помочь отследить их источник.

Никогда не оставляйте свои устройства незащищенными в общественных местах. Всегда блокируйте компьютер и мобильные устройства, особенно на работе.При использовании устройств в общественных местах, таких как аэропорты и кафе, всегда держите их при себе.

Обновляйте все свое программное обеспечение, как только оно станет доступным. Немедленные обновления содержат важные исправления безопасности для вашего программного обеспечения. Когда вы пропускаете или откладываете обновления своей операционной системы или приложений, вы оставляете известные дыры в безопасности открытыми для хакеров. Поскольку они знают, что это поведение многих пользователей компьютеров и мобильных устройств, вы становитесь главной целью атак вредоносного ПО, созданного с помощью социальной инженерии.

Проверьте наличие известных утечек данных в ваших учетных записях в Интернете. Сервисы, такие как Kaspersky Security Cloud, активно отслеживают новые и существующие утечки данных для ваших адресов электронной почты. Если ваши аккаунты попадают в состав скомпрометированных данных, вы получите уведомление с советами о том, как действовать.

Защита от социальной инженерии начинается с образования. Если все пользователи будут осведомлены об угрозах, наша безопасность как коллективного общества улучшится. Обязательно повышайте осведомленность об этих рисках, рассказывая о том, что вы узнали, своим коллегам, семье и друзьям.

Статьи по теме:

Что такое «социальная инженерия»? — ENISA

Определение

Под социальной инженерией понимаются все методы, направленные на то, чтобы убедить цель раскрыть определенную информацию или выполнить определенное действие по незаконным причинам.

Социальная инженерия в IT

Хотя такая форма обмана существовала всегда, она претерпела значительные изменения в связи с технологиями ИКТ. В этом новом контексте методы социальной инженерии в ИТ можно рассматривать с двух разных сторон:

  • либо с помощью психологических манипуляций, чтобы получить дополнительный доступ к ИТ-системе, в которой находится фактическая цель мошенника, e.грамм. выдача себя за важного клиента посредством телефонного звонка, чтобы заманить цель просмотреть вредоносный веб-сайт и заразить рабочую станцию ​​цели;
  • или использование ИТ-технологий в качестве поддержки методов психологического манипулирования для достижения цели за пределами ИТ-сферы, например получение банковских учетных данных с помощью фишинговой атаки с целью кражи денег цели.

Растущее использование ИТ-технологий, естественно, привело к увеличению использования таких методов, а также к их комбинации, до такой степени, что большинство кибератак в настоящее время включают в себя ту или иную форму социальной инженерии.

Методы социальной инженерии

В этой статье будут рассмотрены некоторые из наиболее распространенных техник: предлоговое использование, приманка, услуга за услугу и опровержение. Фишинговые атаки также основываются на социальной инженерии; эта тема была рассмотрена в предыдущей статье: Фишинг / целевой фишинг.

Предварительный текст

Этот прием — использование предлога — ложного оправдания определенного образа действий — с целью завоевать доверие и обмануть жертву.

  • Пример: злоумышленник утверждает, что работает в службу поддержки ИТ, и запрашивает пароль цели для обслуживания.

Должны существовать надлежащие процессы идентификации и аутентификации, политики и обучение, чтобы обойти такие атаки.

Наживка

Приманка включает в себя побуждение жертвы к выполнению определенной задачи путем предоставления легкого доступа к тому, что ей нужно.

  • Пример: USB-накопитель, зараженный кейлоггером и помеченный «Мои личные фото», оставлен на пороге жертвы.

Политики безопасности, такие как воздушный зазор и блокировка неавторизованного программного и аппаратного обеспечения, будут препятствовать большинству попыток, хотя сотрудникам также следует напоминать не доверять неизвестным источникам.

Плата за услугу

Quid Pro Quo, что на латыни означает «что-то за что-то», включает в себя запрос информации в обмен на вознаграждение.

  • Пример: злоумышленник запрашивает пароль жертвы, утверждающей, что она исследователь, проводящий эксперимент, в обмен на деньги.

Атаки Quid pro quo относительно легко обнаружить, учитывая асимметричную ценность информации по сравнению с компенсацией, которая противоположна для злоумышленника и жертвы.В этих случаях лучшей мерой противодействия остается целостность жертвы и ее способность идентифицировать, игнорировать и сообщать.

Выход

Отслеживание — это действие за авторизованным лицом в зону или систему с ограниченным доступом.

  • Пример: злоумышленник, одетый как сотрудник, несет большую коробку и убеждает жертву, которая является одновременно входящим уполномоченным сотрудником, открыть дверь дата-центра, используя RFID-пропуск жертвы.

Доступ к частям, закрытым для общего пользования, должен контролироваться политиками доступа и / или использованием технологий контроля доступа, чем более чувствительна зона, тем строже комбинация.Обязательства по ношению бейджа, наличия охраны и фактических дверей для защиты от захвата, таких как защитные ловушки с контролем доступа RFID, должно быть достаточным, чтобы отпугнуть большинство злоумышленников.

Рекомендации

Любая организация должна идентифицировать свои критические активы и внедрять соответствующие политики и протоколы безопасности. При необходимости их следует укреплять с помощью технологий.

Тем не менее, единственной наиболее эффективной мерой противодействия атакам социальной инженерии остается здравый смысл.В связи с этим ENISA рекомендует следующее:

  • частые информационные кампании: плакаты, презентации, электронные письма, информационные заметки;
  • Обучение и тренировка персонала
  • человек;
  • тестов на проникновение для определения уязвимости организации к атакам социальной инженерии, составления отчетов и действий в соответствии с их результатами.

Атаки социальной инженерии: общие методы и способы предотвращения атак

34 эксперта по информационной безопасности обсуждают, как предотвратить наиболее распространенные атаки социальной инженерии.

Атаки социальной инженерии не только становятся все более распространенными против предприятий и малых и средних предприятий, но и становятся все более изощренными. Поскольку хакеры разрабатывают все более изощренные методы обмана сотрудников и отдельных лиц для передачи ценных данных компании, предприятиям необходимо проявлять должную осмотрительность, чтобы оставаться на два шага впереди киберпреступников.

Атаки социальной инженерии обычно связаны с той или иной формой психологической манипуляции, заставляя ничего не подозревающих пользователей или сотрудников передавать конфиденциальные или конфиденциальные данные.Обычно социальная инженерия включает в себя электронную почту или другое общение, которое вызывает у жертвы срочность, страх или аналогичные эмоции, побуждая жертву незамедлительно раскрыть конфиденциальную информацию, щелкнуть вредоносную ссылку или открыть вредоносный файл. Поскольку социальная инженерия включает в себя человеческий фактор, предотвращение этих атак может быть сложной задачей для предприятий.

Мы хотели обучить компании, сотрудников и конечных пользователей тому, как лучше распознавать усилия социальной инженерии и предотвращать успешные атаки.Чтобы раскрыть некоторые из наиболее распространенных атак социальной инженерии, которые используются против современных предприятий, и получить советы о том, как их избежать, мы попросили группу экспертов по безопасности данных и руководителей бизнеса ответить на следующий вопрос:

«Каковы общие социальные инженерные атаки на компании, и как их предотвратить? »

Посмотрите, что наши эксперты сказали ниже:

Познакомьтесь с нашей группой экспертов по безопасности данных:


Стю Сьюверман и Кевин Митник

@StuAllard

Стю Сьюверман (произносится как «душевой») является основателем и Генеральный директор KnowBe4, LLC, на которой размещена самая популярная в мире интегрированная платформа обучения безопасности и имитации фишинга.Сьюверман, эксперт по безопасности данных с более чем 30-летним опытом работы в ИТ-индустрии, был соучредителем компании Sunbelt Software Inc. 500, компании, которая была приобретена в 2010 году и отмечена множеством наград. безопасности серьезно пренебрегали, Сьюверман решил помочь организациям справиться с проблемой киберпреступности с помощью тактики социальной инженерии с помощью нового учебного курса по безопасности в школах. KnowBe4 обслуживает более 1200 организаций в различных отраслях, в том числе в строго регулируемых областях, таких как здравоохранение, финансы, энергетика, правительство и страхование, и ежегодно демонстрирует взрывной рост в 300%.Сьюверман является автором четырех книг, последняя из которых — «Киберхейст: самая большая финансовая угроза для американского бизнеса».

@KevinMitnick

Кевин Митник, «самый известный хакер в мире», всемирно признанный эксперт по компьютерной безопасности с обширным опытом выявления уязвимостей сложных операционных систем и телекоммуникационных устройств. Он получил известность как высококвалифицированный хакер, проникший в некоторые из самых устойчивых компьютерных систем из когда-либо созданных.Сегодня Митник известен как консультант по информационной безопасности и основной докладчик и является автором четырех книг, в том числе бестселлера The New York Times «Призрак в проводах». Его последнее начинание — сотрудничество с KnowBe4, LLC в качестве директора по взлому.

Методы социальной инженерии

Как социальная инженерия выглядит в действии? Это может выглядеть как электронное письмо, созданное так, чтобы оно выглядело так, как будто оно было отправлено надежной организацией, например, вашей службой сообщений, Fed Ex или даже вашим банком.Но если вы откроете его и нажмете на это вложение, вы можете установить вредоносное ПО или программу-вымогатель. Или это может быть замаскировано, чтобы выглядеть так, будто оно исходит от кого-то внутри вашей организации (например, с необычным названием, например IT @ yourorganization — кем-то, кому вы доверяете). Но если вы ответите на это письмо со своим именем пользователя и паролем, ваш компьютер будет легко взломан. Правило: Подумайте, прежде чем щелкнуть .

Атаки социальной инженерии

Технический директор Symantec Security Response сказал, что злоумышленники обычно не пытаются использовать технические уязвимости в Windows.Вместо этого они преследуют вас. «Вам не нужно столько технических навыков, чтобы найти человека, который мог бы в момент слабости открыть вложение, содержащее вредоносный контент». Только около 3% вредоносных программ, с которыми они сталкиваются, пытаются использовать техническую уязвимость. Остальные 97% пытаются обмануть пользователя с помощью какой-то схемы социальной инженерии, поэтому, в конце концов, не имеет значения, является ли ваша рабочая станция ПК или Mac.

Фишинг

Чаще всего атаки социальной инженерии исходят от фишинга или целевого фишинга и могут варьироваться в зависимости от текущих событий, стихийных бедствий или налогового сезона.Поскольку около 91% утечек данных происходит из-за фишинга, это стало одной из наиболее часто используемых форм социальной инженерии.

Вот некоторые из худших:

A. Судебное извещение о появлении — Мошенники рассылают фишинговые электронные письма, утверждая, что они исходят от реальной юридической фирмы под названием «Baker & McKenzie», в которой говорится, что вы должны явиться в суд и должны щелкнуть ссылка для просмотра копии судебного извещения. Если вы перейдете по ссылке, вы загрузите и установите вредоносное ПО.

Б.Программа-вымогатель IRS для возврата налогов — Многие из нас ждали до последнего момента до крайнего срока уплаты налогов 15 апреля и теперь затаили дыхание в ожидании этого, возможно, полезного возмещения. Проблема в том, что киберпреступники хорошо осведомлены об этом ожидании и используют тактику социальной инженерии, чтобы обмануть налогоплательщиков. Зная, что многие в Америке ждут известий от Налоговой службы о незавершенных возмещениях, кибер-мафия прилагает все усилия, чтобы первыми начать массированную фишинговую атаку с вложением программы-вымогателя.Вложение представляет собой зараженный файл Word, содержащий полезную нагрузку программы-вымогателя и шифрующий файлы незадачливого конечного пользователя, открывшего вложение, а также все подключенные сетевые диски, если таковые имеются.

C. Исследователи из Proofpoint недавно обнаружили фишинговую кампанию , которая возникла из избранных объявлений о вакансиях на CareerBuilder. Воспользовавшись системой уведомлений, которую использует портал вакансий, злоумышленник загрузил вредоносные вложения вместо резюме, что, в свою очередь, заставило CareerBuilder действовать как средство доставки фишинговых писем.

Мошенничество одновременно простое и сложное. Это просто, потому что злоумышленник использовал известный сайт вакансий для нацеливания на пул желающих получателей электронной почты, и сложный, потому что доставленное вредоносное ПО развертывалось поэтапно.

Атака начинается с отправки вредоносного документа Word (с именем resume.doc или cv.doc) в объявление о вакансии. В CareerBuilder, когда кто-то отправляет документ в список вакансий, создается электронное письмо с уведомлением для человека (лиц), разместившего вакансию, и прилагается вложение.

D. В июне прошлого года полицейское управление Дарема, штат Нью-Гэмпшир, стало жертвой программы-вымогателя , когда сотрудник нажал на сообщение электронной почты, которое выглядело вполне законно. Пострадали многие другие полицейские управления, включая Суонси и Тьюксбери, Массачусетс, Шериф округа Диксон (Теннесси) и другие. На данный момент основным средством заражения, по-видимому, являются фишинговые электронные письма, содержащие вредоносные вложения, фальшивые уведомления об отслеживании FedEx и UPS и даже всплывающие окна с рекламой.

Вот несколько видов мошенничества с социальной инженерией, выполняемых с помощью фишинга:

Мошенничество с банковскими ссылками : Хакеры отправляют вам электронное письмо с фальшивой ссылкой на ваш банк, заставляя вас ввести свой банковский идентификатор и пароль.

Об ограблении на миллиард долларов, охватывающем 30 стран, и о потерянных средствах почти на миллиард долларов, прозванном фирмой Kaspersky по прозвищу Carbanak, в феврале 2015 года было много сообщений. Станции, и оттуда хакеры проникли глубже в системы банков, пока они не контролировали станции сотрудников, которые позволяли им делать денежные переводы, управлять банкоматами удаленно, изменять информацию об учетных записях и вносить административные изменения.

Это была довольно стандартная схема: письмо со ссылкой, которая выглядела так, будто пришла от коллеги, содержало вредоносный код, который распространялся оттуда, как цифровой риновирус. Хакеры записали все, что происходило на пораженных компьютерах, чтобы узнать, как организация работает. Освоив систему, они использовали ее для серии транзакций, которые включали в себя сбои в банкоматах, а также практику искусственного раздувания банковских балансов с последующим выкачиванием этой суммы, так что баланс счета клиента может вырасти с 1000 до 10000 долларов, а затем 9000 долларов пойдут хакеру.

Мошенничество с факсом : Это фальшивая ссылка на фальшивый факс. Но это нанесет реальный ущерб вашему ПК. Это довольно распространено, особенно для фирм, которые все еще активно используют факсы, например, для управления документами, титульных компаний, страховых и других компаний, предоставляющих финансовые услуги.

Мошенничество со ссылками на Dropbox : Вас ждет сюрприз в Dropbox.

В 2014 году использовалось несколько вариантов этого. Один из них представлял собой поддельное фишинговое письмо для сброса пароля Dropbox, которое при нажатии приводило пользователей на страницу с сообщением о том, что их браузер устарел и им необходимо обновить его (с помощью «кнопки» на Обновить).Это запустит троян из семейства вредоносных программ Zeus.

Еще одно электронное письмо со ссылками на Dropbox, на котором размещалось вредоносное ПО, такое как CryptoWall, вымогатель.

Мошенничество со ссылкой на жалобу секретаря суда : Вот фальшивая ссылка, подтверждающая вашу жалобу. Что-то подсказывает нам, что вы очень скоро будете жаловаться на что-то еще.

Одна из версий используется некоторое время. См. A. выше.

Мошенничество со ссылкой на сообщение в Facebook : Вин Дизель только что умер.Узнайте, что ваш компьютер будет продавать ромашки по этой ссылке.

Обычно используется, когда знаменитость умирает. Это было использовано с Робином Уильямсом, когда он скончался с прощальным видео Робина Уильямса. Появилось поддельное фишинговое сообщение Facebook, в котором пользователям предлагалось щелкнуть ссылку и посмотреть эксклюзивное видео Робина Уильямса, прощающегося по мобильному телефону. Конечно, видео не было, и ссылка вела на поддельную новостную страницу BBC, которая пыталась обманом заставить кликеров нажимать на другие ссылки, что приводило к мошенническим онлайн-опросам.

Так как мы обучаем других и активно создаем тестовые фишинговые кампании для наших клиентов, мои сотрудники на днях пытались меня с помощью социальной инженерии, пытаясь поймать меня как розыгрыш.

Это была двухэтапная атака, пытающаяся заставить меня раскрыть свои учетные данные. Они подделали нашего директора по персоналу и прислали мне электронное письмо ниже. Это пример очень высокой операционной сложности, типичный для китобойных атак высшего уровня, тех случаев, когда человек подвергается попыткам целевого фишинга, потому что он хранит ценную информацию или обладает влиянием в организации.Они сделали свою домашнюю работу и знали, что я активен на форуме SpiceWorks для ИТ-администраторов.

[email protected]

10:45 AM (1 час назад)

к: stus

Stu,

Я заметил, что пользователь с именем securitybull72 (утверждающий, что сотрудник) на форуме по безопасности опубликовал несколько негативных комментариев о компании в целом (главным образом о вознаграждении руководителей) и о вас в частности (переплаченные и некомпетентные).Он привел подробные примеры своих разногласий и, возможно, непреднамеренно разгласил конфиденциальную информацию компании о незавершенных транзакциях.

Сообщение вызвало довольно много ответов, большинство из которых согласны с отрицательными утверждениями. Хотя я понимаю, что сотрудник имеет право на свое мнение, возможно, ему следовало выразить свое разочарование по соответствующим каналам, прежде чем опубликовать этот пост. Ссылка на пост находится здесь (она вторая в теме):

www.spiceworks.com/forums/security/234664/2345466.

Не могли бы вы поговорить с ним?

Спасибо.

Девять из десяти попались бы на что-то подобное. Единственное, что меня спасло, это то, что, когда я наведен на ссылку, я увидел, что это домен, который я создал сам для имитации фишинговых атак. Но это был близкий вызов! Еще одна секунда, и я был бы разбит.

Лучшими профилактическими действиями являются:

1.Обучите пользователей с помощью эффективной программы обучения, которая регулярно использует интегрированный инструмент защиты от фишинга, который заботится о безопасности пользователей и помогает им распознать, как может выглядеть фишинговое письмо.

2. Сделайте резервную копию на всякий случай и регулярно проверяйте эти резервные копии, чтобы убедиться, что они работают.


Пол Кублер, CISSP, CCNA, Sec +, ACE

@lifarsllc

Пол Кублер — эксперт по кибербезопасности и цифровой криминалистике в LIFARS LLC, международной фирме, занимающейся кибербезопасностью и цифровой криминалистикой.Он бывший сотрудник компании Boeing, подразделения глобальной сетевой архитектуры, крупнейшего в стране объекта частных кибератак. Ранее он работал в Flushing Bank в области сетевой и системной инфраструктуры, защищая ценные финансовые данные на различных уровнях сети и системы. Пол также проводил судебно-медицинские расследования мобильных устройств, помогая преследовать преступников.

Обладая многолетним опытом в области кибербезопасности и цифровой криминалистики, он провел широкий спектр расследований, включая взлом данных в результате компьютерных вторжений, кражи интеллектуальной собственности и взлома компьютеров.Он работал над укреплением систем и развертыванием защиты в международной организации. Он также создал бизнес-сети со стратегией глубокой защиты и внедрил в них межсетевые экраны.

Некоторые из наиболее распространенных форм социальной инженерии (и способы их предотвращения) включают …

ФИШИНГ

Фишинг стал крупным игроком в атаках вредоносных программ в последние несколько лет, и этот тип социальных сетей инженерное дело оказалось труднопреодолимым.Злоумышленники обычно отправляют хорошо составленные электронные письма с кажущимися законными вложениями, которые несут вредоносную полезную нагрузку. Это не типичные мошенники «нигерийского принца», а скорее изощренные хакерские группы с достаточным временем и финансированием, которые запускают эти эксплойты. Обычно они прячутся за сетью Tor или чем-то подобным, и их трудно найти, особенно когда их поддерживает организованная преступность, которая использует это как источник дохода.

RANSOMWARE

В последние годы мы наблюдали резкое увеличение использования программ-вымогателей, которые доставляются вместе с фишинговыми сообщениями электронной почты.Обычно они отправляют вложение, такое как «СРОЧНАЯ ИНФОРМАЦИЯ ОБ УЧЕТНОЙ ЗАПИСИ» с расширением файла «.PDF.zip» или «.PDF.rar», которое проскальзывает ничего не подозревающая жертва и доставляет полезную нагрузку. Эта атака часто шифрует весь жесткий диск или документы и требует оплаты биткойнами для разблокировки. К счастью, эти группы действительно разблокируют данные — так будущие жертвы с большей вероятностью будут платить.

Что вы можете сделать, чтобы свести к минимуму свои шансы стать жертвой этих грязных схем? Вот несколько шагов, которые вы можете предпринять:

  • НЕ открывайте электронные письма в папке со спамом или письма, получателей которых вы не знаете.
  • НЕ открывайте вложения в сообщениях электронной почты неизвестного происхождения.
  • Используйте надежное антивирусное программное обеспечение — я рекомендую Kaspersky или Symentec.
  • Выполняйте регулярное резервное копирование на внешний носитель (внешний жесткий диск или облако).
  • После резервного копирования отключите накопитель. Известно, что современные программы-вымогатели также шифруют ваш резервный диск.
  • НЕ платите выкуп. Причина, по которой преступники продолжают использовать эту форму шантажа, заключается в том, что люди продолжают платить.Чтобы попытаться вернуть свои данные, проконсультируйтесь со специалистом в вашем регионе.

Что ваша компания может сделать, чтобы не стать жертвой подобных атак?

  • Людей нужно обучать — они самое слабое звено. Компании должны проводить, как минимум, два раза в год обучение, ориентированное на каждую группу пользователей (конечные пользователи, ИТ-персонал, менеджеры и т. Д.), Чтобы все были в курсе последних атак.
  • Сотрудники должны быть протестированы с привлечением сторонней организации для проведения теста социальной инженерии.Такие тесты помогают держать сотрудников в напряжении и с большей вероятностью избежать атак.
  • Поскольку количество таких атак увеличивается, был разработан ряд новых средств защиты. AppRiver — отличный фильтр электронной почты для спама и вирусов, который может блокировать большое количество фишинговых эксплойтов еще до того, как они достигнут внутренних серверов.
  • Если они все же пройдут, система защиты конечных точек, которая может блокировать новейшие вредоносные программы, вероятно, станет вашим лучшим выбором для остановки атаки.
  • В качестве последней линии защиты Cyphort предлагает хорошее решение IDS / IPS, которое может помочь обнаружить известные атаки и то, как далеко им удалось проникнуть в сеть по сигнатуре, поведению и знаниям сообщества.

Дуг Фодеман

@dailyscams

Дуг Фодман — контент-директор и совладелец The Daily Scam, веб-сайта, посвященного помощи отдельным лицам, компаниям и организациям в повышении их понимания и осведомленности об интернет-угрозах. мошенничества и мошенничества с целью значительного снижения рисков и связанных с ними потерь производительности.

Когда дело доходит до атак социальной инженерии, компании должны понимать …

Атаки социальной инженерии, нацеленные на компании или частных лиц, наиболее легко и успешно запускаются через электронную почту.Все зависят от электронной почты для общения, даже больше, чем от социальных сетей, за которыми может следить только один или несколько сотрудников компании. Электронная почта также является инструментом, который ежедневно используют пожилые сотрудники. Кроме того, электронная почта может стать источником угрозы для всех в организации, включая генерального директора и финансового директора. Но вредоносные электронные письма требуют наличия двух триггеров. Первый — это грамотно сформулированная тема, которая вызовет любопытство получателя и заставит его открыть письмо.

Некоторые из наиболее эффективных тем часто невинны и просты, как те недавние темы, которые я видел, нацеленные на организацию всего за последние две недели:

  • Специальное приглашение: был открыт доступ к вашему онлайн-файлу
  • Отпразднуйте маму в это воскресенье с изысканный 29 долларов.96 букет
  • Будьте замечены и наблюдайте за своей карьерой
  • Узнайте о арфе
  • Букеты ко Дню матери с ДИЗАЙНЕРСКИМИ ВАЗами
  • Отмена услуги 10 мая
  • ДОКУМЕНТ ОТПРАВКИ / ПОДТВЕРЖДЕНИЕ BL
  • Добро пожаловать на сайт Who’s Who Connection
  • Подтвердите доставку
  • Подтвердите перевод 3K до понедельника
  • Письмо с уведомлением ФБР [код 210]
  • Входящий факс
  • Я думаю, вам это понравится
  • Новые законы о реформе здравоохранения находятся в
  • Нет проценты за первый год
  • Уведомление о платеже
  • Считайте срочным и верните мне
  • Ваша установка
  • Ваш номер телефона

После того, как получатель откроет электронное письмо, оно должно быть достаточно убедительным, чтобы вызвать клик ссылки или прикрепленного файла, чтобы инициировать или провести атаку.Многие инженерные стратегии оказались очень успешными, в том числе:

  • Электронные письма с очень профессиональным внешним видом и презентацией. Эти электронные письма могут содержать поддельные адреса электронной почты законных компаний или, казалось бы, невинные сообщения, такие как продажа цветов ко Дню матери.
  • Сообщения электронной почты, которые очень короткие и по существу, часто ссылаясь на поддельный счет, заблокированный платеж, доставку или факс.
  • Электронные письма, предназначенные для запугивания кликов, например, электронное письмо, которое выглядит так, будто оно отправлено ФБР, банковским учреждением или IRS.

К сожалению, большинство компаний, похоже, вкладывают все усилия в защиту программного и аппаратного обеспечения, чтобы эти угрозы никогда не доходили до сотрудников. Использование этого подхода ошибочно, поскольку сотрудники подключаются к Интернету через электронную почту, Facebook, LinkedIn, Twitter и веб-страницы из дома, с мобильных устройств и с работы. Немногие компании также включают обучение сотрудников. Я обнаружил, что информирование сотрудников об угрозах, нацеленных на них, более важно, чем защита оборудования и программного обеспечения.И нетрудно научить сотрудников простым методам распознавания угроз, таким как навыки наведения указателя мыши и понимание анатомии адреса электронной почты или доменного имени.


Кертис Петерсон

@SmartFile

Кертис Петерсон — менеджер по цифровому маркетингу SmartFile. Петерсон отвечает за стратегию и выполнение стратегии SmartFile в отношении содержания, электронной почты, поиска и социальных сетей. SmartFile предоставляет ИТ-администраторам экономящие время инструменты управления файлами и пользователями, которые позволяют сотрудникам, не являющимся ИТ-специалистами, безопасно получать доступ к файлам и обмениваться ими.Масштабируемое облачное или локальное хранилище доступно для предприятий любого размера, которые регулярно отправляют, получают и архивируют файлы.

С точки зрения выявления и предотвращения атак социальной инженерии …

Очевидно, Эдвард Сноуден был инициатором атак социальной инженерии. Он либо подружился с людьми, либо попросил их пароли и логины, сказав, что они необходимы для его роли администратора компьютерной системы. Предлог, создание вымышленного образа или использование своей роли ненадлежащим образом — довольно популярны для атак социальной инженерии.

Суть в том, что 63% утечек данных происходят из внутренних источников: из-за контроля, ошибок или мошенничества. В 2013 году кража данных принесла 143 миллиарда долларов (обе статистические данные можно найти на isyourdatasafe.com).

Социальную инженерию трудно предотвратить. Это самая сложная часть. Многочисленные меры предосторожности можно найти благодаря передовым методам соблюдения нормативных требований в области ИТ. Но все же, даже в случае с Эдвардом Сноуденом, как вы можете определить, что происходит что-то плохое, если он выглядит как пользователь с допущенным уровнем допуска? Мы рекомендуем тщательный мониторинг и аналитику, чтобы попытаться понять, когда это происходит.Например, если у вас есть несколько очень важных файлов, вы должны отслеживать, когда они загружаются / передаются. ИТ-администратор также должен получать мгновенные уведомления, когда эти действия выполняются с конфиденциальными файлами. Наконец, должны быть журналы, которые регулярно анализируются, чтобы понять ненормальное поведение пользователя. Например, если файл загружается в нерабочее время, это должен быть красный флаг. Или, если загружено несколько конфиденциальных файлов от одного и того же пользователя, их следует идентифицировать и изучить.


Джереми Шонеман

Джереми Шонеман — специалист по информационной безопасности, специализирующийся на социальной инженерии. Он проработал в SecureState более года и регулярно занимается социальной инженерией в рамках тестов на проникновение клиентов.

Наиболее распространенные методы социальной инженерии, используемые сегодня, включают …

Сегодня существует множество способов, которыми злоумышленник попытается скомпрометировать корпоративную сеть, но, в конце концов, человек подвергается наибольшему риску атаки.Злоумышленники воспользуются любыми средствами, необходимыми для взлома сети и кражи информации, и наиболее популярным и наиболее успешным является метод социальной инженерии. Социальная инженерия ответственна за многие недавние крупные атаки, от Sony до Белого дома. По сути, существует два очень популярных типа атак: фишинг и вишинг (голосовой фишинг).

Фишинговые атаки — наиболее распространенный способ получения информации или доступа в сеть. Человек откроет, казалось бы, безобидное электронное письмо, либо щелкнет ссылку, которая ведет на вредоносный сайт, либо загрузит вложение, содержащее вредоносный код, и поставит под угрозу систему.Фишинг становится все более успешным, потому что злоумышленники создают более легитимные электронные письма, а атаки являются более изощренными. Благодаря распространению социальных сетей злоумышленник может найти все, что ему нужно знать о человеке и его интересах, создать электронное письмо, специально предназначенное для этого человека, и отправить что-то напрямую ему, что увеличивает шансы того, что этот человек нажмет.

Вишинг — это, по сути, фишинг по телефону. Злоумышленник позвонит кому-нибудь, например, в службу поддержки ИТ, и, имея небольшую информацию о человеке (например, имя и дату рождения), получит либо учетные данные для входа, либо дополнительную информацию о человеке, например номер социального страхования. .

Защита компании от этих атак начинается с обучения. Обучение людей, на что обращать внимание при получении электронного письма или телефонного звонка от кого-то, кто запрашивает информацию или нажимает на что-либо, снижает вероятность успешной атаки. Фактически, глядя на адрес отправителя, наводя курсор на ссылки и проверяя URL-адрес, и никогда не загружая вложения, если вы не знаете, откуда приходит электронное письмо, резко снизит вероятность успешной атаки на компанию.Когда человеку звонят с просьбой предоставить информацию, важно установить его личность, не давая подсказок. Помните: информацию о людях легко найти в Интернете. Хорошие вопросы по безопасности на уровне службы поддержки ИТ — отличный способ защититься от этих атак. Что-то вроде: в какой средней школе вы ходили, или какая у вас была первая машина, в тысячу раз лучше, чем ваш день рождения.


Пьерлуиджи Паганини

@InfosecEdu

Пьерлуиджи Паганини — исследователь безопасности в Институте информационной безопасности и имеет более чем 20-летний опыт работы в этой области.

Вот несколько основных правил для защиты цифровых идентификационных данных пользователей от атак социальной инженерии …

  • Помните о спаме и примите особые меры предосторожности для электронной почты, которая:
    • запрашивает подтверждение личной или финансовой информации с высокой срочностью .
    • требует быстрых действий, угрожая пользователю пугающей информацией.
    • отправлено неизвестными отправителями.
  • Регулярно отслеживайте онлайн-счета, чтобы гарантировать отсутствие несанкционированных транзакций.
  • Никогда не разглашайте личную информацию по телефону или на незащищенных веб-сайтах.
  • Не переходите по ссылкам, не загружайте файлы и не открывайте вложения к сообщениям электронной почты от неизвестных отправителей.
  • Обязательно совершайте онлайн-транзакции только на сайтах, которые используют протокол https. Найдите знак, указывающий на безопасность сайта (например, замок в адресной строке).
  • Остерегайтесь телефонного фишинга; никогда не сообщайте личную информацию по телефону, если вам звонят. Остерегайтесь электронных писем, в которых пользователя просят связаться с определенным номером телефона, чтобы обновить информацию о пользователе.
  • Никогда не разглашайте личную или финансовую информацию по электронной почте.
  • Остерегайтесь ссылок на веб-формы, которые запрашивают личную информацию, даже если электронное письмо пришло из законного источника. Фишинговые веб-сайты часто являются точными копиями законных веб-сайтов.
  • Остерегайтесь всплывающих окон; никогда не вводите личную информацию во всплывающем экране и не нажимайте на него.
  • Установите надлежащие системы защиты, такие как фильтры спама, антивирусное программное обеспечение и брандмауэр, и постоянно обновляйте все системы.
  • Для пользователя социальной сети важно никому не доверять и раскрывать только ограниченный объем информации. Никогда не публикуйте личную информацию, например расписание отпусков и домашние фотографии. Никогда не переходите по ссылкам и видео неизвестного происхождения и никогда не загружайте несертифицированные приложения.

Кейт Кейси

@CaseySoftware

Кейт Кейси в настоящее время является директором по продукту в Clarify.io, работая над тем, чтобы сделать API-интерфейсы более простыми, последовательными и помочь в решении реальных проблем.Ранее, будучи проповедником разработчиков в Twilio, он работал, чтобы передать хорошие технологии в руки хороших людей, чтобы они делали великие дела. В свободное время он работает над созданием и поддержкой технологического сообщества Остина, иногда ведет блоги на CaseySoftware.com и полностью очарован обезьянами. Кейт также является соавтором книги Leanpub «Практический подход к проектированию API».

Самыми распространенными атаками социальной инженерии на сегодняшний день являются …

«Мне просто нужно.«Обычно кто-то звонит в компанию, утверждая, что представляет телефонную компанию, интернет-провайдера и т. Д., И начинает задавать вопросы. Они утверждают, что у них простая проблема, или знают о проблеме, которую можно быстро решить, но им нужна всего одна мелочь. Это может быть так же безобидно, как запрос имени пользователя или чьего-то расписания, или столь же вопиющим, как запрос пароля. Как только злоумышленник получает эту информацию, он звонит кому-то еще в компании и использует новую информацию для уточнения своей атаки. повторить.

После нескольких звонков они часто могут выдать себя за сотрудников — часто помощников кого-то значительного — и прямо сейчас попросить доступ или более подробную информацию. Ничего не подозревающий сотрудник не хочет раздражать значимого человека, поэтому он отвечает и помогает, прежде чем у них будет возможность подумать. На этом этапе почти тривиально получить доступ к учетным записям электронной почты, телефонным записям, маршрутам путешествий и т. Д.

Единственное решение — никогда не доверять тому, кто вам звонит.Вместо того, чтобы сразу предоставлять запрашиваемую информацию, получите номер телефона человека из справочника компании и предложите перезвонить ему по этому номеру. Честный человек может рассердиться, но это сработает. Злоумышленник сдастся и попробует кого-нибудь другого. Кроме того, никогда не спрашивайте у человека его номер телефона, обратитесь к известному безопасному источнику, например, в справочнике компании, чтобы получить информацию.

То же самое относится к эмитенту вашей кредитной карты. Никогда не сообщайте конфиденциальную информацию тем, кто вам звонит.Используйте номер телефона на вашей карте и перезвоните им.


Джо Феррара

@WombatSecurity

Джо Феррара — президент и генеральный директор Wombat Security Technologies. Присоединившись к Wombat в 2011 году, Джо привнес 20-летний опыт в технологический маркетинг, операции и управление в качестве президента и генерального директора. Недавно Джо стал финалистом конкурса EY «Предприниматель года» в Западной Пенсильвании и Западной Вирджинии и получил награду генерального директора года от CEO World. Джо выступал с комментариями экспертов и выступал на многочисленных мероприятиях индустрии информационной безопасности, включая RSA Europe, форум руководителей CISO, ISSA International и региональные конференции по информационной безопасности.

Мой совет компаниям, связанным с растущим распространением атак социальной инженерии:

Обычно определяемое как искусство использования человеческой психологии для получения доступа к зданиям, системам или данным, социальная инженерия развивается так быстро, что Сами по себе технологические решения, политики безопасности и рабочие процедуры не могут защитить критически важные ресурсы. Недавний опрос, спонсируемый Check Point, показал, что 43% опрошенных ИТ-специалистов заявили, что они стали жертвами схем социальной инженерии.Опрос также показал, что новые сотрудники наиболее подвержены атакам: 60% опрошенных указали, что недавние сотрудники подвергаются высокому риску социальной инженерии.

Компаниям следует:

  • Провести базовую оценку понимания сотрудниками.
  • Помогите сотрудникам понять, почему их конфиденциальность имеет жизненно важное значение для здоровья компании.
  • Создайте целевую программу обучения, которая в первую очередь адресована наиболее опасным сотрудникам и / или распространенному поведению.
  • Предоставьте сотрудникам возможность распознавать потенциальные угрозы и самостоятельно принимать правильные решения в области безопасности.
  • Повысьте эффективность удержания знаний с помощью коротких интерактивных учебных занятий, которые легко вписываются в плотный график сотрудников и содержат проверенные эффективные научные принципы обучения.
  • Отслеживайте выполнение сотрудниками заданий и автоматически напоминания о сроках обучения.
  • Покажите измеримое улучшение знаний с течением времени с помощью удобных для чтения отчетов для исполнительного руководства.

Компаниям следует продвигать культуру безопасности, ориентированную на людей, которая предусматривает постоянное обучение для постоянного информирования сотрудников о последних угрозах безопасности.Чтобы противостоять атакам на человеческий разум, необходимы изменения в поведении, а не технологии защиты.

Компаниям следует использовать комбинированный подход моделирования атак социальной инженерии в сочетании с интерактивными учебными модулями для достижения наилучшего результата. Внедрение методики непрерывного обучения может стать разницей между утечкой данных с пятью сигналами тревоги и тихой ночью в офисе.


Санджай Рамнат

@Barracuda

Санджай Рамнат — старший директор по управлению продуктами Barracuda, поставщика мощных, простых в использовании и доступных ИТ-решений для безопасности и хранения данных.

Когда дело доходит до социальной инженерии, я советую компаниям …

Социальные сети — неизбежное зло. Компании должны осознавать ценность этих сайтов для использования в бизнесе и не могут просто заблокировать эти сайты в сети.

Однако есть несколько способов помочь снизить риски, разрешив использование социальных сетей. Что касается обучения, убедитесь, что вы можете провести курс для новых и пожилых сотрудников, чтобы показать им, что можно и чего нельзя делать, чтобы лучше защитить себя от угроз; тем не менее, большая часть этого общеизвестна, и ее трудно обеспечить.

BYOD действительно заставил сетевых администраторов защитить сеть от мобильных устройств пользователей.

Социальные сети — это среда с нулевым доверием. Социальные сети настолько просты в использовании, что часто люди теряют бдительность. Друг, которого вы хорошо знаете, может отправить вам ссылку на альбом о недавно совершенной поездке, чтобы вы щелкнули по нему, чтобы просмотреть или загрузить. Вы, конечно, видите фотографию своего друга рядом со ссылкой или получаете электронное письмо с его адреса электронной почты, нажимаете на нее, потому что предполагаете, что это безопасно, не зная, что они были взломаны, и теперь изображения, которые, как вы думаете, вы загружаете, являются фактически загружает вредоносное ПО на ваш компьютер.

Компаниям необходимо рассмотреть возможность защиты всех векторов угроз и внедрения специализированных решений для удовлетворения любых потребностей. В таких случаях, как социальная инженерия, когда жертвы подвергаются целевым фишинговым атакам, фишинговым атакам, вредоносным электронным письмам и взломанным сайтам, хорошо иметь брандмауэр спама и веб-фильтр для смягчения этих угроз еще до того, как они достигнут сети.

Наличие безопасного веб-браузера или решения для управления мобильными устройствами для решения BYOD как в сети компании, так и за ее пределами — это то, что они также должны учитывать для защиты информации компании и сотрудников.


Алекс Марковиц

@ChelseaTech

Алекс Марковиц (Alex Markowitz) — системный инженер Chelsea Technologies, компании по управляемым ИТ-услугам, которая предоставляет услуги по проектированию, внедрению, хостингу и поддержке для мировой финансовой индустрии. Алекс имеет более 10 лет опыта работы в сфере ИТ в финансовом секторе.

Мое главное предложение для компаний по предотвращению атак социальной инженерии:

Сила №

Google самые популярные атаки социальной инженерии.Что вы получаете? Истории о троянских конях, фишинговых атаках, инъекциях вредоносных программ, перенаправлениях, спаме и людях, отдающих слишком много личной информации на общедоступных веб-сайтах. Поверхность для атак социальной инженерии такая же, как и у всех сотрудников и пользователей вашей корпорации. Лучшая атака социальной инженерии не будет включать ничего, кроме незамеченной оплошности или ошибки одного пользователя. Я собираюсь обратиться к очень конкретному аспекту внутренней безопасности и оставлю вам следующее: самая важная защита, которая вам нужна в вашей компании, — это способность сказать: «Нет.«

Знание истории этих атак полезно, но в целом оно не защитит вас. Злоумышленники всегда опережают тех из нас, кто защищает нашу информацию. Социальный инженер всегда найдет новый способ сделать то, что они делают. Кто-то, кто хочет нацелиться на вашу компанию, считается нескончаемым источником творчества и должен рассматриваться как таковой. Имейте в виду, что технологии всегда меняются, но люди, использующие эту технологию, не меняются. Вы можете защитить себя всеми возможными способами. технологии, которые вам нужны, но всего одна человеческая ошибка может распахнуть двери вашей компании.Люди — это поверхность атаки, по которой наносит удар социальный инженер.

Таким образом, наша проблема, как ИТ-специалистов, заключается в том, чтобы не дать извечным человеческим недостаткам вызвать технологическую атаку. Ниже приводится вездесущий человеческий недостаток, на который я хотел бы обратить особое внимание: я работал во многих финансовых учреждениях. В каждом учреждении всегда есть множество руководителей, менеджеров и им подобных, которые хотят, чтобы к ним относились по-особенному. Им нужен доступ к сети на своем личном ноутбуке.Они хотят иметь доступ к сети на своем iPad, но также позволяют своим детям играть с этим iPad. Им нужен доступ, когда и где они не должны быть, и они занимают влиятельные позиции, что затрудняет их рассуждение.

Им нужны вещи, которые сделают их профессиональную жизнь еще проще, чем мы, в ИТ, изо всех сил пытаемся это сделать. К сожалению, в ИТ мы привыкли говорить «да». Я видел, как директора и технические директора создавали специальные исключения для других высокопоставленных пользователей, чтобы завоевать расположение и популярность, а также потому, что они боятся своего положения.Это лениво; это высокомерно; это глупо, но это, прежде всего, по-человечески. Мы, человеческие существа, являемся системой, атакованной социальной инженерией, а затем мы оставляем себя открытыми, становясь жертвами нашей незащищенности, давая злоумышленнику приглашение штурмовать наши ворота. Все ИТ-специалисты должны научиться говорить «нет», а ИТ-менеджмент должен быть сильным и упорным на благо компании. Один из лучших способов защитить вашу компанию от социальных инженеров — это научиться говорить «нет». Держите политику и подъем по служебной лестнице подальше от ИТ-безопасности.

Я знаю, что обращаюсь к очень специфическому аспекту ИТ, но один из лучших способов уменьшить поверхность атаки — это научиться говорить «Нет». От ИТ-менеджмента требуется твердое лидерство и решимость, чтобы обеспечить оптимальную защиту. Только после того, как наша защита будет оптимизирована, мы сможем точно обучить наших пользователей и создать безопасную инфраструктуру. Каждое отдельное исключение открывает ящик Пандоры, который социальные инженеры могут найти (или даже просто наткнуться) и использовать.


Роберт Харроу

@robert_harrow

Роберт Харроу — исследователь-аналитик компании ValuePenguin.com, где он охватывает различные вертикали личных финансов, включая кредитные карты, страхование жилья и медицинское страхование. Его интерес к безопасности в основном связан с изучением утечек данных о кредитных картах и ​​медицинском страховании.

Самая большая угроза социальной инженерии для компаний сегодня — это …

Фишинговое мошенничество — самая большая угроза и наиболее распространенное средство социальной инженерии. Согласно последнему отчету EMC, только в 2013 году из-за фишинговых атак было понесено 5,9 миллиарда долларов убытков — это почти 450 000 атак.

Спам-фильтры могут помочь сотрудникам избежать этих атак. Однако они терпят неудачу при так называемом целевом фишинге. Эти атаки реже, но в большей степени нацелены на конкретных важных лиц — вероятно, генеральных директоров, финансовых директоров и других людей с высокоуровневым доступом в их компании. Эти атаки обычно не улавливаются спам-фильтрами, и их гораздо труднее обнаружить.

Очень важно информировать сотрудников об опасностях фишинга и внимательно относиться ко всем получаемым ими электронным письмам.


Стивен Дж. Дж. Вайсман, эсквайр.

@

Стивен Дж. Дж. Вайсман, эсквайр. является юристом, профессором колледжа Университета Бентли, где он преподает преступления против белых воротничков, и одним из ведущих экспертов страны по мошенничеству, краже личных данных и киберпреступлениям. Вайсман ведет блог Scamicide.com, где ежедневно предоставляет обновленную информацию о последних мошенничествах и схемах кражи личных данных.

Я советую, когда речь идет об атаках социальной инженерии и о том, как компании могут их предотвратить…

Серьезные утечки данных и взломы крупных компаний, таких как Target, Sony или даже Государственный департамент, как правило, имеют одну общую черту: несмотря на сложность вредоносного ПО, используемого для сбора информации, это вредоносное ПО должно могут быть загружены на компьютеры целевой компании или агентства, и это делается, как правило, с помощью тактики социальной инженерии, которая заставляет сотрудников нажимать на ссылки или загружать вложения, которые непреднамеренно загружают вредоносное ПО.

Так как же убедить сотрудников переходить по ссылкам и скачивать вложения?

  • Создается впечатление, что письмо пришло от друга, чью электронную почту они взломали.
  • Они создают впечатление, что электронное письмо пришло от кого-то в компании, чье имя и адрес электронной почты могли быть получены из множества доступных баз данных, включая LinkedIn.
  • Они собирают информацию о целевом сотруднике через социальные сети, где сотрудник мог обнародовать личную информацию, что позволяет опытному хакеру использовать эту информацию, чтобы обманом заставить сотрудника щелкнуть ссылку, касающуюся того, что его интересует.
  • Ссылка для бесплатной порнографии.
  • Ссылка предназначена для предоставления фотографий знаменитостей или сплетен.
  • Ссылка предназначена для предоставления сенсационных фотографий или видеороликов важного и интересного новостного события.
  • Судя по всему, он исходит от специалиста по ИТ-безопасности из компании, информирующего сотрудника о чрезвычайной ситуации.

Это лишь некоторые из наиболее распространенных тактик социальной инженерии, используемых хакерами.

Итак, что можно сделать, чтобы их остановить?

Обучайте сотрудников моему девизу: «Поверьте мне, вы не можете никому доверять.«Никто никогда не должен предоставлять личную информацию кому-либо в ответ на запрос до тех пор, пока он не проверит, что запрос является законным. Никто никогда не должен переходить по какой-либо ссылке, не подтвердив ее законность.

Обучайте сотрудников скептически относиться к будьте начеку в отношении распространенных схем фишинга и целевого фишинга.

Устанавливайте и поддерживайте новейшее и постоянно обновляемое антивирусное и антивирусное программное обеспечение, понимая, что последние обновления всегда отстают от хакеров как минимум на месяц.

Ограничьте доступ сотрудников к информации только той информации, к которой они должны иметь доступ.

Используйте двухфакторную аутентификацию вместе с надежными паролями, которые регулярно меняются.


Aurelian Neagu

@HeimdalSecurity

Технический писатель с 6-летним опытом работы в области кибербезопасности в Bitdefender & Heimdal Security, Аврелиан Негу пытается обнаружить и понять, как технологии меняют отношения между людьми в обществе и меняют социальное восприятие мир.

Атаки социальной инженерии на компании …

Могут исходить как внутри организации, так и за ее пределами.

Социальная инженерия, осуществляемая злонамеренными инсайдерами

Согласно 18-му ежегодному глобальному опросу руководителей компаний PwC, проведенному в 2015 году, 21% нынешних или бывших сотрудников используют социальную инженерию для получения финансовой выгоды, из мести, из любопытства или ради развлечения.

Методы социальной инженерии, используемые внутри организации, могут включать:

  • Извлечение информации о компании (такой как пароли, учетные данные) изнутри и передача ее третьим лицам.
  • Использование конфиденциальной информации в качестве рычага для поиска новой работы или достижения лучшего положения в компании.
  • Выход из организации с регистрационными данными и конфиденциальной информацией и использование ее в злонамеренных целях.

Социальная инженерия, проводимая злоумышленниками со стороны

  • Злоумышленники со стороны очень часто выдают себя за подрядчиков компании, чтобы получить конфиденциальную информацию от доверчивых сотрудников. Они могут сделать это либо по телефону, либо по электронной почте, либо физически получив доступ к помещениям компании.
  • Социальная инженерия часто опирается на твердую уверенность, которой обладают киберпреступники, и на доверие, которое обычно вызывается внешними подрядчиками, особенно если они исходят из известных компаний, таких как Cisco или IBM.
  • Информация о сотрудниках, найденная на сайтах социальных сетей, также может быть способом завоевать доверие жертвы и получить от нее конфиденциальную информацию.
  • Вредоносные посторонние могут также использовать вредоносные программы или исполняемые файлы, скрытые во вложениях электронной почты.Попав внутрь компьютера сотрудника, такой троянец может действовать различными способами, например отправлять копии документов или слежку за компьютерной деятельностью сотрудника.
  • Фишинг — еще один метод, используемый киберпреступниками. Сюда входит использование электронных писем, которые, как представляется, исходят из надежного источника, чтобы обманом заставить сотрудника ввести действительные учетные данные на поддельном веб-сайте.

Социальная инженерия может использоваться либо для извлечения информации, либо для проникновения в систему защиты компании с целью внедрения вредоносного ПО, которое может распространяться по организации и причинять огромный ущерб, как это произошло в случае взлома Target в 2013 году.

Еще один пример целевой фишинг-атаки, нацеленной на датские архитектурные компании в марте 2015 года.

Как можно предотвратить атаки социальной инженерии

  • Самый важный совет для компаний — инвестировать в обучение своих сотрудников вопросам кибербезопасности. Если сотрудники узнают, как защитить свои данные и конфиденциальные данные компании, они смогут обнаружить попытку социальной инженерии и смягчить ее последствия. Кроме того, они могут стать более бдительными и сами стать столь необходимым уровнем безопасности.
  • Периодические оценки кибербезопасности также необходимы, потому что компании развиваются, они растут, они меняются, а также меняется информационный поток внутри организации. Следовательно, тестирование на проникновение должно проводиться на регулярной основе и приводить к практическим рекомендациям, которые могут улучшить безопасность данных во всей организации.
  • Кроме того, я всегда рекомендую компаниям, которые еще этого не сделали, разработать и внедрить тщательную политику безопасности. Это тот тип политики, в который стоит инвестировать, потому что он может оказать огромное влияние на организацию и предотвратить кибератаки, которые могут привести к серьезным последствиям.

Шобха Малларапу

@anvayasolutions

Шобха Малларапу — президент и главный исполнительный директор Anvaya Solutions, Inc., компании по кибербезопасности. Она была представлена ​​в статьях Business Journal о безопасности и обучила сотни предприятий кибербезопасности. Anvaya Solutions, Inc. обучила тысячи сотрудников вопросам безопасности в различных организациях.

Распространенные атаки социальной инженерии на компании включают …

1.Фишинг: Это одна из самых распространенных атак, побуждающая сотрудников раскрыть информацию. Электронное письмо выдает себя за компанию или правительственную организацию, чтобы извлечь логин и пароль пользователя для конфиденциальной учетной записи внутри компании, или перехватывает известную электронную почту и отправляет ссылки, при нажатии которых на компьютер Пользователь. Затем хакеры берут власть в свои руки.

Подобные атаки по телефону, когда звонящий заявляет, что является надежным источником или уполномоченной организацией, также могут привести к раскрытию сотрудниками информации, которая может нанести ущерб чистой прибыли компании или ее репутации.

2. Обмен информацией: Обмен слишком большим объемом информации в социальных сетях может позволить злоумышленникам угадывать пароли или извлекать конфиденциальную информацию компании из сообщений сотрудников. Осведомленность о безопасности — ключ к предотвращению таких инцидентов. Разработка политик, обучение сотрудников и реализация мер, таких как предупреждения или другие дисциплинарные меры в случае повторных или серьезных инцидентов, снизят риск атак социальной инженерии.

Если вы не ждете электронного письма, введите адрес ссылки вместо того, чтобы нажимать на нее.Или позвоните человеку, чтобы подтвердить, что письмо пришло от него. Те же принципы применимы и к телефонным фишинговым атакам. Скажите им, что вы перезвоните и получите их номер. Прежде чем звонить, убедитесь, что номер принадлежит действующей организации, воспользовавшись функцией поиска по телефону.


Элвис Морленд

Элвис Морленд, CISSP-ISSEP, CGEIT, CISM, NSA IEM-IAM, CNSS 4012-4015-4016, является руководителем отдела информационных технологий журнала Computerworld Premier 100 и главным специалистом по информационной безопасности (CISO).

Одна из самых распространенных атак социальной инженерии сегодня…

Spear Phishing-атака. Это электронное письмо, которое доставляет вредоносный контент через веб-ссылку или вложение в электронном письме.

Контрмера (и):

1. Никогда не открывайте ссылки или вложения из неизвестных источников. Если сомневаетесь, сообщите об этом!

2. Если кажется, что письмо пришло из обычного источника, спросите себя: «Зачем им нужно, чтобы я открывал эту ссылку или вложение? Это нормальное поведение?» Если нет, сообщите об этом!

3. В случае сомнений дважды проверьте источник, контент и / или обратитесь за помощью в свой отдел ИТ-безопасности или кибербезопасности.

4. В корпоративной среде ваш бизнес должен быть защищен с помощью одного из различных, если не нескольких комбинированных, архитектурных устройств сетевой безопасности или средств противодействия, таких как шлюз SMTP со сканированием и / или каким-либо механизмом фильтрации, который поможет вам пометить или удалить сомнительные почтовые кампании и контент.

5. Никогда не полагайтесь исключительно на антивирус или брандмауэры для защиты от таких сложных атак. Они прибывают с вариантами вредоносного контента, которые нельзя обнаружить только с помощью черных списков или контрмер на основе сигнатур (антивирусные программы или брандмауэры), потому что они просто не успевают.


Грег Манкузи-Унгаро

@BrandProtect

Грег Манкузи-Унгаро отвечает за разработку и реализацию рынка BrandProtect, маркетинг и стратегию выхода на рынок. Страстный проповедник новых технологий, бизнес-практик и клиентоориентированности, Грег руководит и консультирует маркетинговые инициативы мирового уровня, команды и организации более двадцати пяти лет. До прихода в BrandProtect Грег занимал руководящие должности в маркетинге в ActiveRisk, Savi Technologies, Sepaton, Deltek, Novell и Ximian, создавая прорывные продукты и ускоряя рост бизнеса.Он является соучредителем проекта openSUSE, одной из ведущих мировых инициатив с открытым исходным кодом.

Распространенные схемы социальной инженерии с быстрым захватом денег обычно включают …

Варианты мошенничества с застрявшим путешественником. В этом типе мошенничества социальный инженер отправляет своей цели электронное письмо, которое, похоже, исходит из личной учетной записи электронной почты доверенного коллеги. После быстрого объяснения того, почему они не могут использовать систему электронной почты компании, например, потерянный / сломанный компьютер, проблемы с подключением к VPN или забытый домен доступа к Outlook Web, они заявляют, что они застряли в отдаленном месте и нуждаются в проводных деньгах. им.Поскольку этот социальный инженер имеет доступ к вашей электронной почте, он знает, кто ваши коллеги, и может создать довольно убедительную историю.

Другой распространенный класс атак социальной инженерии происходит за пределами бизнес-среды, в социальных сетях и других социальных сетях. Там социальные инженеры скопируют профили, подставят снимки в голову и буквально украдут всю онлайн-личность, которую они затем могут использовать, чтобы дружить с другими в вашей фирме или в других учреждениях, превращая украденную личность в серию, казалось бы, законных онлайн-дружеских отношений.С этого момента следующий запрос социальной инженерии будет лишь вопросом времени.

Однако гораздо более серьезными являются схемы социальной инженерии, в которых запрос на добавление в друзья предполагает использование сети компании. Например, коллега отправляет вам электронное письмо поздно вечером и утверждает, что забыл код доступа к VPN — это подозрительное электронное письмо, которое можно получить, и, скорее всего, это атака социальной инженерии. В качестве второго примера — и еще более изощренного подхода: представьте, что друг из социальной сети отправляет вам электронное письмо с сопроводительным письмом и резюме и просит вас переслать его своему менеджеру по найму.В электронном письме может быть имя менеджера по найму или название открытой вакансии, но в любом случае это очень эффективный подход. Между тем, за кулисами социальный инженер надеется, что вы нажмете на любой документ, неосознанно установив вредоносное ПО на свой компьютер и проникнув в сеть вашей компании.

Как только социальный инженер получит надежную личность или будет принят в круг доверенных коллег, он будет использовать это доверие, чтобы получить доступ к другим людям, сетям, IP-адресам или корпоративным активам.Социальные инженеры обычно обращают внимание на нечто большее, чем их ничего не подозревающие цели; невинные жертвы — это просто удобный и простой способ для киберпреступников получить более крупный приз.

Итак, как предотвратить успех социальных инженеров?

Для компании самый простой способ — это тщательно отслеживать несанкционированные электронные письма, в которых используется ваш бренд, и подтверждать, что профили социальных доменов, которые содержат ваш бренд, принадлежат лицам, которые имеют на это право.Например, недавно клиент BrandProtect обнаружил, что более половины его фирменных онлайн-агентов на самом деле не были авторизованными агентами. Некоторые из этих действий были невиновными — некоторые бывшие агенты забыли удалить логотип — но некоторые из них были маскировкой и кражей личных данных!

Для индивидуума самый простой способ уменьшить воздействие социальной инженерии — это всегда быть уверенным в том, с кем вы общаетесь. Если есть хоть малейшие сомнения, объясните, что вы не можете помочь с входящим запросом.Если они утверждают, что они ваши друзья, есть дополнительные способы мягко подтвердить чью-то личность. Например, вместо этого они могут позвонить вам на мобильный телефон или отправить электронное письмо в личный кабинет. В конце концов, если они те, кем себя называют, они легко смогут связаться с вами с помощью других форм связи.

Большая часть личной защиты от социальной инженерии может показаться здравым смыслом, но компаниям следует инвестировать в обучение сотрудников этим и другим онлайн-рискам. Простое повышение осведомленности об этих опасных атаках позволит снизить значительный корпоративный риск.


Дэвид Ховард

Дэвид Ховард является сертифицированным этическим хакером с 2009 года и с тех пор работает в сегменте безопасности ИТ. Недавно Дэвид основал PPL HACK, компанию из Цинциннати, которая предлагает бесплатные семинары по всей стране, включая демонстрации хакерских атак в реальном времени, чтобы помочь малым и средним предприятиям обучить своих сотрудников, чтобы лучше подготовиться к защите данных компании.

Наиболее распространенными типами атак социальной инженерии являются …

Как сертифицированный этический хакер и основатель PPL HACK, я предпринял множество попыток вторжений, и социальная инженерия является самым забавным и наиболее распространенным вектором атак на данные компании.Фишинговая электронная почта, безусловно, является методом номер один, когда в компанию наводняется электронная почта, которая выглядит законной, но заставляет вас щелкнуть ссылку, открыть файл или установить программу, имеющую гнусные намерения. Вы также найдете клонированные и поддельные веб-сайты, предназначенные для кражи вашего логина или финансовой информации для последующего использования. В некоторых случаях ваш компьютер подвергается атаке только потому, что его можно использовать в качестве бота в более крупной сети, которая может делать много вещей. Ботнеты для атак на сайты являются обычным явлением, но все более распространенным становится захват мощности вашего компьютера для работы в более крупной сети, добывающей биткойны и другие альтернативные монеты для финансовой выгоды других.

Еще одна из наиболее распространенных атак — злоумышленник посередине. Именно здесь в вашей среде размещается точка беспроводного доступа, находящаяся под контролем хакера, так что весь ваш логин и трафик данных направляется через точку управления, которая может быть зарегистрирована и доступна. Использование общедоступного / открытого Wi-Fi в отелях, кофейнях и т. Д. Также ставит ваши данные в опасное положение. Как остановить эти атаки — постоянный вопрос, но есть шаги, которые вы можете использовать для их смягчения.Не используйте одни и те же пароли снова и снова. Используйте парольные фразы, такие как I W3nt to h @ wa11 4 phun, вместо слов, которые можно угадать с помощью словарных атак. VPN, а не бесплатные, которые часто сами по себе являются мошенничеством, следует использовать на любом беспроводном устройстве, используемом в сети, находящейся вне вашего контроля. При правильном использовании VPN данные между вами и посещаемыми вами веб-сайтами шифруются от посторонних глаз.


Орен Кедем

@BioCatch

Орен Кедем обладает более чем 15-летним опытом управления продуктами в области обнаружения веб-мошенничества и безопасности предприятия.До BioCatch Орен занимал должность директора по маркетингу продуктов в Trusteer (теперь часть IBM) и возглавлял решение по борьбе с мошенничеством в электронной коммерции в RSA (теперь часть EMC). Орен также работал на различных должностях по маркетингу и управлению продуктами в BMC, занимаясь решениями для управления идентификацией и доступом и системного управления. Орен имеет степени MBA и BSc. Имеет степень бакалавра промышленной инженерии Израильского технологического института (Технион).

Наиболее распространенными атаками на организации являются …

, именуемые Advanced Persistent Threats (APT).Эти атаки состоят из двух основных фаз: разведки и атаки. Социальная инженерия играет роль в обоих. На этапе атаки подробные данные организации, бизнеса и внутренних процессов используются, чтобы убедить сотрудников выполнить действие, направленное на извлечение конфиденциальных документов или выполнение действия (например, одобрить транзакцию во внутренней системе).

Атаки используют простые средства связи, такие как телефонные звонки и сообщения электронной почты, которые, как представляется, исходят из надежного источника — например, звонок из банка или электронное письмо от клиента или партнера.Во время этого общения сотрудников просят выполнить действия, которые соответствуют нормам деловой жизни (например, не могли бы вы одобрить эту транзакцию? Не могли бы вы отправить мне контракт для подписания?).

Эти атаки очень эффективны, если преступник сделал свою домашнюю работу и обладает всей необходимой информацией. Откуда преступники в первую очередь берут информацию? Что ж … вот здесь и вступает в игру фаза разведки. На этом этапе, который может занять от нескольких месяцев до года (отсюда и постоянство в APT), преступник обычно заражает несколько компьютеров организации шпионским ПО и терпеливо анализирует информацию и учетные данные.

Социальная инженерия используется, чтобы убедить сотрудников установить вредоносное программное обеспечение или открыть веб-страницу или документ, содержащий вредоносный код эксплойта (т. Е. Код, который умеет устанавливать программное обеспечение автоматически). В одном печально известном случае — взломе RSA — администратор отдела кадров открыл лист Excel, который был прикреплен к электронному письму (предположительно, со статистикой по кадрам), и заразил свой компьютер вредоносным ПО. Несколько месяцев спустя код был украден из RSA, а позже этот код был использован для атаки на Lockheed Martin в сочетании с другими телефонами и электронными письмами, использующими методы социальной инженерии.

Итак, что могут сделать организации?

Обучайте сотрудников следовать нескольким простым правилам:

Правило № 1: НИКОГДА не отвечайте на нежелательные сообщения (электронная почта / телефон), не подтвердив личность человека на другой стороне. Самый простой способ подтвердить это — сообщить человеку, что вы перезвоните ему по проверенному телефону.

Правило № 2: НИКОГДА не открывайте вложения или не заходите на сайт из ненадежного / недействительного источника. Многие организации настроили небезопасные компьютеры отдела для доступа к любому документу или сайту (физическому или удаленному).Эти компьютеры часто выходят из строя и никогда не должны хранить конфиденциальные данные.

Правило № 3: Изменяйте пароль и доступ часто (каждые несколько месяцев) и спорадически (не предсказуемо, когда меняются пароли, чтобы мошенники не планировали заранее).

Правило № 4: Образование, образование, образование. Делитесь с сотрудниками «историями войны» и отраслевым опытом. Они не могут быть осторожными, если не знают об угрозах.


Роберто Родригес

@HumanFirewalls

Роберто А.Родригес — руководитель HumanFirewall в HumanFirewalls LLC. HumanFirewalls — это организация, расположенная в Делавэре, которая гордится тем, что предлагает лучшие услуги безопасности, такие как осведомленность о безопасности, анализ угроз, мониторинг сетевой безопасности, управление соответствием, управление уязвимостями и контроль целостности. Humanfirewalls понимает, что малые / средние компании редко имеют собственный опыт, время или бюджет для внедрения правильных мер безопасности, которые могли бы защитить их организации от угроз, которые теперь способны избежать обнаружения и обойти традиционные меры безопасности.

Наиболее распространенными атаками социальной инженерии на компании являются …

Фишинг и копирование фишинга

Фишинговое электронное письмо — это специально созданное электронное письмо, которое якобы отправлено из известного надежного источника и может обмануть пользователя. загрузить вложение, щелкнуть вредоносную ссылку или просто сотрудничать, чтобы предоставить конфиденциальную информацию, такую ​​как ваши пароли. Эти электронные письма, например, могут быть отправлены всей организации без таргетинга на конкретных людей в компании.С другой стороны, электронные письма Spear Phishing — это электронные письма, созданные специально для нескольких человек в организации, которые могут иметь ценную информацию для злоумышленника.

В целом фишинг в течение последних двух лет активно использовался киберпреступниками для проникновения в организации. Заняв 3-е место в отчете Verizon за 2014 год, стало ясно, что киберпреступники уделяют больше внимания человеческому фактору, а не существующим технологиям, потому что создание фишинговых писем обходится недорого.Существуют инструменты с открытым исходным кодом, такие как SET (набор инструментов социальной инженерии), которые могут помочь злоумышленнику обойти передовые технологии. Спам-фильтры хороши, но в конечном итоге они становятся фундаментальным уровнем безопасности для организации, если злоумышленник знает, как заставить пользователя сотрудничать, не заставляя его или ее щелкать ссылку. Прекрасным примером может служить получение электронного письма от вашего банка с просьбой позвонить по номеру, указанному в электронном письме, и изменить PIN-код банкомата. Киберпреступник предоставляет номер, по которому он ожидает пересылки сообщения в реальный банк, но зеркалирует / перехватывает / анализирует трафик или разговор, которому пользователь доверяет номер в электронном письме.

Как это предотвратить?

Компании должны подходить к обеспечению безопасности с упреждающим контролем безопасности, учитывающим человеческий фактор. Программы обучения по вопросам безопасности действительно полезны для снижения риска взлома и повышения уровня осведомленности в организации.

Вишинг (голосовая связь и фишинг)

Эта социальная атака обманом заставляет пользователя по телефону раскрыть конфиденциальную информацию об организации. Это очень распространено в отделах обслуживания клиентов, где они пытаются удовлетворить клиента по телефону и в конечном итоге предоставляют информацию, которую можно использовать для взлома сети.Информация различается и может включать имена возможных целей, часы работы, финансовую или личную информацию и даже сброс пароля.

Как это предотвратить?

Расширенное обучение безопасности, чтобы убедиться, что пользователь понимает, какой тип информации им разрешено раскрывать. Кроме того, различные технологии в местах, такие как решения NAC, которые ограничивают доступ к данным, которые не могут быть переданы без авторизации.

Tailgating or Piggybacking

Это социальная атака, в которой задействованы злоумышленник без авторизованного доступа и сотрудник с низким уровнем осведомленности.Это работает, когда неосведомленный пользователь сотрудничает и предоставляет неавторизованному лицу доступ в ограниченную зону. Это обычное дело во многих организациях, потому что всегда есть люди, такие как курьеры из разных учреждений, бросающие посылки и взаимодействующие с неосведомленными пользователями, создавая определенный уровень комфорта и делая это рутиной. Опять же, такие технологии, как использование карточек для входа в лифты или открытия дверей в крупных организациях, не всегда работают, и это потому, что все, что нужно, это: «Я забыл свой бейдж и опаздываю на встречу.Не могли бы вы? », Чтобы обмануть пользователя и получить доступ.

Как это предотвратить?

Еще раз, тренинг по безопасности, где пользователь изучает различные политики безопасности, применяемые в организации, и может определить определенные модели поведения, которые могли подвергнуть свою организацию риску в прошлом.


Jayson Street

@JaysonStreet

Джейсон — рейнджер информационной службы Pwnie Express, известный спикер конференции и автор книги «Dissecting the hack: The F0rb1dd3n Network» .«Pwnie Express обеспечивает непрерывную видимость во всем проводном / беспроводном / радиочастотном спектре, во всех физических точках, включая удаленные узлы и филиалы, обнаруживая« заведомо плохие », неавторизованные, уязвимые и подозрительные устройства.

Вот некоторые из наиболее распространенных атак социальной инженерии …

Общее решение для всех — повышение осведомленности и обучение сотрудников. Компаниям необходимо включать методы обеспечения безопасности в свои должностные инструкции и должным образом обучать сотрудников критически мыслить и надлежащим образом реагировать на подозрительные действия.Как смягчить атаки:

1. Spearphishing: Вопреки распространенному мнению, сегодняшние атаки spearphishing тщательно рассчитаны и тщательно продуманы, чтобы быть актуальными и не тревожить пользователя. Распознать подделку не так просто, как думает большинство людей, поэтому сотрудников необходимо научить задавать вопросы и проверять непрошенные ссылки, звоня отправителю, отправляя отдельное дополнительное электронное письмо или проверяя с помощью таких сервисов, как https: //www.virustotal. com /.

2. Техник-мошенник: Под видом техников или курьеров незаметные социальные инженеры проникают прямо в организации и могут физически взломать сеть.Сотрудники должны соблюдать базовые тренинги по «опасности незнакомцев» и следить за тем, чтобы каждый, кто входит в здание, имел встречу или заранее установленную цель.

3. Вредоносные веб-сайты: Часто вредоносные веб-сайты маскируются под корпоративные или партнерские сайты и предлагают посетителям обновить java / Adobe или установить определенный плагин. Пользователи всегда должны закрывать браузер и открывать новый, чтобы напрямую обновлять java или Adobe со своих официальных сайтов. Если пользователям предлагается указать конкретную программу или отсутствующий подключаемый модуль, им следует закрыть браузер и отправить электронное письмо на веб-сайт с вопросом о конкретной проблеме конфигурации.


Патрисия Титус

@RUSecur

За более чем 20-летний опыт управления безопасностью на нескольких вертикальных рынках Патрисия Титус отвечала за разработку и внедрение надежных программ информационной безопасности, обеспечивающих постоянную защиту конфиденциальной корпоративной, клиентской и личной информации в ее различные позиции.

Совсем недавно Титус занимал пост вице-президента и директора по информационной безопасности в Freddie Mac и играл стратегическую роль в защите и целостности информационных активов Freddie Mac, трансформировав программу информационной безопасности, включая программу управления идентификацией и доступом.Титус также является членом Консультативного совета по визуальной конфиденциальности.

Хотя существует несколько технических решений для предотвращения атак социальной инженерии, самым слабым звеном часто является …

Человек. Только с помощью тщательной подготовки, обучения и тестирования вы сможете успешно справиться с этой растущей проблемой.

Распространенные методы цифровой социальной инженерии — это методы, которые обманывают или обманывают наших сотрудников для предоставления информации, ведущей к информационному расследованию, получению доступа к системам или преступному поведению, включая мошенничество.

Чтобы предотвратить атаки социальной инженерии, начните с обращения к людям, процессам и технологиям и примите во внимание следующие шаги:

Люди

  • Разработайте и внедрите целевую программу повышения осведомленности о безопасности, основанную на социальной инженерии. Сделайте его интересным и интерактивным.
  • Создайте в компании маркетинговую кампанию по повышению осведомленности о безопасности в области социальной инженерии, чтобы помочь сотрудникам понять, как компания решает проблему.Информируйте сотрудников, партнеров, поставщиков и т. Д. Об угрозе и их ответственности за ее предотвращение.
  • Создайте структуру и программу для высоконадежных или привилегированных сотрудников.
  • Этим сотрудникам разрешено работать с самой конфиденциальной информацией.
  • У них повышенная подготовка и тестирование.
  • Компания регулярно проводит усиленную проверку биографических данных, включая выборочную проверку на наркотики и проверку кредитоспособности.

Процесс

  • Определите ваши критически важные данные или данные, которые могут нанести наибольший вред в случае использования социальной инженерии.Обратитесь к третьей стороне для проведения оценки рисков, чтобы определить любые возможные бреши в безопасности.
  • Установите правила или политику обработки критически важных данных.
  • Сообщите руководству или, возможно, совету директоров о результатах ваших тестов социальной инженерии, как положительных, так и отрицательных.
  • Выполняйте случайные и запланированные тесты для всех сотрудников с использованием методов социальной инженерии.

Технологии

Выбор технологий очень разнообразен и зависит от данных, которые необходимо защитить от социальной инженерии.Он может включать следующие технологические программы или проекты, но не ограничивается ими:

  • Управление идентификацией и доступом
  • Система управления инцидентами и событиями безопасности
  • Технология вредоносного ПО без сигнатур
  • Прокси-сервер, блокирующий как белые, так и черные списки
  • Мониторинг входящей и исходящей связи

Грег Скотт

@DGregScott

Грег Скотт — ветеран бурной ИТ-индустрии. Проработав консультантом в Digital Equipment Corporation, крупной компьютерной компании в свое время, Скотт в 1994 году разветвился самостоятельно и основал Scott Consulting.Более крупная фирма купила Scott Consulting в 1999 году, когда крах доткомов опустошил индустрию ИТ-услуг. В конце 1999 года Скотт снова ушел сам по себе и основал Infrasupport Corporation, на этот раз сфокусировавшись на инфраструктуре и безопасности. В настоящее время он живет в Миннеаполисе / Сент. Пол метро с женой, дочерью и двумя внуками. Он имеет несколько сертификатов ИТ-индустрии, в том числе номер CISSP 358671.

Самыми распространенными атаками социальной инженерии, которые я видел, являются самые распространенные атаки социальной инженерии…

Фишинговые письма. Я должен получать их 200 или больше каждый божий день. Каждый раз, когда я участвую в другом форуме технической поддержки, кто-то должен продать мой адрес электронной почты новому спамеру / фишеру. Наиболее распространенными из них в последнее время являются электронные письма, якобы пришедшие от Amazon, с просьбой открыть файл .zip или .doc с последним обновлением. Я получаю несколько просьб указать номер для отслеживания товаров, которые я предположительно отправил. Иногда требуя их — просто нажмите на этот документ, чтобы увидеть счет, который я якобы отправил.Иногда имена в электронных письмах совпадают с именами людей, которых я знаю, поэтому они меня заставляют открывать электронные письма. Но не вложения.

Старомодные телефонные звонки возвращаются. У некоторых плохих парней в наши дни есть IP-телефоны с номерами вызывающих абонентов в моем коде города, что побуждает меня отвечать, когда они звонят. Я взял один сегодня утром у дамы с сильным акцентом. Она хотела отправить мою подарочную карту на 100 долларов, которую я попросил у кого-то на прошлой неделе. Когда я спросил, кто это был, она ответила, что не знает, что ее компания выполняет заказы от многих клиентов, и у нее нет возможности узнать, какой это клиент.Я не сказал ей «спасибо».

И еще всегда есть поддельные телефонные звонки в службу поддержки.

Как от этого защититься? Я ничего не могу поделать с входящими электронными письмами. Фильтрация спама избавляется от некоторых из них, но ничто не может заменить здравый смысл, и никакая автоматизация не будет эффективна на 100 процентов. Всякий раз, когда я думаю, что электронное письмо может быть законным, я проверяю заголовок электронного письма, чтобы узнать, откуда оно пришло. Лучшая защита от этого — старомодная человеческая бдительность.То же самое и с телефонными схемами.


Ондрей Крехель

@lifarsllc

Ондрей Крехель, CISSP, CEH, CEI, EnCE, является основателем и руководителем LIFARS LLC, международной фирмы по кибербезопасности и цифровой криминалистике. Он бывший директор по информационной безопасности службы 911 по краже личных данных, ведущей национальной службы по восстановлению кражи личных данных и управлению утечками данных. Ранее он проводил судебно-медицинские расследования и руководил отделом кибербезопасности в Stroz Friedberg и Loews Corporation.Обладая двадцатилетним опытом работы в области компьютерной безопасности и цифровой криминалистики, он начал расследования по широкому кругу вопросов ИТ-безопасности, от хакерских атак до утечки данных и кражи интеллектуальной собственности. Его работа привлекла внимание CNN, Reuters, The Wall Street Journal, The New York Times и многих других.

Некоторые из распространенных типов тактики социальной инженерии включают …

Фишинг — популярный способ получения конфиденциальной информации и учетных данных от пользователей путем рассылки массовых электронных писем, которые имитируют дизайн и форму, например, электронное письмо от банка, страховой компании и т. д.в надежде обманом заставить пользователей отказаться от информации. Эта информация впоследствии может быть использована для открытия мошеннических кредитных карт или получения доступа к различным онлайн-счетам.

Spear Phishing — более изощренная форма фишинга. Злоумышленники, стоящие за целевыми фишинговыми кампаниями, обычно знают больше информации о жертвах и нацелены именно на них. Например, в недавнем случае взлома LastPass были украдены адреса электронной почты (вместе с другой информацией). Скорее всего, ими будут злоупотреблять, и злоумышленники отправят владельцам этих почтовых ящиков электронное письмо, которое будет напоминать официальное электронное письмо LastPass, которое будет рекомендовать пользователям изменить свои пароли, но когда пользователи это сделают, они фактически отправят его на киберпреступники.Точно так же целевой фишинг — один из наиболее эффективных способов взлома сети. Жертвы обычно получают поддельное электронное письмо от кого-то в компании с важным документом, который обычно устанавливает вредоносное ПО или какой-либо тип трояна, который будет использоваться для взлома их компьютера. Этот первоначальный вектор атаки оказался чрезвычайно эффективным и часто используется в кампаниях кибершпионажа высокого уровня.

Другой часто используемой формой социальной инженерии являются телефонные звонки. Это может произойти как часть более крупного мошенничества или как отдельное мошенничество.

Часть более крупного мошенничества:

Представьте себе, что данные банковского счета человека украдены хакерами. Они не смогут отправлять деньги без ввода уникального кода, который отправляется на телефон жертвы. Известно, что мошенники связываются с жертвой до того, как переводят деньги со счета и лгут, чтобы жертва сообщила уникальный код. Они могут сказать что-нибудь вроде «Привет». Мы наблюдаем подозрительную активность в вашем аккаунте. Чтобы проверить рассматриваемую активность, нам нужно будет подтвердить, что вы действительно являетесь владельцем учетной записи.Вскоре вы получите подтверждающее SMS. Как только вы его получите, прочтите код мне, и мы продолжим рассмотрение. — Это очень эффективно.

Как отдельная афера:

Вам звонит человек, утверждающий, что он сотрудник службы технической поддержки Microsoft, которому поручено связаться с вами по поводу ошибки, которую он получает от вашего компьютера. Чтобы исправить ошибку, он попросит вас установить одну небольшую программу, которую он использует для диагностики проблемы. Эта программа обычно является вредоносной.Часто с регистратором ключей и трояном удаленного доступа, которым они могут злоупотребить, чтобы украсть ваши банковские данные, а также все, что им заблагорассудится. Они также часто просят вас оплатить услугу кредитной картой — и, к сожалению, многие люди на нее попадают. Это всего лишь несколько примеров того, как социальная инженерия в цифровой сфере может использоваться для совершения преступлений и преследования невинных людей.


Амихай Шульман

@Imperva

Амихай Шульман — соучредитель и технический директор Imperva.Амичай курирует исследовательскую группу компании по безопасности и соответствию, Центр защиты приложений (ADC). ADC приписывают обнаружение уязвимостей в коммерческих веб-приложениях и продуктах баз данных, включая Oracle, IBM и Microsoft. Он также был техническим директором InfoWorld в 2006 году.

Когда дело доходит до атак социальной инженерии, компании должны понимать …

Социальная инженерия — один из самых мощных инструментов, используемых злоумышленниками, и, вероятно, он лежит в самой основе. каждого серьезного нарушения.Существует множество неправильных представлений о том, как в основном используется социальная инженерия, но реальность гораздо менее гламурна, чем восприятие, и часто возникает по электронной почте.

Большая часть киберпреступности связана с массовыми инфекционными кампаниями, основанными на массовой социальной инженерии. При распространении в достаточно большом количестве эти сообщения обязательно найдут свою целевую группу жертв и станут эффективными. При осторожном распределении (например, выбирая адреса типа [email protected], hr @ someorg.com), эти кампании становятся еще более эффективными с меньшими списками рассылки (что также затрудняет их обнаружение как спам).

Вот два очень распространенных метода электронной почты, которые я получил только за последние несколько недель:

1. Соответствие электронной почты целевой аудитории

Нередко можно получать электронные письма, которые кажутся совершенно нормальными и могут быть от компании, которую вы работали с ранее, но на самом деле заражены. Например, я получил электронное письмо от юридической фирмы, с которой я работал.Я заметил, что в список получателей включены все контакты из списка юристов, и я смог сказать, что это было сделано с помощью средств автоматизации. Я уверен, что других в списке обманули, так как они, вероятно, ждали информации от этого самого адвоката и не подозревали, что подверглись нападению. Если ваши электронные письма выглядят законными и актуальными, многие люди не будут дважды задумываться о полученном письме.

2. Спуфинг

Мне недавно прислали электронное письмо от туристического агентства, в котором я забронировал поездку, и мне отправили стандартное электронное письмо из отдельной учетной записи, которая выдавала себя за адрес отправителя.Я предполагаю, что большинство людей станут жертвами этой атаки, поскольку письмо выглядит так, как будто оно пришло с доверенного адреса. При этом часто злоумышленники получают информацию от своей жертвы просто из ответа. Что мы можем сделать?

Хотя обучение сотрудников необходимо, заражение неизбежно. Будут нажиматься ссылки, а вложения загружаться, открываться и выполняться, потому что это работа среднего сотрудника. Организации должны сосредоточиться на создании пакета безопасности, который быстро обнаруживает скомпрометированный компьютер или учетную запись, а затем быстро и автоматически применяет карантин к тому, что было скомпрометировано, предотвращая дальнейший доступ к конфиденциальным корпоративным данным.


Кен Симпсон

@ttul

Кен Симпсон — соучредитель и генеральный директор MailChannels. Кен впервые испытал азарт и магию программного обеспечения, когда его отец принес домой один из первых компьютеров IBM в 1980 году и научил его писать простые программы на BASIC. С тех пор он объединил свою страсть к программному обеспечению с предпринимательством, основав или участвуя в качестве начального сотрудника в четырех успешных стартапах в широком спектре технических областей, включая передачу голоса по IP, беспроводной Интернет и, конечно же, борьбу со спамом.Кен имеет диплом с отличием в области компьютерной инженерии в Университете Саймона Фрейзера и Университете Санта-Клары. В Рабочей группе по борьбе с злоупотреблениями в обмене сообщениями (MAAWG) Кен делит свое время, управляя подкомитетами по ботнетам и веб-злоупотреблениям, а также помогая в работе подкомитета исходящих нарушений.

Социальная инженерия обычно используется для …

Расширить уже существующую утечку информации. Так, например, злоумышленник может иметь определенную информацию о сотрудниках в компании, и он использует эту информацию, чтобы узнать что-то новое — например, пароль для внутренней системы.Существует заблуждение, что социальная инженерия — это одноразовая сделка: один фальшивый звонок от кабельной компании, и внезапно украдены миллионы номеров кредитных карт. Профессиональные киберпреступники извлекают по частям, постепенно проникая в глубь организации.

Например, RSA была взломана с помощью социальной инженерии, чтобы получить доступ к инфраструктуре SecurID. Первым шагом было отправка двух фишинговых сообщений двум группам сотрудников относительно низкого уровня.Тема была «Рекрутинг 2011», и сообщения содержали вредоносную программу Excel, которая провела атаку нулевого дня на компьютеры сотрудников. Несмотря на то, что файл Excel был помещен в нежелательную папку, по крайней мере один сотрудник извлек его из нежелательной почты и открыл, запустив вредоносное ПО и поставив под угрозу свою машину. До фишинговых сообщений предполагалось, что злоумышленник использовал социальные сети, такие как LinkedIn, для сопоставления целей компании по имени и что они угадывали адреса электронной почты, используя знакомый шаблон, такой как первый[email protected] После установки вредоносного ПО злоумышленник просматривал файлы в целевой системе и обращался к внутренним веб-сайтам RSA для определения более ценных целей. Имея эту информацию в руках, они двигались к более высоким целям и, в конечном итоге, к данным, которые они искали.

Вообще говоря, наиболее распространенная атака социальной инженерии в наши дни — это целенаправленная фишинговая атака. При целевом фишинге, таком как случай RSA, описанный выше, злоумышленник нацеливается на очень конкретных сотрудников с сообщением, которое они могут интерпретировать как подлинное.На целевое фишинговое сообщение либо поступает ответ, содержащий информацию, которая позволяет злоумышленнику глубже зондировать, либо он напрямую приводит к установке вредоносного ПО. В любом случае, следующий шаг — продвинуться дальше в организацию либо в электронном виде через уязвимости, либо через дополнительные целевые фишинговые электронные письма другим в организации, расположенные через внутренние каталоги.


Курт Симионе

@TechnologySeed

Курт основал Technology Seed, LLC в июне 2000 года.Курт участвует в большинстве аспектов бизнеса, включая работу «закатывая рукава». По своей сути он умеет устранять неполадки и с удовольствием справляется с проблемами, возникающими при работе с ИТ. Курт, как известно, время от времени играл со своими детьми в игру Bruin’s.

Наиболее распространенные типы атак социальной инженерии, осуществляемые против компаний, включают …

Мошенничество по электронной почте, хотя ничего нового не происходит от случайных рассылок электронной почты до сотен тысяч целей и до целевых, преднамеренных атак по электронной почте.Электронные мошенники умело используют социальную инженерию:

1. Изучите и выберите целевую компанию.

а. Это существенное отличие от исторических атак, которые были случайными.

2. Приобретите необходимые инструменты атаки (доменное имя почти идентичное имени целевой компании).

а. Это существенное изменение, поскольку эта атака фактически стоит денег мошеннику.

3. Выберите соответствующих руководителей целевой компании.

4.Придумайте мошенничество, которое обычно включает в себя хорошо написанное электронное письмо, предназначенное для использования доверия руководителей высшего звена, которые слишком заняты, чтобы должным образом проверять свои электронные письма.

В I.T. world, мы обнаруживаем, что независимо от того, какие шаги мы предпринимаем, какую бы технологию мы ни внедряли, обучение конечных пользователей является лучшей защитой от этих типов (и большинства типов) мошенничества. Поднимите бровь на все, что кажется странным, кажется вам неправильным или чего вы не ожидали. Если вы не уверены, возьмите трубку и позвоните в надежный ресурс.


Луис А. Чапетти

@CudaSecurity

Луис А. Чапетти, инженер-программист и специалист по данным, Barracuda. Луис является частью центральной разведывательной группы Barracuda, где он носит различные шляпы, связанные с системами защиты IP-репутации, базами данных Spydef и другими основными средствами безопасности в системе защиты Barracuda Real-time.

Когда дело доходит до социальной инженерии и предотвращения подобных атак против вашей компании, я рекомендую …

Когда-то хакеры и спамеры полагались на рассылку спама / фишинговых писем как можно большему количеству глаз, чтобы получить доступ к конфиденциальной информации через вредоносные вложения или ссылки.Попытки спама / фишинга превратились в чрезвычайно специфические и, по сути, самые продвинутые постоянные угрозы, наблюдаемые на сегодняшний день. Используя тактику социальных сетей, чтобы найти кого угодно, злоумышленники отлично умеют персонализировать фишинговые письма.

LinkedIn предоставил обширную информацию о сотрудниках практически любой компании. Facebook может помочь злоумышленнику, найдя не только руководителей высшего звена, но и членов семьи, которые могут иметь доступ к мобильному устройству или машинам, подключенным к сети.

Это два часто используемых элемента в социальной инженерии, в целях безопасности мы рекомендуем следующее:

  • Используйте систему управления мобильными устройствами, обеспечивающую такой же высокий уровень безопасности, который вы ожидаете увидеть в своей штаб-квартире, куда бы вы ни пошли.
  • Сегментируйте уровень доступа. Убедитесь, что только люди, имеющие доступ к конфиденциальным данным, имеют определенные учетные данные для этих данных.
  • Используйте мощный фильтр электронной почты. Таким образом почти все успешные атаки получают какую-либо информацию или заражают машины.
  • LinkedIn и Facebook следует использовать для связи только с теми, кого вы знаете или с которыми ведете бизнес. Относитесь к нему как к таковому и помните, что это не конкурс популярности, в конце концов, это может дорого обойтись.
  • Обучите своих сотрудников и убедитесь, что они осведомлены о потенциальном риске подобных атак социальной инженерии. Чем больше они узнают, тем лучше будут ваши сотрудники и компания.

Натан Максвелл

@CCI_team

Натан Максвелл (Nathan Maxwell) — консультант по кибербезопасности, помогающий организациям получать доступ к рискам / снижать риски и делать себя немного сложнее для компромисса, чем в соседней компании.

Социальная инженерия продолжает оставаться широко распространенным способом для злоумышленников закрепиться в организации …

Самым слабым звеном в компании по-прежнему остаются сотрудники, которые там работают.

Методы атак настолько же распространены, насколько и утомительны. Иногда они используют данные, полученные в результате массовых утечек корпоративной информации. Эти электронные письма созданы так, чтобы находить отклик у получателя. Чтобы иметь степень достоверности: «Они уже знают это обо мне …»

В креативных электронных письмах заглавная I заменяется строчной l.Они будут использовать международные символы, например, é vs è vs ė vs e. Все они предназначены для того, чтобы обмануть получателя относительно того, кто на самом деле отправил электронное письмо.

Хотя есть несколько способов использовать технологии для защиты от социальной инженерии, наиболее эффективным является обучение сотрудников. Простые инструкции, такие как «Не нажимайте на ссылки», имеют большое значение. Если письмо пришло от Dropbox, удалите сообщение, откройте вкладку браузера, введите www.dropbox.com и соответствующим образом взаимодействуйте с веб-сайтом.

Кроме того, использование службы электронной почты, которая проверяет каждый веб-адрес при щелчке по нему, является отличным временным решением.


Kamyar Shah

@kshahwork

Kamyar Shah — консультант по малому бизнесу, помогающий компаниям повысить прибыльность и производительность, предлагая услуги удаленного CMO и удаленного COO.

Слишком много разных способов назвать их все; однако у наиболее успешных атак социальной инженерии есть несколько общих черт …

Источником, как правило, является авторитетное место, такое как банк или правительство, и создание ощущения безотлагательности посредством потенциальной выгоды или потенциального вреда. / штрафы.

Хотя существует несколько сложных инструментов, которые могут помочь в минимизации воздействия таких атак, два наиболее эффективных из них включают обучение и резервное копирование. Непрерывное обучение и обучение конечных пользователей поможет снизить общее количество успешных атак, а резервное копирование послужит страховкой в ​​случае успеха атаки.


Ян Макрей

@encomputers

Ян Макрей — президент E-N Computers, Inc. Ян всю свою жизнь увлечен технологиями.Он предоставляет ИТ-услуги в Вашингтоне, округ Колумбия, и Вирджинии с 1997 года. Ему нравится решать проблемы, знать, что возможно, и сочетать правильное сочетание людей, процессов и технологий, чтобы немного облегчить жизнь.

Я вижу три категории атак социальной инженерии …

1. Прямой запрос денег или информации о кредитной карте в электронном виде.

Избежать этого может быть сложнее, чем вы думаете. Хорошо помнить, что если кто-то просит вас предоставить информацию или отправить электронную форму денег, и это немного необычно, замедлиться и свериться с ними, используя дополнительный метод.Например, если вы получили электронное письмо от начальника с просьбой приобрести коды подарочных сертификатов Apple iTunes и отправить ему по электронной почте, позвоните ему на его мобильный телефон и сделайте голосовое подтверждение перед выполнением запроса.

2. Запрос доступа к вашим учетным записям или паролям, который обычно выполняется путем нажатия на ссылку и перехода на веб-сайт, на котором будет запрашиваться ваша информация.

Я вижу, что многие из них охотятся на новых пользователей, которые изображают из себя популярные веб-системы, такие как DropBox или Office 365.Хотя эти системы небезопасны, плохие парни используют свои логотипы и охотятся на пользователей, которые еще не до конца понимают, чего ожидать от новых технологий. Например, придет электронное письмо с сообщением, что у вас есть новый факс Office 365, и если вы нажмете на ссылку, им действительно может понадобиться ваш пароль или доступ для установки программного обеспечения на ваши компьютеры. Как только доступ и информация предоставлены, злоумышленники могут получить другие учетные данные, такие как доступ к банковским счетам, деловая информация, информация о кредитной карте, с которой вы можете регулярно работать в Интернете.

3. Выкуп.

Вы можете получить электронное письмо с сообщением: «У нас есть ваш пароль и компрометирующее видео с вашим участием, заплатите нам или иначе». Есть много способов предотвратить подобное с вами. Во-первых, когда вы получаете новое программное обеспечение или систему, вам необходимо пройти обучение, а не только тому, как использовать их в первый раз. Обучение должно быть непрерывным. Образование — лучший способ удержать этих преступников от страха перед технологиями. Например, одна из используемых нами мер — симуляторы фишинга, которые помогают людям распознавать злонамеренные попытки.

Для предприятий еще один способ предотвратить это — открытые линии связи со службой ИТ-поддержки, если она у вас есть. Мы обнаружили, что если вы этого не сделаете и у вас есть поставщик услуг с почасовой оплатой, это может помешать пользователям брать трубку. Это общение имеет первостепенное значение в борьбе с атаками социальной инженерии. Ваши сотрудники должны чувствовать себя комфортно, поднимая трубку и спрашивая о странном электронном или текстовом сообщении. Кроме того, конечно, предприятиям необходимы надежный контроль паролей и безопасность.


Аднан Раджа

@AtlanticNet

Аднан Раджа — вице-президент по маркетингу компании Atlantic.Net, решение для веб-хостинга, которое обеспечивает HIPAA-совместимый, управляемый и выделенный облачный хостинг.

Атаки социальной инженерии очень распространены на современном цифровом рабочем месте …

По сути, сотрудники компании становятся мишенью и часто обманом заставляют непреднамеренно выдать конфиденциальную информацию. Часто это происходит по электронной почте или по телефону. Целями могут быть все: от генерального директора до коллег по службе поддержки.

Распространенные атаки включают фишинг, когда третья сторона пытается выдать себя за подлинный источник и отправлять мошеннические сообщения с целью извлечения конфиденциальных данных.Типичный пример — выдача себя за банки, страховых брокеров или юридических фирм. Фишинговые электронные письма маскируются под подлинно выглядящий брендинг компании, публикующий фальшивые объявления компании.

Другая распространенная атака — производная фишинга, известная как китобойный промысел. Это когда высший руководящий персонал, такой как генеральный директор, директора или высокопоставленный персонал, преследуется целью получения информации. Хакеры часто охотятся на людей с большим оттоком учетных записей электронной почты, когда более вероятно случайное открытие фальшивых вложений.Такие угрозы, как поддельные счета-фактуры, содержащие вредоносный макрокод, могут внедряться в компьютер и добывать данные или нажатия чувствительных клавиш.

Аутсорсинг ИТ-операций провайдеру с хорошей репутацией в области безопасности — это один из вариантов, который можно рассмотреть для предотвращения атак социальной инженерии. Эти поставщики управляемых услуг могут предложить уровень аппаратной защиты для бизнес-ИТ-систем, а также упреждающе отслеживать подозрительную активность и обнаруживать угрозы.


Брэндон Шрот

@gwdatarecovery

Брэндон Шрот — цифровой менеджер Gillware Data Recovery, компании мирового класса по восстановлению данных и лаборатории цифровой криминалистики.

Персонал службы поддержки может получать телефонные звонки от людей, подделывающих информацию …

Возможен сброс пароля или попытки получить доступ к конфиденциальной информации, такой как информация о банковском счете. Колл-центр может стать целью, когда хакер имеет некоторую общую информацию о цели, и он будет использовать упорство для извлечения дополнительной информации из колл-центра. Регулярное обучение персонала имеет первостепенное значение для сотрудников, чтобы они могли изучить методы атак социальной инженерии и убедиться, что они всегда следуют лучшим практикам безопасности.


Владимир Мурашка

@ScienceSoft

Владимир Мурашка — сертифицированный этический хакер в ScienceSoft с более чем 6-летним опытом тестирования на проникновение. Сферы компетенции Владислава включают реверс-инжиниринг, тестирование на проникновение в веб- и мобильные приложения с использованием черного, белого и серого ящиков, поиск ошибок и исследовательскую работу в области информационной безопасности.

Атаки социальной инженерии, такие как фишинговые электронные письма и кража личных данных, являются наиболее распространенными киберугрозами, с которыми сталкиваются компании.

Оставить комментарий

Добавить комментарий

Ваш адрес email не будет опубликован.

© 2019 Штирлиц Сеть печатных салонов в Перми

Цифровая печать, цветное и черно-белое копирование документов, сканирование документов, ризография в Перми.