Атаки социальной инженерии полагаются на сочетание обаяния, психологии и социологии для получения необходимой информации от людей, а не на технические взломы сетей.
Одним из основополагающих принципов анализа безопасности Stratfor является то, что с повышением эффективности мер безопасности люди все чаще становятся самым слабым звеном в системе безопасности. Например, когда речь идет о границе США с Мексикой, поскольку стены были удлинены, а проверки в пунктах въезда стали более изощренными, контрабандисты все чаще прибегают к взяточничеству, чтобы обойти более жесткие меры безопасности. Аналогично « офисные криперы » и другие преступники нашли способы обойти более строгие меры контроля доступа и другие физические меры, введенные компаниями. Возможно, они войдут через дверь, заблокированную работником, который устраивает перекур, или последуют за законным сотрудником через защищенный вход, притворяясь, что забыли пропуск. Этот же принцип применим к кибербезопасности. Поскольку для защиты компьютерных сетей от внешних взломов установлены более жесткие технические барьеры, их пользователи стали самым слабым звеном в кибербезопасности.
Старая угроза
Во-первых, отказ от ответственности. Атакующие информационные системы всегда выделяли людей, имеющих доступ к своим целям. Со времен фрикеров, которые хотели совершать бесплатные междугородные звонки, и первых компьютерных хакеров, люди, имеющие доступ к информации о телефонных и компьютерных системах, стали объектами атак социальной инженерии. Эти подходы основаны на сочетании обаяния, психологии и социологии для получения необходимой информации, а не на технических взломах. В часто используемой метафоре вместо того, чтобы взламывать замок на двери, социальные инженеры пробираются в здание или убеждают кого-то сказать им, где спрятан запасной ключ.
Есть много способов осуществить атаку социальной инженерии. Некоторые мошенники заставляют пользователей компьютеров вводить свои имена пользователей и пароли или убеждают системных администраторов сбрасывать пароли. Социальные инженеры стали экспертами в использовании человеческой натуры, социальных норм и уважения к власти в своих усилиях, направленных на то, чтобы заставить людей подчиниться. Их постоянная способность получать информацию для входа подтверждает жизнеспособность этого подхода. Продолжают появляться новые формы мошенничества в сфере социальной инженерии. Например, атака от имени руководителя. В этой схеме мошенники отправляют электронное письмо от генерального директора или другого старшего должностного лица компании руководителю подразделения кредиторской задолженности с просьбой о срочном и тайном переводе средств.
Многие схемы онлайн-мошенничества, например, от лица, заявляющего, что он из ФБР (или нигерийского принца), больше полагаются на социальную инженерию, чем на технические навыки хакерства. Так что в этом отношении со времен фрикеров мало что изменилось. Многие так называемые хакеры — настоящие обманщики, использующие социальную инженерию, а не программисты, пишущие вредоносные программы. В наши дни гораздо меньше людей пишут код для хакерских утилит, чем людей, которые используют этот код.
Фишинг
Другим типом кибератаки, ориентированной на человека, является фишинг , попытка убедить пользователя щелкнуть гиперссылку или открыть вложение электронной почты, которое в конечном итоге приведет к установке вредоносного ПО на его устройство. Во многих случаях злокачественное программное обеспечение может мигрировать с отдельного компьютера на другие системы, подключенные к той же сети. Вредоносное ПО позволяет хакерам получать доступ к файлам на зараженном компьютере, использовать зараженные системы как часть ботнета или, что более важно , загружать вымогателей , программное обеспечение, которое шифрует данные в зараженной системе, позволяя хакерам требовать оплату до того, как они предоставят ключ, чтобы разблокировать шифрование.
В то время как многие попытки проникновения довольно неудобны и их нетрудно обнаружить, когда кто-то предупрежден о тактике такой атаки, более изощренная техника, называемая spear-phishing, гораздо более коварна. Эта сфокусированная форма фишинга использует передовой подход социальной инженерии для доставки вредоносных программ. В электронном письме о фишинге будет указана цель по имени и заявлению от друга, коллеги или начальника — кого-то, кому цель доверяет.
Недавно обнаружилась сложная схема фишинг-атак с участием иранской хакерской группы, которая создала поддельную учетную запись в социальных сетях в лице привлекательной женщины. Злоумышленники использовали эту учетную запись, чтобы связаться с сотрудником целевой компании и в конечном итоге завязать дружбу в Интернете. Через фальшивый аккаунт хакеры заставили сотрудника создать веб-сайт для бизнеса женщины. Когда хакеры под видом «подруги» отправили файл на рабочий почтовый ящик сотрудника, он открыл вложение. Вредоносная программа в зараженной сети его компании позволила хакерам собирать конфиденциальную информацию как минимум о шести клиентах фирмы. Это «виртуальная ловушка»
Внутренняя угроза
Не все человеческие угрозы кибербезопасности связаны с невольными жертвами. Случаи массового сброса данных с участием Челси Мэннинга, Эдварда Сноудена и других напоминают о том, что внутренние злоумышленники также представляют значительную угрозу безопасности. Действительно, сегодняшние технологии позволяют кому-то легко выйти за дверь, неся большое количество данных. 8-гигабайтный флэш-накопитель может вмещать более 15 000 100-страничных документов Microsoft Word, а внешние хостинговые сайты, такие как Dropbox, могут использоваться много раз для хищения данных. Это очень далеко от тех дней, когда контрабандой доставляли бумажный документ из офиса в нижнем белье.
Идеология может мотивировать внутренние угрозы. Такие инсайдеры могут стать противниками какого-либо аспекта компании или организации во время своей работы, или они могут намеренно присоединиться к фирме или группе, которая стремится нанести ей вред. То же самое относится и к финансово мотивированным инсайдерам, гораздо более распространенным, чем те, которые руководствуются идеологией. Было много случаев, когда сотрудники пытались продать конфиденциальную информацию для личной выгоды или передавали эту информацию конкуренту в обмен на работу.
Но не все внутренние угрозы являются мотивированными. Как я уже отмечал, довольно опасно игнорировать шпионскую часть термина «кибершпионаж». Оператору человеческой разведки не составит труда набрать внутренних агентов для оказания помощи в получении данных или в доступе к компьютерной сети. Используя традиционные подходы человеческого интеллекта, включающие деньги, идеологию, компромисс (секс) или эго, довольно легко найти добровольного партнера в большинстве компаний или организаций. Как я часто говорю в публичных выступлениях, если бы я устроил привлекательную медовую ловушку, нацеленную на ваш отдел информационных технологий, я мог бы быстро получить полный доступ к вашей компьютерной сети. Эта уязвимость поднимает вопрос о том, сколько компаний, предоставляющих доступ, предоставляют ИТ-сотрудникам и какие виды внутреннего контроля применяются для обеспечения того, чтобы они не злоупотребляли своими привилегиями.
Но, конечно, ИТ-сотрудники не единственные цели. Другие сотрудники могут быть наняты для совершения, казалось бы, невинного клика по фишинговому письму или, по-видимому, наивно подключенного зараженного вредоносным ПО флэш-накопителя к их корпоративному компьютеру. Позже они могли утверждать, что нашли диск на полу комнаты отдыха. Инсайдеры также могут предоставить хакерам детальное понимание культуры компании и ее взаимоотношений, включая копии прошлых электронных писем, которые можно использовать для создания убедительных попыток фишинг-атак. В то время как большинство массовых загрузчиков представляют собой одноразовую угрозу, недобросовестный сотрудник может поставить под угрозу кибербезопасность в течение длительного периода.
К сожалению, в нескольких недавних взломах выяснилось, что сети передачи данных были скомпрометированы просто потому, что кто-то не нашел времени и усилий для установки обновлений, предназначенных для исправления уязвимых мест в программном обеспечении. В то время как некоторые изощренные хакеры имеют доступ к уникальным уязвимостям нулевого дня, которые неизвестны поставщику программного обеспечения и, следовательно, не исправлены, по большей части хакерские инструменты предназначены для использования выявленных уязвимостей, что ограничивает срок их хранения в отношении обновленного программного обеспечения. В конце концов, отказ от применения исправлений — это просто еще один способ, которым люди оставляют сети открытыми для кибератак.
Большинство нападений на компьютерные сети используют небрежность или пробелы в безопасности, но, поскольку эти дыры закрыты, а цели становятся все труднее использовать технически, злоумышленники сосредоточатся на многих уязвимостях, представленных человеческим фактором.
