ИТ-безопасность — это не только защита от цифровых угроз. Одним из наиболее часто пропускаемых аспектов безопасности является защита от социальной инженерии — искусство манипулирования людьми для раскрытия конфиденциальной информации. На самом деле эти атаки часто более опасны, чем традиционные угрозы, поскольку они часто остаются незамеченными и предоставляют злоумышленнику такой же доступ, что и вашему внутреннему персоналу. Хотя атаки социальной инженерии бывают разных форм, общая нить заключается в том, что они включают злоумышленника, изображающего из себя законную партию. Будь то банк, ИТ-компания, менеджер или даже коллега, эти типы атак трудно (если не невозможно) обнаружить программным обеспечением.
Распространенные формы атак
Приведенный ниже список представляет собой краткий обзор наиболее распространенных типов атак социальной инженерии:
Фишинг
Злоумышленник отправляет мошенническое письмо, выдавая себя за законное. Типичными примерами являются электронные письма, содержащие поддельные банковские ссылки для входа в систему.
Копье Фишинг
Подобно фишингу, за исключением того, что эти электронные письма нацелены на отдельное лицо или компанию. Примером является поддельная регистрация на корпоративном портале, отправленная руководителю или менеджеру.
предлог ,
Одна сторона лжет другой, чтобы получить доступ к системе. Например, сотрудник может получить звонок от кого-то, выдающего себя за клиента, запрашивающего информацию об учетной записи.
Травля
Злоумышленник оставляет зараженное вредоносным ПО устройство (обычно USB-диск или компакт-диск) там, где оно будет найдено. Когда устройство загружается на компьютер, оно запускает вредоносное ПО.
Scareware
Как следует из названия, это программное обеспечение, которое заставляет пользователя думать, что он загрузил вредоносное ПО или взломан. Поддельные антивирусные программы составляют основную часть этих атак.
Психология за угрозами
Успешные атаки социальной инженерии — это больше, чем злоумышленник, изображающий из себя кого-то другого. Должен быть триггер, который заставляет жертву временно подвести свою охрану. По данным Института SANS , семь основных психологических триггеров:
-
Сильный эффект: вызывает сильную эмоцию, такую как гнев или страх, заставляя жертву не быть скептиком
-
Перегрузка: получение информации настолько быстро, что ум не может идти в ногу и переходит в пассивный режим
-
Взаимность: желание человека вернуть услугу, когда кто-то ему помогает
-
Обманчивые отношения: построение отношений, имеющих одинаковые цели, интересы или другие общие черты со своей жертвой
-
Распространение ответственности и морального долга: жертва чувствует, что не несет ответственности за свои действия
-
Авторитет: жертва выполняет приказы, потому что они считают, что это приказы от кого-то выше их
-
Честность и любопытство: иногда люди будут отвечать на вопросы честно, потому что они не хотят лгать
Защита вашего бизнеса
Вот несколько практических рекомендаций по защите вашего бизнеса от атак социальной инженерии.
Создать четкие политики
Независимо от того, является ли ваш бизнес большим или маленьким, вам необходимо установить четкие рекомендации относительно типов информации, к которой сотрудники могут получить доступ, и с кем они могут ею поделиться. В идеале вы могли бы назначить конкретного человека для работы с внешними поставщиками и подрядчиками. Как упоминалось ранее, любой может стать жертвой атаки социальной инженерии. Минимизируя объем информации, доступ к которой может получить один человек, злоумышленнику становится намного труднее нанести серьезный ущерб.
Физическая охрана
Как правило, вы должны предполагать, что любой, кто может получить доступ к вашему компьютеру, имеет доступ ко всей вашей информации. В то время как центры обработки данных требуют обширных мер предосторожности, таких как закрытые серверные стойки, биометрический контроль доступа и безопасность 24 × 7, большинство фрилансеров и малых предприятий не имеют таких ресурсов. Более практичные меры, которые вы можете предпринять, включают шифрование ваших файлов, двухфакторную аутентификацию, блокировку BIOS и установку программного обеспечения удаленной очистки / отслеживания на все ваше оборудование.
Лучшие отраслевые практики
Хотя это не относится к атакам социальной инженерии, вы всегда должны следовать рекомендациям по безопасности, чтобы избежать угроз и смягчить нарушения, если они произойдут. Помимо ранее упомянутых советов, вы также захотите рассмотреть оценку сетевой безопасности вашего веб-хостинга .
В целом, следует помнить, что все члены вашей команды, сотрудники и сотрудники должны быть осведомлены об этих угрозах. В конечном счете, лучшие меры безопасности хороши только как самое слабое звено в цепи. Хотя ваши ИТ-команды посвящают свое время безопасности, большинство других специалистов должны сосредоточиться на своей работе. Вот почему вы должны иметь некоторый уровень сдержек и противовесов, чтобы уменьшить нагрузку на одного человека.
Не просто угроза для бизнеса
Даже если вы не являетесь ключевым сотрудником, вам все равно нужно быть готовым к потенциальным атакам социальной инженерии. Кража личных данных является одной из самых больших угроз для потребителей сегодня, однако многие люди не знают о потенциальном ущербе. Помимо типичных случаев потери денег, жертвы даже пострадали свои медицинские и криминальные записи.
Кража медицинских данных
По мере того как утечки данных продолжают становиться все более частыми, похитители личных данных в настоящее время подают исковые заявления в страховые компании и даже получают медицинские процедуры для лечения под чужими именами. Этот тип краж становится все более популярным из-за того, что медицинские провайдеры переходят на электронные записи, а стандартные розничные продавцы ужесточают свои процедуры безопасности. Данные о здоровье также продаются на черном рынке с наценкой по сравнению с номерами кредитных карт и другими типами личной информации. Это довольно специализированный тип социальной инженерии, но Forbes имеет четкий обзор темы и способов смягчения угрозы.
Кража
Это худший сценарий, с которым может столкнуться каждый в своей жизни. Кража личных данных происходит, когда самозванец сообщает имя и личную информацию жертвы (дату рождения, номер социального страхования или номер водительского удостоверения) полиции во время расследования или ареста. В большинстве случаев поддельная идентификация используется во время остановки трафика или чего-то обыденного, когда выдается цитата. В то время как злоумышленник подписывает газету, обещающую появиться в суде, они никогда не появляются. Это может привести к тому, что на жертву не будет вынесен вердикт. Даже если аресты не производятся, ложные цитаты могут отображаться при проверке данных и даже при вождении.
Защита вашей личности
Простой поиск по темам кражи личных данных показывает десятки так называемых служб защиты личных данных, которые обещают защитить ваш кредит, обычно за 10-30 долларов в месяц. Многие службы утверждают, что отслеживают ваши кредитные и банковские счета на предмет подозрительных действий. Дополнительные услуги обычно включают мониторинг судебных записей, уведомления о нарушении данных, запросы на регистрацию лиц, совершивших преступления на сексуальной почве, и бесплатные копии ваших кредитных отчетов.
Стоит ли денег?
Короткий ответ здесь — нет, службы мониторинга кражи личных данных, как правило, не стоят денег. Большинство этих сервисов просто автоматизируют то, что вы можете сделать сами. Проверка ваших финансовых отчетов каждый месяц, уничтожение конфиденциальных документов, отказ от предварительно утвержденных кредитных предложений и проверка вашего кредитного рейтинга раз в квартал должно быть достаточным для выявления наиболее распространенных атак.
Если вы все еще думаете о подписке на одну из этих услуг, вы также должны отметить, что правительства расследуют многие компании по защите от ложного маркетинга. Lifelock, например, должен был выплатить 100 миллионов долларов потребителям в рамках судебного решения правительства США . Если вы когда-либо чувствуете, что стали жертвой кражи личных данных, вам следует проверить, есть ли у вашего правительства ресурсы, выделенные для решения этой проблемы. Например, в Соединенных Штатах есть IdentityTheft.gov .
Вывод
Главное, что следует помнить при любой социальной инженерии, это то, что она влияет на детей, взрослых и корпорации. По мере того, как мы продолжаем двигаться к все более компьютеризированному миру, очень важно, чтобы все знали о своей физической и цифровой идентичности. Как и в случае большинства проблем безопасности, образование имеет решающее значение для предотвращения проблем в будущем.
Если у вас есть какой-либо опыт, касающийся социальной инженерии — например, ловушек, которых следует избегать — поделитесь ими в комментариях ниже.