Социальная инженерия: наука об обмане
Вы инвестировали кучу денег в технологии защиты данных, следуете всем протоколам безопасности, измеряете их эффективность и даже совершенствуете их, И ВСЕ ЖЕ социальный инженер сможет найти путь к вашим тщательно засекреченных данным.
Социальная инженерия — это, по сути, искусство получения доступа к зданиям, системам или данным, используя психологию человека, а не путем взлома. К примеру, вместо того чтобы пытаться найти уязвимость в программном обеспечении, социальный инженер может представиться сотрудником IT-отдела и заполучить пароль путем обмана.
Социальные инженеры используют человеческое поведение. Если они хотят получить доступ к вашему зданию, они не побеспокоятся о системе безопасности. Они просто пройдут ко входу и уверенно попросят кого-нибудь помочь им войти внутрь.
Социальная инженерия считается очень успешным способом проникнуть внутрь организации. Как только у социального инженера есть пароль доверенного сотрудника, он может просто войти в систему и отследить конфиденциальные данные. С помощью карточки доступа или кода, чтобы физически попасть внутрь объекта, преступник может получить доступ к данным, украсть активы или даже нанести вред людям.
Обычно социальным инженерам требуется несколько недель или месяцев, чтобы узнать нужный объект, прежде чем войти в дверь или позвонить по телефону. Их подготовка может включать поиск списка телефонных номеров компании или корпоративных чатов, а также поиск сотрудников в социальных сетях (вот вам несколько тревожных звоночков).
Типы атак социальных инженеров можно разделить на следующие категории:
Телефонная: социальный инженер звонит вам и путем обмана направляет на сайты фишинга или выпытывает конфиденциальную информацию.
С переодеванием: мошенник представляется обслуживающим персоналом, строителем или кем-либо еще, чтобы получить доступ к закрытым зонам.
Маньячная: следуя за кем-либо из компании, социальный инженер представляется сотрудником, который забыл\потерял карту доступа и попадает внутрь организации
Групповая: социальный инженер может заразить телефон человека или его компьютер вредоносной программой с помощью третьей стороны (сайт знакомств, социальная сеть). В последствии зараженное устройство подключится к сети компании и предоставит нужный доступ злоумышленнику.
Существует, конечно же, пара вещей, с помощью которых можно противостоять хитрым социальным инженерам. К примеру, многие организации (на Западе) создают красные команды для определения областей, требующих улучшения. Красная команда имитирует сценарий из реальной жизни, в котором используются методы социальной инженерии. После, команда может оценить плачевность интеллектуального и психологического состояния сотрудников и предписать действия, которые укрепят позиции безопасности.
Но одна из лучших мер защиты от социальной инженерии — это обучение социальной инженерии. Что-то вроде «предупрежден, значит вооружен». По-крайней мере сотрудники начнут следовать определенным правилам: не заводить в здание посторонних/незнакомых людей, проверять личности неизвестных лиц, прежде чем обсуждать какую-либо конфиденциальную информацию, сообщать о подозрительной деятельности, не открывать имэйлы от подозрительных лиц, не предоставлять доступ к компьютеру посторонним и так далее.
Вообще, все не так уж плохо, как кажется, на первый взгляд. Если в вашей компании работает 5 человек, то, о чем переживать? Но если 6…