Социальная инженерия – неразлучный спутник фишинговых атак. Хакеры умеют отлично маскироваться под должностных лиц, представляющих госорганы или руководство, а также замечательно предугадывают модели поведения жертв. Однако многие забывают об одном важном аспекте: фишинговые атаки могут быть не только массовыми, но и точечными. При таком подходе злоумышленники воздействуют на избранных сотрудников. Жертвой может стать работник или отдел, руководитель которого отправился в отпуск. Не редки письма, манипулирующие пристрастиями персонала, к примеру, под удар могут попасть фанаты какого-либо футбольного клуба, если таковые присутствуют в компании.
Спектр примет, по которым хакеры выбирают цель, чрезвычайно широк. Атака может быть «заказана» конкурентами, компания может привлечь налетчиков хилой защитой. Нередки случаи, когда злоумышленников на цель наводит инсайдер – обиженный работник компании.
Один из распространенных приемов – программирование жертвы на определенные действия. Он подразумевает непосредственный контакт с одним или несколькими работниками посредством звонка. Представившись одним из системных администраторов службы поддержки, который проводит плановую смену паролей, социальный инженер руками сотрудника отключит все системы защиты, либо внедрит вирус. Зафиксирован ряд случаев, когда у злоумышленников получалось успешно мимикрировать под ТОП-менеджмент компании или работников государственных органов. Ничего не подозревающий сотрудник, естественно, выполнял все их просьбы, тем самым за ручку проводя хакеров сквозь защитный периметр.
Успешно предотвратить точечную атаку, проводимую с использованием социальной инженерии и фишинга, помогут несколько простых правил.
Первое – необходим контроль звонков. Любое общение, выходящее за рамки нормы, должно вызывать подозрение. Слишком долгий разговор по скайпу или телефону – сигнал о том, что то-то пошло не так. Возможно, это не начало атаки, но, как минимум у работника возникли проблемы.
Маркером может служить резкий всплеск активности входящих вызовов: в случае, если злоумышленников целая группа, они начнут искать «инсайдера поневоле» в небольшой промежуток времени. Контроль голосовых переговоров помогает эффективно выявлять и предотвращать атаки с использованием приемов социальной инженерии. Как только в диалоге будут упомянуты определенные фразы, система моментально уведомит ответственное лицо.
Второе – необходим контроль контента в социальных сетях. Именно из профилей работников хакеры выуживают массу полезной информации, которая помогает нанести максимально эффективный удар по системе безопасности. Причем ограничения в большей степени касаются руководителей различных рангов. Рядовой персонал не стоит ущемлять в социальной активности в нерабочее время, однако проинформировать о возможных опасностях явно не повредит.
Перед тем, как публиковать в аккаунте свой номер телефона, стоит десять раз подумать. Именно благодаря социальным сетям социальным инженерам удается быстро, легко и непринужденно составить список сотрудников, которым стоит позвонить в первую очередь.
Не меньший вред представляет опубликованная дата рождения. Лидером среди паролей все еще остается «12345», следом за ним идет плеяда индивидуальных кодов, формата «месяц-дата-год рождения». Есть два выхода из ситуации: или не указывать в профилях социальных сетей подобные данные, или никогда не использовать их в кодах доступа. Хакеры не дураки, и если захотят взломать аккаунт грубой силой, подобные числовые комбинации будут испробованы одними из первых, а узнать их, посетив страничку в Фейсбук – дело одной минуты.
Как бы смешно это не звучало, но фото, сделанные руководителем во время отпуска – прямое приглашение к началу атаки. Представьте, что будет, если перед отъездом в путешествие на дверь квартиры повесить табличку: «Дома никого нет. И не будет до конца недели». Конечно, можно надеяться на сталь и современные замки, но воров-домушников никто не вгоняет в искушение с надеждой на совершенство систем защиты, правда? Отпуск руководителя – замечательная возможность для хакеров использовать чужую личину, примерив которую можно раздавать указания работникам и обойти систему безопасности без особых проблем. Не стоит кричать на весь мир о появившейся уязвимости, а фотографии можно опубликовать без особого ущерба и вернувшись из теплых краев.
Несмотря на резонанс фишинговых атак, защититься от них можно. Однако для этого потребуются совокупные усилия всего коллектива компании, подкрепленные современными системами безопасности. И в первую очередь стоит обратить внимание на программные комплексы, позволяющие отслеживать переписку, переговоры, вести мониторинг трафика и контролировать действия персонала.
