Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

При мошеннической операции покупатель быстро отвечает, обычно предлагает оплатить полную стоимость покупки плюс доставку и просит продавца использовать своих «доверенных» эскроу-агентов (посредников). Затем они посылают жертве поддельный чек на бо́льшую сумму, нежели та, что была оговорена, и жертва возмещает излишек на счет злоумышленников (к сожалению, банки принимают поддельные чеки, но в итоге жертва теряет деньги). Покупатель просит потерпевшего продавца вернуть уплаченный излишек грузоотправителю по договору или посреднику. Жертва мошенничества обычно теряет как минимум сумму излишка.

При мошеннической продаже потерпевший покупатель отправляет средства, но не получает товар[6]. В среднем в случае такой продажи жертвы теряют суммы в пределах тысячи долларов. В некоторых случаях сумма ущерба может достигать десятков тысяч.

Некоторые из самых известных афер социальной инженерии были выполнены хакерами лично. В следующей главе речь пойдет об известном хакере Кевине Митнике. Десятилетия назад он был одним из самых наглых социальных инженеров в «черной шляпе». Митник переодевался в мастера по ремонту телефонов или сервисного инженера, чтобы получить доступ в защищенное помещение. Такие мошенники известны походами в банки и установкой специальных устройств на терминалах сотрудников, выдавая себя за системных администраторов. Каким бы недоверчивым ни был человек, он обычно доверяет людям, осуществляющим ремонт оборудования, особенно если слышат фразу типа: «Я слышал, что ваш компьютер стал работать медленнее в последнее время». Кто может опровергнуть это утверждение? Человек, выполняющий ремонт, очевидно, знает о проблеме и, наконец, пришел ее исправить.

Конечному пользователю часто угрожают штрафом за то, что он чего-то не сделает, или обещают вознаграждение за то, что он совершит некие действия. Хитрость начинается с принуждения жертвы, так как люди недостаточно тщательно взвешивают риск в стрессовой ситуации. Они должны либо заплатить штраф, либо сесть в тюрьму. Перед ними встает выбор – запустить программу или рисковать, что компьютер останется зараженным, а банковский счет опустеет; отправить деньги или некий честный человек останется в иностранной тюрьме; изменить пароль на компьютере начальника или быть уволенным.

Один из моих любимых приемов социальной инженерии в процессе тестирования системы – отправить письмо сотрудникам компании от имени генерального или финансового директора с объявлением о том, что компания сливается с конкурирующей организацией. Я предлагаю открыть вложенный документ, чтобы они увидели, как слияние повлияет на их работу. Или я отправляю письмо сотрудникам-мужчинам якобы от адвоката их бывшей жены с просьбой о дополнительных алиментах для ребенка. Вы будете поражены, насколько успешны эти трюки.

Защита от атак социальной инженерии требует сочетания обучения и технологий.

Обучение противостоянию социальной инженерии – одно из лучших, наиболее важных средств защиты. Обучение должно включать примеры наиболее распространенных видов социальной инженерии и того, как потенциальные жертвы могут обнаружить признаки нелегитимности. В моей нынешней компании каждый сотрудник смотрит видеоролик о защите от социальной инженерии каждый год, а затем проходит короткий тест. Наиболее успешные тренинги посещали очень умные, надежные и хорошо зарекомендовавшие себя сотрудники, которые делятся личным опытом применения методов социальной инженерии.

Я думаю, что в каждой компании должны имитироваться фишинговые атаки, в ходе которых работникам отправляются поддельные электронные письма с запросом ввода персональных данных. Сотрудники, предоставившие свои данные, должны пройти дополнительное обучение. Существуют различные ресурсы, как бесплатные, так и коммерческие, для проведения поддельных фишинговых кампаний. Платные, на мой взгляд, наиболее просты и удобны.

Все компьютерные пользователи должны быть обучены тактике защиты от социальной инженерии. Люди, покупающие и продающие товары в Интернете, должны быть осведомлены о мошенничествах в сфере торговли. Необходимо использовать только безопасные сделки и следовать всем рекомендациям проверенных сайтов.

Пользователей следует научить никогда не устанавливать какое-либо программное обеспечение непосредственно с сайта, который они посещают, если это не сайт легитимного разработчика ПО. Если веб-сайт сообщает, что вам нужно установить какое-то программное обеспечение, чтобы продолжить просмотр ресурса, и вы думаете, что это законный запрос, покиньте его и перейдите на сайт разработчика стороннего программного обеспечения, чтобы наверняка установить корректное приложение. Никогда не устанавливайте ПО с чужого веб-сайта, а не с сайта непосредственного разработчика[7]. Программное обеспечение может оказаться легитимным, но риск слишком велик.