Социальная инженерия в рамках пентеста

Социальная инженерия: имитация атаки и защита от RTM Group

Даже самая безопасная и устойчивая к атакам информационная система под угрозой, пока существует человеческий фактор. “Черные хакеры” (специалисты в сфере кибербезопасности, использующие свои навыки в противоправных целях) давно поняли, что вместо того чтобы искать уязвимости в коде и техническом обеспечении цели, гораздо эффективнее использовать неосведомлённость и неосторожность людей.

В большинстве информационных систем самым уязвимым звеном является человеческий фактор. На него и приходится львиная доля успешных атак злоумышленников. А методы, которые подразумевают несанкционированный доступ к закрытой информации с помощью эксплуатации человеческих слабостей, называются “социальная инженерия“.

Эксперты компании RTM Group готовы помочь Вам обезопасить предприятие от атак с использованием методов социальной инженерии.

Профессионалы с опытом от 10 лет проведут анализ уязвимых аспектов защиты данных в компании, дадут необходимые рекомендации, а по вашему запросу – проведут имитационную атаку (pentest), которая позволит наиболее точно оценить положение дел и принять соответствующие меры (гарантируем конфиденциальность ваших данных и их нераспространение третьим лицам).

Эксперты RTM Group готовы предложить:

1. Консультации по вопросам защиты от атак с использованием методов социальной инженерии, помощь в обучении службы безопасности и персонала, имеющему доступ к закрытым данным;
2. Составление рекомендаций по увеличению уровня защищённости конфиденциальной информации, помощь в их реализации, оценка эффективности действующей стратегии защиты конфиденциальной информации (при наличии);
3. Пентест — проведение имитационной атаки с методами социальной инженерии (на всё предприятия/на конкретный отдел/сотрудника). Используемые методы и предполагаемый сценарий заранее обсуждается с заказчиком.

Данная услуга подходит, если:

• Произошла утечка конфиденциальной информации;
• Были зафиксированы попытки кражи конфиденциальной информации;
• Отмечен рост числа атак или попыток несанкционированного доступа к КИ;
• Требуется узнать, насколько предприятие защищено от атак “социальных инженеров”;
• Нужно понять, насколько хорошо штат соблюдает требования по защите информации;
• Вы не знаете, какие именно отделы/конкретные сотрудники наиболее уязвимы для атак.
• Вы хотите повысить общий уровень защищённости информации на предприятии;

Какие методы мы можем использовать в рамках атаки методами социальной инженерии:

• Рассылка фишинговых писем с вредоносными ссылками (имитация адреса отправителя на усмотрение заказчика);
• Звонки сотрудникам и попытка получения любых закрытых данных или сведений, обеспечивающих доступ к ним.
• Создание фишингового сайта с возможностью регистрации и загрузкой вредоносного ПО (с дальнейшей рассылкой адреса сайта).
• Физическое проникновение на территорию компании с целью получения доступа к локальной сети.
• Прямые выходы на сотрудников с предложением подкупа за предоставляемую информацию/доступ к данным.
• Обратная социальная инженерия.

Важно!

Все применяемые в рамках имитации атаки вредоносные ссылки, а также программное обеспечение, являются абсолютно безвредными и используются исключительно с целью сбора статистики о совершении сотрудниками небезопасных с точки зрения защиты информации действий. Все данные заказчика, которые получают эксперты в рамках имитации атаки, строго конфиденциальны и ни при каких обстоятельствах не передаются третьим лицам.

Что получает заказчик:

1. Оценку осведомлённости и бдительности штата компании при реальных попытках кражи конфиденциальной информации;
2. Оценку компетентности сотрудников, имеющих доступ к конфиденциальной информации или полномочия на выдачу доступа;
3. Готовые решения от экспертов, позволяющие значительно повысить устойчивость к атакам с использованием методов социальной инженерии;
4. Увеличение эффективности существующих внутренних регламентов по информационной безопасности или создание нового.

Понятие, задачи и опасности социальной инженерии

Социальная инженерия (иногда произносится как “социальный инжиниринг” от англ. “social engineering”) в контексте информационной безопасности – это способ несанкционированного получения закрытой информации или склонения к определённым действиям путём обмана или психологического манипулирования людьми. Совокупность уловок с целью сбора данных, их подделки или неправомерного доступа от традиционного «мошенничества» отличается тем, что часто является лишь одним из многих шагов в более сложной и многоступенчатой схеме.

Пример успешного использования методов социальной инженерии

Кража 40 миллионов долларов у компании The Ubiquiti Networks в 2015 году. Не было взломов операционной системы, никто не крал конфиденциальные данные — правила безопасности нарушили сотрудники компании. Мошенники выслали email от имени топ-менеджера и попросили перевести большую сумму денег на банковский счёт. То что это банковский счет злоумышленников, узнали уже поздно.

Основным мотивом злоумышленников для использования методов социальной инженерии является финансовая выгода. Коммерциализация кибер-преступности приносит хакерам колоссальный объем денежных средств. Согласно данным корпорации Symantec, финансовые потери организаций и частных лиц от успешных атак злоумышленников составили в 2008 г. примерно 600 млрд. долл. Чаще всего злоумышленников интересуют пароли доступа к ИС, коммерческая и техническая информация (например, о том, как строится защита компании, политики и процедуры организации ИБ, версии используемых ПО, данные об ИТ-инфраструктуре и т. п.).

Главными связанные с киберпреступностью риски для компаний:

• Траты на восстановление утерянной информации и вышедшего из строя оборудования;
• Расходы на судебные иски от клиентов, пострадавших от утечек информации;
• Иски от регулирующих органов;
• Снижение привлекательности от в глазах инвесторов;
• Удар по доверию со стороны партнеров и клиентов.

Схожим образом страдают от кибератак и частные лица. В рамках проведения исследования под названием Unisys Security Index два раза в год обновляется так называемый индекс безопасности, в основе которого лежит понимание рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период.

Организаторы очередных исследований для определения нынешнего Unisys Security Index установили, что число опрошенных, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не имеющих возможность выйти в сеть; иными словами, большинство пользователей сети Интернет понимает опасность, и прежде всего боятся утечки своих личных идентификационных данных.

Распространённые методы социальной инженерии

Обычно теми, кто поддается на методы социальной инженерии, движут простые человеческие качества: беспечность, наивность, жадность, страх, любопытство… Методы воздействия ограничены лишь фантазией злоумышленника, однако остановимся на самых популярных схемах криминальных “инженеров”.

Фишинг

Человеческий фактор: невнимательность

Метод сбора пользовательских данных для авторизации — чаще всего это массовая рассылка писем на электронную почту. Источник письма может быть качественно замаскирован под организацию или компанию, которой вы доверяете. В письме может говорится о том, что с вашего счета списались деньги, или доступ к вашему аккаунту банка был получен доступ с другого устройства. Вам предлагают сменить пароль, вводя при этом старый. Как только выполнены все необходимые действия для обеспечения своей “безопасности”, вы попались.

Троян

Человеческий фактор: жадность

Вредоносное программное обеспечение не просто так получило своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой тут будет сообщение на электронную почту, которое обещает быстрый заработок, выигрыш или другие «золотые горы» — но в результате человек устанавливает вредоносный софт, с помощью которого злоумышленники крадут его данные. Троян, как правило, замаскирован под ПО, которое с виду никак не предназначено для сбора данных.

Кви про кво

Человеческий фактор: доверчивость

Или «услуга за услугу» от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки или системным администратором. Он говорит о том, что в системе наблюдаются неполадки, или же ему просто надо обновить вашу операционную систему. Далее жертва сообщает ему все необходимые данные или же самолично предоставляет доступ к ПК.

Обратная социальная инженерия

Человеческий фактор: доверчивость и невнимательность

Метод направлен на то, чтобы жертва сама обратилась к злоумышленнику и выдала ему необходимые сведения. Это может достигаться двумя путями:

1. Внедрение особого ПО. Поначалу ПО работает в без сбоев, однако потом все кардинально меняется в худшую сторону. Пользователю ничего не остается как обратиться в тех. поддержку и просить вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем “специалистом”, к которому обратятся за помощью, оказался злоумышленник. Налаживая работу ПО, мошенник производит необходимые для выполнения его настоящих задач действия. А когда взлом обнаруживается, в большинстве случаев социальный инженер остается вне подозрения.
2. Реклама. Хакеры могут рекламировать товары и услуги в качестве компьютерных мастеров или других IT специалистов. Жертва звонит взломщику сама, а преступник не только работает технически, но и узнает всю необходимую информацию через общение со своим клиентом.

Претекстинг

Человеческий фактор: доверчивость

Ещё один метод, к которому прибегают злоумышленники, называется претекстинг (действие, отлаженное по заранее спланированному сценарию). Чтобы завладеть вашими конфиденциальными сведениями, преступник выдает себя за знакомого или сотрудника организации, с которой вы работаете. Само собой, срочно необходима ваша информация для выполнения жизненно важной задачи.

Мошенники представляются работниками банков, кредитных организаций, технической поддержки или даже вашим лучшим другом, членом семьи — человеком, которому вы с большей степенью доверяете. Для большей убедительности они предоставляют потенциальной жертве какую-либо информацию о ней: ваше имя, номер банковской карты, реальную проблему, с которой она обращалась в эту службу ранее.

Самый распространённый пример — чёрные «call-центры», когда заключенные под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги или дать доступ к счёту. Самый громкий случай произошел в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.

Как избежать атак с использованием методов социальной инженерии

По мнению специалистов Microsoft, защита от атак, основанных на методах социальной инженерии – одна из самых сложных задач обеспечения ИБ. Они говорят, что  в данном случае не помогут даже самые продвинутые программные или аппаратные средства.

Выручит только комплексный подход. Он подразумевает работу с сотрудниками, ответственное обучение и уведомление. А в первую очередь абсолютно все, причём как частные лица, так и сотрудники организаций должны усвоить следующие правила:

1. Сохраняйте скептицизм и будьте внимательнее. Всегда смотрите на отправителя писем и адрес сайта (возможно, это фальшивый сайт), когда собираетесь вводить какие-либо личные данные. Если это почта на домене большой организации, убедитесь, что домен именно такой, в нём нет опечаток или транслитерации (замена русских букв английскими аналогами, или наоборот). Если есть сомнения — не передавайте свои личные данные и свяжитесь с технической поддержкой или представителем организации по официальным каналам.
2. Не работайте с важной информацией на глазах у посторонних людей. Злоумышленники могут использовать так называемый плечевой серфинг — вид социальной инженерии, когда кража конфиденциальной информации происходит прямо через плечо жертвы — конфиденциальные сведения просто подсматривают.
3. Не переходите на сомнительные сайты и не скачивайте файлы из недостоверных источников. Помните, что один из лучших помощников адептов социальной инженерии — невнимательность и человеческое любопытство.
4. Не пользуйтесь везде одним и тем же паролем. Никогда не ставьте одинаковые пароли для доступа к внешним и корпоративным (рабочим) ресурсам.
5. Установите антивирус. Во всех популярных защитных комплексах есть встроенная проверка на вредоносные ресурсы. А так же ни в коем случае не пренебрегайте предупреждениями этого ПО.
6. Ознакомьтесь с политикой конфиденциальности в вашей компании. Все сотрудники, имеющие доступ к конфиденциальной информации, должны быть проинформированы о том, как вести себя с клиентами и что делать при обнаружении незаконного проникновения.

RTM Group – преимущества для Вас

• Профиль деятельности RTM Group – проведение экспертиз по направлению ИТ и кибербезопасности.
• Работа проводится экспертами, обладающими большим опытом проведения оценок соответствия по ГОСТ Р 57580 и другим стандартам.
• RTM Group – экспертная компания, не является интегратором и не предоставляет аутсорсинговых услуг – поэтому наши аудиты и проверки не сводятся к «продаже» дополнительных услуг.
• Мы полностью независимая компания, не аффилированная ни с одним брендом или вендором.
• Обладаем следующими лицензиями:

• • лицензия ФСТЭК России на деятельность по технической защите конфиденциальной информации;
  • лицензия ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации;
  • лицензия ФСБ России на работу со средствами криптозащиты.