[5] и Google следят за пользователями, нарушая их интересы, а ФБР может получить доступ к собранным ими данным, хотят того корпорации или нет. Следящий капитализм – вот фундаментальная проблема».
Я спросил Шнайера, над какой книгой он работает (он постоянно что-то пишет). Он рассказал: «Я обдумываю новую книгу, посвященную проблемам кибербезопасности, например связанным с Интернетом вещей и с тем, как все меняется, когда компьютеры действительно становятся опасными. Одно дело, если скомпрометированной оказывается уязвимая электронная таблица, и совсем другое, если речь идет о вашем автомобиле. Прорехи в системе защиты могут привести к человеческим жертвам. Это все меняет! В прошлом месяце я выступал в Конгрессе с докладом на эту тему. Я сказал, что игры кончились, и настало время для серьезной работы. Необходим контроль. На карту поставлены жизни людей! Мы не можем больше мириться со слабо защищенным и полным ошибок программным обеспечением. Но индустрия не готова осознать всю серьезность угрозы, хотя и должна. Как могут люди, работающие над улучшением системы безопасности автомобилей, на самом деле решить эту задачу, если нам до сих пор так и не удалось остановить хакеров и исправить все уязвимости? Необходимы перемены. И они произойдут».
Брюс Шнайер на протяжении нескольких десятилетий является одним из лидеров в области ИБ и остается ключевым участником самых важных дискуссий. Если вас интересует тема информационной безопасности, выберите его в качестве своего неофициального наставника.
Информация о Брюсе Шнайере
Более подробную информацию о Брюсе Шнайере смотрите по ссылкам:
• блог Брюса Шнайера: https://www.schneier.com;
• рассылка Брюса Шнайера Crypto-Gram newsletter: https://www.schneier.com/crypto-gram/;
• книги Брюса Шнайера: https://www.amazon.com/Bruce-Schneier/e/B000AP7EVS/.
4. Социальная инженерия
В компьютерном мире социальная инженерия – это методы побудить человека сделать что-то нехорошее для себя или других людей. Это одна из наиболее распространенных форм взлома, потому что часто успешна. И самая неприятная для специалистов по ИБ, потому что ее нельзя предотвратить только с помощью технологий.
Методы социальной инженерии
Социальная инженерия может быть реализована многими способами, в том числе через Интернет, по телефону, лично или посредством традиционной почты. Ее разновидностей так много, что нередко в списках, претендующих на полноту их перечисления, некоторые из видов или способов отсутствуют. Социальная инженерия, реализуемая с помощью компьютера, использует электронную почту или Интернет, а также службы обмена мгновенными сообщениями и компьютерные программы практически любого типа.
Фишинг
Распространенная цель социальной инженерии – перехват учетных данных пользователя в процессе так называемого фишинга. Фишинговые сообщения электронной почты или веб-сайты пытаются обмануть пользователя и заставить его указать свои реальные учетные данные для авторизации, имитируя легитимный веб-сайт или администратора-отправителя, с которым конечный пользователь знаком. Наиболее распространенная фишинговая атака – это электронное письмо якобы от администратора сайта, утверждающего, что учетные данные пользователя должны быть проверены, иначе доступ к сайту будет прекращен.
Целевой фишинг — это тип фишинга, который нацелен против конкретного человека или группы людей с применением непубличной информации, которой владеет цель атаки. Например, отправка сотрудникам документа по электронной почте якобы от участника проекта: при его открытии файл выполняет вредоносные команды. Целевой фишинг часто упоминается во многих самых громких корпоративных скандалах.
Троянский конь
Другой популярный прием социальной инженерии используется, чтобы заставить ничего не подозревающего конечного пользователя выполнить программу троянского коня. Она может быть отправлена по электронной почте, в виде файлового вложения или скачиваться по указанному в письме URL-адресу. Такой вредоносный код часто выполняется и на веб-сайтах. Легитимные сайты могут быть скомпрометированы, и когда пользователь загружает страницу, он видит инструкции по загрузке и запуску файла. Файл может быть «необходимым» сторонним дополнением, поддельным антивирусным приложением или «обязательным» патчем. Может быть скомпрометирован как непосредственно сам легитимный веб-сайт, так и независимый элемент на нем, например сторонний рекламный баннер. В любом случае, у пользователя, который доверяет сайту после многих лет его посещения, нет оснований подозревать, что он мог быть скомпрометирован.
По телефону
Мошенники также звонят пользователям, которым может понадобиться техническая поддержка, от имени популярного разработчика, из государственного учреждения или компании.
Одна из самых популярных афер по телефону – когда мошенник звонит якобы от лица техподдержки, утверждая, что на компьютере пользователя была обнаружена вредоносная программа. Затем он просит загрузить «антивирусную» программу, которая, что неудивительно, обнаруживает множество вредоносных объектов. Мошенник побуждает загрузить и выполнить программу удаленного доступа, которую затем использует для авторизации на компьютере жертвы, чтобы внедрить другое вредоносное ПО. Фиктивные программы технической поддержки достигают кульминации, когда жертва покупает поддельные программы защиты, используя номер своей банковской карты.
Телефонные мошенники также могут представляться сотрудниками налоговой службы, правоохранительных органов и прочих государственных структур, стремясь получить деньги за то, чтобы конечный пользователь избежал якобы наложенных на него жестких штрафов или тюрьмы.
Мошенничество
Мошенничество – еще одна очень популярная афера, которая осуществляется с людьми, покупающими или продающими товары на веб-сайтах, таких как аукционы или ресурсы, подобные Craigslist.
При мошеннической операции покупатель быстро отвечает, обычно предлагает оплатить полную стоимость покупки плюс доставку и просит продавца использовать своих «доверенных» эскроу-агентов (посредников). Затем они посылают жертве поддельный чек на бо́льшую сумму, нежели та, что была оговорена, и жертва возмещает излишек на счет злоумышленников (к сожалению, банки принимают поддельные чеки, но в итоге жертва теряет деньги). Покупатель просит потерпевшего продавца вернуть уплаченный излишек грузоотправителю по договору или посреднику. Жертва мошенничества обычно теряет как минимум сумму излишка.
При мошеннической продаже потерпевший покупатель отправляет средства, но не получает товар[6]. В среднем в случае такой продажи жертвы теряют суммы в пределах тысячи долларов. В некоторых случаях сумма ущерба может достигать десятков тысяч.
Личное участие
Некоторые из самых известных афер социальной инженерии были выполнены хакерами лично. В следующей главе речь пойдет об известном хакере Кевине Митнике. Десятилетия назад он был одним из самых наглых социальных инженеров в «черной шляпе». Митник переодевался в мастера по ремонту телефонов или сервисного инженера, чтобы получить доступ в защищенное помещение. Такие мошенники известны походами в банки и установкой специальных устройств на терминалах сотрудников, выдавая себя за системных администраторов. Каким бы недоверчивым ни был человек, он обычно доверяет людям, осуществляющим ремонт оборудования, особенно если слышат фразу типа: «Я слышал, что ваш компьютер стал работать медленнее в последнее время». Кто может опровергнуть это утверждение? Человек, выполняющий ремонт, очевидно, знает о проблеме и, наконец, пришел ее исправить.
Кнут или пряник
Конечному пользователю часто угрожают штрафом за то, что он чего-то не сделает, или обещают вознаграждение за то, что он совершит некие действия. Хитрость начинается с принуждения жертвы, так как люди недостаточно тщательно взвешивают риск в стрессовой ситуации. Они должны либо заплатить штраф, либо сесть в тюрьму. Перед ними встает выбор – запустить программу или рисковать, что компьютер останется зараженным, а банковский счет опустеет; отправить деньги или некий честный человек останется в иностранной тюрьме; изменить пароль на компьютере начальника или быть уволенным.
Один из моих любимых приемов социальной инженерии в процессе тестирования системы – отправить письмо сотрудникам компании от имени генерального или финансового директора с объявлением о том, что компания сливается с конкурирующей организацией. Я предлагаю открыть вложенный документ, чтобы они увидели, как слияние повлияет на их работу. Или я отправляю письмо сотрудникам-мужчинам якобы от адвоката их бывшей жены с просьбой о дополнительных алиментах для ребенка. Вы будете поражены, насколько успешны эти трюки.
Защита от социальной инженерии
Защита от атак социальной инженерии требует сочетания обучения и технологий.
Обучение
Обучение противостоянию социальной инженерии – одно из лучших, наиболее важных средств защиты. Обучение должно включать примеры наиболее распространенных видов социальной инженерии и того, как потенциальные жертвы могут обнаружить признаки нелегитимности. В моей нынешней компании каждый сотрудник смотрит видеоролик о защите от социальной инженерии каждый год, а затем проходит короткий тест. Наиболее успешные тренинги посещали очень умные, надежные и хорошо зарекомендовавшие себя сотрудники, которые делятся личным опытом применения методов социальной инженерии.
Я думаю, что в каждой компании должны имитироваться фишинговые атаки, в ходе которых работникам отправляются поддельные электронные письма с запросом ввода персональных данных. Сотрудники, предоставившие свои данные, должны пройти дополнительное обучение. Существуют различные ресурсы, как бесплатные, так и коммерческие, для проведения поддельных фишинговых кампаний. Платные, на мой взгляд, наиболее просты и удобны.
Все компьютерные пользователи должны быть обучены тактике защиты от социальной инженерии. Люди, покупающие и продающие товары в Интернете, должны быть осведомлены о мошенничествах в сфере торговли. Необходимо использовать только безопасные сделки и следовать всем рекомендациям проверенных сайтов.
Будьте осторожны при установке ПО со сторонних веб-сайтов
Пользователей следует научить никогда не устанавливать какое-либо программное обеспечение непосредственно с сайта, который они посещают, если это не сайт легитимного разработчика ПО. Если веб-сайт сообщает, что вам нужно установить какое-то программное обеспечение, чтобы продолжить просмотр ресурса, и вы думаете, что это законный запрос, покиньте его и перейдите на сайт разработчика стороннего программного обеспечения, чтобы наверняка установить корректное приложение. Никогда не устанавливайте ПО с чужого веб-сайта, а не с сайта непосредственного разработчика[7]. Программное обеспечение может оказаться легитимным, но риск слишком велик.
Цифровые сертификаты с расширенной проверкой
Веб-серферам следует научиться применять цифровые сертификаты с расширенной проверкой (https://ru.wikipedia.org/wiki/Сертификат_Extended_Validation) на многих самых популярных сайтах. Веб-сайты с расширенной проверкой часто каким-либо образом выделяются (обычно это выделенное зеленым цветом доменное имя, значок в адресной строке или сама адресная строка), чтобы подтвердить пользователю, что URL-адрес и безопасность сайта были подтверждены доверенной третьей стороной. Для примера расширенной проверки перейдите на https://www.bankofamerica.com/.