Архив для категории: Блог

Социальная инженерия – неразлучный спутник фишинговых атак. Хакеры умеют отлично маскироваться под должностных лиц, представляющих госорганы или руководство, а также замечательно предугадывают модели поведения жертв. Однако многие забывают об одном важном аспекте: фишинговые атаки могут быть не только массовыми, но и точечными. При таком подходе злоумышленники воздействуют на избранных сотрудников. Жертвой может стать работник или отдел, руководитель которого отправился в отпуск. Не редки письма, манипулирующие пристрастиями персонала, к примеру, под удар могут попасть фанаты какого-либо футбольного клуба, если таковые присутствуют в компании.

Спектр примет, по которым хакеры выбирают цель, чрезвычайно широк. Атака может быть «заказана» конкурентами, компания может привлечь налетчиков хилой защитой. Нередки случаи, когда злоумышленников на цель наводит инсайдер – обиженный работник компании.

Один из распространенных приемов – программирование жертвы на определенные действия. Он подразумевает непосредственный контакт с одним или несколькими работниками посредством звонка. Представившись одним из системных администраторов службы поддержки, который проводит плановую смену паролей, социальный инженер руками сотрудника отключит все системы защиты, либо внедрит вирус. Зафиксирован ряд случаев, когда у злоумышленников получалось успешно мимикрировать под ТОП-менеджмент компании или работников государственных органов. Ничего не подозревающий сотрудник, естественно, выполнял все их просьбы, тем самым за ручку проводя хакеров сквозь защитный периметр.

Успешно предотвратить точечную атаку, проводимую с использованием социальной инженерии и фишинга, помогут несколько простых правил.

Первое – необходим контроль звонков. Любое общение, выходящее за рамки нормы, должно вызывать подозрение. Слишком долгий разговор по скайпу или телефону – сигнал о том, что то-то пошло не так. Возможно, это не начало атаки, но, как минимум у работника возникли проблемы.

Маркером может служить резкий всплеск активности входящих вызовов: в случае, если злоумышленников целая группа, они начнут искать «инсайдера поневоле» в небольшой промежуток времени. Контроль голосовых переговоров помогает эффективно выявлять и предотвращать атаки с использованием приемов социальной инженерии. Как только в диалоге будут упомянуты определенные фразы, система моментально уведомит ответственное лицо.

Второе – необходим контроль контента в социальных сетях. Именно из профилей работников хакеры выуживают массу полезной информации, которая помогает нанести максимально эффективный удар по системе безопасности. Причем ограничения в большей степени касаются руководителей различных рангов. Рядовой персонал не стоит ущемлять в социальной активности в нерабочее время, однако проинформировать о возможных опасностях явно не повредит.

Перед тем, как публиковать в аккаунте свой номер телефона, стоит десять раз подумать. Именно благодаря социальным сетям социальным инженерам удается быстро, легко и непринужденно составить список сотрудников, которым стоит позвонить в первую очередь.

Не меньший вред представляет опубликованная дата рождения. Лидером среди паролей все еще остается «12345», следом за ним идет плеяда индивидуальных кодов, формата «месяц-дата-год рождения». Есть два выхода из ситуации: или не указывать в профилях социальных сетей подобные данные, или никогда не использовать их в кодах доступа. Хакеры не дураки, и если захотят взломать аккаунт грубой силой, подобные числовые комбинации будут испробованы одними из первых, а узнать их, посетив страничку в Фейсбук – дело одной минуты.

Как бы смешно это не звучало, но фото, сделанные руководителем во время отпуска – прямое приглашение к началу атаки. Представьте, что будет, если перед отъездом в путешествие на дверь квартиры повесить табличку: «Дома никого нет. И не будет до конца недели». Конечно, можно надеяться на сталь и современные замки, но воров-домушников никто не вгоняет в искушение с надеждой на совершенство систем защиты, правда? Отпуск руководителя – замечательная возможность для хакеров использовать чужую личину, примерив которую можно раздавать указания работникам и обойти систему безопасности без особых проблем. Не стоит кричать на весь мир о появившейся уязвимости, а фотографии можно опубликовать без особого ущерба и вернувшись из теплых краев.

Несмотря на резонанс фишинговых атак, защититься от них можно. Однако для этого потребуются совокупные усилия всего коллектива компании, подкрепленные современными системами безопасности. И в первую очередь стоит обратить внимание на программные комплексы, позволяющие отслеживать переписку, переговоры, вести мониторинг трафика и контролировать действия персонала.

В современном мире киберпреступлений есть прием, который с легкостью консервного ножа вскрывает практически любой защитный периметр безопасности. При этом затраты на проведение атак подобного рода – минимальны. Конечно, речь идет о столь полюбившемся хакерам фишинге.

Наверное, пиратский черный флаг не внушал такого ужаса, как одно упоминание фишинга. И не зря, ведь для эффективного использования этого инструмента не обязательно быть хакером экстра-класса. Достаточно иметь минимальный бюджет на проведение операции и весьма посредственный уровень познания в информационных технологиях, чтобы добиться успеха. Причем, угроза висит не только над малым бизнесом, который часто в плане технической защищенности гол и бос, жертвой легко может стать крупная корпорация, хорошо оснащенная технически.

Почему фишинговые атаки настолько эффективны, если их может осуществить группа любителей, при этом в противовес им на арену выйдут профессионалы в сфере IT-безопасности? Ответ прост: злоумышленники наносят удар по самому уязвимому месту любой компании – человеку. Действия среднестатистического работника сами по себе, без воздействия извне, уже являются угрозой. Секретарь может сутками напролет скачивать музыку, а менеджер без устали играть в игры. На фоне подобного времяпрепровождения переход по непонятной ссылке в письме или запуск вредоносного вложения кажется вполне логичным. Если работник не привык думать, анализировать свои действия и предугадывать последствия, фишинговая атака пройдет успешно.

Для продвинутой системы информационной безопасности, работающей в совокупности с профессиональными IT-специалистами, среднестатистический работник представляет собой нечто, вроде вируса, регулярно вносящего риски и хаос в отлаженный кибермеханизм. С точки зрения машины, идеальная система защиты та, которая не содержит биологических объектов, то есть людей. Но, поскольку времена тотальной роботизации все еще не наступили, подобная мысль по своей сути утопическая, ведь «опасные люди» — это работники, зарабатывающие деньги компании, без них бизнес никуда не поплывет.

Раньше, как всегда, было проще, ведь даже простенький антивирус мог справиться с большей частью угроз. На сегодняшний день подобные программы с честью заслужили звание «прадедушек» систем информационной защиты, и уже давно не являются надежным щитом, спасающим от всего спектра опасностей. Угроза фишинга требует комплексного подхода, сочетающего в себе применение современных средств электронной защиты в совокупности с обучением персонала.

1. Контроль почты

Любая фишинговая атака начинается с письма. Причем письмо обязательно будет тщательно замаскированно под послание от вышестоящего руководства, организации-партнера, клиента или уведомление от госструктур и контролирующих органов.

Обычно угрозу в письме представляет именно ссылка, которая ведет на вредоносный сайт. Дальше все зависит от мастерства и подготовки хакеров. Например, на сайте может прятаться вредоносный код. Нередко внешний вид ссылки и сайта «подделывают» под какую-либо банковскую или учетную систему. Незадачливый пользователь, не видя подвоха, вводит свои регистрационные данные, которые тут же оказываются в руках у злоумышленников.

Независимо от вариаций возможного нанесения вреда, необходим трехэтапный контроль переписки. Первый – анализ адресата, именно благодаря схожим с оригинальными электронными ящиками госструктур, руководителей или партнеров по бизнесу, злоумышленникам удается манипулировать персоналом. Электронная система контроля должна отслеживать переписку и в случае возникновения опасности, начинать бить тревогу.

Второй – анализ контента. Содержащие вирус вложения и странные ссылки должны тщательно отслеживаться. Стоит отметить, что фишинговая атака обычно сопровождается массовой рассылкой писем, содержащих одинаковые заголовки и сходный контент. Современные системы защиты данных умеют выявлять подобные всплески вредоносной активности и адекватно реагировать на них.

Для руководителя есть еще один немаловажный бонус использования подобных программных комплексов. Часто утечки информации происходят именно через электронную почту. Кроме того, полезно проанализировать коммуникации персонала как внутри коллектива, так и с партнерами извне. К несчастью, случаи ненормативного общения или искажения информации происходят регулярно.

Ну и третий эшелон – использование так называемой «песочницы» для запуска подозрительных вложений. Это специальная выделенная среда, которая служит для безопасного исполнения программ.

2. Анализ трафика в режиме реального времени

Если все-таки фишинговое письмо просочилось внутрь организации, без интеллектуального анализа трафика в режиме реального времени не обойтись. Системы, обладающие такими возможностями, отслеживают опасные ссылки и блокируют клики по ним. Если, несмотря на все ухищрения, бойкий пользователь все же смог перейти на опасный сайт, система оповестит ответственное лицо, которое сможет своевременно принять меры. Это позволит не допустить заражение, либо, говоря о сайтах ворующих логины и пароли, своевременно обновить коды доступа к ресурсам.

3. Поведение пользователей

Важный элемент любой информационной защиты – мониторинг, анализ и контроль поведения пользователей. «Умные» системы контроля персонала умеют не только отслеживать активность в режиме реального времени, но и выявлять возможные рисковые ситуации. Например, если секретарь Маша бездумно открывает все письма подряд, даже те, которые рекламируют сомнительные БАДы, а менеджер Вова пытается запустить странное вложение, не смотря на крики и протесты антивируса, система выявит риски и уведомит руководителя. Останется ликвидировать потенциальные угрозы, модифицировав поведение «человеческого фактора» до приемлемого с точки зрения машины. То есть подготовить и обучить персонал.

Продолжение следует…