Эксперты Группы компаний «ЦИБИТ» отмечают: чаще всего злоумышленники получают доступ к информации из-за низкой грамотности сотрудников компаний в области кибербезопасности — работники сами передают свои и клиентские персональные данные хакерам. В этой статье расскажем об основных типах атак с использованием методов социальной инженерии и о том, как от них защититься.
Типология атак
Социальная инженерия — это вид атаки с применением механизмов психологического манипулирования, влияния или обмана жертвы с целью получения контроля над компьютером либо кражи личной и финансовой информации. В процессе такой атаки злоумышленники используют «слабые места» человеческой психологии, заставляя жертву выполнить нужное действие или раскрыть секретные данные.
С примерами социальной инженерии сталкивался каждый из нас: это и электронные письма с вредоносными вложениями или всевозможными ссылками (на веб-ресурсы, на скачивание различных приложений или на фотографии), и «звонки из банка» с требованием предоставить информацию.
В арсенале кибермошенников сегодня огромное количество самых разных техник социальной инженерии. ГК «ЦИБИТ» обладает экспертизой в области информационной безопасности: уже более 13 лет мы работаем в отрасли, в том числе проводим социотехнические тестирования (пентесты) для клиентов. Специалисты «ЦИБИТ» констатируют: основными схемами социальной инженерии являются фишинг, вишинг и байтинг. Поговорим о каждом подробнее.
Фишинг
Фишинг (от англ. fishing «рыбная ловля») — это рассылка мошеннических электронных писем со ссылками или вложенными файлами, которые создают впечатление, что они направлены из надёжного источника. Такие сообщения, как правило, содержат ссылки, ведущие на поддельные сайты или устанавливающие вредоносное программное обеспечение.
Основная цель фишинговых писем — обман пользователя с целью получения доступа к его учётным данным, личной или финансовой информации. Другой задачей такого сообщения может быть установка на компьютер сотрудника вредоносного ПО для последующей эксплуатации этого компьютера.
Отметим, что чаще всего жертвами фишинга становятся менее подготовленные в области информационной безопасности службы и сотрудники организации. В первую очередь, это бухгалтерия, кадровый отдел, финансовые и юридические подразделения компаний.
Вишинг
Ещё один популярный вид социальной инженерии — вишинг (от англ. vishing, от voice fishing — голосовой фишинг). В этой технике злоумышленник звонит жертве и разговаривает с ней по телефону от имени сотрудника компании (например, банка). Чаще всего такие звонки замаскированы под звонки от специалистов службы безопасности, системных администраторов и т. п.
В основе этого типа атаки лежит доверие людей к финансовым организациям, силовым структурам и государственным учреждениям (таким как банки, МВД, налоговая служба и т. п.).
Байтинг
Байтинг (от англ. bait — наживка) –это техника социальной инженерии, в которой используются различные «приманки», например, USB-устройство с вредоносным содержимым. В основе механики атаки лежит любопытство пользователя или мотив жадности.
Стоит отметить, что такой вид атаки не всегда приносит желаемый успех мошенникам — нет никаких гарантий, что USB-устройство достанется жертве и будет запущено на рабочем компьютере.
Изучая статистику совершения атак методами социальной инженерии, а также опираясь на практику социотехнических тестирований, которые проводят эксперты ГК «ЦИБИТ» для компаний-клиентов, мы видим, что главным фактором успешности таких мошеннических действий является недостаточная грамотность пользователей в области защиты информации, доверчивость сотрудников организаций. Примерно каждый десятый работник переходит по ссылкам из фишинговых писем, в результате чего открывается несанкционированный доступ к учётным данным и появляется возможность воспользоваться корпоративными ресурсами, содержащими конфиденциальную информацию.
МЕТОДЫ ЗАЩИТЫ
Эксперты «ЦИБИТ» отмечают: не существует единого механизма безопасности, который мог бы защитить организацию от методов социальной инженерии. С каждым днём хакеры придумывают новые уловки, с помощью которых осуществляется воздействие на людей.
Мы подготовили несколько рекомендаций для компаний, которые могут быть использованы для предупреждения и предотвращения атак с использованием механик социальной инженерии:
· Регулярное проведение тестирования на проникновение с использованием методов социальной инженерии. Это поможет службе безопасности компании узнать, какие типы пользователей представляют наибольший риск для конкретных типов атак, а также определить, какие сотрудники нуждаются в дополнительном обучении.
§ Обучение сотрудников и повышение осведомлённости персонала в области информационной безопасности. Если пользователи знают, как выглядят атаки социальной инженерии, они с меньшей вероятностью попадутся на уловки мошенников.
§ Проведение учений на предприятии с имитацией различных ситуаций атак. В процессе таких учений сотрудники компании отрабатывают модели поведения в той или иной рисковой ситуации и учатся на практике применять знания, полученные во время обучения.
§ Внедрение почтовых и веб-шлюзов для сканирования электронной почты на наличие вредоносных ссылок и их фильтрации — такая мера снижает вероятность того, что сотрудник осуществит переход по ссылке.
§ Поддержание антивирусного ПО в актуальном состоянии для предотвращения установки вредоносных программ в фишинговых письмах.
§ Регулярное обновление ПО.
ГК «ЦИБИТ»: ПРОФЕССИОНАЛЬНЫЕ РЕШЕНИЯ В ОБЛАСТИ ИБ
Работая в сфере защиты информации уже более 13 лет, эксперты «ЦИБИТ» замечают: самым эффективным решением для предупреждения атак с использованием методов социальной инженерии является постоянное повышение грамотности в области информационной безопасности, обучение сотрудников тому, как распознавать инциденты и реагировать на них, а также проведение на предприятии учений и социотехнических тестирований.
Специалисты «ЦИБИТ» готовят высококвалифицированные кадры в области защиты информации в собственном учебном центре «ЦИБИТ», проводят аудиты информационной безопасности и тестирования на проникновение, реализуют полный комплекс услуг по проектированию, поставке и пуско-наладке различных средств и систем защиты информации.
Департамент проектов ГК «ЦИБИТ» оказывает услуги по проведению тестирований на проникновение (оценка защищенности ИТ-инфраструктуры), в том числе с использованием методов социальной инженерии.
Тестирование на проникновение (пентест) — это имитация действий злоумышленников, направленная на получение доступа к конкретным конфиденциальным данным через обнаружение и последовательную эксплуатацию цепочки уязвимостей.
Пентест является наиболее реалистичным методом, показывающим на практике, насколько эффективны внедренные системы и меры безопасности. В отличие от реальной хакерской атаки, целью такого тестирования не является нанесение ущерба компании, все действия находятся под контролем специалистов.
Типология атак
Социальная инженерия — это вид атаки с применением механизмов психологического манипулирования, влияния или обмана жертвы с целью получения контроля над компьютером либо кражи личной и финансовой информации. В процессе такой атаки злоумышленники используют «слабые места» человеческой психологии, заставляя жертву выполнить нужное действие или раскрыть секретные данные.
С примерами социальной инженерии сталкивался каждый из нас: это и электронные письма с вредоносными вложениями или всевозможными ссылками (на веб-ресурсы, на скачивание различных приложений или на фотографии), и «звонки из банка» с требованием предоставить информацию.
В арсенале кибермошенников сегодня огромное количество самых разных техник социальной инженерии. ГК «ЦИБИТ» обладает экспертизой в области информационной безопасности: уже более 13 лет мы работаем в отрасли, в том числе проводим социотехнические тестирования (пентесты) для клиентов. Специалисты «ЦИБИТ» констатируют: основными схемами социальной инженерии являются фишинг, вишинг и байтинг. Поговорим о каждом подробнее.
Фишинг
Фишинг (от англ. fishing «рыбная ловля») — это рассылка мошеннических электронных писем со ссылками или вложенными файлами, которые создают впечатление, что они направлены из надёжного источника. Такие сообщения, как правило, содержат ссылки, ведущие на поддельные сайты или устанавливающие вредоносное программное обеспечение.
Основная цель фишинговых писем — обман пользователя с целью получения доступа к его учётным данным, личной или финансовой информации. Другой задачей такого сообщения может быть установка на компьютер сотрудника вредоносного ПО для последующей эксплуатации этого компьютера.
Отметим, что чаще всего жертвами фишинга становятся менее подготовленные в области информационной безопасности службы и сотрудники организации. В первую очередь, это бухгалтерия, кадровый отдел, финансовые и юридические подразделения компаний.
Вишинг
Ещё один популярный вид социальной инженерии — вишинг (от англ. vishing, от voice fishing — голосовой фишинг). В этой технике злоумышленник звонит жертве и разговаривает с ней по телефону от имени сотрудника компании (например, банка). Чаще всего такие звонки замаскированы под звонки от специалистов службы безопасности, системных администраторов и т. п.
В основе этого типа атаки лежит доверие людей к финансовым организациям, силовым структурам и государственным учреждениям (таким как банки, МВД, налоговая служба и т. п.).
Байтинг
Байтинг (от англ. bait — наживка) –это техника социальной инженерии, в которой используются различные «приманки», например, USB-устройство с вредоносным содержимым. В основе механики атаки лежит любопытство пользователя или мотив жадности.
Стоит отметить, что такой вид атаки не всегда приносит желаемый успех мошенникам — нет никаких гарантий, что USB-устройство достанется жертве и будет запущено на рабочем компьютере.
Изучая статистику совершения атак методами социальной инженерии, а также опираясь на практику социотехнических тестирований, которые проводят эксперты ГК «ЦИБИТ» для компаний-клиентов, мы видим, что главным фактором успешности таких мошеннических действий является недостаточная грамотность пользователей в области защиты информации, доверчивость сотрудников организаций. Примерно каждый десятый работник переходит по ссылкам из фишинговых писем, в результате чего открывается несанкционированный доступ к учётным данным и появляется возможность воспользоваться корпоративными ресурсами, содержащими конфиденциальную информацию.
МЕТОДЫ ЗАЩИТЫ
Эксперты «ЦИБИТ» отмечают: не существует единого механизма безопасности, который мог бы защитить организацию от методов социальной инженерии. С каждым днём хакеры придумывают новые уловки, с помощью которых осуществляется воздействие на людей.
Мы подготовили несколько рекомендаций для компаний, которые могут быть использованы для предупреждения и предотвращения атак с использованием механик социальной инженерии:
· Регулярное проведение тестирования на проникновение с использованием методов социальной инженерии. Это поможет службе безопасности компании узнать, какие типы пользователей представляют наибольший риск для конкретных типов атак, а также определить, какие сотрудники нуждаются в дополнительном обучении.
§ Обучение сотрудников и повышение осведомлённости персонала в области информационной безопасности. Если пользователи знают, как выглядят атаки социальной инженерии, они с меньшей вероятностью попадутся на уловки мошенников.
§ Проведение учений на предприятии с имитацией различных ситуаций атак. В процессе таких учений сотрудники компании отрабатывают модели поведения в той или иной рисковой ситуации и учатся на практике применять знания, полученные во время обучения.
§ Внедрение почтовых и веб-шлюзов для сканирования электронной почты на наличие вредоносных ссылок и их фильтрации — такая мера снижает вероятность того, что сотрудник осуществит переход по ссылке.
§ Поддержание антивирусного ПО в актуальном состоянии для предотвращения установки вредоносных программ в фишинговых письмах.
§ Регулярное обновление ПО.
ГК «ЦИБИТ»: ПРОФЕССИОНАЛЬНЫЕ РЕШЕНИЯ В ОБЛАСТИ ИБ
Работая в сфере защиты информации уже более 13 лет, эксперты «ЦИБИТ» замечают: самым эффективным решением для предупреждения атак с использованием методов социальной инженерии является постоянное повышение грамотности в области информационной безопасности, обучение сотрудников тому, как распознавать инциденты и реагировать на них, а также проведение на предприятии учений и социотехнических тестирований.
Специалисты «ЦИБИТ» готовят высококвалифицированные кадры в области защиты информации в собственном учебном центре «ЦИБИТ», проводят аудиты информационной безопасности и тестирования на проникновение, реализуют полный комплекс услуг по проектированию, поставке и пуско-наладке различных средств и систем защиты информации.
Департамент проектов ГК «ЦИБИТ» оказывает услуги по проведению тестирований на проникновение (оценка защищенности ИТ-инфраструктуры), в том числе с использованием методов социальной инженерии.
Тестирование на проникновение (пентест) — это имитация действий злоумышленников, направленная на получение доступа к конкретным конфиденциальным данным через обнаружение и последовательную эксплуатацию цепочки уязвимостей.
Пентест является наиболее реалистичным методом, показывающим на практике, насколько эффективны внедренные системы и меры безопасности. В отличие от реальной хакерской атаки, целью такого тестирования не является нанесение ущерба компании, все действия находятся под контролем специалистов.