Социальная инженерия – одна из наиболее значимых угроз цифрового мира. Злоумышленники бьют по самому слабому звену системы безопасности – человеку и защититься от нападений бывает очень непросто.
Распознать злоумышленника можно по ряду косвенных признаков, демаскирующих его действия, часть из которых описана в предыдущей статье.
Не звоните мне!
Часто атаки социальных инженеров направлены на банковские и кредитные организации и состоят из нескольких этапов. Цель операции – перевод финансов на подставные счета. Опытные манипуляторы, обладающие солидными познаниями в психологии и умеющие быстро ориентироваться в ситуации, используют телефонные звонки как инструмент воздействия на жертву. К счастью для бизнеса таких уникумов – единицы.
Не столь талантливые злоумышленники изобрели свою стратегию обмана. Первый шаг включает в себя кражу почтового ящика или аккаунта в мессенджере представителя ТОП-менеджмента, клиента или партнера. На худой конец, если операция по похищению не удалась, сойдет и максимально похожий на оригинал адрес почты или сетевой «ник».
Шаг второй: отправка сообщения со счетом на оплату. Далее необходимо заставить работника-жертву выполнить нужное действие.
Наученный горьким опытом персонал в большинстве случаев не бежит тут же переводить деньги, а пытается дозвониться отправителю, чтобы подтвердить необходимость операции.
Эта точка – узкое место плана. Неопытный инженер может быстро проколоться во время телефонного звонка. Если же доступ к мобильному телефону лица, маску которого примерил злоумышленник, отсутствует – вся задумка развалится на глазах. Но это в теории, а на практике хакеры научились использовать себе во благо даже непреодолимые, на первый взгляд, препятствия.
Решить проблему «инженерам» помогает предварительно проведенная разведка. Достаточно узнать, в какое время человек, который должен подтвердить операцию, окажется вне зоны доступа. Например, будучи в отпуске, или во время перелета в другую страну.
Дальше сценарий следующий: незадачливый работник звонит на номер, слышит короткие гудки и получает послание: «не звоните мне, ответить не могу».
Поскольку задача срочная, а факт поручения зафиксирован в письменном виде, сотрудник бежит оплачивать счет, и переводит деньги на подставной счет.
Пресечь попытки обмана можно, действуя в двух направлениях. Во-первых, отладить бизнес-процессы и исключить проведение финансовых операций без личного подтверждения прямого руководства.
А, во вторых, настроив контроль почты и словарь угроз. Послания, содержащие тезисы «срочно», «оплатить» и «не могу позвонить», а также их синонимы, требуют дополнительного контроля и верификации.
Ищите женщину
Принцип «медовой ловушки» возник вместе с первыми разведывательными службами. Ведь кто, как ни женщина, может заставить сильную половину человечества сделать все, что угодно.
Социальные инженеры научились использовать такой подход в атаках на бизнес-структуры. Капкан на жертву может быть расставлен в одной из социальных сетей или на сайте знакомств. Если же сотрудник — исключение из правил и не тратит рабочее время на развлекательные ресурсы, ему обязательно позвонит потенциальный клиент или возможный партнер. Который, по странному стечению обстоятельств, окажется миловидной барышней. И, как только жертва начнет млеть и таять, манипулятору останется чуть-чуть надавить и получить нужную информацию.
К счастью, такие операции тяжело осуществить в короткий промежуток времени. Они требуют серьезной подготовки: изучения модели поведения жертвы, проведения анализа «любимых» площадок в интернете, а также предпочтений в выборе партнера. Это дает руководству шанс своевременно распознать зарождающуюся проблему.
Мониторинг мессенджеров, социальных сетей и сайтов знакомств не только убережет бизнес от утечки информации вследствие атаки социального инженера, но и повысит эффективность труда. Работа – не самое удачное место для романтических отношений, тем более, если на них уходит львиная доля оплаченного дня.
