Социальная инженерия оказалась очень успешным способом проникновения преступника в вашу организацию. После того, как хакер получил пароль сотрудника, он может просто войти в систему и просмотреть конфиденциальные данные. Имея карту доступа или код доступа, преступник может получить доступ к данным, украсть имущество или даже причинить вред людям, чтобы физически проникнуть внутрь учреждения.
В статье "Анатомия взлома тестера проникновения" рассказывается о том, как злоумышленник использовал общедоступную информацию на сайтах социальных сетей и футболку Cisco стоимостью 4 доллара, которую он купил в благотворительном магазине для подготовки к нелегальному входу. Эта рубашка помогла ему убедить администрацию здания и других сотрудников в том, что он является сотрудником Cisco в службе технической поддержки. Войдя внутрь, он помог нелегально проникнуть и другим членам своей команды. Ему также удалось сбросить несколько зараженных вредоносным ПО USB-устройств и взломать сеть компании, и все это на виду у других сотрудников.
Однако, чтобы нанести вред организации преступнику не обязательно ходить в благотворительные магазины. Они работают также по электронной почте, по телефону или через социальные сети. Все эти нападения объединяет то, что они используют человеческую природу в своих интересах, пользуясь нашей жадностью, страхом, любопытством и даже желанием помочь другим.
Примеры социальной инженерии
Преступникам часто понадобятся недели и месяцы, чтобы познакомиться с местом преступления еще до того, как они войдут в дом или позвонят по телефону. Их подготовка может включать поиск списка телефонов или организационной структуры компании и поиск сотрудников на сайтах социальных сетей, таких как LinkedIn или Facebook.
1. По телефону
Социальный инженер может позвонить и притвориться коллегой по работе или доверенной внешней организацией (например, правоохранительной или аудиторской).
2. В офисе
"Ты можешь подержать дверь для меня? У меня нет при себе ключа/карты доступа." Как часто вы слышали это в своем доме? Хотя человек, задающий вопросы, может показаться не подозрительным, это очень распространенная тактика, используемая социальными инженерами.
3. Онлайн
Сайты социальных сетей облегчили проведение атак социальной инженерии. Сегодня злоумышленники могут зайти на такие сайты, как LinkedIn и найти всех пользователей, которые работают в компании, а также собрать множество подробной информации, которая может быть использована для дальнейшей атаки.
Социальные инженеры также используют экстренные новости, праздники, поп-культуру и другие устройства для привлечения жертв. Мошенники часто используют поддельные благотворительные фонды для достижения своих преступных целей в праздничные дни.
Злоумышленники также настраивают фишинговые атаки которые можно использовать, чтобы заманить пользователей на использование вложений, содержащих вредоносное ПО.
Известные атаки социальной инженерии
Хороший способ понять, на какую тактику социальной инженерии следует обращать внимание, - это знать, что использовалось в прошлом. Нам известно множество случаев на эту тему, но на данный момент остановимся на нескольких техниках социальной инженерии - независимо от технологических платформ, - которые оказались успешными для мошенников в большой степени.
Предложи что-нибудь сладкое. Как скажет вам любой мошенник, самый простой способ обмана людей - это использовать их собственную жадность. Это основа классической нигерийской аферы, в которой мошенник пытается убедить жертву помочь ей получить якобы плохо вырученные деньги из своей страны в надежный банк, предложив взамен часть средств. Эти письма от "нигерийского принца" десятилетиями были шуткой, но они все еще остаются эффективной техникой социальной инженерии, в которую люди попадают: в 2007 году казначей малонаселенного округа Мичиган дал 1,2 миллиона долларов в виде государственных средств такому мошеннику в надежде лично нажиться на них. Другой распространенной приманкой является перспектива создания новой, лучшей работы, чего, очевидно, очень многие из нас хотят: в 2011 году компания RSA была взломана, когда по крайней мере два низкоуровневых сотрудника открыли вредоносный файл с именем "2011 вербовочный план.xls", прикрепленный к электронному письму.
Притворяйся, пока не доберешься. Одна из самых простых и удивительно успешных техник социальной инженерии состоит в том, чтобы просто притворяться жертвой. В одной из первых легендарных афер Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, назвав себя одним из их ведущих разработчиков и заявив, что у него возникли проблемы с входом в систему; он был немедленно награжден новым логином и паролем. Все это произошло в 1979 году, и вы думаете, что с тех пор все могло бы улучшиться, но ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, уговорив службу поддержки передать пропуск в интранет Министерства юстиции, сказав, что это была его первая неделя работы и взлома системы.
