В отношении безопасности

математический аппарат

безупречен,

компьютеры же уязвимы,

сети вообще паршивы,

а люди просто

 отвратительны.

                    Брюс Шнайер¹

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ КАК ЯВЛЕНИЕ

Наверное, мало кто сегодня не слышал о таком понятии, как «социальная инженерия». И хотя сам термин появился сравнительно недавно, явление это сопровождает человечество, вероятно, на протяжении всей его истории. Человеческие слабости существовали всегда, и вряд ли что-то изменится в этом вопросе в обозримом будущем, а значит, и социальная инженерия будет оставаться неизменной угрозой для безопасности любой системы, частью которой в той или иной степени является человек.

Существует множество определений социальной инженерии. Это явление описывают и как совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии², и как метод несанкционированного доступа к информации или системам хранения информации без использования технических средств, и даже называют наукой, и искусством взлома человеческого сознания. Попросту говоря, социальная инженерия – это использование человеческих слабостей или несовершенства для достижения целей субъекта.

Человек заслуженно считается самым слабым звеном в любой цепи. Можно сколь угодно тщательно «закрывать» периметры техническими средствами, применять идеальные протоколы и политику безопасности, мощные криптографические инструменты, сертифицированное программное обеспечение и оборудование, однако пресловутый «человеческий фактор» никто не отменял. Зачем использовать кинематографичные хакерские приёмы для получения чувствительной информации, если ту же самую информацию с лёгкостью и даже с удовольствием расскажет «новому неопытному сотруднику отдалённого филиала» какой-нибудь менеджер среднего звена, вовлечённый в интересующий бизнес-процесс? Здесь роль «хакера» играет социальный инженер, а объект его «разработки» (сотрудник интересующей компании) – уязвимость, брешь в системе безопасности.

Наверное, самым известным социальным инженером нашего времени в классическом понимании этого слова является Кевин Митник. Всемирно известный хакер, а впоследствии консультант по безопасности, он еще в 2001 году выпустил книгу «Искусство обмана»³, наиболее ярко описывающую реальные случаи применения социальной инженерии и остающуюся актуальной и по сей день, несмотря на дату выхода. Вся «трудовая деятельность» этого человека подчёркивает значимость социальной инженерии как угрозы, её превосходство с точки зрения эффективности по сравнению с техническими методами воздействия.

ОТРАСЛЕВЫЕ ОСОБЕННОСТИ

АО «ТГК-16» является энергетической компанией, снабжающей теплом и энергией крупнейшие производственные предприятия Татарстана. Значимость бесперебойной работы и надёжной системы безопасности АО «ТГК-16» сложно пере­оценить. Энергетическая отрасль в этом смысле – одна из самых чувствительных к сбоям и разного рода инцидентам. Если возникают проблемы в любом звене цепи энергетических поставок, то проблемы возникают и у потребителей, у бизнеса это может привести к тяжёлым экономическим последствиям. Поэтому компания уделяет самое серьёзное внимание вопросам безопасности, и в том числе вопросам предотвращения угроз реализации методов социальной инженерии. Повышенное внимание государства к этой области ещё больше усиливает значимость противодействия методам социальной инженерии. Как ни парадоксально, но это так: чем лучше защищены технические каналы проникновения, тем привлекательней для злоумышленника становится альтернативный канал – человеческий фактор.

Автоматизированные системы управления технологическими процессами (АСУ ТП), входящие в состав предприятий ТЭК, как правило объединены в промышленные сети и в большинстве своем связаны с офисными сетями, поэтому воздействие на энергетическое оборудование через офисного сотрудника – весьма вероятный сценарий, для предотвращения которого необходимо прикладывать максимум усилий.

Для того чтобы успешно противостоять социальным инженерам, надо хорошо знать методы и приёмы, которыми они пользуются. Давайте вспомним некоторые из них.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадёт в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения – её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями

ФИШИНГ

Без преувеличения, самой известной и популярной технологией социальной инженерии является фишинг⁴.

Обычно в этом случае социальный инженер направляет жертве письмо, маскирующееся под официальное сообщение, отправленное с корпоративной почты серьёзной организации, например, банка или платёжной системы. В письме, как правило, присутствует ссылка, ведущая на сайт, в точности имитирующий официальный, со всеми присущими элементами – логотипами, текстами и тому подобным. Этот сайт содержит форму, требующую с самой благой целью ввести чувствительную информацию, например, ПИН-код банковской карты.

Фишинг имеет несколько разновидностей.

Несуществующие ссылки. В письме указывается соблазнительная причина посетить сайт сервиса, клиентом которого является жертва, и указана ссылка на него, которая лишь внешне похожа на оригинальную. Например, вместо ссылки PayPal.com указывается PayPai.com, где «i» указывается в виде заглавной – «I».

Мошенничество с использованием брендов известных корпораций. В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В письме может быть сообщение о каком-либо опросе, проводимом компанией, о выигрыше в конкурсе, что срочно требует изменения учётных данных или пароля.

Подложные лотереи. Пользователь получает сообщение о выигрыше в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены авторитетным должностным лицом компании.

Ложные антивирусы и программы для обеспечения безопасности. Подобное мошенническое ПО, также известное под названием «scareware»⁵, упирает на чувство страха пользователя, пугает его. Программа может выглядеть как антивирус, который находит на компьютере жертвы опасный вирус, грозящий полным уничтожением данных, если жертва не произведёт определённые манипуляции. Пользователь может столкнуться с таким ПО в почте, онлайн-объявлениях, в социальных сетях, в результатах поиска и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.

Телефонный фишинг – вишинг⁶, назван так по аналогии с фишингом. Данная техника старается воссоздать «официальные звонки» банковских и других IVR⁷-систем. Обычно жертве предлагается (например, через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода ПИН-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать необходимую информацию. Например, пользователь слышит типичную команду: «Нажмите 1», чтобы сменить пароль, выполняет эту, а затем последующие команды по вводу пароля.

Претекстинг (англ. pretexting) – атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию (претексту) выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, то есть получение заранее некой первоначальной информации для разговора с жертвой, чтобы не вызвать подозрений и обеспечить доверие в разговоре. Обычно реализуется через телефон или электронную почту.

Квид про кво (от лат. Quid pro quo – «то за это») – в английском языке это выражение обычно используется в значении «услуга за услугу». Злоумышленник звонит в компанию по корпоративному телефону или пишет по электронной почте. Часто мошенник представляется сотрудником технической поддержки, который спрашивает, есть ли у жертвы технические проблемы на рабочем месте, и в случае положительного ответа предлагает их устранить. В процессе «решения» технических проблем злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.

Троянский конь – эта техника эксплуатирует любопытство либо алчность объекта. Злоумышленник отправляет e-mail, содержащий во вложении якобы важное обновление ПО, непристойный контент или даже компромат на сотрудника или его коллег. Такая тактика весьма эффективна, поскольку любопытство – одно из самых сильных свойств человеческой личности.

Дорожное яблоко – это разновидность троянского коня, когда для передачи зловредного программного обеспечения используется физический носитель. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, – туалеты, парковки, столовые, рабочие места атакуемых сотрудников. Носители оформ­ляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вы­звать любопытство. Например, социальный инженер может подбросить флешку с наклеенным стикером с надписью «Заработная плата руководящего состава». Флешка может быть оставлена на полу лифта или в вестибюле.

Сбор информации из открытых источников.

Технологии социальной инженерии требуют от исполнителей не только знания психологии, но и умения собирать о человеке необходимую информацию. Лучше всего для этого подходят социальные сети. К примеру, Facebook, «ВКонтакте», «Одноклассники», Instagram содержат огромное количество чувствительной информации, которую люди не то что не пытаются скрыть, а размещают её с гордостью и удовольствием.

ОБРАТНАЯ СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

В данном случае жертва сама обращается к злоумышленнику с просьбой о помощи в решении тех или иных проблем и с готовностью сообщает необходимую информацию. Для этого социальный инженер проводит необходимую подготовку, например, инициирует неисправность на компьютере жертвы и каким-либо образом рекламирует себя в качестве человека, который может решить проблему.

Главное, что стоит отметить, сегодня большинство успешных атак на бизнес задействуют социальную инженерию в той или иной степени. Если говорить об энергетической отрасли, то, пожалуй, самым масштабным вторжением в этой отрасли остаётся классический случай внедрения вируса Stuxnet в Иране в 2010 году, когда были сорваны сроки запуска ядерной АЭС в Бушере за счёт того, что были успешно поражены 1368 из 5000 центрифуг на заводе по обогащению урана в Натанзе. В этой истории много неизвестных, поскольку ни одна из заинтересованных сторон не торопилась делиться подробностями. Но очевидно, что без социальной инженерии здесь не обошлось. Считается, что вирус непредумышленно «занёс» сотрудник компании Siemens, которая была подрядчиком в этом проекте, воспользовавшись обычной флешкой (помните «дорожное яблоко»?).

Сотрудники компании Positive Technologies, проведя исследование в феврале текущего года, выяснили, что социальная инженерия используется в каждой третьей атаке. «Фишинг в адрес сотрудников компании-жертвы стал уже отработанной схемой злоумышленников в рамках целенаправленных атак, – отмечает директор Экспертного центра безопасности Positive Technologies Алексей Новиков. – Так, в ноябре 2018 года наши специалисты обнаружили вредоносное вложение в электронных письмах, которое позволяло злоумышленнику захватывать изображение с веб-камер, записывать звук, делать скриншоты экрана, копировать файлы с медиаустройств. Преступники ловко привлекали внимание адресатов броской темой письма и размытым изображением открывающегося файла, на котором проглядывал герб, – так, что документ должен был вызывать доверие и желание с ним ознакомиться, включив необходимый скрипт. Пока жертва видела на экране документ-заглушку, на компьютере незаметно для пользователя устанавливалось ВПО для удалённого управления Treasure Hunter, которое собирало информацию о системе, отправляло ее на удаленный командный сервер и принимало команды с него».

МЕТОДЫ ПРОТИВОДЕЙСТВИЯ

– Мы в ТГК-16 осознаём всю важность угроз социальной инженерии для бизнеса, поэтому нами выработана и применяется система противодействия этим технологиям.

Поскольку ключевым фактором успеха применения методик социальной инженерии является человек, необходимо повышать осведомлённость сотрудников. Для этого мы проводим периодические беседы и тренинги с персоналом.

Для того чтобы сотрудники поняли важность бережного обращения с ключевой информацией, стоит объяснить им, в чём заключается опасность её предоставления посторонним лицам, какие последствия может повлечь за собой вторжение социального инженера.

Прежде всего мы работаем с группами персонала, имеющими непосредственный контакт с «внешним миром» – секретари, специалисты профильных отделов, охранники. Причём если первые общаются с посторонними через средства связи (телефон, Интернет), то охранники имеют непосредственный контакт с социальными инженерами. В этом смысле об охране часто забывают, не воспринимают эту группу как рискованную для осуществления атак. Между тем в непринуждённом разговоре с охранником социальный инженер может получить такие сведения, которые вряд ли выдаст ему, например, секретарь.

Ещё одна неочевидная, но важная группа – сотрудники финансового блока. Их телефоны или электронные адреса обычно не фигурируют в открытых источниках, однако они напрямую взаимодействуют с контрагентами, и последствия воздействия на них социального инженера, представляющегося контрагентом, могут быть самыми тяжелыми, в том числе в финансовом плане.

Наверное, самый важный момент в работе с кадрами по этой теме – формирование грамотных должностных инструкций и контроль их выполнения. Прежде всего инструкция должна предотвращать именно те угрозы, которые могут быть осуществлены в отношении конкретных сотрудников. Здесь мы не полагаемся полностью на свои знания, а работаем в тесной связке с руководителями ключевых подразделений: опрашиваем их и выявляем наиболее уязвимые места, потенциальные цели для социальных инженеров применительно к той или иной группе персонала.

Должностная инструкция должна быть лаконичной и понятной, действия сотрудников должны быть расписаны без «воды», предельно конкретно. Через руководителей мы доносим до подраз­делений порядок действий по проверке личности контакта, если он представляется сотрудником.

Помимо регулярного мониторинга выполнения инструкций, время от времени мы проводим тестовые попытки проникновения, например, по телефону. Это одна из наиболее эффективных мер противодействия социальной инженерии, поскольку позволяет не только проверить уровень подготовки сотрудника, но и получить дополнительную информацию о «болевых точках» общения сотрудника с внешним миром.

При регулярном осуществлении подобных мероприятий у работников формируется определённая подозрительность к любым ситуациям, касающимся персональных данных, коммерческой тайны. Сотрудник хорошо подумает, прежде чем поделиться информацией с собеседником.

Ещё один нюанс, важный с точки зрения противодействия методам социальной инженерии, – необходимо внимательно относиться к информации, размещаемой в открытых источниках. Рекомендуется тщательно следить, чтобы контактная информация на сайте, визитках, в СМИ не была избыточной.

Ещё, например, к телефонным справочникам часто относятся небрежно, никому не приходит в голову их защищать, хотя это просто кладезь информации для мошенников. Телефонный справочник позволяет не только отыскать номера, по которым можно связаться с сотрудниками, но и получить представление о структуре организации. Поэтому телефонные справочники в нашей организации входят в перечень защищаемых информационных ресурсов.

В заключение хочется сказать, что, хотя социальная инженерия и может представляться чем-то неуловимым, угрозой, которую трудно идентифицировать, а значит, и бороться с ней, – не стоит бояться «ввязываться» в эту тему. Более того, в сегодняшней ситуации это делать просто необходимо. И уже само по себе осознание проблемы и постановка правильных вопросов – залог успешного противостояния этой угрозе.

¹ Брюс Шнайер. Секреты и ложь. Безопасность данных в цифровом мире.

² Википедия https://ru.wikipedia.org/wiki/ Социальная_инженерия.

³ Кевин Митник. Искусство обмана (The Art of Deception).

⁴ Фишинг (англ. phishing, от fishing – рыбная ловля, выуживание) – вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей обманным путём.

⁵ Scareware – это разновидность вредоносного ПО, которое использует социальную инженерию, чтобы вызвать шок, беспокойство или восприятие угрозы, чтобы манипулировать пользователями.

⁶ Вишинг (англ. vishing – voice fishing)

⁷ IVR (англ. Interactive Voice Response) – система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра с использованием информации.

Айрат ШАГИЕВ

На правах рекламы.