Социальные хакеры: 4 причины, почему они легко взломают вашу систему

Александр Власов 2 ноября 2015

Злоумышленники, желающие завладеть секретной информацией, используют для несанкционированного доступа к ней не только технические средства, но и знания о психологических особенностях человека. Эта технология называется социальной инженерией. Она известна уже давно, и многие ее методы уже устарели (фальшивые письма о наследстве или выигрыше), но на смену им приходят новые. 

Фишинг — кибератака нашего времени

Сегодня один из самых популярных способов атаки посредством техник социальной инженерии — фишинг. Для осуществления этой атаки злоумышленники создают интернет-страницы, похожие на легальные, вынуждают пользователей зайти на них (путем организации почтовых рассылок, фишинг-сообщений, маскировки под обычные ссылки и т д.), а затем — ввести свои логины и пароли. Таким образом мошенники получают доступ к аккаунтам в социальных сетях, банковским счетам, корпоративным учетным записям пользователей.

Кроме подделки интернет-страниц, злоумышленники часто маскируют вредоносные элементы под легальные письма электронной почты. В файлы офисного пакета (.doc,.xls,.ppt и др.) встраивают макровирусы — вирусы, написанные на языке сценариев программ из офисного пакета. Таким способом распространяется, например, вирус-шифровальщик.

«Взлом» оператора call-центра

Еще одно любимое и прибыльное занятие для хакеров-социнженеров — получение конфиденциальных персональных данных: медицинских диагнозов, сведений о состоянии банковских счетов, детализаций расходов от операторов сотовой связи. Для доступа к этой информации злоумышленники обращаются в call-центры и по заранее продуманному сценарию пытаются выудить необходимые данные в обход правил их выдачи (такая атака называется претекстинг). В этом случае единственный барьер к получению информации — оператор call-центра, поэтому хакеры используют всевозможные методы манипуляции и приемы социальной инженерии.

Технологии меняются, люди — нет

Несмотря на то что существует огромное количество техник, использующих социальную инженерию, перечисленные выше методы на данный момент охватывают более 90 % всех атак на конфиденциальную информацию. Следует отметить, что с течением времени некоторые методы становятся неактуальными, постоянно появляются новые способы хищения информации, но принципы таких атак и причины их успеха остаются теми же. Социальная инженерия использует особенности строения человеческой психики, скорость изменения которой намного медленнее, чем скорость генерации все новых и новых способов атак.

Залог успеха социнженерии

Какие особенности человеческой психики делают атаки социальных хакеров успешными?

1. Сильные положительные и отрицательные эмоции: страх, гнев, паника, радость, азарт, возбуждение. Эмоциональный подъем может притупить внимание и логику. У человека на некоторый период теряется способность рационально анализировать свои действия, и вероятность успешного прохождения атаки очень высока.

2. Нервная перегрузка, стресс. Всем знакома сильная загруженность на работе: коллеги ушли в отпуск, заканчивается очередной квартал, приближаются дедлайны… В такие периоды люди часто испытывают сильную перегрузку. Именно она может стать одним из серьезных факторов успешного прохождения атаки. В стрессовые моменты человек перестает должным образом обрабатывать информацию, занимая пассивную позицию в устном или письменном диалоге. Зная, когда сотрудники определенной организации испытывают нервное напряжение, злоумышленник легко может использовать эту человеческую уязвимость. Получив письмо с «сюрпризом», сотрудник с большой вероятностью может проигнорировать предупреждения безопасности и открыть вложение.

3. Чувство долга. Большинство из нас использует в своей жизни правило взаимного обмена, которое заставляет вернуть услугу, оказанную другими людьми, какой бы малой и незначительной она ни была. Этот принцип широко применяется в обратной социальной инженерии. Метод заключается в том, что жертва сама выдает конфиденциальную информацию злоумышленнику. Выглядит абсурдно, но многие люди не испытывают сомнений в порядочности, например, службы ИТ, охотно сообщая свои пароли для решения проблем. Принцип взаимного обмена в обратной социальной инженерии работает следующим образом: хакер провоцирует сбой или вызывает иллюзию сбоя процесса работы пользователя и сам предлагает решить возникшую проблему. Человек, чувствуя себя обязанным за оказываемую помощь, желая ускорить процесс и оказать ответную услугу (пусть и подсознательно), сообщает конфиденциальные данные (логин, пароль и т д.).

4. «Любопытной Варваре на базаре нос оторвали….». Не всегда злоумышленники пользуются сложными трюками и психологическими приемами: иногда достаточно использовать обычную человеческую слабость — любопытство. Для хакера не составляет труда сконструировать письмо с вирусом-шифровальщиком, описать файл как «Зарплата топ-менеджмента» и разослать «сюрприз» с подложных адресов. Если пользователю дать выбор между возможностью узнать интересную информацию или отказаться от этого во имя безопасности, пользователь, скорее всего, выберет первое.

Решения нет, но бороться можно

Список подобных методов манипуляций довольно велик, из чего можно сделать вывод, что проблема социальной инженерии в информационной безопасности стоит очень остро. Актуальной эта проблема останется и в ближайшие десятилетия: такие уязвимости человеческой психики устранить, по всей видимости, не представляется возможным. Поэтому противодействие атакам социальной инженерии должно быть комплексным, а не состоять из применений всего лишь нескольких методик. Во второй части статьи будет предложен многоуровневый, комплексный подход, основанный на принципе защиты от социальных хакеров «в глубину» («defense-in-depth»).

Защитите персональные данные и конфиденциальную информацию

Узнать больше

Александр Власов, старший инженер отдела внедрения систем защиты информации компании СКБ Контур 


Поделиться
Не пропусти новые публикации

Подписывайтесь, и мы будем один раз в неделю присылать полезные бизнес-советы, аналитические статьи, истории успеха и провала, интервью, а также мнения экспертов на острые темы

Подписаться
589 просмотров
В избранное
Комментарии Написать свой
Спасибо за ваше мнение!

Читайте также

Загрузить еще
loader
Спасибо за подписку.

Заполните, пожалуйста, все поля.

Предложение, замечание, просьба или вопрос.