Некоторые из самых известных афер социальной инженерии были выполнены хакерами лично. В следующей главе речь пойдет об известном хакере Кевине Митнике. Десятилетия назад он был одним из самых наглых социальных инженеров в «черной шляпе». Митник переодевался в мастера по ремонту телефонов или сервисного инженера, чтобы получить доступ в защищенное помещение. Такие мошенники известны походами в банки и установкой специальных устройств на терминалах сотрудников, выдавая себя за системных администраторов. Каким бы недоверчивым ни был человек, он обычно доверяет людям, осуществляющим ремонт оборудования, особенно если слышат фразу типа: «Я слышал, что ваш компьютер стал работать медленнее в последнее время». Кто может опровергнуть это утверждение? Человек, выполняющий ремонт, очевидно, знает о проблеме и, наконец, пришел ее исправить.
Конечному пользователю часто угрожают штрафом за то, что он чего-то не сделает, или обещают вознаграждение за то, что он совершит некие действия. Хитрость начинается с принуждения жертвы, так как люди недостаточно тщательно взвешивают риск в стрессовой ситуации. Они должны либо заплатить штраф, либо сесть в тюрьму. Перед ними встает выбор – запустить программу или рисковать, что компьютер останется зараженным, а банковский счет опустеет; отправить деньги или некий честный человек останется в иностранной тюрьме; изменить пароль на компьютере начальника или быть уволенным.
Один из моих любимых приемов социальной инженерии в процессе тестирования системы – отправить письмо сотрудникам компании от имени генерального или финансового директора с объявлением о том, что компания сливается с конкурирующей организацией. Я предлагаю открыть вложенный документ, чтобы они увидели, как слияние повлияет на их работу. Или я отправляю письмо сотрудникам-мужчинам якобы от адвоката их бывшей жены с просьбой о дополнительных алиментах для ребенка. Вы будете поражены, насколько успешны эти трюки.
Защита от атак социальной инженерии требует сочетания обучения и технологий.
Обучение противостоянию социальной инженерии – одно из лучших, наиболее важных средств защиты. Обучение должно включать примеры наиболее распространенных видов социальной инженерии и того, как потенциальные жертвы могут обнаружить признаки нелегитимности. В моей нынешней компании каждый сотрудник смотрит видеоролик о защите от социальной инженерии каждый год, а затем проходит короткий тест. Наиболее успешные тренинги посещали очень умные, надежные и хорошо зарекомендовавшие себя сотрудники, которые делятся личным опытом применения методов социальной инженерии.
Я думаю, что в каждой компании должны имитироваться фишинговые атаки, в ходе которых работникам отправляются поддельные электронные письма с запросом ввода персональных данных. Сотрудники, предоставившие свои данные, должны пройти дополнительное обучение. Существуют различные ресурсы, как бесплатные, так и коммерческие, для проведения поддельных фишинговых кампаний. Платные, на мой взгляд, наиболее просты и удобны.
Все компьютерные пользователи должны быть обучены тактике защиты от социальной инженерии. Люди, покупающие и продающие товары в Интернете, должны быть осведомлены о мошенничествах в сфере торговли. Необходимо использовать только безопасные сделки и следовать всем рекомендациям проверенных сайтов.
Пользователей следует научить никогда не устанавливать какое-либо программное обеспечение непосредственно с сайта, который они посещают, если это не сайт легитимного разработчика ПО. Если веб-сайт сообщает, что вам нужно установить какое-то программное обеспечение, чтобы продолжить просмотр ресурса, и вы думаете, что это законный запрос, покиньте его и перейдите на сайт разработчика стороннего программного обеспечения, чтобы наверняка установить корректное приложение. Никогда не устанавливайте ПО с чужого веб-сайта, а не с сайта непосредственного разработчика. Программное обеспечение может оказаться легитимным, но риск слишком велик.
Веб-серферам следует научиться применять цифровые сертификаты с расширенной проверкой (https://ru.wikipedia.org/wiki/Сертификат_Extended_Validation) на многих самых популярных сайтах. Веб-сайты с расширенной проверкой часто каким-либо образом выделяются (обычно это выделенное зеленым цветом доменное имя, значок в адресной строке или сама адресная строка), чтобы подтвердить пользователю, что URL-адрес и безопасность сайта были подтверждены доверенной третьей стороной. Для примера расширенной проверки перейдите на https://www.bankofamerica.com/.
Фишинг не сработает, если сотрудник не сможет предоставить свои учетные данные для авторизации. Простые логины с паролями уходят в прошлое с распространением двухфакторной аутентификации (2FA), цифровых сертификатов, устройств авторизации, аутентификации по внешнему каналу и других методов входа в систему, которые не подвержены фишингу.
Большинство решений для защиты от вредоносных программ, веб-фильтров и антиспам-модулей пытаются свести к минимуму риск атаки компьютеров путем социальной инженерии. Антивирусное ПО предупреждает запуск вредоносных файлов. Веб-фильтр может определить вредоносные сайты и заблокировать их, если браузер посетителя пытается загрузить фишинговую страницу. А решения по борьбе со спамом по электронной почте отфильтровывают сообщения социальной инженерии. Однако технология никогда не будет эффективной на 100 %, поэтому обучение конечных пользователей и другие методы должны использоваться совместно.
Социальная инженерия – очень успешный метод взлома. Некоторые специалисты по ИБ скажут, что вы никогда не проведете обучение так, чтобы все сотрудники смогли ей противостоять. Они ошибаются. Сочетание полноценного обучения и правильных технологий может значительно снизить риск ущерба от методов социальной инженерии.
В следующей главе вы узнаете о специалисте по социальной инженерии Кевине Митнике. Его опыт в качестве хакера помог ему эффективно защищать своих клиентов на протяжении десятилетий.