В наше время информационный ресурс стал одним из самых мощных рычагов экономического развития. Его ценность предопределяется тем, что монопольное обладание определенной информацией зачастую оказывается решающим преимуществом в конкурентной борьбе.
Проблема защиты информации, то есть предотвращение утечки и обеспечение безопасности информации, становится ключевой. Целью информационной безопасности являются защита и гарантия целостности и защищенности информации.
Но как бы не развивались технические, программные или аппаратные методы защиты информации, в системе защиты остается одно слабое место — это человек. Люди внушаемы и психологически неустойчивы, многие даже не замечают, с какой лёгкостью делятся важной информацией — на это делают ставку мошенники, специализирующиеся на социальной инженерии.
Социальная инженерия — это совокупность методов несанкционированного доступа к информации, которые не предполагают использование технических средств, только слабостей человеческого фактора.
Примером атаки может служить следующие ситуации. Мошенник хочет узнать пароль от Интернет-банка. Он ищет информацию о компании, сотрудниках заранее, после совершает телефонных звонок, притворившись клиентом, просит назвать пароль, сославшись на технические проблемы в системе. Здесь многое зависит от навыков актерской игры. Для того, чтобы вызвать доверие к себе злоумышленник может назвать вымышленное или реальное имя сотрудника, должность, сыграть на чувствах жертвы. Узнав пароль, мошенник использует его, чтобы попасть в личный кабинет и совершить кражу.
Другим примером может служить следующая ситуация. Преступник проникает в организацию под видом служащего или работника технической службы. Ссылаясь на определенные технические неисправности от пытается узнать конфиденциальную информацию: логины и пароли или использует предоставленный доступ к компьютеру для загрузки вредоносного ПО.
Разберем основные техники, используемые злоумышленниками. Все они базируются на особенностях принятия решений. Первые две техники это фишинг — массовые рассылки e-mail сообщений подделанный под официальное письмо, обычно содержащее ссылку на фальшивую web-страницу, где потребуется ввести какую-то конфиденциальную информацию: логины и пароли, пин-коды банковских карт и т. д.
Следующая техника делает ставку на человеческое любопытство или жажду выгоды. Троянский конь — тоже e-mail рассылка, но уже другого содержания. Письмо может содержать ссылки на интересный контент, обновления программ или шокирующую новость. Всё, что угодно, что заставит вас перейти по ней и тем самым заразить компьютер вирусом, избавиться от которого можно только заплатив мошенникам.
Метод дорожного яблока похож на троянского коня с той лишь разницей, что подкидывается жертве не ссылка на вирус, а какой-то физический носитель информации: флешки или диски, также якобы содержащие интересный контент, но на самом деле — зараженный вирусом.
Четвертый метод подразумевает действие, совершаемое человеком по предварительному сценарию-претексту. Обычно претекстинг применяется при телефонных звонках или с использованием мессенджеров. Цель — заставить человека совершить определенные действия или выдать определенную информацию, вызвав у него доверие к злоумышленнику.
Последний метод из тех, которые чаще всего встречаются на практике называется кви про кво. Суть его заключается в том, что мошенники звонят в любую компанию и, представляясь сотрудниками техподдержки, просят ввести команды для решения каких-то технических проблем. Однако команды в действительности позволяют запустить вредоносное ПО на компьютере жертвы, а не помочь ей устранить технические неисправности.
В настоящее время никто не защищен от подобных атак, но если люди будут знать о них и о методах защиты, то они смогут противостоять социальным хакерам. Так как же защититься от таких мошенников? Руководства компании уже разработали и теперь активно проводят различные тренинги для своих сотрудников, цель которых донести до них серьезность данной проблемы и выработать у них навыки противодействия, также компании сами инициируют диверсии, чтобы установить уровень подготовленности работников с атак.
Все работники обычно хорошо осведомлены о том, что все пользовательские данные, в том числе пароли, которые они используют не должны разглашаться ими или применяться для авторизации на сторонних Интернет-ресурсах. Должен существовать определенный регламент, согласно которому происходит взаимодействие с клиентами. Охрана следит за тем, чтобы посетители не оставались одни и не получали доступ к кабинетам, в которых им находится нельзя. Определенные правила корректного раскрытия только необходимой информации по телефону и при личном разговоре, а также процедура проверки является ли человек запрашивающий определенные данные действительно уполномоченным сотрудником с доступом к этой информации.
Но люди часто продолжают беспечно относится к защите информации и пренебрегают предупреждениями. Тогда могут помочь технические средства, например, фильтрующие входящие сообщения и блокирующие те, что возможно содержат вредоносные программы и нежелательный контент.
Однако хоть такие методы и совершенствуются невозможно предусмотреть все варианты написания потенциально опасных сообщений. К тому же такое фильтрующее ПО может серьезно нагружать сервера. Поэтому лучшим советом для защиты от социальных хакеров будет следующее — сохраняйте бдительность, внимательно читайте текст и ссылки, получая почту, пользуйтесь антивирусными программами и не называйте личных данных по телефону, когда вам звонят с незнакомых номеров.
Литература:
- Кевин М. Искусство обмана / Пер. с англ. — Москва: Компания АйТи, 2004. — 360 с.