QA-инженеры проводят тестирование защищенности программного продукта для выявления уязвимостей и дефектов безопасности. Тем не менее, даже систему, обладающую высокой степенью защиты, можно взломать просто потому, что ею управляет человек.
Социальная инженерия представляет это набор техник и методов, используемых злоумышленниками для манипулирования людьми с целью получения доступа к конфиденциальной информации или выполнения других нежелательных действий. Объектом атаки при социальной инженерии является человек. В отличие от технических кибератак, которые направлены на взлом систем и инфраструктуры, социальная инженерия использует психологические методы манипулирования людьми для достижения своих целей
В контексте информационной безопасности термин «социальная инженерия» используется для описания науки и искусства психологической манипуляции. По статистике, 55% убытков, связанных с нарушениями информационной безопасности, возникают по вине сотрудников, подвергшихся влиянию социальных инженеров.
Закажите
бесплатную консультацию специалистов «Точка качества» и узнайте, какие угрозы актуальны для вашего программного продукта и что следует протестировать в вашем случае.
Приёмы социальной инженерии
Приемы социальной инженерии представляют собой различные методы и тактики, которые используют злоумышленники для манипулирования людьми с целью получения доступа к конфиденциальной информации или системам. Вот несколько распространенных приемов социальной инженерии:
Авторитет
Злоумышленники могут представляться авторитетными или влиятельными лицами, такими как руководители, сотрудники ИТ-службы или правоохранительные органы, чтобы убедить жертву в необходимости предоставить запрашиваемую информацию.
Социальное доказательство
Злоумышленники могут ссылаться на то, что "все остальные это делают", чтобы создать у жертвы ощущение, что запрашиваемые действия являются нормой и приемлемы.
Обязательство и последовательность
Злоумышленники могут побудить жертву дать первоначальное согласие на незначительную просьбу, а затем использовать это согласие, чтобы требовать выполнения более серьезных просьб.
Дефицит
Злоумышленники могут создавать ощущение срочности или дефицита, утверждая, например, что предлагаемая возможность доступна в ограниченное время или в ограниченном количестве.
Жалость
Злоумышленники могут пытаться вызвать чувство жалости или сочувствия у жертвы, представляясь в качестве нуждающихся или страдающих людей.
Перевод вины
Злоумышленники могут пытаться переложить вину на жертву, обвиняя ее в каких-либо упущениях или ошибках, чтобы заставить жертву чувствовать себя виноватой и подчиниться их требованиям.
Популярные методы и виды социальной инженерии
Фишинг
Фишинг-атаки – это самый популярный вид мошенничества в социальной инженерии. Целью фишинга является незаконное получение конфиденциальных данных пользователей (логина и пароля). Для атаки пользователей злоумышленники используют электронную почту, предварительно собрав из открытых источников список работников компании и их имейл-адреса. После сбора адресов хакеры переходят к подготовке письма с полезной нагрузкой.
Полезная нагрузка, как правило, может быть двух типов:
- Поддельная страница корпоративного ресурса, которая используется для кражи паролей пользователей корпоративной сети.
- Вредоносный офисный документ.
Для создания поддельной страницы злоумышленники копируют HTML- и JavaScript-код оригинального корпоративного ресурса и добавляют изменения, которые позволяют получать пароль и логин, вводимые пользователями.
В офисные файлы, как правило, добавляют вредоносный код, который выполняется при открытии. Для добавления кода используют стандартную функцию Microsoft Office — создание макросов. Запущенный документ скачивает исполняемый файл, который заражает рабочую машину пользователя и предоставляет взломщикам удаленный доступ для кражи информации.
Троянский конь
Троянский конь также является видом социальной инженерии. Троянские атаки это вид вредоносных программ, которые маскируются под безопасные или полезные приложения, чтобы обманом заставить пользователя установить их на свое устройство. Когда троянский конь установлен, он может осуществлять различные злонамеренные действия.
Эта техника использует такие качества потенциальной жертвы, как любопытство и алчность. Социальный инженер отправляет e-mail с бесплатным видео или обновлением антивируса во вложении. Жертва сохраняет вложенные файлы, которые на самом деле являются троянскими программами. Такая техника останется эффективной до тех пор, пока пользователи продолжают бездумно сохранять или открывать любые вложения.
Помимо вложений злоумышленники могут использовать USB-устройства (накопители и другую периферию).
В такой атаке, как и в случае с вложениями, злоумышленники эксплуатируют любопытство пользователя, который обнаружил флешку на парковке или получил её в подарок на мероприятии.
При подключении такого устройства компьютер определит его как клавиатуру. После этого флешка пошлет компьютеру команды для установки вредоносного программного обеспечения или кражи конфиденциальных данных. Со стороны пользователю будет казаться, что кто-то набирает на компьютере команды с клавиатуры.
Троянский конь обычно используется для достижения следующих целей:
Троянский конь предоставляет злоумышленникам возможность удаленного управления зараженным устройством. Это позволяет им выполнять различные вредоносные действия, такие как кража данных, мониторинг активности пользователя, установка дополнительного вредоносного ПО и многое другое.
- Сбор конфиденциальной информации
Троянцы могут быть запрограммированы на сбор и передачу злоумышленникам различной чувствительной информации, включая учетные данные, финансовые сведения, личные сообщения и другие ценные данные.
Злоумышленники могут использовать зараженные троянским конем устройства для создания ботнетов - сетей подконтрольных компьютеров, которые могут использоваться для проведения массовых кибератак, рассылки спама или майнинга криптовалюты.
Некоторые разновидности троянских коней могут шифровать или блокировать доступ к файлам на зараженном компьютере, требуя выкуп за их восстановление.
Троянцы могут быть использованы для вывода из строя критически важных систем, вызывая сбои в работе организаций или нарушая их повседневную деятельность.
Претекстинг
Претекстинг – это атака, проводимая по заранее подготовленному сценарию. Такие атаки направлены на развитие чувства доверия жертвы к злоумышленнику. Атаки обычно осуществляются по телефону. Этот метод зачастую не требует предварительной подготовки и поиска данных о жертве.
Примеры претекстинговой атаки:
-
Звонок от "службы поддержки": злоумышленник представляется сотрудником службы поддержки компании и убеждает жертву предоставить ему учетные данные или другую чувствительную информацию для "решения технических проблем".
-
Фальшивый запрос на обновление данных: злоумышленник рассылает письма или сообщения, в которых просит жертву обновить личную информацию, такую как пароли или банковские реквизиты, под предлогом "обновления системы" или "проведения проверки".
Кви про кво
Кви про кво –это вид атаки в котором злоумышленники обещают жертве обмен на факты. Например, злоумышленник звонит в компанию, представляется сотрудником технической поддержки и предлагает установить «необходимое» программное обеспечение. После того, как получено согласие на установку программ, нарушитель получает доступ к системе и ко всем данным, хранящимся в ней.
Tailgating
Tailgating или piggybacking – это несанкционированный проход злоумышленника вместе с законным пользователем через пропускной пункт. Такой способ невозможно применять в компаниях, где сотрудникам необходимо использовать пропуски для входа на территорию предприятия.
Очевидно, что социальная инженерия может нанести огромный ущерб любой организации. Именно поэтому необходимо принимать все возможные меры, для предотвращения атак на человеческий фактор.
Методы защиты от социальной инженерии
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
- не используйте один и тот же пароль для доступа к внешним и корпоративным ресурсам;
- не открывайте письма, полученные из ненадежных источников;
- блокируйте компьютер, когда не находитесь на рабочем месте;
- установите антивирус;
- ознакомьтесь с политикой конфиденциальности вашей компании. Все сотрудники должны быть проинструктированы о том, как вести себя с посетителями и что делать при обнаружении незаконного проникновения;
- обсуждайте по телефону и в личном разговоре только необходимую информацию;
- необходимо удалять все конфиденциальные документы с портативных устройств.
Если вы все еще считаете, что социальная инженерия не заслуживает должного внимания, почитайте о таких известных социальных инженерах, как Виктор Люстиг (человек, который дважды продал Эйфелеву башню) или Робин Сейдж (фальшивый аккаунт в Facebook, благодаря которому Томас Райан получил доступ к секретной информации американских спецслужб).
