Играть хорошо и делать то, что вам говорят, делает вас легкой добычей для мошенников.
Люди - существа социальные. Нам нравится помогать друг другу. Обычно мы подчиняемся людям более высокого уровня в иерархии, чем мы сами. Мы склонны верить, что другие люди честны, имеют в виду то, что они говорят, и являются тем, кем они себя называют, потому что ставить под сомнение любую из этих вещей без уважительной причины - грубо.
К сожалению, эти социальные тонкости могут превратить нас в самое слабое звено информационной безопасности. Слишком часто взломы возникают не из-за технических недостатков, а из-за того, что известно как социальная инженерия: люди позволяют убедить себя ослабить бдительность. Многие из техник стары, как само мошенничество, но были обновлены для эпохи цифровых технологий.
Рассмотрим примеры атак социальной инженерии ниже поучительных историй.
Бешеный бег Кевина Митника
Кевин Митник был одним из самых известных хакеров компьютерной эры 80-х и 90-х годов. Его подвиги были движимы любопытством, а не прибылью, и социальная инженерия была его суперсилой. Вот классический трюк Митника: в 1979 году, в преклонном возрасте 16 лет, он подружился с некоторыми хакерами, которые нашли номер модема коммутируемого доступа для системы, которую Digital Equipment Corporation (DEC) использовала для разработки ОС, но они сказали ему, что это было бесполезно, потому что у них не было имени учетной записи или пароля. Митник просто позвонил системному администратору в DEC, назвав его Антоном Черновым, одним из ведущих разработчиков компании, и сказал, что у него проблемы со входом в систему; ему сразу же был предоставлен логин, обеспечивающий высокоуровневый доступ к системе. (Митник, теперь реформированный).
Братья по преступлению
Самыми известными хакерами на Ближнем Востоке в 1990-х были Мужер, Шадде и Рами Бадир, трое израильских арабских братьев, слепых с рождения. Излюбленными целями Бадиров были телефонные компании - в какой-то момент они управляли своей собственной нелегальной связью и взимали плату с израильской армейской радиостанции за всю полосу пропускания - и многие их мошенничества были достигнуты с помощью методов социальной инженерии, таких как звонки в штаб-квартиры телефонных компаний с заявлениями быть инженерами в полевых условиях или болтать с секретарями, чтобы узнать подробности о своем боссе, которые помогут им угадывать пароли. Но у бадиров были совершенно уникальные навыки: они могли сеять хаос, идеально имитируя голоса (например, следователя по расследованию мошенничества на их хвосте), и могли назвать PIN-код телефона, просто услышав, как кто-то набирает его с другого конца комнаты.
Подорвать репутацию HP
В 2005 и 2006 годах Hewlett-Packard (HP) была потрясена корпоративными распрями, и руководство было убеждено, что член совета директоров сливает инсайдерскую информацию в средства массовой информации. HP наняла частных детективов для расследования сообщений своего совета директоров, что они и сделали под предлогом - это термин, обозначающий форму социальной инженерии, в результате которой последовавший скандал привлек внимание всей страны. Вооруженные только именами членов совета директоров и последними четырьмя цифрами их номеров социального страхования, PI смогли позвонить в AT&T и убедить их предоставить доступ к подробным записям звонков для жертв. Хотя руководство HP заявило, что не санкционировало эти методы, последствия привели к многочисленным отставкам; Хотя предлог для получения финансовой отчетности ранее был незаконным, скандал также привел к принятию более строгого федерального закона против этой практики.
Когда-нибудь мой принц придет
Электронные письма от «нигерийских принцев» с просьбами помочь вывезти огромные суммы денег из страны - один из основных элементов интернет-шуток, но они также являются ловушками социальной инженерии, соблазняющими неосторожных, даже тех, кто должен знать лучше. В 2007 году казначей в малонаселенном округе Мичиган украл до 1,2 миллиона долларов государственных денег в рамках мошенничества с предоплатой в Нигерии, сказав друзьям, что скоро с комфортом уйдет на пенсию и полетит в Лондон, чтобы забрать деньги, которые, как он думал, он уже "заработал". Он вернулся в США с пустыми руками и вскоре был арестован.
Таблоидные беспорядки
С 2009 по 2011 год британский медиа-ландшафт был потрясен разоблачениями, которые британские таблоиды годами платили следователям за взлом голосовой почты сотовых телефонов различных целей в поисках историй; жертвы варьировались от кинозвезд до королевских придворных. Особенно шокирующим было открытие, что следователи могли стереть голосовые сообщения, оставленные убитой девушке, давая родителям ложную надежду на то, что она жива.
Несмотря на то, что применяемые методы были разными, одним из основных методов был претекст, называемый на британском сленге «бэггингом»; Например, один следователь убедил сотрудников Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, назвав себя «Джоном из отдела кредитного контроля». (В других случаях следователи могли просто угадать PIN-код, который многие пользователи никогда не меняют по умолчанию.)
Маленький фишинг открывает большие дыры
Фишинг, хотя и в некоторой степени безличный, определенно является разновидностью социальной инженерии, поскольку он фокусируется на попытке убедить жертву открыть файл или запустить приложение, которое она не должна, с помощью какой-то заманчивой приманки. В 2011 году в результате чрезвычайно досадного взлома RSA, отвечающего за информационную безопасность, по крайней мере два сотрудника нижнего уровня открыли файл под названием «2011 Recruitment plan.xls» от неизвестного отправителя (перспектива предложения работы - обычная фишинговая приманка). Таблица содержала макрос, который устанавливал бэкдор на их компьютеры, компромисс, который снизил эффективность флагманского продукта RSA SecurID и обошелся компании в 66 миллионов долларов.
Добыча пьет у водопоя
Социальная инженерия работает отчасти за счет понимания поведения ваших жертв, например, где они любят проводить время, и это может включать их время в сети. Атаки Wateringhole считаются атакой социальной инженерии в том смысле, что хакеры взламывают веб-сайты, на которых, как им известно, находятся их цели. В 2013 году хакерам удалось внедрить вредоносный код JavaScript на страницу Матрицы воздействия на сайты (SEM) Министерства труда США, которая содержит данные о токсичных веществах, присутствующих на объектах Министерства энергетики. Очевидно, эту страницу часто посещали сотрудники Министерства энергетики, и злоумышленники смогли заразить некоторые из их компьютеров трояном удаленного доступа Poison Ivy .
Встречайте нового «босса»
В 2015 году компания Ubiquiti Networks, производитель сетевого оборудования, стала жертвой так называемого «взлома корпоративной электронной почты» или, чаще, « мошенничества со стороны генерального директора». Злоумышленники отправили электронное письмо сотрудникам финансового отдела дочерней компании Ubiquiti в Гонконге, заявив, что они являются высшим руководителем, и запросили телеграфные переводы на «третьи стороны» - счета, находящиеся под контролем преступников. Ubiquiti умалчивала о том, как именно обманули финансовых специалистов; поскольку компания заявила, что «нет доказательств того, что в наши системы проникли», вполне вероятно, что хакеры использовали такой прием, как похожий URL-адрес, чтобы добиться цели.
Небезопасный интеллект
В 2015 и 2016 годах британский подросток Кейн Кембл сумел получить доступ к домашним и рабочим интернет-аккаунтам основных фигур американской разведки, используя социальную инженерию в качестве точек входа. Например, он позвонил в Verizon и убедил их предоставить доступ к учетной записи электронной почты директора ЦРУ Джона Бреннана, несмотря на то, что он не мог ответить на секретный вопрос Бреннана (его первое домашнее животное); он позвонил в службу поддержки ФБР, представившись заместителем директора Марком Джулиано, и уговорил их предоставить доступ к аккаунту Джулиано, хотя агентство знало, что происходит взлом. Попав в компьютеры своей жертвы, он слил секретную информацию и устроил другой хаос; например, он переадресовал телефонные звонки директора национальной разведки Дэна Коутса Движению за свободную Палестину.
Копье-фишинг, который сдвинул выборы
Целевой фишинг - это специализированный вариант фишинга, при котором злоумышленники пытаются обманом заставить важную цель раскрыть конфиденциальную информацию, а для спонсируемых Россией хакеров в 2016 году не было цели более высокой, чем руководитель кампании Хиллари Клинтон Джон Подеста. Подеста получил фальшивое электронное письмо со «сбросом учетной записи», которое, похоже, было от Google, с просьбой войти в систему и изменить свой пароль; фактический домен предоставленной ссылки, скрытый за сокращателем ссылок bit.ly, был myaccount.google.com-securitysettingpage.ml.
Подеста был подозрительным, но один из помощников, с которыми он консультировался, сделал, возможно, самую значительную опечатку в истории в электронном письме, сказав, что «это законное письмо», когда он намеревался ввести «незаконный». Подеста ввел данные своей учетной записи, и российские хакеры смогли получить доступ к его электронной почте и слить ее, что помогло провалить кампанию Клинтона.
Отговорка "это мой первый день"
В 2016 году анонимный хакер проник во внутреннюю сеть Министерства юстиции США и опубликовал в Интернете тысячи кадровых записей для агентов ФБР и DHS. Атака началась, когда хакер каким-то образом получил контроль над адресом электронной почты DoJ, но он смог сделать наиболее важный шаг с помощью социальной инженерии, когда злорадствовал в адрес Motherboard. Когда он не смог войти на веб-портал Министерства юстиции для сотрудников, «Я позвонил им, сказал, что я новичок, и я не понимаю, как пройти [это]», - сказал он. «Они спросили, есть ли у меня токен-код, я сказал «нет», они сказали, что все в порядке - просто используйте наш». Он сразу получил доступ к внутренней сети Министерства юстиции.
Слепота диалогового окна
На данный момент мы все привыкли к появлению диалоговых окон на нашем компьютере с просьбой подтвердить некоторые потенциально рискованные действия - и их можно настроить так, чтобы манипулировать нами в ходе атаки социальной инженерии. В 2017 году украинские цели поразила волна фишинговых писем, среди которых был прикрепленный документ Microsoft Word с вредоносным кодом макроса. Если макросы были отключены, пользователям предоставлялось специально созданное диалоговое окно, специально разработанное для того , чтобы быть похожим на окно от Microsoft, чтобы уговорить их разрешить выполнение кода макроса. (В случае выполнения код устанавливал бэкдор в компьютер, который позволял злоумышленникам прослушивать микрофон пользователя.) Урок, как и во всех этих инцидентах: всегда смотрите дважды, прежде чем щелкнуть или сказать «да».
Люди - существа социальные. Нам нравится помогать друг другу. Обычно мы подчиняемся людям более высокого уровня в иерархии, чем мы сами. Мы склонны верить, что другие люди честны, имеют в виду то, что они говорят, и являются тем, кем они себя называют, потому что ставить под сомнение любую из этих вещей без уважительной причины - грубо.
К сожалению, эти социальные тонкости могут превратить нас в самое слабое звено информационной безопасности. Слишком часто взломы возникают не из-за технических недостатков, а из-за того, что известно как социальная инженерия: люди позволяют убедить себя ослабить бдительность. Многие из техник стары, как само мошенничество, но были обновлены для эпохи цифровых технологий.
Рассмотрим примеры атак социальной инженерии ниже поучительных историй.
Бешеный бег Кевина Митника
Кевин Митник был одним из самых известных хакеров компьютерной эры 80-х и 90-х годов. Его подвиги были движимы любопытством, а не прибылью, и социальная инженерия была его суперсилой. Вот классический трюк Митника: в 1979 году, в преклонном возрасте 16 лет, он подружился с некоторыми хакерами, которые нашли номер модема коммутируемого доступа для системы, которую Digital Equipment Corporation (DEC) использовала для разработки ОС, но они сказали ему, что это было бесполезно, потому что у них не было имени учетной записи или пароля. Митник просто позвонил системному администратору в DEC, назвав его Антоном Черновым, одним из ведущих разработчиков компании, и сказал, что у него проблемы со входом в систему; ему сразу же был предоставлен логин, обеспечивающий высокоуровневый доступ к системе. (Митник, теперь реформированный).
Братья по преступлению
Самыми известными хакерами на Ближнем Востоке в 1990-х были Мужер, Шадде и Рами Бадир, трое израильских арабских братьев, слепых с рождения. Излюбленными целями Бадиров были телефонные компании - в какой-то момент они управляли своей собственной нелегальной связью и взимали плату с израильской армейской радиостанции за всю полосу пропускания - и многие их мошенничества были достигнуты с помощью методов социальной инженерии, таких как звонки в штаб-квартиры телефонных компаний с заявлениями быть инженерами в полевых условиях или болтать с секретарями, чтобы узнать подробности о своем боссе, которые помогут им угадывать пароли. Но у бадиров были совершенно уникальные навыки: они могли сеять хаос, идеально имитируя голоса (например, следователя по расследованию мошенничества на их хвосте), и могли назвать PIN-код телефона, просто услышав, как кто-то набирает его с другого конца комнаты.
Подорвать репутацию HP
В 2005 и 2006 годах Hewlett-Packard (HP) была потрясена корпоративными распрями, и руководство было убеждено, что член совета директоров сливает инсайдерскую информацию в средства массовой информации. HP наняла частных детективов для расследования сообщений своего совета директоров, что они и сделали под предлогом - это термин, обозначающий форму социальной инженерии, в результате которой последовавший скандал привлек внимание всей страны. Вооруженные только именами членов совета директоров и последними четырьмя цифрами их номеров социального страхования, PI смогли позвонить в AT&T и убедить их предоставить доступ к подробным записям звонков для жертв. Хотя руководство HP заявило, что не санкционировало эти методы, последствия привели к многочисленным отставкам; Хотя предлог для получения финансовой отчетности ранее был незаконным, скандал также привел к принятию более строгого федерального закона против этой практики.
Когда-нибудь мой принц придет
Электронные письма от «нигерийских принцев» с просьбами помочь вывезти огромные суммы денег из страны - один из основных элементов интернет-шуток, но они также являются ловушками социальной инженерии, соблазняющими неосторожных, даже тех, кто должен знать лучше. В 2007 году казначей в малонаселенном округе Мичиган украл до 1,2 миллиона долларов государственных денег в рамках мошенничества с предоплатой в Нигерии, сказав друзьям, что скоро с комфортом уйдет на пенсию и полетит в Лондон, чтобы забрать деньги, которые, как он думал, он уже "заработал". Он вернулся в США с пустыми руками и вскоре был арестован.
Таблоидные беспорядки
С 2009 по 2011 год британский медиа-ландшафт был потрясен разоблачениями, которые британские таблоиды годами платили следователям за взлом голосовой почты сотовых телефонов различных целей в поисках историй; жертвы варьировались от кинозвезд до королевских придворных. Особенно шокирующим было открытие, что следователи могли стереть голосовые сообщения, оставленные убитой девушке, давая родителям ложную надежду на то, что она жива.
Несмотря на то, что применяемые методы были разными, одним из основных методов был претекст, называемый на британском сленге «бэггингом»; Например, один следователь убедил сотрудников Vodafone сбросить PIN-код голосовой почты актрисы Сиенны Миллер, назвав себя «Джоном из отдела кредитного контроля». (В других случаях следователи могли просто угадать PIN-код, который многие пользователи никогда не меняют по умолчанию.)
Маленький фишинг открывает большие дыры
Фишинг, хотя и в некоторой степени безличный, определенно является разновидностью социальной инженерии, поскольку он фокусируется на попытке убедить жертву открыть файл или запустить приложение, которое она не должна, с помощью какой-то заманчивой приманки. В 2011 году в результате чрезвычайно досадного взлома RSA, отвечающего за информационную безопасность, по крайней мере два сотрудника нижнего уровня открыли файл под названием «2011 Recruitment plan.xls» от неизвестного отправителя (перспектива предложения работы - обычная фишинговая приманка). Таблица содержала макрос, который устанавливал бэкдор на их компьютеры, компромисс, который снизил эффективность флагманского продукта RSA SecurID и обошелся компании в 66 миллионов долларов.
Добыча пьет у водопоя
Социальная инженерия работает отчасти за счет понимания поведения ваших жертв, например, где они любят проводить время, и это может включать их время в сети. Атаки Wateringhole считаются атакой социальной инженерии в том смысле, что хакеры взламывают веб-сайты, на которых, как им известно, находятся их цели. В 2013 году хакерам удалось внедрить вредоносный код JavaScript на страницу Матрицы воздействия на сайты (SEM) Министерства труда США, которая содержит данные о токсичных веществах, присутствующих на объектах Министерства энергетики. Очевидно, эту страницу часто посещали сотрудники Министерства энергетики, и злоумышленники смогли заразить некоторые из их компьютеров трояном удаленного доступа Poison Ivy .
Встречайте нового «босса»
В 2015 году компания Ubiquiti Networks, производитель сетевого оборудования, стала жертвой так называемого «взлома корпоративной электронной почты» или, чаще, « мошенничества со стороны генерального директора». Злоумышленники отправили электронное письмо сотрудникам финансового отдела дочерней компании Ubiquiti в Гонконге, заявив, что они являются высшим руководителем, и запросили телеграфные переводы на «третьи стороны» - счета, находящиеся под контролем преступников. Ubiquiti умалчивала о том, как именно обманули финансовых специалистов; поскольку компания заявила, что «нет доказательств того, что в наши системы проникли», вполне вероятно, что хакеры использовали такой прием, как похожий URL-адрес, чтобы добиться цели.
Небезопасный интеллект
В 2015 и 2016 годах британский подросток Кейн Кембл сумел получить доступ к домашним и рабочим интернет-аккаунтам основных фигур американской разведки, используя социальную инженерию в качестве точек входа. Например, он позвонил в Verizon и убедил их предоставить доступ к учетной записи электронной почты директора ЦРУ Джона Бреннана, несмотря на то, что он не мог ответить на секретный вопрос Бреннана (его первое домашнее животное); он позвонил в службу поддержки ФБР, представившись заместителем директора Марком Джулиано, и уговорил их предоставить доступ к аккаунту Джулиано, хотя агентство знало, что происходит взлом. Попав в компьютеры своей жертвы, он слил секретную информацию и устроил другой хаос; например, он переадресовал телефонные звонки директора национальной разведки Дэна Коутса Движению за свободную Палестину.
Копье-фишинг, который сдвинул выборы
Целевой фишинг - это специализированный вариант фишинга, при котором злоумышленники пытаются обманом заставить важную цель раскрыть конфиденциальную информацию, а для спонсируемых Россией хакеров в 2016 году не было цели более высокой, чем руководитель кампании Хиллари Клинтон Джон Подеста. Подеста получил фальшивое электронное письмо со «сбросом учетной записи», которое, похоже, было от Google, с просьбой войти в систему и изменить свой пароль; фактический домен предоставленной ссылки, скрытый за сокращателем ссылок bit.ly, был myaccount.google.com-securitysettingpage.ml.
Подеста был подозрительным, но один из помощников, с которыми он консультировался, сделал, возможно, самую значительную опечатку в истории в электронном письме, сказав, что «это законное письмо», когда он намеревался ввести «незаконный». Подеста ввел данные своей учетной записи, и российские хакеры смогли получить доступ к его электронной почте и слить ее, что помогло провалить кампанию Клинтона.
Отговорка "это мой первый день"
В 2016 году анонимный хакер проник во внутреннюю сеть Министерства юстиции США и опубликовал в Интернете тысячи кадровых записей для агентов ФБР и DHS. Атака началась, когда хакер каким-то образом получил контроль над адресом электронной почты DoJ, но он смог сделать наиболее важный шаг с помощью социальной инженерии, когда злорадствовал в адрес Motherboard. Когда он не смог войти на веб-портал Министерства юстиции для сотрудников, «Я позвонил им, сказал, что я новичок, и я не понимаю, как пройти [это]», - сказал он. «Они спросили, есть ли у меня токен-код, я сказал «нет», они сказали, что все в порядке - просто используйте наш». Он сразу получил доступ к внутренней сети Министерства юстиции.
Слепота диалогового окна
На данный момент мы все привыкли к появлению диалоговых окон на нашем компьютере с просьбой подтвердить некоторые потенциально рискованные действия - и их можно настроить так, чтобы манипулировать нами в ходе атаки социальной инженерии. В 2017 году украинские цели поразила волна фишинговых писем, среди которых был прикрепленный документ Microsoft Word с вредоносным кодом макроса. Если макросы были отключены, пользователям предоставлялось специально созданное диалоговое окно, специально разработанное для того , чтобы быть похожим на окно от Microsoft, чтобы уговорить их разрешить выполнение кода макроса. (В случае выполнения код устанавливал бэкдор в компьютер, который позволял злоумышленникам прослушивать микрофон пользователя.) Урок, как и во всех этих инцидентах: всегда смотрите дважды, прежде чем щелкнуть или сказать «да».
