Часть вторая
Поговорим о более простых и понятных инцидентах. Буквально на днях произошла очередная утечка информации. Не важно, когда вы будете читать эту статью, это всё равно произошло. Забавно, не правда ли?
Когда происходит утечка информации, возникает острая необходимость найти виноватого. Зато решения об изменении структуры никто принимать не хочет. Можно ли что-то сделать с этим? Конечно, можно! Например, показать, что инструменты безопасности могут приносить деньги. Разрабатывая инструмент безопасности, мы должны думать о том, как и какую прибыль он может принести бизнесу. Причём тут социальная инженерия, спросите вы?
Давайте вспомним первую часть статьи и поговорим про журнал инцидентов. Как его монетизировать? Для начала необходимо немного подумать и ответить на два простых вопроса.
1. Работники, которые знают, что работодатель их защищает, более лояльны к компании?
2. Работники, которые могут получить консультацию у службы безопасности, сохранят свои деньги?
Чувство безопасности, снижение тревожности — всё это непосредственные факторы роста эффективности, которые повышают не только продажи. Эту методологию применяют в западных корпорациях. Существуют эффективные примеры комплексной работы этой связки.
Любой проект по безопасности должен быть обоснован ростом прибыли компании.
Лучший пример взаимодействия с общественными организациями и повышения прибыли компании есть в книгах о «Макдаке». Там рассказывают о том, как компания сотрудничала с защитниками животных, а те, в свою очередь, обосновывали и доказывали повышение эффективности забоя скота для получения большей прибыли. Все остались довольны.
Хотите внедрить продукт по безопасности? Покажите, сколько заработает компания, создайте KPI.
Социальная инженерия
Сделаю ремарку. Я говорю лишь о методах, в которых уверен. Например, я считаю, что страх — это один из самых эффективных инструментов воздействия, но знаю специалистов, которые специализируются на создания чувства безопасности. Говоря научно, вся социальная инженерия — это манипуляция сознанием. Все мы применяем манипуляции в жизни. Отличие заключается лишь в том, осознано это происходит или нет.
Первый пример
«Привет Кайл, тебя ломанули! От тебя идет запрос на перевод денег!!!! СКРИН».
Поставьте себя на место Кайла: от вашего знакомого приходит сообщение, что его взломали, и присылают скриншот, потом второй пишет то же самое, затем третий. Да, это трудно провернуть, потому что сначала необходимо взломать трех знакомых, но всё же.
Что делать в данной ситуации
1. Позвонить знакомому компьютерщику. Если он уже взломан, то вы во власти злоумышленников. Как этого избежать? Можно либо приехать к нему лично, либо подтвердить личность посредством звонка, задавая тупые вопросы.
2. Не ищите сторонние фирмы или других мастеров. Они не помогут, потому что вы не взломаны, а только разведут руками. Безусловно, если найдете крутых и дорогих специалистов, то они могут и объяснить, что происходит, но вероятность этого крайне мала. Если начнете писать знакомым, чтобы они кого-нибудь порекомендовали, случится то же самое.
С помощью социальной инженерии хакер сможет втереться в доверие, проникнуть в ваш дом и получить полный доступ к устройствам. Если вас хотят взломать, вас взломают. Это всегда вопрос времени и ресурса. Чем сложнее произвести взлом, тем меньше вероятность, что это произойдет.
Второй пример
«Привет Кайл! Я перевел тебе сто баксов, как договаривались. Жду решения вопроса».
Другая ситуация. Допустим, пишет знакомый, общение с которым происходит не часто, а в переписке с ним нет информации, которая бы объяснила, что нужно сделать. Деньги, к слову, реально пришли на карту.
Если написать отправившему, то он, наверняка, ответит: «Ты с головой дружить перестал? О таком тут говорить не буду!».
Что делать? Назначить встречу? Возможен ответ: «Сделай, что должен, потом встретимся, сейчас не время! И не звони мне, пока вопрос не решишь».
Порядочные люди в такой ситуации чувствуют себя виноватыми и думают, что же такого они должны сделать. Как можно было так заработаться, чтобы не помнить, о чём шла речь? Западный менталитет обычно не позволяет спрашивать о таком. Это же признание своей убогости…
Затем пишет ещё один знакомый, и ситуация повторяется. Третий диалог становится добивающим. Наконец, на связь выходит четвёртый человек: «Привет, Кайл. У меня все готово. Вот ссылка. Заходи и переводи деньги. Я сделал всё, как ты просил. Всем понравиться!»
Мы потеряли триста долларов, но получили возможность для атаки через ссылку. Можно ли сделать проще? Разумеется! Но для примера достаточно и этого.
Оба моих примера имеют очень высокую вероятность провала. Те, что имеют низкую, давать не стану. Это просто описание общей методологии, не более того. Самое страшное, что всё за нас давно придумало научное сообщество. Нужно просто понимать, что и где читать, а затем адаптировать под дикую природу.
Мои примеры построены на страхе. С точки зрения методологии, они одинаковые. Все вы с этим сталкивались. Создай проблему — реши проблему.
Многие сотрудники СБ изучили социальную инженерию в ходе боевой практики. Мой цикл статей призван изменить восприятие проблемы, но не более того.
Особенности атак
1. Технические средства.
2. Уровень атакующего.
3. Атаки проводит группа людей или одиночка.
4. Атака проводится на группу целей, в рамках одной компании.
Изменение вашего восприятия — тоже социальная инженерия. Восприятие можно изменить с помощью страха.
Третий пример
«Кайл, здравствуйте, я увидел что вы неравнодушны к маленьким девочкам. Я хочу убедиться, что это вы прежде, чем обращаться в полицию».
Единственное верное решение — блок. Если вы ни в чем не виноваты, то и обращать внимание на атаку не стоит. Любая другая реакция — это ошибка. Если начнете переписываться со злоумышленником, бросаться оскорблениями, то он лишь получит подкрепление своих действий. С помощью страха изменилось восприятие ситуации, вызван гнев, защита перенаправлена.
Деньги и безопасность
Безопасность должна приносить деньги, потому что является функцией бизнеса, а каждая функция бизнеса должна приносить деньги. Что-что? Проверка контрагентов может приносить деньги? Что ещё расскажешь? Всё дело в формате мышления.
Как появляются стартапы? Давайте рассмотрим такую ситуацию: есть база, черный список контрагентов, с которыми не стоит работать, полноценная СБ, которая постоянно проверяет контрагентов. Словом, всё настроено, а люди при работе. Безусловно, их работа очень важна, только для стартапа этого мало.
Создание стартапа
1. Вы правда думаете, что в малом и среднем бизнесе у всех есть СБ?
2. Значит, если мы можем предложить консалтинг по безопасности, люди могут согласиться.
3. Пятнадцать тысяч рублей в месяц, за проверку ста контрагентов и сто тысяч рублей при оплате за год.
4. Зачем это нужно потенциальному клиенту? Страх. Нужно переложить ответственность, так как люди не готовы принимать самостоятельные решения.
5. Зачем это нужно вам? Во-первых, повысить зарплату для СБ. Во-вторых, перевести штат СБ на самоокупаемость. В-третьих, это позволит СБ, зарабатывать деньги для разработки новых продуктов во имя безопасности вашей компании.
Да, это упрощенный пример, но даже в проверке контрагентов на сверхконкурентном рынке есть ниши, в которых можно работать, которые можно забрать. Разумеется, это потребует времени и ресурсов. Но как создавать и развивать функции бизнеса по-другому? Правильно, завязывать их на получении прибыли для компании. Сокращение расходов — это тоже в прибыль, не правда ли?
У этого примера есть критическая уязвимость, он плохой. Создавать из своего СБ консалтинговое подразделение и выносить его услуги на продажу — очень спорное решение, с точки зрения функции основного бизнеса. Контрагенты, социальная инженерия, мониторинг сотрудников и так далее — любая функция безопасности может приносить доход и/или сокращать расходы. Капитан Очевидность, как же… Я бы хотел быть им в данном вопросе, но горький опыт подсказывает, что это стоило прояснить. Пример по контрагентам также взят из боевой практики.
Прикрытие атаки
Одну атаку нормально скрывать за другой. Есть целевой объект: звоним ему, делая вид, что мы мошенники и хотим разными грязными способами заполучить заветные три цифры с оборота банковской карты.
Будем звонить две-четыре недели, по N-раз в день, а ещё разместим информацию, что объект хотел купить квартиру/машину или взять кредит. Пусть позвонят и побесят.
Почему важен журнал? Если сотрудник не сообщит, что его так «готовят», то вы и не узнаете, что компанию собираются через него ломать.
В какой-то момент на рабочую почту сотрудника, придет письмо, например, акт сверки, и он, уставший от «подготовки», перегруженный работой, не придаст значение тому, что файл отправлен ошибочно, вовсе не ему, откроет и не сообщит об этом в ИБ! Заработался и забыл. С кем не бывает? Обычное дело! Это же акт сверки.
А если такой сотрудник не один, и у них разом начнутся схожие проблемы с мошенниками и прочим спамом? Если их буллят в социальных сетях, пишут обидные комментарии, выводят из равновесия? Отрабатывать только одного работника — край осторожности. Работают обычно над целой группой.
Прошу не думать, что всё будет в точности так, как я написал. Это пример очень открытой атаки.
Письма государственных органов
Такие письма вызывают крайне высокую степень доверия. Это значит, что, если мы получим доступ к ящику, «секретаря горсовета» и напишем с него письмо, то его не только прочтут, но ещё и перешлют «куда следует»! Официальное письмо может прийти много откуда, хоть из дипломатического представительства «банановой республики». Это методология, целью которой является вызов чувства ложной безопасности. Сообщение, отправленное с почты посольства или государственных органов — это безопасно и понятно. Это тоже социальная инженерия.
Первый пример
Если развить тему, окажется, что письмо с ящика вашего контрагента тоже не вызывает подозрений.
«Галина Геннадьевна, у нас изменились реквизиты! Высылаем новые. Банк блокернул по 115. Просим последний счет за номером … на сумму … оплатить по новым реквизитам. Спасибо!»
Сколько денег ушло после таких сообщений!? Достаточно было позвонить бухгалтеру и запросить дополнительную информацию! Так бы выяснилось, что бухгалтер этого не писала, письмо с реквизитами не отправляла.
Правила безопасности
Большинство инцидентов происходит разово, а затем появляется правило безопасности. Однако правила безопасности могут парализовать производственный процесс.
Примеры правил безопасности:
● ваш пароль от учетной записи компьютера не должен использоваться в других местах;
● ваши рабочие пароли должны отличаться от личных;
● нельзя устанавливать нелицензионный софт на рабочие компьютеры;
● софт на рабочие компьютеры может устанавливать только администратор;
● нельзя пользоваться личными социальными сетями с рабочих устройств;
● нельзя передавать рабочие пароли через мессенджеры, почты и социальные сети, только через СМС (не ММС);
● для регистрации на сайтах, по рабочим мотивам, нужно использовать отдельный пароль, который не похож на боевые пароли;
● ваш личный телефон не должен быть связан с рабочими профилями и, тем более, паролями;
● пароли лучше хранить в запароленном файле.
Можно было бы просто сделать криптофлешку-ключ и правильно настроить систему, а не писать все эти триста пунктов правил безопасности по пользованию компьютером. Но есть правила работы, которые диктуются законами.
Разведка
Помните, я говорил, что перед атакой идет разведка? Атаки вслепую возможны, но о таких мы поговорим в статье про автоматические системы.
Как посторонний человек может узнать, кто и на каких должностях работает в вашей компании? Это очень важный вопрос для СБ. Информацию собирают по крупицам. Могут добавиться в самоорганизованный чат-флудилку персонала через бывшего сотрудника, который написал негативный отзыв о работодателе.
Во многих компаниях принято присваивать номер входящему письму, если там содержится файл в виде официального бланка с запросом. Он пройдет всю структуру подчинения, пока не дойдет до нужного человека, вернее, нужной должности, если отправить его на общую почту. Сотрудники будут просто отфутболивать его, чтобы поменьше работать.
Сколько людей этот файл откроют и получат сюрприз? У всех стоит защищенная система с антивирусом и проверкой файлов? Обычная практика. Вот почему атакующим интереснее бизнес-конференции, чем конференции по ИБ. На бизнес-конференциях куда больше полезной информации о том, как работает бизнес.
Последний пример
На корпоративную почту приходит сообщение с адреса фирмы, которая занимается безопасностью. В нем говорится, что ваша компания заказала аудит безопасности, содержится опрос, а в качестве награды компания дарит фирменную флешку. Флешку реально могут отправить, только она будет с сюрпризом.
Продолжение следует…
P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.
#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики #социальнаяинженерия
