Специалисты по информационной безопасности давно пришли к единому мнению, что какими бы прогрессивными средствами защиты информации не была оснащена инфраструктура компании, она уязвима. Вас все равно хакнут. И самым ненадежным звеном системы обеспечения информационной безопасности остается человек. Социальная инженерия один из наиболее эффективных методов, с помощью которого преступники могут получить доступ к персональным данным пользователям, украсть конфиденциальную информацию предприятия или же внедрить в системы вредоносные объекты. Основан этот метод на психологических приемах манипуляции, в результате чего пользователь сам предоставляет злоумышленнику доступ к желаемому объекту.
Самые распространенные техники социальной инженерии.
Фишинг. Несмотря на повсеместное распространение предупреждений об опасности фишинга, это остается одним из наиболее популярных и эффективных способов нелегального получения конфиденциальной информации. Пользователь получает электронное письмо, оформленное в виде официальной рассылки. Часто в тексте содержится обещание каких-либо бонусов за переход по ссылке и выполнение определенных действий. Письмо содержит ссылку на фальшивую страницу, вид которой также имитирует корпоративный сайт какой-нибудь известной организации. На этой странице от пользователя просят самостоятельно вести любые требуемые преступнику данные — от номера карты до серии и номера паспорта — и получить за это возможность поучаствовать в розыгрыше призов, например. Дополнительная опасность состоит в том, что пользователя могут вынудить участвовать в распространении вредоносной ссылки — разослать друзьям и знакомым, чтобы получить больше шансов на выигрыш. Согласитесь, немногие из нас усомнятся в легальности ссылки, если ее прислал нам приятель.
Троянский конь. Эта техника основана на любопытстве и жадности, присущим человеческой натуре. Осуществляется так же с помощью рассылок писем, смс и сообщений в мессенджерах. Пользователю предлагается скачать зараженный файл с якобы полезной информацией — коммерческое предложение, флаер на скидку, новое обновление приложения.
Дорожное яблоко. Метод, схожий с предыдущим, но вместо рассылки сообщений используются зараженные накопители информации — флешки и жесткие диски. Человек может найти накопитель в коридоре офиса или на крыльце здания. Одно только желание узнать имя хозяина и вернуть ему потерянную вещь может заставить сотрудника пренебречь элементарными правилами информационной безопасности и вставить флешку в рабочий компьютер или ноутбук.
Претекстинг. Обычно осуществляется по телефону. Его цель — с помощью заранее подготовленного сценария (претекста) заставить собеседника выдать необходимую информацию или совершить необходимое действие. Эта техника манипуляции, в отличие от предыдущих, требует предварительной подготовки, чтобы вызвать доверие у цели. Для этого подойдет различная информация, которую можно получить хотя бы из социальных сетей — ФИО, место работы, должность, имена людей, с которыми цель сотрудничает, даже названия конкретных проектов, над которыми человек работает.
Конечно, это далеко не все методы социальной инженерии, как и любое другое явление, они постоянно совершенствуются. Неизменным остается влияние на так называемый человеческий фактор. Чтобы обезопасить себя и компанию, есть несколько стандартных рекомендаций.
Прежде всего, проводите регулярное информирование сотрудников. Все работники организации должны иметь четкое представление с кем и о чем можно разговаривать, какая информация является конфиденциальной и разглашение каких данных может повлечь за собой дисциплинарную ответственность.
Внимательность. Фальшивые ссылки лишь имитируют официальные страницы, но не являются ими. Замена всего одного символа в адресе должна насторожить. Не переходите по ссылкам из писем и сообщений мессенджеров, лучше вбейте название организации из рассылки в поисковой системе и сравните написание адреса. Настоящие сайты компаний всегда будут в топе поисковых систем.
При разговоре с незнакомым человеком, представляющимся сотрудником вашей компании или компании-партнера не стесняйтесь задавать уточняющие вопросы, которые помогут удостовериться в личности собеседника.
Не используйте один и тот же пароль для входа в рабочие и личные аккаунты. Например, в пароль будет скомпрометирован в результате фишинга через социальные сети, но злоумышленник сможет использовать полученный пароль для входа в корпоративную сеть.
Никогда не присоединяйте к рабочему устройству незнакомые накопители, особенно без предварительной проверки антивирусом.
Как видите, методы простые и знакомые. К сожалению, мы часто забываем об элементарных правилах безопасности и становимся жертвами преступников.