Сьогодні зануримося в одну з найцікавіших тем. Тому що вона найменше пов’язана з ІТ-технологіями. Та-дам: соціальна інженерія. Гарна назва? Так! Соціальна інженерія поєднує низку методів управління людьми без (!!!) використання технічних атрибутів. Так, це професійна психологія. Хакери, які працюють на злам систем методами соціальної інженерії є першокласними знавцями людської психології.
Все, що людина пише та каже онлайн, може бути використане проти неї. Великі платформи, такі я к Google, Facebook і подібні стежать за нами всіма цілодобово. Але люди часто полегшують роботу мережам, буквально добровільно видаючи цінну інформацію (про приватне життя, звички, роботу). Отримуючи цю інформацію, зламщики можуть відстежити подробиці життя людини аж до розкладу дня.
Відштовхуючись від найдрібніших деталей про людину, можна «ввімкнути» прикладну психологію та прорахувати, з якого боку до людини легше «підкачуватися». Це може бути «випадковий дзвінок», досить переконливий електронний лист чи «випадковий» друг в соцмережі, який просто повинен «підштовхнути» людину на контакт.
Як правило, від жертви вимагають надати інформацію або жертва повинна зробити якісь кроки, що призводять до втрати інформації чи до можливості проникнення в захищений периметр. Чим більше інформації є про жертву, тим простіше та багатовекторніше можна проводити атаку. За приклад можна взяти електронні листи з банку, служби технічної підтримки. Причому зміст листа, все формулювання, дизайн листа буде такий самий, як оригінал. І це все для того, щоб у людини не виникло зайвих питань. Класичний приклад соціальної інженерії — дзвінки з неіснуючими акціями з проханням назвати код картки для поповнення рахунку.
Дуже легко можна вплинути на людину, щоб витягнути інформацію, коли вона на відпочинку (тобто в розслабленому стані, не дуже пильна і не зібрана, як зазвичай). Спонтанний дзвінок з проханням підказати пароль може застати зненацька будь-кого. Велике вітання всім, хто полюбляє чекінитися в аеропортах, ресторанах, готелях та клубах. Посміхніться, вас викрили ;).
Елементом соціальної інженерії можна сміливо назвати лінь. Саме через неї користувачі встановлюють однаковий, причому часто дуже примітивний, пароль на різні акаунти. Включаючи платіжні шлюзи. Це апріорі ласий шматочок для зламщиків. Ви допомагаєте їм навіть не усвідомлюючи цього. Google якось склав рейтинг найрозповсюдженіших паролей. Сумно, що тисячі користувачів намагаються такими паролями зберегти дуже цінні дані.
Треба завжди пам’ятати, що IT-технології — лише інструменти в руках профі з соціальної інженерії.
Як засіб протидії більш ефективними будуть не стільки технічні, скільки соціально-психологічні. засоби. Проінформований — озброєний. Тренінгами для профілактики можуть бути фітингові листи. А ля навчальна тривога. Це ефективно налаштовує людей на уважність при збереженні даних. Проінформованість, додатковий інструктаж, власний мозок тощо допомагають подолати масу спроб атак за допомогою соціальної інженерії.
Теми блогу:
- Вірусні листи
- Людський фактор
- ІT-департамент
- Соціальна інженерія
- Переживаємо “Маски-Шоу” (рейдерські захопи). Технічні рішення матеріал очікується
- “Маски-шоу”: законодавчі аспекти матеріал очікується
- Персональна відповідальність: документація матеріал очікується
- Робота з персоналом: тестування матеріал очікується
- Міжнародні стандарти. Сертифікація pci dss матеріал очікується
- Міжнародні стандарти. Сертифікація DA dss матеріал очікується
Джерело: блог «Актуальні питання інформаційної безпеки. Як боротися з проблемами захисту даних»
