Технологи соціальної інженерії, Windows IT Pro

Соціальна інженерія реалізує насамперед нетехнічні загрози безпеці. Різноманітний характер потенційних загроз вимагає інформування про них та навчання управлінського та технічного штату компаній, включаючи провідних менеджерів та правління компанії, технічний та сервісний персонал, службу підтримки, службу безпеки, бізнес-менеджерів.

Короткий огляд

Зловмисник спробує переконати співробітників компанії видати інформацію, яка дасть можливість використовувати ваші системи або системні ресурси. Традиційно цей підхід відомий як шахрайство. Багато хто вважає, що хакерські напади — проблема великих організацій, адже це обіцяє велику фінансову вигоду. Можливо, так було раніше, проте тепер хакери атакують усіх поспіль від корпорацій до фізичних осіб. Злочинці можуть атакувати саму компанію, так і використовувати її як пункт, через який будуть здійснювати напади на інших. Цей підхід ускладнює виявлення зловмисників.

Найкраща система захисту практично безсила, якщо нею керує наївна, довірлива або психічно нестійка людина - навіюваний, схильний до зовнішнього впливу. Чомусь багато хто забуває про те, що в ролі об'єкта для атаки може бути обраний не комп'ютер, а людина, яка ним управляє. Не варто забувати, що оператор дуже часто виявляється найслабшою ланкою в системі безпеки!

Категорії зловмисників

Служби обміну миттєвими повідомленнями. Наприкінці 90-х років продавці програмного забезпечення стали пропонувати служби миттєвого обміну повідомленнями як безкоштовні програми. І незабаром з'явилися програми, які використовували дані програми поширення шкідливого коду. Найчастіше шкідливий код запрограмований використання певного клієнта, проте існують програми, здатні використовувати кілька клиентов.

На малюнку показано, як імітація працює і для електронної пошти, і для IM.

Якщо ви хочете використовувати миттєві повідомлення, потрібно включити цю службу до політики безпеки. Для управління службою у межах компанії слід встановити п'ять правил її використання.

Інформаційне наповнення

Розглянемо кілька найчастіше застосовуваних методик.

Універсальний сеанс зв'язку Ця методика — одна з найпростіших, проте водночас одна з найефективніших, оскільки використовує цікавість та дружелюбність жертви. Як правило, повідомлення маскується під продовження попередньої (можливо поза Internet) розмови. Незважаючи на використання стислого тексту, атакуючий прагне викликати в читача почуття, що цей лист є деяким продовженням попереднього спілкування.

У разі використання електронної пошти в полі Subject зазвичай зустрічається тільки слово «Привіт» або щось аналогічне. Якщо тіло повідомлення існує, його інформаційне наповнення зазвичай має неконкретний характер, типу «Ось той файл (та фотографія), про яку ми говорили».

Повідомлення про шкідливу програму на комп'ютері. Варіантом вищезгаданого методу є повідомлення про те, що небезпечне програмне забезпечення знайдено на комп'ютері користувача, і потрібно пройтиза вказаним посиланням і завантажити додаток для лікування.

Повідомлення про перевірку пошти. Сьогодні деякі сканери поштових систем додають у повідомлення до кожного листа нижній колонтитул, в якому повідомляють, що цей лист перевірено таким антивірусним продуктом і не містить шкідливого коду. Однак варто врахувати, що деякі типи шкідливих програм сьогодні теж вміють прописувати цю інформацію, запевняючи одержувача, що отриманий лист є чистим.

Інформаційне повідомлення від імені адміністратора. Ця методика формулює аварійне або інформаційне повідомлення, яке надсилається від імені адміністратора або відділу технічної підтримки, що має відношення до проблеми (наприклад, скидання пароля користувача або закінчення терміну дії облікового запису). Як правило, повідомлення вказує на деяку дію, яка має бути здійснена власником цього облікового запису, наприклад відвідування деякого сайту або запуск певного файлу.

Використання безкоштовних матеріалів. Цей клас програм спокушає жертву, обіцяючи певний приз за відкриття повідомлення та запуск вкладення.

Маскування відправника

Повідомлення викликає довіру, якщо вона надіслана від імені давно знайомого відправника. Атакуючий може досягти цього, виступаючи від імені іншого користувача

Явна імітація відправника. Явна імітація у тому, що атакуючий створює і підробляє повідомлення від імені відомого жертві відправника. У цьому випадку комп'ютер відправника може бути не заражений.

Після появи LoveLetter ця методика дещо змінилася, і деякі програми вставляють значну кількість точок між підробленим і реальним розширенням.

Значок маніпуляції. Деякі шкідливі програми змінюють графічнепозначення піктограми програми, наслідуючи при цьому символи для обробки нешкідливого програмного забезпечення. Наприклад, використовується значок Windows Notepad.

Розуміння

Розуміння залежить від того, як ви подаєте інформацію. Ви можете вибрати неформальні зустрічі або інші заходи, щоб роз'яснити безпекову політику в цій галузі. Чим більше у співробітників інформації про політику безпеки, тим успішнішим буде її виконання. Важливо, щоб забезпечення безпеки було у списку основних справ менеджерів та персоналу. Безпека компанії — загальне завдання, тому ви повинні переконатися, що розуміння необхідності безпеки притаманне кожному співробітнику компанії. Зберіть думки про це з усіх відділів та від різних користувачів, особливо тих, хто працює поза офісом.

Управління інцидентами

У міру виникнення нових інцидентів слід визначити, чи з'явилися нові ризики безпеки компанії. Також потрібно змінити політику та процедури, що ґрунтуються на результатах розгляду ризику. Усі зміни у безпеці мають бути узгоджені з корпоративними стандартами управління змінами.

Персонал повинен скласти протокол, який описує спробу атаки, в якому буде міститись наступна інформація:

Проводячи протоколювання спроб атаки, можна ідентифікувати в подальшому. Пам'ятайте, що лише ретельний аналіз та розбір інцидентів зможе допомогти знизити їхні наслідки надалі!

Володимир Безмалий ( [email protected]) - спеціаліст із забезпечення безпеки, MVP Consumer Security

Поділіться матеріалом з колегами та друзями