Технологи социальной инженерии

Технологи социальной инженерии




Социальная инженерия реализует прежде всего нетехнические угрозы безопасности. Разнообразный характер потенциальных угроз требует информирования о них и обучения управленческого и технического штата компаний, включая ведущих менеджеров и правление компании, технический и сервисный персонал, службу поддержки, службу безопасности, бизнес-менеджеров.
Краткий обзор
Чтобы атаковать организацию, хакеры, использующие социальную инженерию, эксплуатируют доверчивость, лень, хорошие манеры и энтузиазм персонала. Поэтому защититься от нападения трудно, ведь адресаты не всегда могут понять, что они были обмануты, или могут не признавать этого. Цели хакеров, использующих социальную инженерию, подобны целям любого другого хакера: они хотят получить деньги, информацию или доступ к ИТ-ресурсам.
Злоумышленник попытается убедить сотрудников компании выдать информацию, которая даст ему возможность использовать ваши системы или системные ресурсы. Традиционно этот подход известен как мошенничество. Многие полагают, что хакерские нападения — проблема крупных организаций, ведь это сулит большую финансовую выгоду. Возможно, так было раньше, однако теперь хакеры атакуют всех подряд, от корпораций до физических лиц. Преступники могут как атаковать саму компанию, так и использовать ее как пункт, через который будут совершать нападения на других. Данный подход затрудняет обнаружение злоумышленников.
Чтобы защищать ваш персонал от нападений, использующих технологии социальной инженерии, вы должны знать, какого вида атаки ожидать, предвидеть возможные цели атаки и ваши потенциальные потери. Вооружившись этим знанием, вы можете усилить политику безопасности компании, учитывающую защиту от атак методами социальной инженерии. Эта статья предполагает, что в вашей организации уже создана политика безопасности, которая определяет цели, действия и процедуры для защиты информационных активов компании, ресурсы и штат против технологического или физического нападения. Изменения в вашей политике безопасности помогут обеспечивать сотрудников инструкциями, как реагировать на столкновение с хакером или компьютерным приложением, которое пытается принудить их подвергнуть опасности бизнес-ресурсы либо раскрыть информацию о системе безопасности.
Самая лучшая система защиты практически бессильна, если ею управляет наивный, доверчивый либо психически неустойчивый человек — внушаемый, подверженный внешнему влиянию. Почему-то многие забывают о том, что в роли объекта для атаки может быть выбран не компьютер, а человек, им управляющий. Не стоит забывать, что оператор очень часто оказывается слабейшим звеном в системе безопасности!
Что же такое социальная инженерия в контексте информационной безопасности? В словарях это понятие описывается так: «Социальная инженерия — термин, используемый взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель социальной инженерии — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления сотрудников, которые владеют необходимой информацией, и затем звонок администратору от имени служащего с неотложной проблемой доступа к системе».
В данной статье термин «социальная инженерия» будет рассматриваться более широко и охватывать любые способы психологического воздействия на человека, например попытку ввести в заблуждение (обман), игра на чувствах (любовь, ненависть, зависть, шантаж, алчность).
Данные приемы использовались задолго до изобретения компьютеров, и нам остается лишь удивляться, что за прошедшие тысячелетия люди так и не научились отличать правду от лжи. Но еще удивительнее, что за все это время арсенал злоумышленников практически не претерпел никаких принципиальных изменений. Более того, с развитием коммуникационных технологий задача мошенников значительно упростилась. Общаясь в Internet, вы не имеете никаких гарантий того, что сообщение действительно отправлено тем адресатом, имя которого стоит в заголовке. Ведь вы же не слышите и не видите его, а, следовательно, не можете его идентифицировать! Атакующий при этом может находиться в соседней комнате, соседнем городе или на другом конце планеты. Все это значительно затрудняет поиск и доказательство причастности злоумышленника к нападению.
К счастью, злоумышленники действуют по идентичным или почти идентичным шаблонам. Конечно же, полностью описать все образцы вредоносного программного обеспечения, использующего методы социальной инженерии, в одной статье вряд ли возможно. Мы попробуем рассмотреть основные методы, используемые такими программами.
Категории злоумышленников
Каждый год миллионы компьютеров заражаются вредоносными программами — malware. Как правило, главный вопрос, который волнует исследователей безопасности ИТ, — как программы такого рода заражают компьютер? Ответ на этот вопрос является ключевым для принятия соответствующих мер безопасности, нацеленных на предотвращение подобных атак в будущем. Как правило, ответ на этот вопрос принадлежит одной из четырех категорий.

• Уязвимость, пригодная для удаленного использования. В данном случае вредоносная программа в состоянии заразить компьютер, удаленно используя слабое место в программном обеспечении. Стоит отметить, что заражение в данном случае может быть полностью автоматическим и не потребует никакого интерактивного взаимодействия с пользователем. Для предотвращения подобного заражения обычно достаточно установленного исправления для соответствующего программного обеспечения (это не позволит вам полностью чувствовать себя в безопасности, но значительно сузит круг вредоносных программ, с помощью которых вас можно атаковать).
• Уязвимость политики безопасности, пригодная для удаленного использования. Как и в предыдущем случае, для заражения компьютера вредоносной программой не требуется никакого интерактивного взаимодействия с пользователем. Однако в данной ситуации используется не уязвимое место программного обеспечения или операционной системы, а ошибки в настройках, политике или слабые пароли доступа.
• Социальная инженерия. Во многих случаях заражения вредоносными программами используется ряд способов убедить пользователя совершить то или иное действие для того, чтобы запустить незнакомую программу на выполнение. В большинстве случаев от пользователя требуется установить некоторую программу или посетить какой-либо Web-сайт.
• Исполнение вредоносной программы вручную, без использования социальной инженерии. В некоторых случаях заражение может произойти при нормальной работе сотрудника, т. е. посетитель заходит на сайт, который заражает его компьютер вредоносной программой автоматически. В данном случае хакерская программа посылает письма по электронной почте пользователям, приглашая их посетить соответствующий сайт. Сотрудники, которые попадают на сайт по ссылке из соответствующего письма, являются жертвами технологий социальной инженерии. Однако, помимо них, всегда будут пользователи, которые попадают на этот сайт случайно, т. е. они фактически вручную запускают хакерскую программу.

С развитием вредоносного программного обеспечения все труднее становится определить, какая из вышеупомянутых методик была применена в том или ином случае. Аналогично весьма сложно выяснить в каждом конкретном случае, использовалась социальная инженерия или нет.
Транспорт социальной инженерии
Вредоносное программное обеспечение, использующее социальную инженерию, совсем не является чем-то новым. Однако с развитием Internet применять такого класса программы становится все проще. Фактически используются два основных компонента программного обеспечения, использующего социальную инженерию. Это объект (например, сообщение), которое собственно вызывает атаку, и средство доставки (транспорт) для переноса объекта. В качестве типичных средств доставки используется:

• электронная почта;
• служба мгновенных сообщений;
• одноранговые сети.

Рассмотрим различные методики социальной инженерии, основанные на том, как атакующий управляет объектом. Для дальнейшего обсуждения предположим, что объекты состоят максимум из трех частей:

• информационное наполнение сообщения (например, тело/тема сообщения);
• отправитель;
• справочная ссылка на вредоносное программное обеспечение (например, вложение).

Стоит отметить, что, в зависимости от средства доставки, возможно наличие не всех этих компонентов. Электронная почта. В связи с тем что большинство пользователей Internet работают с электронной почтой, злоумышленники часто используют этот канал доставки для распространения вредоносного программного обеспечения.
Основные типы саморазмножающихся червей, использующих технологии социальной инженерии, показывают тему, тело сообщения и/или имя вложения, которое убеждает пользователя выполнить те или иные действия, которые могут привести к установке соответствующего вредоносного программного обеспечения на компьютере. Один из первых образцов данной методики был обнаружен в 1999 году в вирусе Melissa (макровирус), а затем в LoveLetter в 2000 году. В то время как в 1999 году макровирусы не были чем-то уникальным, Melissa был не похож на другие тем, что использовал новые технологии доставки посредством электронной почты. Вирус посылал свои копии пользователям, адреса которых выбирались из адресной книги зараженного компьютера, с признаком важного сообщения от имени зараженного пользователя и с телом сообщения «Вот