Възможно ли е да се изпълни атака от типа социален инженеринг в неоткриваем стил

Социалното инженерство е насочено към използване на хората и техните личностни настройки. Най-слабото звено във веригата на информационната сигурност са служителите. Социалното инженерство може да приема много форми. Включително физически достъп до сгради, имейл фишинг и телефонни обаждания. Терминът имейл фишинг (email fishing) се отнася за лъжливи съобщения в електронната поща. Те подвеждат потребителите да извършат действия в интерес на злонамерени актьори изпращачи на съобщенията.

Какво е мнението на Джени Радклиф, директор и ръководител в компания за обучение и консултации. Атаките, чрез механизми определяни като “Социалното инженерство”, са по-сложни от всякога.

Въпреки постиженията на технологиите за сигурност

Този подход от страна на злонамерените актьори се среща все по-често. Организациите започнаха да разгръщат по-широка гама от ефективни системи за информационна сигурност и контрол. Така разполагат с  начин за получаване на оперативна картина за състоянието на вътрешната мрежа на организацията. Затрудняват хакерите, които се опитват директно да пробият технологичната инфраструктура. По-лесният път се оказва подвеждането на служителите.

Нападателите печелят доверието на потребителите

“Започваме да срещаме новопоявил се вид нападатели. Те са обучени в областта на психологията. Имат умения за използване на нови и ефективни начини да накараш хората в организациите да им помогнат за да заобиколят контролите за сигурност,” казва Радклиф за Computer Weekly. “Нападателите вече не се фокусират върху технически контроли, а се приобщават, ангажират и изграждат отношения на доверие”, казва тя.

Софистично планиране на атаката от типа социален инженеринг

Въпреки че все още имат сравнително проста концепция, тези атаки са подготвяни на ново ниво на сложност и планиране. Такива не са виждани преди.

Това планиране обикновено включва изграждането на профил на целевата организацията и нейните служители. За целта се използват например следните източници

  • корпоративни уебсайтове;
  • браншови форуми;
  • сайтове за социални медии, включително Facebook, Twitter и LinkedIn.

“След това Нападателите се стремят да изградят отношения на доверие с индивиди или физически лица в рамките на организацията в продължение на дълъг период от време. За целта използват принципите на влияние и други академични начини за изграждане на доверие”, заявява Радклиф.

Това дава възможност на хакерите да идентифицират най-лесният начин за проникване и да манипулират служителите на дадена организация, така че да им помогнат да получат достъп до информацията, която те търсят.

Тези атаки с нов стил са трудни за откриване. “Те са далеч от стандартния, учебникарски стил на атаки от типа социално инженерство. Разчитат на неща като лингвистика, психология и лична мотивация, което прави този нов стил на атаки по-трудни за откриване и искащи усложнена защита”, казва още тя.

Мерки за намаляване на риска от атаки тип социален инженеринг

Първата мярка е обучението. Ако служителите не са подготвени със знание за механизмите на този тип атаки те няма да ги разпознават. Когато не са запознати с рисковете от тях служителите няма да следват определено поведение при разговор по телефона, реагиране на фалшиви съобщение в пощата.

Злонамерените актьори могат да експлоатират всяка медия, която осигурява контакт на лице с лице.

Втората мярка е преценяване на експонираната от организацията информация. Компаниите редовно публикуват на сайтовете си имена и други данни на ключове служители. Същите имат и профили на много други места в интернет.  Злонамерените актьори внимателно събират, систематизират и успешно използват тези данни.

Третата мярка включва оценка на активите, които са от интерес за злонамерените актьори. Често ценните за бизнеса активи не са интересни за лошите. Те се интересуват от бързооборотни стоки. Масиви с лични данни, номера на кредитни карти, плащания по договори и т. н.

Прилагане на политика за намаляване на рисковете от социален инженеринг. Само написването на политиката не е достатъчно. Приложението и е важно. Когато в нея са регламентирани периодични обучения, тестове и прегледи на състоянието на киберсигурността.

Трениране на поведението на служителите при искане на информация от външни страни.

Ако някои поиска информация, която служителят няма, най добре да се отнесе подозрително. Ако я има да прецени доколко е наясно кой я иска и най-добре да отнесе въпроса до мениджъра си.

Comments are closed.