Разберете социалното инженерство – защита срещу хакерство

Една скорошна новина ме накара да осъзная как човешките емоции и мисли могат да бъдат (или са) използвани в полза на другите. Почти всеки от вас познава Едуард Сноудън(Edward Snowden) , разобличителя на NSA , който шушне по света. Ройтерс съобщи, че е накарал около 20-25 души от NSA да му предадат паролите си за възстановяване на някои данни, които е изтекъл по-късно [1]. Представете си(Imagine) колко крехка може да бъде вашата корпоративна мрежа, дори и с най-силния и най-добрия софтуер за сигурност!

социално инженерство

Какво е социално инженерство

Човешката(Human) слабост, любопитство, емоции и други характеристики често се използват за незаконно извличане на данни – било то всяка индустрия. IT индустрията(IT Industry) обаче й е дала името на социалното инженерство . Аз определям социалното инженерство като:

“The method whereby an external person gains control over one or more employees of any organization by any means with intention to obtain the organization’s data illegally”

Ето още един ред от същата новина [1], която искам да цитирам – „ Сигурните агенции се затрудняват с идеята, че човекът в съседната кабина може да не е надежден(Security agencies are having a hard time with the idea that the guy in the next cubicle may not be reliable) “. Промених малко изявлението, за да го впише в контекста тук. Можете да прочетете цялата новина, като използвате връзката в секцията Референции(References) .

С други думи, вие нямате пълен контрол върху сигурността на вашите организации, тъй като социалното инженерство се развива много по-бързо от техниките за справяне с него. Социалното(Social) инженерство може да бъде нещо като да се обадите на някого да кажете, че сте техническа поддръжка и да го попитате за техните идентификационни данни за вход. Сигурно сте получавали фишинг имейли за лотарии, богати хора в Близкия изток(Mid East) и Африка(Africa) , които искат бизнес партньори, и предложения за работа, за да ви попитат вашите данни.

За разлика от фишинг атаките, социалното инженерство представлява много пряко взаимодействие между човек. Първият (фишинг) използва стръв – тоест хората, които „риболовят“ ви предлагат нещо с надеждата, че ще си паднете. Социалното(Social) инженерство е по-скоро за спечелване на доверието на вътрешните служители, така че те да разкриват подробностите за компанията, от които се нуждаете.

Прочетете: (Read:) Популярни методи на социалното инженерство .

Известни техники за социално инженерство

Има много и всички те използват основни човешки тенденции за влизане в базата данни на всяка организация. Най-използваната (вероятно остаряла) техника на социално инженерство е да се обадите и да се срещнете с хора и да ги накарате да повярват, че са от техническа поддръжка, които трябва да проверят компютъра ви. Те могат също така да създават фалшиви лични карти, за да установят доверие. В някои случаи виновниците се представят за държавни служители.

Друга известна техника е да наемете вашия човек като служител в целевата организация. Сега, тъй като този измамник е ваш колега, може да му се доверите с подробности за компанията. Външният служител може да ви помогне с нещо, така че да се почувствате задължени и тогава той може да разбере максимално.

Прочетох и някои доклади за хора, използващи електронни подаръци. Изискан USB флаш, доставен ви на адреса на вашата фирма, или химикалка, лежаща в колата ви, може да докаже бедствия. В случай някой е оставил някои USB устройства нарочно на паркинга като примамки [2].

Ако вашата фирмена мрежа има добри мерки за сигурност на всеки възел, вие сте благословени. В противен случай тези възли осигуряват лесно преминаване на зловреден софтуер – в този подарък или „забравени“ химикалки – към централните системи.

Като такива не можем да предоставим изчерпателен списък от методи за социално инженерство. Това е наука в основата, съчетана с изкуство на върха. И знаете, че нито един от тях няма граници. Момчетата от социалното(Social) инженерство продължават да стават креативни, докато разработват софтуер, който също може да използва неправилно безжични устройства, получавайки достъп до Wi-Fi на компанията .

Прочетете: (Read:) Какво е социално проектиран злонамерен софтуер .

Предотвратете социалното инженерство

Лично аз не мисля, че има някаква теорема, която администраторите могат да използват, за да предотвратят хакове на социалното инженерство. Техниките на социалното инженерство продължават да се променят и следователно става трудно за ИТ администраторите да следят какво се случва.

Разбира се, има нужда да следите новините от социалното инженерство, за да бъдете достатъчно информирани, за да вземете подходящи мерки за сигурност. Например, в случай на USB устройства, администраторите могат да блокират USB устройства на отделни възли, позволявайки им само на сървъра, който има по-добра система за сигурност. По същия начин(Likewise) , Wi-Fi ще се нуждае от по-добро криптиране, отколкото повечето местни доставчици(ISPs) на интернет услуги .

Обучението на служителите и провеждането на произволни тестове върху различни групи служители могат да помогнат за идентифицирането на слабите места в организацията. Би било лесно да се обучават и предупреждават по-слабите хора. Бдителността(Alertness) е най-добрата защита. Трябва да се подчертае, че информацията за влизане не трябва да се споделя дори с ръководителите на екипи – независимо от натиска. Ако ръководителят на екип трябва да получи достъп до данните за вход на член, той/тя може да използва главна парола. Това е само едно предложение да останете в безопасност и да избягвате хакове за социално инженерство.

Изводът е, че освен злонамерения софтуер и онлайн хакерите, ИТ хората трябва да се погрижат и за социалното инженерство. Докато идентифицират методи за пробив на данни (като записване на пароли и т.н.), администраторите трябва също така да гарантират, че персоналът им е достатъчно интелигентен, за да идентифицира техника на социално инженерство, за да я избегне напълно. Кои според вас са най-добрите методи за предотвратяване на социалното инженерство? Ако сте попаднали на интересен случай, моля споделете с нас.

Изтеглете тази електронна книга за атаките на социалното инженерство , издадена от Microsoft, и научете как можете да откривате и предотвратявате подобни атаки във вашата организация.(Download this ebook on Social Engineering Attacks released by Microsoft and learn how you can detect and prevent such attacks in your organization.)

Препратки(References)

[1] Reuters , Сноудън(Snowden) убедиха служителите на NSA да получат (NSA Employees Into)информацията(Info) си за вход

[2] Boing Net , Pen Drives, използвани за разпространение на зловреден софтуер(Spread Malware) .



About the author

Аз съм софтуерен инженер с над 15 години опит в Microsoft Office и Edge. Също така разработих няколко инструмента, използвани от крайните потребители, като например приложение за проследяване на важни здравни данни и детектор за рансъмуер. Моите умения се състоят в разработването на елегантен код, който работи добре на различни платформи, както и в отличното разбиране на потребителското изживяване.



Related posts