Статья: Психология на службе хакеров
Чтобы более эффективно сопротивляться хакерским нападениям, использующим социальную инженерию, надо осторожно относиться к поступающей электронной почте. Необходимо включить в политику безопасности руководство, которое охватывает вопросы ее использования: вложений и гиперссылок в сообщениях; запросов о персонале или информации компании изнутри компании; запросов о персонале или информации компании извне. Эти рекомендации нужно дополнить примерами фишинговых нападений.
Всплывающие приложения и диалоговые окна
Многие сотрудники просматривают Internet с личными целями. Это чревато опасностью контакта со злоумышленниками, использующими социальную инженерию. Хотя злоумышленники могут не иметь цель напасть именно на вашу компанию, но они могут использовать ее персонал для получения доступа к ресурсам. Чаще всего преследуется цель внедрить почтовый сервер в пределах вашей компьютерной сети, через которую затем начать фишинг или иные почтовые нападения на другие компании или физических лиц.
На рис. 3 показана страница, на которой гиперссылка, как кажется пользователю, связывается с безопасным сайтом управления учетными записями, однако строка состояния показывает, что пользователь перенаправлен на хакерский сайт. В зависимости от браузера, который используется, хакер может подавить или переформатировать информацию строки состояния.
Два простейших метода соблазнить пользователя перейти по ссылке в диалоговом окне — прислать предупреждение о проблеме, которое выглядит как отображение реалистической операционной системы или прикладного сообщения об ошибках или как предложение дополнительных услуг, например, бесплатной загрузки, которая якобы заставит компьютер пользователя работать быстрее.
Защита пользователей от всплывающих приложений, использующих социальную инженерию, состоит прежде всего в понимании ситуации. Блокировку всплывающих окон и автоматические загрузки можно обойти.
Гораздо правильнее убедить пользователей в том, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с персоналом поддержки. Однако при этом сотрудники должны быть уверены в том, что специалисты поддержки не будут легкомысленно относиться к просьбам о помощи, если пользователь просматривает Internet. Эти доверительные отношения можно предусмотреть в вашей политике безопасности по работе в Internet.
Мгновенная передача сообщений
Мгновенная передача сообщений (Instant Messaging, IM) — относительно новое средство коммуникации. Непосредственность и дружелюбный интерфейс IM-систем делают его идеальным средством для нападений, использующих социальную инженерию, ведь пользователи расценивают данную службу как телефон и не связывают ее с потенциальными угрозами ПО. Основные атаки, использующие IM, это гиперссылки на вредоносное ПО и его рассылка.
Злоумышленник (на рис. 4 он выделен красным цветом) исполняет роль известного пользователя и посылает электронную почту или 1М-сообщение, исходя из того, что получатели примут их за сообщения от кого-то, кого они знают. Большинство IM-средств доступа допускает идентификацию пользователей, основанную на адресе электронной почты, что дает возможность хакеру послать приглашения контакта IM другим людям в организации.
Нужно включить IM-безопасность в политику безопасности. Для этого необходимо установить следующие пять правил:
• выбрать единственную IM-платформу и утвердить ее в качестве стандарта;
• определить параметры настройки безопасности развертывания;
• рекомендовать пользователю не использовать настройки по умолчанию;
• установить стандарты пароля;
• обеспечить руководство по использованию.
Угрозы при использовании телефонной связи
Телефон предполагает уникальный способ нападения. В настоящее время взлом телефонной связи по IP-протоколу (Voice over IP, VoIP) является главной угрозой. VoIP-имитация становится таким же широко распространенным явлением, как электронная почта и 1М-имитация.
Есть три главных типа атак, направленных на офисные АТС, во время которых:
• просят информацию, обычно имитируя законного пользователя, чтобы обратиться к телефонной системе непосредственно или получить удаленный доступ к компьютерным системам;
• получают доступ к «свободному» использованию телефона;
• получают доступ к системе коммуникаций.
Эти методики получили название фрикинга (phreaking). Самый обычный прием хакера — имитация роли телефонного инженера (см. рис. 5).
Запросы об информации или доступе по телефону — малорискованная форма нападения. Если адресат начинает что-то подозревать или отказывается исполнять запрос, хакер может просто положить трубку. Но такие нападения более сложны, чем атака хакера, просто звонящего в компанию и интересующегося пользовательским идентификатором и паролем. Обычно используется сценарий, когда просят или предлагают справку прежде, чем почти машинально происходит запрос о личной или деловой информации.
Внутренняя телефонная система организации — самая важная часть защиты, которую вы должны оговорить в политике безопасности.
Служба поддержки
Иногда энтузиазм сотрудников технической поддержки заставляет их забыть о необходимости выполнять процедуру безопасности. Если же службе поддержки предписывают строгие стандарты безопасности, требуя проверки правомерности запроса пользователя, то появляются помехи в работе. Персонал, чувствующий, что ИТ-отдел не обеспечивает их немедленным обслуживанием, склонен жаловаться и доказывать, что их запросы важнее, чем вопросы безопасности.
Служба поддержки должна балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны способствовать этому. Требование аутентификации обратившегося за помощью не является избыточным, поскольку каждый сотрудник знает свои данные. Но это не дает гарантии безопасности, потому что хакер также может их знать. Труднее защитить аналитика службы поддержки против внутреннего взлома. У внутреннего хакера больше исходных данных для имитации легитимного обращения. Процедуры защиты должны обеспечить двойную роль в этой ситуации:
• аналитик службы поддержки должен иметь гарантии аудита всех действий, сервисная служба должна вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки.
• аналитик службы поддержки должен иметь структурированную процедуру обработки запросов пользователей.
Аудит всех процедур — самый ценный инструмент в предотвращении инцидента и последующем его расследовании.
Анализ мусора
Мусор — источник информации для хакеров. Деловые бумажные отходы неоценимы для тех, кто использует социальную инженерию.
Плохо, когда в компании нет правил управления отходами включая цифровые носители информации, (на этих отходах можно найти все виды данных). В этом случае политика безопасности компании должна содержать положение об управлении их жизненным циклом, в том числе процедуры разрушения или стирания.