Читаем Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности полностью

Веб-серферам следует научиться применять цифровые сертификаты с расширенной проверкой (https://ru.wikipedia.org/wiki/Сертификат_Extended_Validation) на многих самых популярных сайтах. Веб-сайты с расширенной проверкой часто каким-либо образом выделяются (обычно это выделенное зеленым цветом доменное имя, значок в адресной строке или сама адресная строка), чтобы подтвердить пользователю, что URL-адрес и безопасность сайта были подтверждены доверенной третьей стороной. Для примера расширенной проверки перейдите на https://www.bankofamerica.com/.

Фишинг не сработает, если сотрудник не сможет предоставить свои учетные данные для авторизации. Простые логины с паролями уходят в прошлое с распространением двухфакторной аутентификации (2FA), цифровых сертификатов, устройств авторизации, аутентификации по внешнему каналу и других методов входа в систему, которые не подвержены фишингу.

Большинство решений для защиты от вредоносных программ, веб-фильтров и антиспам-модулей пытаются свести к минимуму риск атаки компьютеров путем социальной инженерии. Антивирусное ПО предупреждает запуск вредоносных файлов. Веб-фильтр может определить вредоносные сайты и заблокировать их, если браузер посетителя пытается загрузить фишинговую страницу. А решения по борьбе со спамом по электронной почте отфильтровывают сообщения социальной инженерии. Однако технология никогда не будет эффективной на 100 %, поэтому обучение конечных пользователей и другие методы должны использоваться совместно.

Социальная инженерия – очень успешный метод взлома. Некоторые специалисты по ИБ скажут, что вы никогда не проведете обучение так, чтобы все сотрудники смогли ей противостоять. Они ошибаются. Сочетание полноценного обучения и правильных технологий может значительно снизить риск ущерба от методов социальной инженерии.

В следующей главе вы узнаете о специалисте по социальной инженерии Кевине Митнике. Его опыт в качестве хакера помог ему эффективно защищать своих клиентов на протяжении десятилетий.

При разговоре о компьютерных хакерах большинство людей вспоминает Кевина Митника. В 1970-е, 1980-е и 1990-е годы он был тем самым хакером. Сочетая методы социальной инженерии с низкоуровневым анализом операционных систем, Митник проворачивал всевозможные возмутительные трюки, хотя причиненный им вред вряд ли может сравниться с масштабом ущерба, наносимого современными APT-атаками и программами-вымогателями.

Он и его «подвиги» были описаны в нескольких книгах, показаны в кино и даже породили своеобразную субкультуру приписывания ему всевозможных эксцентричных хакерских выходок, которых он никогда не совершал. Власти настолько боялись того, что одно слово Митника способно запустить ядерную ракету, что он стал единственным заключенным в США, которому пришлось отбывать наказание в одиночной камере без права доступа к телефону. Если вы когда-либо видели фильм, где главный герой говорит по телефону всего одно слово, которое запускает цепь ужасных киберсобытий, знайте, что эта сцена порождена паранойей, вызванной страхом перед Митником.

Я поместил историю о Кевине в начало этой книги, потому что после совершения множества киберпроступков он посвятил свою жизнь борьбе с компьютерными преступлениями и стал одним из немногих исправившихся «черных шляп», которым я полностью доверяю. Митник написал несколько книг по информационной безопасности (https://www.amazon.com/Kevin-D-Mitnick/e/B001IO9WEW), работает с разными компаниями (в том числе с KnowBe4), управляет собственной консалтинговой фирмой (Mitnick Security Consulting) и стал самым востребованным из известных мне лекторов в сфере ИБ. Он также принимал участие в программе The Colbert Report и даже появлялся в телевизионном шоу Alias. Благодаря Митнику была осознана роль методов социальной инженерии в хакинге и важность защиты от них. В конце концов, если вы хотите остановить преступника, вам не помешает поучиться у того, кто когда-то им был.

Когда я спросил Митника о том, что вызвало у него интерес к хакерству, он сказал: «В детстве я любил магию. Один парень из моей школы показал мне разные трюки с телефоном, в частности, научил тому, как бесплатно звонить по межгороду, как узнать чей-то адрес при помощи одного лишь номера телефона, как переадресовывать звонки и т. д. Он заходил в телефонную будку, набирал номер [телефонной компании], представлялся кем-то другим – и происходило чудо. Тогда я впервые узнал о социальной инженерии, которая показалась мне настоящим волшебством. Я не знал, как это называется. Я знал лишь то, что это весело и интересно, и это захватывало меня все сильнее. Я тратил на это все свое время. Мне наскучила школа, и поскольку по ночам, вместо того чтобы спать, я занимался фрикингом, моя успеваемость начала стремительно ухудшаться».