Наиболее громкие и успешные взломы были бы невозможны без приемов социальной инженерии. Поиск уязвимостей и штурм главных ворот системы безопасности может принести свои плоды, но потребует серьезных затрат. При этом, хитрый злоумышленник добивается результатов, не прикладывая особых усилий.
Многие руководители до сих пор не смирились с мыслью, что наиболее незащищенным звеном системы безопасности является «человеческий фактор» — работники компании. Именно они открывают опасные фишинговые письма, клюют на уловки социальных инженеров по телефону и в социальных сетях, отправляют важные документы «не в то окно». Без круглосуточного анализа действий персонала среднестатистическая фирма оказывается безоружной перед современными хакерами. Доказать несостоятельность цифровых средств защиты, в которых отсутствуют возможности контроля поведения работников очень просто: достаточно проанализировать наиболее громкие взломы.
Главным социальным инженером был и остается Кевин Митник, наводивший ужас на бизнес в далекие 80 и 90-е годы. Он не искал легкой наживы, все его акции – развлечение, тест на прочность корпоративных систем безопасности, которые обычно проигрывали в неравной борьбе.
Например, в 1979 через знакомых Кевин добыл номера модемов корпорации Digital Equipment Corporation (DEC). Хакеры без малейших колебаний поделились информацией, ведь считали ее бесполезной: логины и пароли к модемам отсутствовали. В свою очередь Митник действовал просто и эффективно: он позвонил системному администратору DEC, представился главным разработчиком — Антоном Черновым и пожаловался на проблемы с входом. В ту же минуту ему был предоставлен полный доступ ко всей системе.
В 2005-2006 руководство Hewlett-Packard решило, что в ТОП-менеджерском составе компании завелся инсайдер, регулярно сливающий данные в СМИ. Чтобы разобраться в ситуации были наняты следователи. Как оказалось, клубок распутывался предельно просто: достаточно знать имена и фамилии работников, а также последние 4 цифры их номеров социального страхования, чтобы одна из крупнейших телекоммуникационных компаний — AT&T предоставила полную распечатку звонков абонента. Обладая таким подспорьем, а также информацией из открытых источников, любой журналист или аналитик легко сможет спрогнозировать дальнейшие планы развития корпорации.
Письма от «Нигерийских принцесс», которым очень нужна помощь, чтобы вывезти деньги из страны, давно стали интернет-шуткой. Однако мало кто задумывался о том, что подобные уловки – хитрый прием социальных инженеров. Например, казначей администрации одного из малонаселённых округов штата Мичиган, клюнул на такую провокацию и украл 1,2 миллиона долларов из казны штата, чтобы оплатить налог за более крупный транш из Нигерии, который должен был прийти в банк Лондона. «Принцесса» естественно свою часть сделки не выполнила, а казначей вскоре был арестован.
Даже специалисты по безопасности не застрахованы от взломов. В 2011 аж два работника компании RSA Digital Risk Management & Cyber Security Solutions получили письма с предложением о работе от неизвестного отправителя и открыли вложение. Вредоносный код, содержащийся в фишинговом послании, позволил хакерам нанести удар по флагманскому продукту — SecurID, и привел к ущербу в 66 миллионов долларов.
В 2015 работники финансового департамента Ubiquiti Networks – компании, занимающейся производством сетевого оборудования, получили письма от нового генерального директора, который запросил крупные финансовые переводы на ряд счетов. Не почувствовав подвоха, ведь письма, на первый взгляд, были оформлены по всем стандартам компании и отправлены с корпоративного домена, работники выполнили запрос и перевели средства прямо в руки злоумышленников.
В 2015 и 2016 британский подросток Кейн Кемпбел умудрился получить доступ к почтовым ящикам главы ЦРУ и ФБР США. Например, чтобы сменить логин и пароль директора ФБР Марка Джулианно, оказалось достаточно позвонить сисадмину и представиться его помощником. Несмотря на то, что работник ИТ-департамента был осведомлен о возможной попытке взлома, он все же предоставил Кейну коды доступа.
Невероятно, но факт: справиться с суперсовременными системами защиты может даже вчерашний школьник, без серьезного бэкграунда технических знаний. И это наглядно подтверждает история успешных взломов. Все дело в умелом манипулировании сознанием, от которого не могут защитить программы, рассчитанные на отражение цифровых атак. Без контроля поведения персонала, переговоров, переписки в почте и мессенджерах бизнес оказывается незащищен перед фишингом и социальной инженерией. Чем с успехом пользуются злоумышленники всех мастей.
