Украсть данные компании, выведать пароли, получить доступ к конфиденциальной информации – именно этим занимаются злоумышленники, применяющие технологии социальной инженерии. Ведь это один из наиболее простых и не затратных способов проникнуть в организацию.
В известном трактате «Искусство войны» есть замечательная фраза — «Знай врага и знай себя. Тогда в тысяче битв не потерпишь поражения». Только изучив тактику социальных инженеров, можно выработать эффективные методы, позволяющие противостоять им. Ведь они с готовностью и на полную катушку используют главный постулат Сунь Цзы, позволяющий им проникнуть за рубежи обороны компании: война – это искусство обмана.
Известный хакер Кевин Митник популяризировал идею социальной инженерии еще в 90х. Но сам принцип стар и прост как мир: мошенник обманывает человека с целью получить выгоду. С развитием средств коммуникаций изменилась тактика работы с жертвой. И сегодня мы рассмотрим самые распространенные из них.
Прием первый: разделяй и властвуй
Любой злоумышленник понимает, что с наскока получить важную информацию не получится. Поэтому стратегия работы с сотрудниками компании обычно разделяется на несколько этапов и может длиться до нескольких месяцев. Главное орудие проникновения, как ни странно – телефон. Ведь в наше время высоких технологий именно он позволяет вести достаточно персонализированное общение, при этом очень грамотно дозировать информацию, оставаясь инкогнито. Вдумайтесь, ведь на самом деле вы очень часто не знаете ничего о человеке на том конце трубки. Кроме голоса, номера телефона и того, что он вам сам говорит.
Обычно нападение начинается с прощупывания почвы: социальный инженер просто обзванивает определенный круг сотрудников. Конечная задача «интервента» – убедить собеседника в том, что он является приятелем работодателя, доверенным лицом, находящимся за периметром организации, например адвокатом, аудитором, инвестором или представителем государственных органов власти. Только получив доверие и виртуальные полномочия, он сможет добыть нужную информацию.
При этом первый звонок вряд ли будет адресован начальнику отделения, ведущему инженеру или менеджеру. Гораздо проще двигаться по иерархической лестнице снизу вверх, начав с секретаря или рядового сотрудника одного из отделов. При успешном контакте гораздо проще выйти на новый уровень. Ведь, сотрудники, находящиеся на руководящих должностях, относятся гораздо подозрительнее к непонятным контактам. А злоумышленнику нужно легитимироваться перед выходом на такой контакт: гораздо проще завоевать доверие руководителя, если сотрудник внутри компании уже подтвердил личность и полномочия.
По словам Сола Лифрери, ветерана полиции Нью Йорка с 20ти летним стажем, в данный момент проводящего тренинги при организации Защитные Операции, между злоумышленником и целью обычно лежит минимум шесть шагов, которые нужно сделать, чтобы добраться до цели.
Лифрери считает, что хороший работник должен быть немного аналитиком и слегка параноиком. Ведь никогда не известно, какую цель преследует человек, обратившийся в компанию. И, как ни странно, на первой линии обороны всегда находится секретарь, оператор колл-центра или охранник на входе – это именно те люди, с которыми контактируют все обратившиеся в компанию.
Прием второй: изучить корпоративный язык
В каждой отрасли есть свой сленг. И хоть очень часто мы этого просто не замечаем, именно язык, использование специфических терминов и лексики – «сленга», являются основным идентификатором «свой-чужой».
Специалисты по корпоративному шпионажу знают об этом. И активно используют для достижения своих целей. Ведь, если человек говорит с вами на одном языке – вы бессознательно будете доверять ему. Вы легче переступите через запреты и принципы, передавая важные данные, если услышите, привычные уху, термины, лексику, акронимы.
Прием третий: украденная музыка
Успешным социальным инженерам нужно время, терпение и упорство, чтобы добиться цели. Атаки обычно осуществляются медленно и методично. Подготовка включает не только сбор лакомых кусочков информации о жертве, но и детальное изучение окружения, это позволяет создать доверительную атмосферу между хищником и жертвой. Особо изощренные злоумышленники даже умудряются мимикрировать под одного из руководителей компании.
Один из распространенных приемов — запись музыки, которая включается во время удержания звонка в компании.
На первоначальном этапе проникновения, злоумышленник записывает музыку, которая звучит во время удержания звонка. В дальнейшем используется следующая модель: при разговоре социальный инженер представляется сотрудником компании, работающим в другом офисе или находящимся в командировке. Во время разговора, он сообщает сотруднику, что ему срочно нужно ответить на вызов по другой линии, и естественно, включает «корпоративную» музыку. В этот момент жертва, услышав знакомую мелодию, перестает сомневаться, и решает, что на другом конце провода действительно коллега из другого офиса.
Прием четвертый: другой номер телефона
Социальный инженер может звонить из своей квартиры, при этом его номер будет определяться, как один из внутренних телефонов компании. По словам Лифрери такой прием уже далеко как не редкость.
Естественно, информацию в таком случае передадут в руки злоумышленнику, ведь внутренним номером телефона он уже подтвердил свою личность.
Прием пятый: новости и фишинг
Последние новости – это отличная приманка, на которую очень часто «клюет» персонал компании, считает начальник службы безопасности компании McAfee Дэвид Маркус. Как показало исследование, проведенное в США, наиболее уязвимыми для таких атак является банковская сфера.
Обычно афера происходит следующим образом. Во время слияния организаций сотрудники массово получают письма, примерно следующего содержания: «Банк X приобретен Банком Y. Просьба актуализировать информацию в CRM до закрытия сделки». В письме присутствует текстовая ссылка на личный кабинет сотрудника, который выглядит один-в-один, как настоящий. Но, естественно, таковым не является. Работник переходит по ссылке и вводит свои регистрационные данные. В этот момент защитный периметр организации уже прорван, а данные для входа во внутреннюю сеть попали в руки к третьим лицам.
Такой обман, с использованием «подставных» страниц, который имитируют оригинальные пользовательские кабинеты и сайты получил название – фишинг.
Алгоритм борьбы
Сложные системы авторизации, контроль перемещения данных, запреты на копирование – могут значительно обезопасить компанию, но вряд ли полностью ликвидируют угрозу.
Чаще всего, руководители считают, что беречь нужно только цифровую или печатную информацию, такую как контакты клиентов, новые разработки и исследования. При этом наивно полагая, что через мессенджеры или телефон невозможно получить все ценные данные целиком.
На самом деле первая линия информационной обороны компании – контроль голосовых переговоров по телефону или мессенджерам. Так, компания как минимум, сможет узнать, что за ее информацией уже ведется охота, а не будет оставаться в блаженном неведении до момента хищения информации.
Важным моментом является контроль длительности переговоров. Для каждого отдела должны быть соответствующие временные рамки. Если сотрудник разговаривал с клиентом полчаса, вместо положенных пяти минут, значит что-то явно пошло не так. Или он решал личные вопросы, или его уже начал «обрабатывать» социальный инженер. А если таких звонков было несколько, хотя до этого длительные разговоры были редки, как динозавры, значит над вашими ценными данными уже нависла нешуточная угроза.
Также стоит следить за содержанием переговоров. Излишнее любопытство звонящих, или беседы на отвлеченные темы могут стать маркерами, сигнализирующими об угрозе.
Системы защиты данных, позволяющие реагировать на «кодовые слова» в разговорной речи, станут отличным дополнением к информационному щиту компании. Стоит отметить, что для борьбы с хакерами, применяющими приемы социальной инженерии, настраивать такие инструменты нужно не только на такие слова, как «взятка» или «список клиентов». В разговоре сотрудников со сторонними лицами использование слов, как, например, «хобби», «развлечения», «свидание» и подобных, может сигнализировать о двух вещах: либо они заняты не работой, либо за информацией уже полным ходом идет охота. Своевременное оповещение и реакция на подобные диалоги снизят вероятность утечки данных и значительно повысят эффективность работы за счет формализации делового общения.
Ну и конечно последний инструмент, о котором стоит упомянуть – контроль почты и серфинга сети. Если один из способов атаки – фишинг, ответственное лицо всегда сможет своевременно отреагировать на небезопасный спам и предупредить сотрудников. А запрет на перемещение по адресу определенного интернет-ресурса поможет не допустить утечки данных.
По материалам издания CSO