Даже если у вас есть все навороты, когда дело доходит до защиты вашего центра обработки данных, облачных развертываний, физической безопасности вашего здания, и вы вложили средства в защитные технологии, у вас есть правильные политики безопасности и процессы на месте и измерьте их эффективность и постоянно улучшаться, все еще хитрый социальный инженер может проложить свой путь прямо через (или вокруг).
Даже если у вас есть все навороты, когда дело доходит до защиты вашего центра обработки данных, облачных развертываний, физической безопасности вашего здания, и вы вложили средства в защитные технологии, у вас есть правильные политики безопасности и процессы на месте и измерьте их эффективность и постоянно улучшаться, все еще хитрый социальный инженер может проложить свой путь прямо через (или вокруг).
В одном тесте на проникновение Никерсон использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и рубашку Cisco за 4 доллара, которую он купил в благотворительном магазине, чтобы подготовиться к незаконному проникновению. Рубашка помогла ему убедить администрацию здания и других сотрудников, что он был сотрудником Cisco во время технической поддержки. Оказавшись внутри, он смог дать другим членам своей команды незаконный въезд. Ему также удалось сбросить несколько загруженных вредоносным ПО USB-носителей и взломать сеть компании - все в поле зрения других сотрудников. Прочитайте Анатомия Hac K, чтобы следовать за Никерсон в этом упражнении.
«Люди по своей сути хотят доверять, вот к чему сводится успешная атака социальной инженерии», - говорит Крис Блоу, оскорбительный архитектор по безопасности в компании по страхованию имущества и страховщиков Liberty Mutual. «Если кто-то отправляет коллеге электронное письмо и говорит, что оно от другого коллеги, большинство людей посмотрит на это и захочет ему доверять, особенно если это связано с чем-то реальным и конкретным», - говорит Блоу. , «Пока он говорит, что это от кого-то, кто кажется коллегой, большинство людей откроют его. И большинство людей действительно нажимают на все, что находится в теле письма », - говорит он.
Это касается электронной почты, но почему эти атаки работают так же хорошо по телефону или лично, например, когда кто-то использует коллегу или другие предлоги? «Люди не хотят скептически относиться к действиям другого человека», - добавляет Блоу. «Большинство людей хотят быть добрыми и вежливыми и обучены быть послушными, особенно в рабочей обстановке. Если я позвоню злому руководителю и скажу: «Я хочу знать, почему об этом не позаботились неделю назад. Что, черт возьми, с вами, ребята? Этот номер маршрута и номер счета должны были быть изменены, и никто Я позаботился об этом прямо сейчас! " Особенно, если вы делаете что-то срочно, люди повсюду », - говорит он.
Каковы некоторые примеры того, что социальные инженеры говорят или делают?
Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем войти в дверь или сделать телефонный звонок. Их подготовка может включать в себя поиск телефонного списка компании или организационной диаграммы и исследование сотрудников в социальных сетях, таких как LinkedIn или Facebook.
На телефоне:
Социальный инженер может позвонить и притвориться коллегой по работе или доверенным внешним органом (таким как правоохранительные органы или аудитор).
По словам Сэла Лифьери, 20-летнего ветерана полицейского управления Нью-Йорка, который в настоящее время обучает компании тактике социальной инженерии через организацию под названием «Защитные операции», преступник пытается заставить человека чувствовать себя комфортно при знакомстве. Они могут выучить корпоративный язык, поэтому человек на другом конце думает, что он инсайдер. Другой успешный метод заключается в записи «удерживаемой» музыки, которую компания использует, когда абоненты ожидают по телефону. См. Больше таких уловок в Социальной инженерии: Восемь Общих Тактик.
В офисе:
«Можете ли вы держать дверь для меня? У меня нет своего ключа / карты доступа». Как часто вы слышали это в своем здании? Хотя тот, кто спрашивает, может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.
В том же упражнении, где Никерсон использовал свою рубашку благотворительного магазина, чтобы войти в здание, он заставил члена команды подождать снаружи возле места для курения, где сотрудники часто ходили на перерывы. Предполагая, что этот человек был просто напарником по офисному курению, настоящие работники впускали его в черный ход без вопросов. «Сигарета - лучший друг социального инженера», - сказал Никерсон.
Такого рода вещи продолжаются все время, по словам Никерсона. Тактика также известна как задняя дверь. Многие люди просто не просят других доказать, что у них есть разрешение быть там. Но даже в тех местах, где для блуждания по залам требуется бейдж или другое доказательство, подделать легко, сказал он.
«Я обычно использую некоторые высококачественные фотографии, чтобы распечатать значки, чтобы они действительно выглядели так, как будто я должен быть в этой среде. Но их часто даже не проверяют. Я даже носил значок, который сказал прямо на нем» Kick меня, и я все еще не был допрошен ".
Онлайн:
По словам Блоу, сайты социальных сетей облегчают проведение атак на социальные сети. «У нас есть все различные социальные сети, которые мы можем проверить сейчас, чтобы собрать информацию. В старые времена, до Facebook и Twitter, если вы хотели найти информацию о компаниях, вы не найдете много в Интернете. Речь шла о выделении места на пару недель, о том, что происходит, что происходит, проверке мусорных баков и всей хакерской тактике старой школы », - говорит Блоу.
Но сегодня у социальных инженеров и злоумышленников есть такие инструменты, и они могут посещать сайты, такие как LinkedIn, и находить всех пользователей, которые работают в компании, и собирать множество подробной информации, которая может быть использована для дальнейшей атаки. «Теперь я могу за несколько минут собрать хорошее упражнение по социальной инженерии, а не дни и недели в прошлом. И если я отправлю сто фишинговых электронных писем, основанных на собранной информации, это почти гарантия того, что я получу хороший процент попаданий », - говорит он.
«Для меня наиболее успешными методами социальной инженерии обычно являются те, в которых я изображаю из себя человека, который находится в положении сверстника и ищет помощи. Я не фанат предлогов, основанных на авторитете (то есть, я босс, требующий помощи или выдавая себя за аудитора). Я провожу исследование своей цели и, изображая из себя сверстника, могу иногда скользить по рабочей среде. Обычно это помогает создать связь между мной и целью, и информация начинает поступать », - говорит главный партнер Шейн Макдугалл Tactical Intelligence Inc.
Когда дело доходит до онлайн-мошенничества, социальные инженеры используют как страх, так и любопытство, например, отправляя фишинговые электронные письма, спрашивающие, видели ли цели видео с самими собой, или мошенники из службы технической поддержки, утверждающие, что компьютер цели был взломан. Эти мошенничества невозможно пропустить, если они не настороже.
Социальные инженеры также используют новости, праздники, поп-культуру и другие устройства, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошеннических покупок, называемых «BestMark, Inc.», вы видите, как преступники использовали имя известной компании, занимающейся мистическими покупками, для проведения мошенничества. Мошенники часто используют поддельные благотворительные организации для достижения своих преступных целей в праздничные дни.
Злоумышленники также будут настраивать фишинговые атаки, ориентированные на известные интересы, которые можно использовать, чтобы побудить пользователей нажимать на вложенные в вредоносные программы вложения, такие как артисты, актеры, музыка, политика, благотворительность. Такая тактика также используется в социальных сетях, говорит Блоу. «Возможно, злоумышленник создает поддельное приложение Facebook, предназначенное для сбора информации. Он может быть предназначен для привлечения пользователей на основе того, к чему они уже проявили интерес, и с их помощью вы собираете их контакты и другую информацию. Затем вы можете начать строить эти большие социальные сети, в которых точно указаны, с кем они связаны, и связаны ли они с кем-либо, кто станет еще одной сочной целью », - говорит он.
Как я могу обучить своих сотрудников предотвращению социальной инженерии?
Осознание является защитной мерой номер один. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики. Элементы эффективной программы обеспечения безопасности см. В разделе « Семь практических идей для обеспечения безопасности», а теперь выслушайте это! ,
К счастью, социальная инженерия поддается рассказыванию историй. А истории гораздо легче понять и гораздо интереснее, чем объяснения технических недостатков. Успех Криса Никерсона, выдавая себя за технического специалиста, является примером истории, которая интересным образом передает сообщение. Викторины и привлекающие внимание или юмористические плакаты также являются эффективными напоминаниями о том, что нельзя считать, что все являются теми, кем они себя называют.
«На моих учебных занятиях я говорю людям, что вы всегда должны быть немного параноиком и аналом, потому что вы никогда не знаете, чего от вас хочет человек», - сказал Лифьери. Ориентация на сотрудников «начинается с администратора, охранника у ворот, который следит за парковкой. Вот почему обучение должно пройти к персоналу».
Уловки социальной инженерии постоянно развиваются, и тренинги по повышению осведомленности должны быть свежими и актуальными. Например, по мере того как сайты социальных сетей растут и развиваются, мошенники, которые социальные инженеры пытаются использовать там; см. Новые мошенничества в социальных сетях: можете ли вы отличить друга от врага?
Но не только средний сотрудник должен знать о социальной инженерии. Старшее руководство и руководители являются основными целями предприятия. Видеть, как китобойный промысел является главной угрозой кибербезопасности ; Работа в сфере финансов или бухгалтерского учета? Остерегайтесь «китобойных» атак ; и 10 китобойных писем, которые могут быть не подозревающими генеральными директорами .
Каковы наилучшие способы защиты от социальной инженерии?
Дэн Лорманн, директор по безопасности и главный стратег компании по обучению осведомленности в области безопасности Security Mentor, предлагает следующие советы:
Тренируйтесь и тренируйтесь снова, когда дело доходит до осведомленности о безопасности. Убедитесь, что у вас есть комплексная обучающая программа по безопасности, которая регулярно обновляется, чтобы противостоять как общим фишинговым угрозам, так и новым целевым киберугрозам. Помните, что речь идет не только о переходе по ссылкам.
Проведите подробный брифинг «роуд-шоу» по китобойному промыслу и новейшим методам онлайн-мошенничества для ключевых сотрудников. Да, включайте старших руководителей, но не забывайте никого, кто имеет полномочия совершать электронные переводы или другие финансовые операции. Помните, что многие правдивые истории, связанные с мошенничеством, происходят с сотрудниками более низкого уровня, которые вводят в заблуждение, полагая, что руководитель просит их предпринять срочные действия - обычно в обход обычных процедур и / или мер контроля.
Просмотрите существующие процессы, процедуры и разделение обязанностей для финансовых переводов и других важных транзакций, таких как массовая отправка конфиденциальных данных сторонним организациям . Добавьте дополнительные элементы управления, если это необходимо. Помните, что разделение обязанностей и другие меры защиты могут быть скомпрометированы в какой-то момент из-за внутренних угроз, поэтому анализ рисков может потребовать повторного анализа с учетом возросших угроз.
Рассмотрим новые политики, связанные с внешними транзакциями или срочными исполнительными запросами. Письмо от учетной записи генерального директора Gmail должно автоматически поднять красный флажок сотрудникам, но они должны понимать новейшие методы, применяемые темной стороной. Вам нужны авторизованные аварийные процедуры, которые хорошо понятны всем.
Просмотрите, уточните и протестируйте системы управления инцидентами и фишинга. Регулярно проводите настольные упражнения с руководством и ключевыми сотрудниками. Проверьте средства управления и перепроектируйте потенциальные области уязвимости.
Интересное
Да Интернет не стоит на месте вместо серьезной работы появляется в больше и больше способов обмана. В описании этой статьи дается полное описание возможности как хакерских атак так и возможности для самих сотрудников не утруждая себя нанести вред своему работодателю. Полнейший беспредел в интернете. Что хочу то и выложу. Ужас.
ОтветитьУдалитьМетодология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства). Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия.
ОтветитьУдалить