the Retail Finance

Культовый журнал новой финансовой элиты

CОЦИАЛЬНАЯ ИНЖЕНЕРИЯ - РЕАЛЬНАЯ УГРОЗА БЕЗОПАСНОСТИ

olesya.gif - Diebold

Приходилось ли вам когда-либо задумываться, насколько вы уязвимы? Например, сложно ли будет чужаку проникнуть в ваше жилище? Наверняка у вас установлены стальные двери, охранная сигнализация, кодовый замок и вы уверены, что эти меры безопасности исключают проникновение грабителя в ваш дом. К сожалению, это не так. Вы и ваше жилище всегда будете уязвимы для преступника, который выберет «умный» способ проникновения — он сделает так, что вы сами откроете ему двери собственного дома.

Содержимое отделений банков и офисов финансовых институтов имеет высокую материальную ценность, поэтому системы безопасности все время совершенствуются. Но даже несмотря на самые усиленные меры охраны, компании никогда не защищены полностью. Информация здесь — самая высокая ценность, а самое уязвимое звено системы — человек.

По мнению британского философа и социолога Карла Раймунда Поппера, термин «социальная инженерия » был впервые введен в
1922 году в работе Р. Паунда «Введение в философию права». В российской научной литературе середины 80-х годов упоминание социальной инженерии во многом связано с работами по критике
западной социологии и социальной психологии.

Поппер определял социальную инженерию как «деятельность по
проектированию новых социальных институтов, а также по перестройке и управлению уже существующими социальными институтами путем частичных, постепенных реформ и изменений»(1).
Проще говоря, это способы манипулирования сознанием людей с целью породить новую модель поведения.

В эру распространения информационых технологий, совершенствования как методов защиты информации, так и способов ее хищения, данный термин несет немного иное и более узкое значение.

Сейчас социальная инженерия — это методы, которыми хакеры и мошенники пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности. Это не просто взлом программного обеспечения или системы безопасности, это мошеннические действия, выраженные в обмане людей, введение в заблуждение персонала компаний с целью получения их конфиденциальной информации, паролей, электронных ключей, пин-кодов — всего, что позволит в дальнейшем преступнику проникнуть в систему, нарушить ее безопасность, завладеть денежными средствами. В большинстве случаев это просто несколько звонков по телефону с целью выяснения какой-либо информации, которую затем мошенник будет использовать на пути к конечной цели — хищению.

Откуда социальный инженер знает детали многих операций правоохранительных органов, работы телефонных компаний, специфических организаций, чья деятельность связана с телекоммуникациями и компьютерами?

Риторический вопрос. Знает, потому что его работа — знать это. Такие знания — товар социального инженера, они же и являются оружием в достижении цели.

Немалая заслуга в описании современных способов социальной инженерии и защиты от нее принадлежит Кевину Митнику — поистине культовой фигуре в истории мошенничеств XX века. В своей книге «Искусство обмана» он определяет социальную инженерию как способ «заставлять людей делать вещи, которые они не стали бы обычно делать для незнакомца». Используя собственный опыт хакера, которому были подвластны любые «стены», он дает неоценимые советы по организации безопасности компании.

Каждая компания владеет целым комплексом ценностей, которые могут быть интересны преступнику (наличные и безналичные деньги, ценные вещи, акции, конфиденциальная информация, пароли, договоры, корпоративные справочники и т. п.).

Многие готовы переступить закон ради того, чтобы завладеть чужими ценностями. Вор попытается украдкой вынести наличность, грабитель или разбойник завладеет имуществом при помощи силовых методов, мошенник обманет и сделает так, что вы сами, ничего не подозревая, отдадите ему свою собственность.

Целью всех этих людей будут материальные ценности, деньги, нечто осязаемое, что мы попытаемся спрятать или защитить. Умысел социального инженера иной. Целью его посягательства является информация, которую он по крупицам собирает на протяжении длительного времени, шаг за шагом, достигая в итоге своей цели.

Прочные двери защитят вас от вторжений извне. Стальные сейфы и крепкие замки защитят от взломов и кражи. Комплекс программного обеспечения оградит компьютеры сотрудников от вредоносных программ. Но все эти средства никогда не защитят от самой опасной атаки — атаки социального инженера, который будет использовать наиболее уязвимое звено системы безопасности — человека. Простого и наивного сотрудника, владеющего минимумом информации, которую никто даже и не считает секретной. Опасность заключается в том, что самая малейшая и незначительная частичка информации в руках социального инженера — серьезное оружие, которое он обязательно пустит в ход.

Распространенные методы социальной инженерии

Звонок по телефону

Одним из самых распространенных и простых методов получения информации является простой телефонный звонок в организацию для выявления тех, кто имеет необходимую информацию. Далее совершается звонок техническому администратору от имени служащего, у которого якобы возникла неотложная проблема доступа к системе.

У социального инженера всегда есть несколько способов: он может попросить вас оказать помощь либо сделать так, чтобы эту помощь попросили вы и с благодарностью приняли. Он может представиться старшим по статусу и в приказном порядке заставить вас или вашего секретаря отправить факс с важными данными. Список вариантов практически бесконечен.

Проблема в том, что зачастую в крупных компаниях настолько много сотрудников, что даже служащие одного отдела порой не помнят имен друг друга, не знают лиц и голосов своих коллег. Это хорошая лазейка для социального инженера. Он может представиться реально существующим человеком из реального подразделения вашей компании и задать вам вполне естественный вопрос. Неужели вы откажете? Возникнет ли у вас мысль, что этот человек самозванец?

К тому же вам покажется, что информация, которую он запрашивает, вовсе не является секретной. А тем временем мошенник получает ценный дар в виде первого ключа в цепочке, которая приведет его к «кладу».

Пример телефонного разговора социального инженера и служащего компании.

Взломщик:
А лло, это приемная?
Жертва:
Да.
В.:
Это администрация сети. От руководства компании поступило указание по усилению мер защиты корпоративной сети. Надеемся, вы помните, как важно хранить свои конфиденциальные данные? Отлично. Мы только что поменяли программную систему защиты. Необходимо проверить, все ли у вас нормально работает. Как вы обычно регистрируетесь в системе?
Ж.:
Ввожу свои имя и пароль.
В.:
Хорошо... (Пауза) Какое у вас имя пользователя?
Ж.:
irina.
В.:
Ирина... (Пауза) Отлично. Какой у вас раньше был пароль?
Ж.:
12frh.
В.:
Одну минуту… Замечательно. Мы проверили работу новой защиты. Попробуйте сейчас зарегистрироваться заново.
Ж.:

«Фрикинг»
— разновидность взлома, при которой используются телефонные сети, телефонные системы и служащие телефонных компаний.
Электронная почта и интернет

Практика получения информации с помощью электронной почты мало отличается от телефонного разговора. Социальному инженеру доступны все возможные способы обмануть вас и выдать себя за другого человека.

Например, опытному хакеру несложно изменить исходящий сетевой IP-адрес либо обратный адрес отправителя или прислать вам ссылку на сайт, как две капли воды похожий на сайт вашего банка, где вы вводите номер вашей кредитной карты, чтобы узнать состояние счета.

Вам могут предложить скачать небольшую программу, которая установит на ваш компьютер вирус — «троянского коня», а он позволит злоумышленнику получить доступ к файлам на вашем компьютере, проникнуть во внутреннюю сеть компании, получить любую информацию и даже уничтожить ее.

В мире практически нет пароля, который не мог бы быть взломан, и нет компьютера, до которого не сможет добраться опытный хакер. В сети интернет можно найти огромное количество ценной информации — вплоть до имен и телефонов должностных лиц компании. Помните, что эта информация зачастую получена незаконным путем и может быть крайне опасной в руках социального инженера.

«Троянский конь»

Некоторые «троянцы» прячутся в операционной системе компьютера, записывают каждую нажатую пользователем клавишу или принимают команды через сетевое соединение с целью выполнения некоторых вредоносных функций. Все это, как правило, происходит без ведома жертвы.
— программа, содержащая хулиганский или вредоносный код, созданная для того, чтобы проникнуть в компьютер и получить доступ к файлам или данным жесткого диска или сети.
Не надейтесь, что сетевая защита и брандмауэры защитят вашу информацию. Следите за самым уязвимым местом. В большинстве случаев вы обнаружите, что уязвимость заключается в ваших людях.

Кевин Митник

Личная встреча, проникновение в здание

Казалось, проникновение незваного гостя в офис организации полностью исключено. Но для социального инженера это не составит большого труда. Мошенник может выдать себя за служащего компании, раздобыв корпоративную форму, визитку или бейдж. Этот способ позволит ему относительно легко проникнуть внутрь, минуя службу охраны.

Еще проще ввести в заблуждение обслуживающий персонал. Простой уборщик не обязан знать всех служащих в лицо и препятствовать человеку, который представился сотрудником одного из отделов, доходчиво обосновав свой поздний визит.

Социальный инженер обязательно воспользуется этим преимуществом, проникнет в здание и получит все необходимые данные.

Как правило, социальные инженеры избегают личных встреч. Всегда существует вероятность разоблачения, да и «светить» свою внешность мошеннику ни к чему. Поэтому самая распространенная техника взлома в социальной инженерии — телефонный звонок. Тем не менее в некоторых случаях социальный инженер может пойти и на такой рискованный шаг, как личная встреча.
Симпатия, вина и запугивание — это три очень популярных психологических трюка, используемых социальным инженером.

Кевин Митник

Теперь мы знаем, что для опытного социального инженера практически нет ничего невыполнимого. Возможно ли защититься от вторжения?

Важная составляющая человеческого общения — стремление доверять другим, но, как говорят японцы, бизнес — это война. Ваш бизнес не может позволить себе ослабить защиту. Корпоративная техника безопасности должна четко определять поведение сотрудника в тех или иных ситуациях.

Человек является самым слабым звеном в безопасности системы. Четкий инструктаж сотрудников всех уровней окажет необходимую помощь для предотвращения кражи вашей информации.

Брошюры, листовки, почтовая рассылка, постоянные тренинги и семинары — служба безопасности должна любым способом поддерживать уровень знаний по корпоративной безопасности среди со трудников. Необходима, например, четкая инструкция для секретариата, так как он является центральным и «пропускным» звеном корпоративной системы.

Важно определить способы идентификации звонящего, чтобы удостовериться, является ли он тем, за кого себя выдает. Все сотрудники должны быть проинструктированы, как вести себя с посетителями.

Они должны помнить о правилах безопасной работы с электронной почтой и сетью интернет. Особое внимание следует уделить подбору и хранению паролей для входа в систему, их своевременному обновлению, способам выбора правильного и наименее уязвимого пароля (в серьезных компаниях, которые заботятся о безопасности информации, специальная система просто не позволяет выбрать пароль, который, к примеру, включает словарное слово либо только набор цифр).

Рекомендуется проводить контрольные проверки сотрудников на уязвимость (например, звонки в организацию с целью получения определенной информации). Также важны систематические тренинги с целью закрепления полученных знаний, их совершенствования и постоянного применения в рабочей обстановке.

В детстве нас учили не доверять незнакомцам. К сожалению, со временем мы стали забывать это несложное правило. Технические средства защиты, безусловно, значительно укрепляют «оборону» вашей компании. Но лишь обеспечив понимание вопросов корпоративной безопасности среди сотрудников, вы максимально защитите компанию от преступных действий мошенников.

Несмотря на миф о безбумажном офисе, компании продолжают печатать стопки бумаг каждый день. Печатная информация в вашей компании можетбыть уязвимой, даже если вы предпринимаете меры предосторожности и помечаете ее как конфиденциальную.

Любой сотрудник может передать эту информацию социальному инженеру, тем более последний наверняка обоснует свою просьбу так, что мысли отказать даже не возникнет.

(Пауза) Все работает хорошо. Спасибо!

Возможно, вы не поверите в то, что ваши сотрудники способны предоставить важную информацию незнакомцу. Ведь они обучены, проинструктированы, пользуются специальными паролями и ключами, бережно хранят документы, всегда знают имя и телефонный номер звонящего.

Вы даже не предполагаете, что опасность так близко — там, откуда вы ее совсем не ждете.

Олеся Карпова

Представитель по маркетингу

Московское представительство

компании Diebold, Inc.

Примечание

Поппер К. Открытое общество и его враги.

Т.1, М.: Феникс, 1992