Социальная инженерия — метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам.
Социальная инженерия, в контексте информационной безопасности, относится к психологической манипуляции над людьми с целью заставить их совершить необходимые действия или разгласить конфиденциальную информацию. Отличительной особенностью данной атаки заключается в том, что она является одним из множества шагов более сложной схемы мошенничества.
Все методы социальной инженерии основаны на конкретных признаках человеческого принятия решений, известных как когнитивные искажения [1]. Эти систематические ошибки, которые иногда называют «ошибки в человеческих аппаратных средствах», эксплуатируются в различных комбинациях для создания методов атаки, некоторые из которых перечислены. Атаки, используемые в социальной инженерии могут быть использованы для кражи конфиденциальной информации сотрудников. Наиболее распространенный тип атаки социальной инженерии происходит по телефону. Другие примеры социальной инженерии, когда преступники выдают себя за пожарных и техников, чтобы остаться незамеченными [2].
Для того чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает. Видов атак социальной инженерии существует огромное количество, некоторые являются модификациями существующих или комбинируют несколько атак, в данной статье рассмотрены основные атаки, такие как:
‒ Претекстинг — это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Сложная ложь, это чаще всего включает в себя некоторые предварительные исследования или установку и использование этой информации (например, дата рождения, номер социального страхования, последняя сумма счета), чтобы установить законность в сознании цели.
Этот метод может быть использован, для раскрытия информации о клиентах, чтобы получить записи телефонных разговоров, полезные отчеты, банковские отчеты и другую информацию, непосредственно от представителей службы компании [3]. Информация может быть использована для установления большей легитимности при допросе менеджера, например, внести изменения счета, получить конкретные балансы и т. д.
‒ Фишинг — представляет собой метод получения обманным путем личной информации. Как правило, фишер посылает сообщение электронной почтой, представляясь представителем банка с целью запроса «проверки» информации и предупреждения о каком-то страшном последствии, если жертва не выполнит действия, описанные в письме. Письмо электронной почты, как правило, содержит ссылку на мошеннический веб-сайт, который кажется законным, с логотипом компании и контентом, имеет форму запрашивающую информацию от домашнего адреса до PIN-кода карты или номера кредитной карты.
Например, в 2003 году, было произведено мошенничество, в котором пользователи получили электронные письма якобы от eBay, в которых утверждалось, что учетная запись пользователя должна быть приостановлена, если информация о кредитной карте не будет обновлена, что можно сделать пройдя по ссылке.
‒ Троянский конь — это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.
‒ Quid pro quo (услуга за услугу) — данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
‒ Дорожное яблоко — этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.
‒ Обратная социальная инженерия — данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.
Для того чтобы снизить риск реализации атак типа социальной инженерии предлагается соблюдать следующие меры безопасности на предприятии:
- Стандартные рамки — установить уровни доверия среди персонала. Обучить и определить персонал когда, где, почему и как важная информация должна быть обработана.
- Тщательная информация — определение, какая информация является уязвимой и оценить ее важность в системе безопасности.
- Протоколы безопасности — установить протоколы, политики безопасности и процедуры использования конфиденциальной информации.
- Обучение сотрудников — сотрудники, которые имеют доступ или непосредственно работают с важной или уязвимой информацией, с точки зрения безопасности, должны проходить периодическое обучения политикам и протоколам безопасности, действующих на предприятии.
- Тестирование чрезвычайных событий — проведения периодической проверки системы безопасности без предварительного уведомления.
- Управление отходами — использование службы управления отходами, которая имеет мусорные контейнеры с замками на них, ключи к ним есть только у компании по обращению с отходами и уборщиков. Данная мера затруднит злоумышленнику доступ к бумажным отходам компании, которые также могут содержать конфиденциальную информацию.
На сегодняшний день существует несколько программных средств, позволяющих автоматизировано проводить атаки типа социальной инженерии через Интернет. Рассмотренное средство, может также использоваться и для проверки уровня безопасности на предприятии.
Существует специальное программное средство, с помощью которого можно оценить вероятность проникновения в системы при помощи средств социальной инженерии, наряду с поиском «узких» мест и уязвимостей. Social Engineering Toolkit (SET) — проект Devolution, поставляемый в комплекте с дистрибутивом BackTrack в качестве фреймворка для ОС семейства UNIX, который используется для испытания проникновением (Penetration Testing). Данный фреймворк был написан Дэвидом Кеннэди [4].
SET представляет собой функционал для проведения четырех основных векторов атаки:
‒ E-MAIL ATTACK VECTOR
‒ WEB ATTACK VECTOR
‒ CD/DVD/USB ATTACK VECTOR
‒ Teensy USB HID ATTACK VECTOR
E-MAIL ATTACK VECTOR представляет собой модуль работы с электронной почтой. Позволяет специальным образом формировать email сообщения и отправлять их как массово, так и целенаправленно. К сформированному сообщению прикладывается вредоносный файл, который эксплуатирует определенную уязвимость в системе. Программа предоставляет огромный выбор как возможных уязвимостей, так и форматов файлов-вложений.
WEB ATTACK VECTOR является модулем, который позволяет осуществлять атаку с использованием уязвимостей браузера жертвы. Чаще всего применяются уязвимости в Java. В качестве вредоносной нагрузки обычно используются модули программы Metasploit, которая также входит в стандартный набор программ BackTrack.
CD/DVD/USB ATTACK VECTOR — данный модуль использует включенную автозагрузку с носителей для запуска вредоносного содержимого. Позволяет использовать огромное количество уязвимостей различных систем. Однако в настоящее время, автозагрузка с носителей по умолчанию отключена.
Teensy USB HID ATTACK VECTOR позволяет использовать специальное устройство- Teensy USB для того, чтобы осуществить атаку. Для этого необходимо загрузить на данное устройство вредоносную нагрузку, которую можно выбрать в меню программы и подключить устройство к устройству жертвы. Вредоносное устройство будет опознано как клавиатура и это позволит ему обойти антивирус и выполнить любые действия, указанные атакующим.
Литература:
- Никишова А. В. Интеллектуальная система обнаружения атак на основе многоагентного подхода // Вестник Волгоградского государственного университета. Серия 10. Инновационная деятельность. — 2011. — № 5. — С.35–37.
- Jaco, K: «CSEPS Course Workbook» (2004), unit 3, Jaco Security Publishing.
- Fagone, Jason. «The Serial Swatter». New York Times. Retrieved 25 November 2015.
- Social-Engineer Toolkit (SET) // https://kali.tools/?p=1435 (дата обращения: 26.12.16).