ИТ-специалисты стремятся обеспечить безопасность модели OSI на всех уровнях. Крупная утечка, как правило, происходит не внутри сети, а касается отдельных лиц. Эти атаки обычно используют поведение или особенности личности пользователей, такие как готовность помочь, доверие, уважение, гордость, признание, избегание конфликтов или беспокойство, чтобы захватить их компьютеры. Этот метод называется социальной инженерией и приводит к нескольким миллиардам случаев утечек в год. Поэтому для компаний важно обучать своих сотрудников и устанавливать четкие руководящие принципы с точки зрения поведения в отношении конфиденциальных информационных технологий.
Даже самый надежный в мире пароль не поможет против преступников. Социальная инженерия включает в себя различные психологические и социальные уловки, используемые в основном в контексте промышленного шпионажа с целью извлечения важной информации. Злоумышленники используют их для проникновения в компьютерные системы или для получения доступа к конфиденциальной информации компании. В этом случае мы также говорим о социальном взломе. С другой стороны, социальная инженерия используется, чтобы заставить сотрудников действовать опрометчиво. Например, это может быть установка неизвестной программы или сомнительные финансовые операции. Прямой контакт между злоумышленником и жертвой сам по себе не является обязательным. Даже электронные письма, основанные на шаблонах фишинга, вдохновлены социальной инженерией. Можно было бы привести в пример звонок человека, который хочет быть сисадмином и цель которого — взять ваш пароль для якобы решения срочной проблемы.
Как работает социальная инженерия?
Идея социальной инженерии может показаться тривиальной, но оказывается намного сложнее, чем кажется, и включает чрезвычайно эффективные методы проникновения. Это связано как с положительными, так и с отрицательными сторонами личности каждого интернет-пользователя. Гостеприимство, например, является основной ценностью в большинстве культур, и болезнь «я не могу сказать нет», конечно же, чрезвычайно широко распространена. Некоторые могут пойти на сотрудничество, опасаясь плохой реакции в нестандартных ситуациях.
Но эти человеческие качества — не единственные факторы, которыми пользуются хакеры. Гордость также может быть движущей силой. Мы могли бы привести пример собеседования при приеме на работу, когда кандидат (часто) находится в неполноценном положении. Часто собеседник старается избегать конфликта и сознательно предоставляет информацию. Страх — лучшая движущая сила такого поведения. Очень вероятно, что человек, получивший звонок от так называемого администратора его телефонной линии, предоставит свои личные данные. Очень легко запугать, полагаясь на продвинутые технические понятия, которые мало кто понимает. Страхом перед начальством могут воспользоваться и «социальные хакеры»: хорошо известно, как легко может обмануть фейковое электронное письмо от работодателя с просьбой о деньгах.
Чтобы обмануть своих жертв, эти мошенники обычно притворяются коллегами, вышестоящими начальниками, клиентами или даже кандидатами в сотрудники целевой компании. Они также могут взять на себя роль телефонного консультанта, чья работа заключается в измерении удовлетворенности клиентов или проведении опроса от имени исследовательской организации.
Эти социальные инженеры не обязательно ограничиваются разовыми контактами. Можно запросить у жертвы услуги на определенный период времени или развлечь ее светской беседой. Тогда взлом реален, если между двумя главными героями устанавливается доверие и автору атаки удается собрать определенный объем информации. Часто такое предприятие требует значительных предварительных исследований. Источниками информации являются страницы компании в социальных сетях, таких как Facebook или даже LinkedIn.
Социальная инженерия обычно осуществляется по электронной почте или телефону. Эта опасность для компаний, связанных с предоставлением такой конфиденциальной информации, также существует в общественных местах, таких как бары, кафе или рестораны, где сотрудники компании чувствуют себя в безопасности и избавлены от ежедневного стресса. Кроме того, обсуждение по мобильному телефону также может быть опасным, учитывая, что разговоры, как правило, проходят в общественных местах, на улице, в парке или даже в общественном транспорте.
Автоматизированная социальная инженерия
Программное решение социальной инженерии основано на вредоносных программах и направлено на то, чтобы запугать пользователей Интернета и заставить их совершать нежелательные действия. В этом случае мы говорим о мошеннике или Scareware на английском языке. Программы этого типа имеют следующую модель: угроза передается пользователю через ПО и предлагает решение по противодействию ей. Мошенник предварительно размещает вирус на компьютере жертвы. Исполнители этих атак часто используют названия и логотипы относительно известных и заслуживающих доверия компаний или учреждений, чтобы повлиять на своих жертв и заставить их спонтанно установить вредоносное ПО на свои компьютеры.
Вмешательство мошенника не всегда предполагает проникновение в систему. Достаточно простой иллюзии продукта, который не является продуктом. Например, защитная мера, предлагаемая этим программным обеспечением, может включать загрузку троянского коня. Что касается другого варианта атаки, то фиктивное сообщение об ошибке отображается не на сайте, а в используемом браузере. Также его можно увидеть во всплывающих окнах, имитирующих дизайн операционной системы.