Вместо того чтобы искать бреши в современных системах информационной без?опасности, хакеры все охотнее прибегают к методам социальной инженерии

Статистика инцидентов в области информационной безопасности обескураживает. Количество атак на корпоративные сети и информационные системы увеличивается год от года, и еще стремительнее растут убытки государственных учреждений, частного бизнеса и индивидуальных пользователей. Обеспечением информационной безопасности занимается огромный сектор ИТ-индустрии, в который вступают все больше компаний, раньше не занимавшихся защитой данных. Благодаря усилиям производителей постоянно расширяется арсенал технических средств противодействия злоумышленникам, но результаты их применения пока далеки от желаемых. Согласно оценкам аналитиков, в последнее время среднегодовые темпы роста затрат на защиту информационных активов составляют 28%, и эта цифра вряд ли снизится в ближайшем будущем.

Но какие бы ресурсы ни выделялись на обеспечение безопасности, это пока не привело к радикальному улучшению ситуации. Иногда кажется, что столь титанические усилия тщетны, и рано или поздно на борьбу с хакерами и создателями вредоносного ПО станут уходить все технические, людские и финансовые ИТ-ресурсы.

Хочется верить, что это не так. Скорее, в области информационной безопасности наблюдается затяжное противостояние, которое характерно и для других сфер человеческой деятельности. По мере совершенствования средств защиты нападающая сторона прибегает ко все более изощренным методам нападений, что, в свою очередь, заставляет искать новые способы обороны, и так до бесконечности. Нужно признать, что и злоумышленникам становится все труднее «работать», и они переносят направление удара с компьютерных систем на сотрудников компаний, используя приемы социальной инженерии.

Слегка забытое старое

На фоне усложнения средств защиты данных социальная инженерия превратилась для хакеров в настоящую «палочку-выручалочку», а социоинженерные атаки уже в скором времени могут стать основной угрозой для предприятий. Однако говорить о социальной инженерии как о новом явлении можно с большой натяжкой.

Этот термин появился еще в 70-е годы прошлого века и хорошо известен профессионалам в области ИБ. Им обозначают хакерские методы, которые позволяют вводить в заблуждение доверчивых корпоративных пользователей и получать от них конфиденциальную информацию либо провоцировать их на действия, создающие лазейки в системе безопасности.

Приемы социальной инженерии, сценарии их использования злоумышленниками и меры противодействия им стали одной из ключевых тем конференции «Информационная безопасность предприятия: как противостоять новым угрозам?», которую провели в Москве 10 февраля издательство «Открытые системы» и компания IDC в рамках серии мероприятий IDC IT Security Roadshow CEE. В качестве главного эксперта по проблемам социальной инженерии организаторы конференции пригласили Кевина Митника, в прошлом — самого известного в мире хакера, а ныне — президента фирмы Mitnick Security Consulting.

Анатомия атаки

Бурный рост популярности методов социальной инженерии в хакерской среде обусловлен двумя основными причинами: практически стопроцентной их эффективностью и минимальным риском и затратами для злоумышленников. В самом деле, вполне реально склонить сотрудника компании к тому, чтобы он сообщил регистрационное имя и пароль для входа в сеть, назвал текущие коды авторизации для выполнения банковских проводок, установил на свой ПК троянскую программу, а то и вовсе позволил злоумышленнику поработать в корпоративной сети. Во многих случаях добиться всего этого гораздо легче, чем искать лазейки в различных компонентах системы информационной безопасности.

Деятельность социоинженера остается незамеченной для систем обнаружения сетевых атак (Intrusion Detection System, IDS) и не фиксируется в журналах событий. Она не требует учета особенностей операционных систем, установленных на компьютерах пользователей, и позволяет применять практически бесплатный инструментарий.

Такая деятельность основывается на слабой осведомленности сотрудников компаний о методах социальной инженерии и связанных с ними рисках. Недостаточность знаний и недооценка угроз, исходящих от социоинженеров, подкрепляются огромным разнообразием вариантов атак, которые в подавляющем большинстве случаев не вызывают у жертвы даже малейших подозрений. Тем не менее при всем многообразии реализаций таких атак, их можно разделить на несколько основных типов:

  • получение или изменение регистрационных данных одного из сотрудников компании;
  • создание новой учетной записи с правами обычного пользователя или администратора;
  • расширение полномочий или прав доступа для уже существующей учетной записи;
  • установка и запуск вредоносного ПО (обычно — троянской программы);
  • раскрытие телефонных номеров коммутируемого доступа или иной информации, относящейся к удаленному доступу в корпоративную сеть;
  • получение персональных сведений о сотрудниках компании;
  • получение конфиденциальной информации.

Чтобы проиллюстрировать тактику социоинженера, стоит рассказать об одной из многочисленных ситуаций, которые описаны в нашумевшей книге Митника «Искусство обмана». В прекрасный солнечный день в офис молодой компании, которая разрабатывала перспективные промышленные роботы в надежде существенно повысить с их помощью свою капитализацию, вошел респектабельный молодой человек. Очаровав секретаршу своим внешним видом, он сообщил, что в полдень должен встретиться с директором этой фирмы для обсуждения совместного маркетингового плана. Выяснилось, что директор в отпуске, а посетитель, перепутав число, прилетел на встречу из другого штата на неделю раньше. Основателя компании в офисе тоже не оказалось, и раздосадованному «бизнесмену» ничего не оставалось, как пригласить на обед сотрудников фирмы, которых он знал по именам.

За обедом, для которого был выбран самый дорогой ресторан города и оплату которого визитер полностью взял на себя, он успел пообщаться с каждым из ведущих инженеров компании, выяснив их квалификацию, сферу компетенции и особенности характера. Произошел обмен визитками, и в качестве жертвы был выбран человек, наиболее склонный к сотрудничеству. Через пару дней «бизнесмен» уже с курорта, где проводил отпуск директор компании, запросил от имени последнего у сотрудника-жертвы полную документацию выполняемых фирмой разработок. Сославшись на проблемы доступа к корпоративной почте из местного отеля, в качестве обратного адреса он сообщил электронный адрес на сервере Yahoo, в котором фигурировали имя и фамилия директора. Естественно, этот адрес не вызвал подозрений, и все запрошенные материалы были по нему отправлены...

По возвращении директора в офис выяснилось, что такого партнера по совместному маркетингу у него нет, фигурировавшие на визитке имя и фамилия визитера — вымышленные, а приведенный на ней телефонный номер является специальным номером телефонной компании, который служит для проверки работы городской АТС. Осталось добавить, что через три месяца после описанных событий никому не известная фирма выпустила на рынок точно такой же продукт, какой разрабатывала злополучная компания, и многомиллионные инвестиции ее основателей мгновенно обесценились.

Самое примечательное состоит в том, что в данном случае социоинженер не нарушил каких-либо законов. Сотрудники обманутой компании общались с ним по своей воле, а полную документацию он получил, не прибегая ни к подкупу, ни к шантажу, ни к иным средствам принуждения.

Слагаемые успеха

Случаи непосредственного появления социального инженера в офисе компании-жертвы довольно редки. Обычно атакующий использует телефон или электронную почту, предпочитая оставаться невидимым. Однако независимо от того, по какой схеме проводится атака (очно или заочно), получение желаемого результата обеспечивают одни и те же факторы:

  • глубокое знание деятельности организации-жертвы, ее внутренних порядков, имен, фамилий и должностей сотрудников, профессионального сленга;
  • прекрасные коммуникативные способности;
  • умение выдать себя за другого человека;
  • основательное знание технологий;
  • соответствующий внешний вид.

Как следует из этого перечня, распространенный тезис о простоте социоинженерных атак (по сравнению с взломом технических средств защиты) вряд ли следует воспринимать буквально. Ключевое место в деятельности социоинженера занимает скрупулезная предварительная подготовка. Она направлена на сбор максимально подробной информации о компании и ее сотрудниках, на разработку сценария атаки и правдоподобной «легенды», на просчет вариантов развития событий.

Для сбора информации используются всевозможные источники — от публикаций в открытой прессе и рекламных материалов до содержимого мусорных ящиков в офисе. Иногда для получения необходимых сведений социоинженеры прибегают к настоящей слежке, а в других случаях используют вспомогательные атаки. Так, в описанном случае промышленного шпионажа для получения сведений полуконфиденциального характера хакер мог обратиться в PR-агентство компании-жертвы, выдав себя за героя другой истории.

Социоинженер, не обладающий талантом перевоплощения, обречен на провал. Множество атак строится на умении выдать себя за сотрудника службы технической поддержки, компании-аутсорсера либо оператора связи, предоставляющего услуги телефонии и сетевого доступа. Скажем, в совершенстве владеющий предметом злоумышленник звонит сотруднику, который плохо разбирается в информационных технологиях, и, сославшись на необходимость проверить работу телефонных линий либо установить новую версию антивирусного ПО, без труда выуживает у него сетевые пароли или заставляет инсталлировать на своем компьютере шпионскую программу.

Другая тактика основана на том, что пользователи не любят менять пароли и стремятся минимизировать число комбинаций «регистрационное имя/пароль», которые служат для доступа к различным ресурсам. Злоумышленник может создать специальный Web-сайт, как две капли воды похожий на сайт известного брэнда, а затем разослать сотрудникам интересующей его компании электронные письма с приглашением зайти на него и принять участие в рекламной акции с розыгрышем призов. Единственным условием участия является предварительная регистрация на сайте, для которой пользователь должен самостоятельно выбрать регистрационные данные. Практика показывает, что примерно 10% посетителей поддельного сайта воспользуются той же комбинацией «имя/пароль», которую они вводят при входе в корпоративную сеть.

Игра на нервах

Основным оружием социоинженеров является обман, замаскированный под благонамеренные цели. Наиболее благодатная почва для социоинженерных атак — новые сотрудники компании. Они еще не успели ознакомиться со всеми корпоративными правилами и процедурами в сфере информационной безопасности, да к тому же не имели возможности лично пообщаться с большинством коллег, а потому не знают кто есть кто. Новых сотрудников обычно отличает повышенная доверчивость и готовность помочь, они хотят зарекомендовать себя как «члены команды», на которых можно положиться. Наконец, они вряд ли будут интересоваться правами доступа социоинженера, который выдает себя за другого сотрудника, особенно если последний занимает более высокое положение в служебной иерархии.

На руку социоинженерам играет еще целый ряд факторов. Нередко пользователи воспринимают скрупулезное следование правилам безопасности как пустую трату времени. Они недооценивают важность информации, доступом к которой располагают. Обычно не придается особого значения сведениям об именах, фамилиях и точных должностях коллег, их внутренним номерам телефонов, а между тем для социоинженера такая информация — просто хлеб. С помощью нехитрых манипуляций он может позвонить якобы с одного из внутренних номеров компании и, назвав имена нескольких ваших коллег и фамилию начальника, рассеять последние подозрения. К сожалению, многие сотрудники (особенно те, которые далеки от ИТ-сферы) обычно не представляют себе истинных последствий своих действий, и злоумышленники активно этим пользуются.

Серьезность угроз, связанных с деятельностью социоинженеров, нельзя недооценивать. Их жертвой может стать любой человек. Атаки социальных инженеров оказываются успешными даже тогда, когда нацелены на персонал, отвечающий за информационную безопасность. В ходе конференции Кевин Митник, крупнейший специалист по проблемам социальной инженерии, признался, что однажды сам принял слова социоинженера за чистую монету и тем самым пополнил список жертв.

Рубежи обороны

Полностью защититься от атак социоинженеров, наверное, не удастся никому. Однако риск, которому подвергается ваша организация, можно заметно снизить, строго придерживаясь нескольких правил.

Первое связано с надежной идентификацией. Нельзя слепо доверять словам звонящего, знакомому тембру голоса и уж тем более номеру, высветившемуся на вашем телефоне. Убедитесь, что человек, обращающийся к вам с просьбой, действительно тот, за кого он себя выдает.

Второе правило гласит: не выполняйте каких-либо манипуляций на своем компьютере по просьбе звонящего, какие бы аргументы он ни выдвигал, если вы не уверены на все сто в правомерности его просьбы.

Третье правило требует оценить будничность ситуации. Есть ли в обращении к вам нечто необычное или такое случается по несколько раз на дню? Почему позвонили именно вам, а не вашему коллеге за соседним столом? Попытка ответить на эти простые вопросы, как правило, приносит свои плоды.

Список рекомендаций можно было бы продолжать довольно долго, однако не стоит перекладывать на обычных сотрудников задачу распознавания социоинженерных атак. В сфере защиты информации их роль состоит в неукоснительном соблюдении политики и процедур обеспечения безопасности, которые призваны минимизировать подавляющее большинство рисков.

Современные технические средства информационной защиты в борьбе с социоинженерами бесполезны, хотя отказаться от них неразумно. Взвешенный подход требует достижения некоего баланса между бюджетами, выделяемыми на внедрение, периодическое обновление и эксплуатацию технических средств защиты и расходами на разработку политики безопасности, обучение персонала, тестирование степени защищенности от социоинженеров и т.д. По мнению Кевина Митника, организации должны тратить на противостояние социоинженерам до 40% бюджета, выделяемого на обеспечение ИБ. Сомневаюсь, что российские компании готовы к этому уже сегодня.

Правила хорошей защиты

Приведем несколько рекомендаций по противодействию атакам социальных инженеров, которых должно придерживаться руководство компании:

  • проведите классификацию всех корпоративных данных; определите, какая информация представляет наибольшую ценность и выработайте четкие и простые правила обращения с нею;
  • разработайте такие правила реагирования сотрудников на обращения извне, которые позволили бы минимизировать риски без специального анализа ситуации;
  • регулярно проводите обучение сотрудников, включая руководителей компании; организовывайте ролевые игры, в ходе которых моделируйте атаки социоинженеров;
  • создайте такую атмосферу, при которой сотрудник, ставший объектом манипулирования со стороны социального инженера, чувствовал бы внутренний дискомфорт;
  • разработайте механизмы, которые мотивировали бы сотрудников следовать правилам безопасности; объясните им, что процедуры безопасности защищают как бизнес компании, так и их собственные интересы;
  • измените внутрикорпоративные представления о вежливости и правилах хорошего тона; внушите сотрудникам, что они должны научиться говорить «нет»;
  • проводите тестирование защищенности от действий социоинженеров; время от времени проверяйте содержимое мусорных корзин;
  • включите социоинженерные угрозы в план реагирования на внешние атаки;
  • обращая внимание на деятельность социоинженеров, не игнорируйте технологические аспекты защиты данных.