Даже самые современные, напичканные до зубов техническими новинками защиты и слежения, компании имеют слабое место, и это - человеческий фактор. Даже высокообразованные и вышколенные сотрудники - это простые люди с простой человеческой психологией и уязвимыми местами.
Это продолжение. Начало здесь...
Когда Джейсон взялся инспектировать государственное учреждение, у него возникла сложность с проникновением в серверную, так как она находилась на втором этаже. А на первом - был установлен турникет со сканером чипованных пропусков и постоянно дежурили вооруженные охранники.
На этот случай у Джейсона была припасена дурацкая отмазка - распечатка сфабрикованного эмейл, в котором один из руководителей фирмы, якобы поручает ему сделать внеплановый аудит на аутсорсинге, поскольку его беспокоит низкая компетентность собственных сотрудников. Это, никогда не существовавшее в реальности письмо, ударило прямо в самое уязвимое место админу - профессиональную гордость. Он посмотрел пропуск Джейсона, стиснул зубы и сам проводил его по всем закрытым кабинетам, помогая установить на компьютеры в разных подсетях троян. Тот находился на флешке под видом утилиты для анализа сети, что было полуправдой. Сеть он действительно анализировал, но немного по своему...
Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве: покупать справочники, копаться в корпоративном мусоре, в надежде обнаружить ценные документы, знакомиться с секретаршами и даже взламывать телефонные коммутаторы. Сегодня львиную долю грязной работы за хакера выполняют соцсети - просто зайди на Facebook и узнаешь много о компании и ее сотрудниках: откуда они пришли; где учились; как долго и кем работали. Фэйсбук расскажет всё про их интересы и семьи. Twitter - о привычках и распорядке. Foursquare даже предоставит геолокацию и завершит образ потенциальной жертвы.
Основная часть кражи личности теперь происходит еще до начала атаки. Представьте, что жулик нашел Facebook страницу руководителя компании, который только что уехал .
Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии - это особенно актуальная практика.
На этот раз он оделся посолиднее. Он подождал, когда закончится перерыв и в холле начнётся столпотворение. Поравнявшись с одним из сотрудников, в 3 метрах от турникета, он заговорил с ним как давний знакомый, чем дезориентировал охрану. Им стало казаться, что Джейсон - новый парень, который успел подружиться с давно известным сотрудником. Бывалый уже прошел по-своему пропуску, а его новый компаньон замешкался и виновато попрощался перед турникетом.
-Кажется, я потерял пропуск,- сказал Джейсон охраннику,- мне теперь конкретно влетит...
- О! Думаю, это не проблема, - ответил охранник. - Сейчас мы выдадим вам временный, а потом вы найдете свой, либо легко получите новый, написав стандартное заявление.
Сочувствие - великая сила. Она позволяет скучающему охраннику почувствовать себя мессией регионального масштаба и ощутить власть над судьбами людей. Получив пропуск прямо из рук охранника, Джейсон поднялся на второй этаж и зашёл в серверную.
- Мне надо проверить компы, - сказал он и подошел к ближайшему, но администратор был настороже.
- Кто вы и что делаете здесь? - спросил он.
В каждом случае хакера спасает невероятная убежденность в правомерности своих действий и идеальное представление используемой легенды.
Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве: покупать справочники, копаться в корпоративном мусоре, в надежде обнаружить ценные документы, знакомиться с секретаршами и даже взламывать телефонные коммутаторы. Сегодня львиную долю грязной работы за хакера выполняют соцсети - просто зайди на Facebook и узнаешь много о компании и ее сотрудниках: откуда они пришли; где учились; как долго и кем работали. Фэйсбук расскажет всё про их интересы и семьи. Twitter - о привычках и распорядке. Foursquare даже предоставит геолокацию и завершит образ потенциальной жертвы.
Основная часть кражи личности теперь происходит еще до начала атаки. Представьте, что жулик нашел Facebook страницу руководителя компании, который только что уехал .
Посмотрев список его друзей, легко найти подчиненных и отправить им письмо с невинным текстом: " Здесь невероятно круто! Только вгляни на эти фото!". Далее следует фишинговая ссылка, по которой сотрудник точно перейдёт, потому что это письмо пришло якобы от его босса, желающего поделиться с ним своей радостью.
Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии - это особенно актуальная практика.
Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности.
Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Его сотрудников только что напугали до чертиков предыдущие аудиторы, которые нашли тонну проблем. Сотрудники стали настоящими параноиками. Не открывают подозрительные письма, не переходят по фишинговым ссылкам, не подбирают диски и флешки, не разглашают ничего по телефону, и вообще строго следуют должностным инструкциям.
"Да это же идеальные жертвы!", - подумал Швартау и принялся за работу.
Он скопировал сайты компании и образец шапки делового письма, там же он взял часть адресов обычной почты сотрудников, а остальные узнал из справочника. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
В каждом письме говорилось, что недавно репутация компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Далее, для усыпления бдительности, следовал детальный план с обилием технических терминов, которые офисный клерк вряд ли сможет понять. В заключение письма говорилось, что IT-отделу и службе безопасности теперь надлежит общаться только посредством физической почты, так как это единственный канал связи недоступный хакерам.
Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Его сотрудников только что напугали до чертиков предыдущие аудиторы, которые нашли тонну проблем. Сотрудники стали настоящими параноиками. Не открывают подозрительные письма, не переходят по фишинговым ссылкам, не подбирают диски и флешки, не разглашают ничего по телефону, и вообще строго следуют должностным инструкциям.
"Да это же идеальные жертвы!", - подумал Швартау и принялся за работу.
Он скопировал сайты компании и образец шапки делового письма, там же он взял часть адресов обычной почты сотрудников, а остальные узнал из справочника. Вместе с помощниками Швартау составил примерно 1200 персонально адресованных бумажных писем, напечатал их на самодельных бланках проверяемой организации и отправил старым дедовским способом.
В каждом письме говорилось, что недавно репутация компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности. Далее, для усыпления бдительности, следовал детальный план с обилием технических терминов, которые офисный клерк вряд ли сможет понять. В заключение письма говорилось, что IT-отделу и службе безопасности теперь надлежит общаться только посредством физической почты, так как это единственный канал связи недоступный хакерам.
"PS. Указанный адрес не принадлежит компании, чтобы эти письма никто не смог вычислить и перехватить. Мы будем помещать их в надёжно охраняемый почтовый ящик, доступ к которому будет только у руководства и службы безопасности," - говорилось в письме. - "Прямо сейчас вам надлежит прислать свои учётные данные, чтобы мы проверили их вручную и завершили обновление системы."
Результат - 28% сотрудников ответили на следующий же день, указав в письме все свои данные.
Вывод Швартау неутешителен. Как бы долго и тщательно организация не тренировала людей, какие административные и технические меры бы не принимались - она никогда не достигнет 100% защищенности.
Результат - 28% сотрудников ответили на следующий же день, указав в письме все свои данные.
Вывод Швартау неутешителен. Как бы долго и тщательно организация не тренировала людей, какие административные и технические меры бы не принимались - она никогда не достигнет 100% защищенности.
Любые высокие показатели безопасности - лишь временный эффект