Соціальна інженерія - розпізнавання вразливостей безпеки
Ви коли-небудь стикалися з небезпекою соціальної інженерії у вашій компанії? Соціальна інженерія може вплинути на будь-яку компанію, часто зі значним економічним збитком. Дізнайтеся в цій статті, як захиститися від подібних атак і як навчити співробітників вчасно розпізнавати їх.
У соціальній інженерії зловмисники вибирають витончені методи, щоб спонукати жертв діяти у своїх інтересах. Таким чином, співробітники можуть стати загрозою для всіх ІТ-безпеки підприємств. Ми покажемо вам, як діяти зловмисники і які заходи захисту ви можете вжити.
Жодна діра в брандмауері не несе відповідальності за цю загрозу безпеці, а скоріше співробітники компанії або, можливо, навіть ви! Одні шкідливі програми часто створюються в системі абсолютно непомітно.
Соціальний хакер імітує знайомий процес, щоб у жертви не було перегляду: список від постачальника послуг або навіть від самого начальника чи USB-накопичувач із логотипом компанії. Атаки традиційно розробляються таким чином, що одержувачу пропонується виконати певну дію: наприклад, введіть пароль на підробленому веб-сайті компанії.
Соціальна інженерія - методи атаки
Але як соціальні хакери зв'язуються з жертвою?
Звісно, забезпечення певних підготовчих заходів. Так, соціальні хакери підтримують контактну інформацію, наприклад, у розмові зі співробітниками, у соціальних мережах або через інтернет-дослідження.
На другому етапі з цільовою особою поспіль зв'язуються. Шахраї традиційно застосовують психологічні хитрощі та грають із цікавістю, почуттям обов'язку або довірою жертви.
Під час атаки на конкретну компанію соціальна інженерія фактично є лише початком витонченої атаки. Соціальний хакер дає доступ до комп'ютера в мережевих компаніях, щоб продовжити атаку за допомогою інших методів. Створивши доступ до мережі мережі, він може отримати доступ до інших комп'ютерів у внутрішній мережі.
Вони містять різні інструменти для отримання потрібної інформації від людей. Використовують не тільки електронну пошту або носій даних, як-от USB-накопичувачі, а й телефонні дзвінки з терміновими запитами конфіденційної інформації.
У соціальному хакерстві намагаються неграмотність і довірливість користувачів мережі, щоб подолати заходи безпеки ІТ-системи. Під час злому вибору такої стратегії атаки:
Приманка - гра з цікавістю
Як щодо невідомого, інтригу USB-накопичувача або компакт-диска на столі? Що ховається за посиланням у дивному листі? На цьому етапі зловмисник грає не тільки з цікавістю, а й з довірою людей.
Адже флешка з логотипом компанії не може бути поганою! Щойно носій даних опиниться в ПК, перенесений туди цікавим співробітником, шкідлива програма переходить на комп'ютер.
Фішинг – класика
Класичний і найпоширеніший варіант соціальної інженерії, який останніми роками випускається все частіше - це рибалка. Методом цього способу є перехоплення паролів від користувачів.
Стратегія прямого фішингу
Під час прямого фішингу соціальний хакер намагається відразу вкрасти паролі та використовувати дані. В електронному листі або SMS-повідомленні користувачеві пропонується перейти за посиланням на певну домашню сторінку, щоб зберегти там свої дані - звичайно зі значенням, що це необхідно для забезпечення безпеки.
У минулому рибальському листі часто можна було ідентифікувати як таке з першого погляду (поганий дизайн, неправильна адреса, помилки в листі), сьогодні вони намагаються завоювати довіру своєї жертви за допомогою професійного дизайну та оригінального підходу. Передбачуваний електронний лист відпущений з проханням ввести дані банку для доступу до онлайн-банкінгу здається оманливо реальним.
Заголовок листа SMTP надає інформацію про справжнє походження, але багато хто його не перевіряє. Ці фішингові атаки зазвичай повідомляються великими хвилями з кількома тисячами одержувачів електронної пошти.
Spear Phishing - складний промисловий шпіонаж
Тоді як рибалка передбачає закидання сітки в надії, що на ситці потрапить якомога більше риби, цільовий фішинг спрямований на проведення дуже цілеспрямованих атак на конкретну жертву.
Спочатку акцент робиться на конкретній цільовій людині в компанії. На першому етапі зловмисник розглядає все, що потрібно знати про цю людину та її оточення, наприклад, важливо вивчає інформацію з Інтернету або облікових записів соціальної мережі. Потім, на другому етапі, він надсилає електронний лист або SMS з особистими даними, які мають доступ до віри цільової людини.
Наприклад, людину просять відкрити певне посилання або вкладення, внаслідок чого шкідливий ПЗ потрапляє на ПК і, таким чином, у мережу компанії. Після того, як цей крок буде зроблено, соціальні хакери підтримують доступ до цінної інформації, наприклад до даних доступу до комп'ютерів мережі.
Крім економічної шкоди, наприклад, через промислове шпигунство або втрату/просту інформацію через крипто-троянів, також корпорації завдають нематеріальної шкоди (шкоди репутації та втрати довіри клієнтів).
Соціальна інженерія: 3 ефективні контрзаходи
1. Навчайте співробітників
Соціальна інженерія можлива тільки завдяки невідомості співробітників. Тому профілю і просвіти від самого початку є найефективнішими заходи протидії. Співробітники мають бути обізнані про тему соціальної інженерії ще на етапі прийому в компанію.
Можна багато чого досягти, просто навчивши співробітників простих правил. Як розвинути здоровий скептицизм щодо незнайомців? Як розпізнати атаки соціальної інженерії? Якою має бути їхня реакція на можливість атаки соціальної інженерії? Як поводитися з електронними листами або носіями інформації від невідомих відправників?
Останніми роками соціальні мережі залишають дедалі більше і більше джерел інформації для соціальних хакерів, також існує потреба в роз'ясненнях щодо допустимого рівня розкриття особистої та професійної інформації.
2. Виконайте тест на проникнення
Тест на проникнення дає можливість випробувати атаки соціальної інженерії на виробничу систему на додаток до інших атак. Тест проходив охоронною компанією, яка потім бере на себе роль соціального хакера та ініціює різні контрольовані атаки на мережу.
Необхідно від мети, "соціально корисні хакери" попередньо узгодити, які саме засоби будуть використані, які типи тестів на проникнення будуть використовуватися і за яких умов завершитися атака.
Таким чином можна визначити слабкі місця та краще оцінити небезпеки. Через високу складність ці тести пов'язані з великими витратами часу і грошей.
3. ІТ-безпека за рахунок безперервного моніторингу
Тести на проникнення зазвичай приймаються не частіше ніж один раз на рік, а промислові комп'ютерні системи забезпечують постійний моніторинг мережі.
Ви можете встановлювати з них у вашу мережу, щоб можна було автоматизувати управління промисловими ризиками, аналізувати всі мережеві з'єднання в системі, допомагати виявляти атаки і буде знову повідомляти про перевірені процеси.
Такі системи не включаються у виробничу мережу, а швидше пасивно сканують її, тим самим уникаючи ненавмисних збоїв у мережевому зв'язку. Завдяки процесу пасивного сканування кібератаки виявляється з самого початку, і можуть бути вжиті відповідні контрзаходи для обмеження ступеня збитку.
Сучасні зломи показують, що у багатьох людський фактор - це найкращий вхід у корпоративні та виробничі мережі. Умілі маніпуляції використовують для використання несвідомих моделей поведінки людини з отриманням доступу до цінних комерційних секретів або злому захищених мереж.
Так звані цільові фішингові атаки, під час яких соціальні хакери обирають за свої атаки співробітників, ви є особливо небезпечними для компаній, після чого саме співробітники є найслабшою ланкою в ланцюжку з точки зору аспектів безпеки.
Для захисту від таких нападів компаніям необхідний цілісний підхід до безпеки, що включає навчання співробітників, а також установку промислової комп’ютерної системи, яка безперервно контролює ІТ-інфраструктуру.
Фахівці ESKA розробляють та впроваджують ефективні програми з кіберобізнаності працівників. Детальніше відвідайте наш сайт.