Искусство вторжения

ним информацией, которую он хотел получить.

Людям нравятся те, кто похож на них, имеет такие же склонности, аналогичное образование и хобби. Социальный инженер всегда тщательно изучает всю информацию, связанную с мишенью атаки, чтобы выяснить ее личные интересы — теннис, старые самолеты, коллекция антикварных ружей или все, что угодно. Социальный инженер может увеличивать чувство симпатии, используя комплименты или откровенную лесть, а также и собственную внешнюю привлекательность.

Следующая тактика — использование известного имени, которое мишень атаки знает и любит. В этом случае атакующий старается выглядеть членом «группы» внутри компании. Обманщики часто льстят и говорят комплименты, стремясь воздействовать на жертву, которая недавно была вознаграждена за какие- то достижения. Ублажение личных амбиций может способствовать привлечению жертвы на роль помощника.

СТРАХ

Социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, — но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий.

Пример :в истории «Аварийная заплатка», изложенной в главе 12 книги «Искусство обмана», социальный инженер пугает свою жертву, что она потеряет важную информацию, если не согласится установить «аварийную заплатку» на сервер базы данных компании. Страх делает жертву уязвимой и заставляет согласиться с решением, которое предлагает социальный инженер.

Атаки, основанные на использовании более высокого статуса, базируются на чувстве страха. Социальный инженер, замаскировавшись под руководителя компании, может атаковать секретаря или молодого сотрудника своим «срочным» запросом, основываясь на том, что жертва согласится выполнить его запрос, боясь получить взыскание или даже потерять работу.

РЕАКТИВНОСТЬ

Реактивность — это естественный ответ человеческой психики на ситуацию, угрожающую свободе. В реактивном состоянии мы теряем чувство перспективы и все остальное уходит в тень.

Пример :две истории в «Искусстве обмана» иллюстрируют силу реактивности — в первом случае жертве грозили потерей важного приложения, во втором — потерей доступа к сети.

В типичной атаке, использующей реактивность, злоумышленник говорит своей жертве, что доступа к компьютерным файлам не будет в течение какого то срока и называет совершенно неприемлемый период времени. «Вы не сможете получить доступ к своим файлам в течение двух следующих недель, но мы сделаем все возможное, чтобы этот срок не увеличился». Когда атакуемый начинает проявлять свои эмоции, атакующий предлагает восстановить файлы быстрее: все, что нужно для этого — назвать имя пользователя и пароль. Жертва, напуганная возможными потерями, обычно с радостью соглашается.

Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?

КОНТРМЕРЫ

Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:

• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;

• разработка тренингов по усилению бдительности персонала;

• разработка простых и понятных правил определения важности информации;

• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;

• разработка грамотной системы классификации данных;

• обучение персонала навыкам сопротивления методам социальной инженерии;

• проверка готовности сотрудников к противостоянию атакам по методу социальной инженерии при помощи специальных проверок.

Наиболее важный аспект программы — установление соответствующих протоколов безопасности и мотивация сотрудников для их выполнения. И в дополнение к этому — установление ключевых точек, где разработанные программы и тренинги противостоят угрозе социальных инженеров.

ПЛАН ТРЕНИНГОВ

Вот некоторые ключевые позиции для тренингов:

• убедите сотрудников в том, что социальные инженеры наверняка будут где-то атаковать компанию, причем многократно. Существует явная недооценка угрозы, которую представляют собой атаки социальных инженеров; часто даже полное незнание того, что такая угроза существует. Обычно люди не ждут обмана и манипуляций, поэтому неосознанно подпадают под атаку социальной инженерии. Многие Интернет-пользователи получают электронную почту из Нигерии с предложением перевести значительные суммы денег в США; в них предлагаются неплохие комиссионные за помощь. Потом вас просят перевести некоторую сумму для того, чтобы начать процедуру передачи денег. Одна леди из Нью-Йорка недавно поверила этим предложениям и заняла сотни тысяч долларов у своего сотрудника, чтобы начать процедуру перевода. И вместо того, чтобы наслаждаться отдыхом на своей яхте, которую она уже видела почти купленной, она стоит перед малоприятной перспективой очутиться на казенной койке в одной из американских тюрем. Люди постоянно покупаются на эти ловушки социальных инженеров, иначе нигерийские «спамеры» перестали бы рассылать свои письма.

• используйте ролевые игры для наглядной демонстрации уязвимости каждого перед технологиями социальных инженеров, обучайте сотрудников, кик им противостоять. Большинство людей работают, пребывая в полной иллюзии собственной неуязвимости, считая себя очень умными для того, чтобы их можно было обмануть, обжулить, манипулировать ими, или влиять на них. Они считают, что так можно поступить только с « г л у —пыми» людьми. Есть два способа помочь сотрудникам понять свою уязвимость и поверить в необходимость защиты. Один из них заключается в демонстрации эффективности социальной инженерии путем «подставы» некоторых сотрудников под такую атаку, а затем разбора случившегося на специальном семинаре по безопасности. Другой состоит в подробном анализе конкретных методов социальной инженерии, с целью демонстрации уязвимости всех и каждого подобным атакам. В каждом случае тренинг должен содержать подробный анализ механизма атаки, причин ее успеха и обсуждения способов распознавания атаки и противостояния ей.