Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Таблица 5 Телефонные нападения

Цели нападения	Описание	Направленность
Запрос информации организации	Социальный инженер исполняет  роль законного пользователя для  получения конфиденциальной информации	Конфиденциальная информация Деловое доверие
Телефонный запрос информации	Социальный инженер притворяется телефонным мастером для получения  доступ к офисной АТС	Ресурсы Деньги
Используя офисную АТС, обратиться к компьютерным системам	Социальный инженер взламывает компьютерные системы, используя офисную  АТС, захватывает или управляет  информацией

Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении  содержится просьба позвонить на определенный городской номер. При  этом зачитывается сообщение, в котором  потенциальную жертву просят сообщить свои конфиденциальные данные.

Прежде всего, защититься от такого вида атак можно с помощью  здравого смысла, а именно:

1.   При звонке, организация, услугами которой вы пользуетесь, обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.

2.   Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона.

3.   Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных – это мошенники, и следует прервать разговор.

Электронная почта. Принимаемая  информация. Входящие электронные письма могут содержать гиперссылки, которые  вынуждают сотрудников к нарушению  защиты корпоративной среды. Такой  вид мошенничества называется «Фарминг».

Фарминг – это технология интернет-мошенничества, которая заключается  в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных  карт и т.д. Пример ссылки, показанный на рисунках 7 и 8 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 7, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте – «Contoso», но ссылка указывает на организацию по имени «Comtoso».

Рисунок 7 Образец гиперссылки  на фишинговый сайт

При активации присланной гиперссылки, сотрудник может загрузить  в корпоративную сеть троянскую  программу или вирус, что позволяет  легко обойти многие виды защиты. Гиперссылка  также может указывать на узлы с всплывающими приложениями, которые  запрашивают какие-либо данные или  предлагают помощь. Самым эффективным  способом защиты от подобного рода атак является скептическое отношение  к любым неожиданным входящим письмам [1, с. 76]. Для распространения  этого подхода в организации  в политику безопасности включаются конкретные принципы использования  электронной почты, которые охватывают перечисленные ниже элементы:

·   вложенные файлы;

·   гиперссылки;

·   запросы личной или корпоративной информации, исходящие изнутри организации;

·   запросы личной или корпоративной информации, исходящие из-за пределов организации.

Рисунок 8 Образец фишингового  письма

Примерами могут служить  электронные письма, которые содержат  предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д.  Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.

Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с  организацией, от чьего имени оно  пришло. Нельзя полагаться на контактную информацию, которая предоставлена  в письме или на веб-сайте, связанным  с данным запросом; вместо этого  следует использовать координаты, уже  известные из предыдущих контактов  с этой организацией.

Следует сохранить несколько  подобных писем для наглядного примера  и напоминания сотрудникам о  существующей проблеме.

Следует остерегаться вложенных  приложений во входящей почте и свободного программного обеспечения.

Необходимо проверять  доменные имена, в связи с тем, что вложенный в электронное  письмо файл может содержать двойное  расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего  скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение  расширения файлов, выполнив команду  «Сервис > Свойства папки» и снять  флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например: щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).

Распознавание фишинг-атак. Чаще всего фишинговые сообщения  содержат:

·   сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;

·   обещания огромного денежного приза с минимальными усилиями или вовсе без них;

·   запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;

·   грамматические, пунктуационные или орфографические ошибки.

Популярные фишинговые схемы:

·   мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);

·   подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);

·   ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО – это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).

Методы борьбы с фишингом, созданные для защиты от фишинга:

1. Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.

2. Технические методы:

2.1.   Использование браузеров, которые предупреждают об угрозе фишинга.

2.2.   Создание списка фишинговых сайтов и последующая сверка с ним.

2.3.   Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.

2.4.   Усложнение процедуры авторизации (например: сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).

2.5.   Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).

2.6.   Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).

Отправляемая информация. Необходимо выстроить систему, которая  будет обеспечивать безопасность пересылки  важной информации какому-то незнакомому  лично отправителю. Так же необходимо разработать особые процедуры для  передачи файлов с важной информацией.

При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения  его личности. Также должны быть установлены различные уровни доступа  к информации.

Способы, которые следует  применить:

1. Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).

2. Необходимо хранить историю всех транзакций.

3. Необходимо утвердить список сотрудников, которые имеют право  отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.

4. При запросе на информацию в письменном виде (е?мэйл, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.

Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают  подобные сведения (в том числе  нельзя переходить по ссылкам в таких  сообщениях).

Для контроля электронной  почты в организациях следует  сделать единый почтовый сервер, которым  будут пользоваться все сотрудники организации или филиалов в отдельности.

Для того чтобы классифицировать нападения и определить риски  в организации, необходимо использовать матрицу векторов нападения, целей  нападения и описаний, изложенных в таблице 6.

Таблица  6 Интерактивные Почтовые нападения

Цели нападения	Описание	Направленность
Воровство информации, которая  принадлежит организации	Социальный инженер играет роль внутреннего пользователя, для  получения информации организации	Конфиденциальная информация Деловое доверие
Воровство финансовой информации	Социальный инженер использует фишинг, вишинг, фарминг для запроса  конфиденциальной информации (например: подробности учетной записи)	Деньги Конфиденциальная информация
Загрузка вредоносного ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО	Атака на ресурсы Доступность Деньги

Всплывающие приложения и  диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера  в пределах компьютерной сети, через  которую в последующем начинается фишинг-атака или иные почтовые нападения  на другие организации или физические лица.

Для того чтобы классифицировать нападения и определить риски  в организации, необходимо использовать матрицу векторов нападения, целей  нападения и описаний, изложенных в таблице 7.

Таблица 7 Он-лайн атака с  помощью всплывающих приложений или диалоговых окон

Цели нападения	Описание	Направленность
Воровство персональной информации	Социальный инженер запрашивает  персональную информацию сотрудника	Конфиденциальная информация Деньги
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника с помощью гиперссылки  или вложения, инфицирует сети организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя, с помощью гиперссылки  или вложения, загружает хакерское  ПО	Атака на ресурсы Доступность Деньги

Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом  уровне заблокировать всплывающие  окна и автоматические загрузки.

Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись  с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.

Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности  для проведения различных атак. Двумя  основными видами атак, основанными  на использовании службы мгновенного  обмена сообщениями, являются:

1. Указание в тексте сообщения ссылки на вредоносную программу.

2. Доставка вредоносной программы.

Одной из особенностей служб  мгновенного обмена сообщениями  является неформальный характер общения. В сочетании с возможностью присваивать  себе любые имена, этот фактор позволяет  социальному инженеру гораздо легче  выдавать себя за другого человека и значительно повышает шансы  на успешное проведение атаки. На рисунке 9 показно, как работает имитация при  использовании IM.

Рисунок  9 Имитация при использовании IM

Социальный инженер (на рисунке  выделен красным цветом) исполняет  роль известного пользователя и посылает IM-сообщение, исходя из соображений, что  получатели примут их за сообщения  от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.

При использовании в организации  программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть  в корпоративных политиках безопасности механизмы защиты от соответствующих  угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований: