Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Необходимо напоминать сотрудникам, что в случае разглашения коммерческой тайны каждого из них ждет увольнение по соответствующим статьям Трудового и Гражданского кодекса РФ [7, с. 156], что может негативно повлиять на возможность дальнейшего трудоустройства на ответственную должность.

Следует поощрять сотрудников, которые выявляют попытки социальных инженеров получить доступ к конфиденциальной информации [2, с. 4]. Также необходимо поощрять бдительных сотрудников за то, что они отстояли честь организации и не поддались на уловки социального инженера. Такое стимулирование должно привести к тому, что все сотрудники будут осторожно относиться к общению с посторонними лицами.

Другая мера защиты – это сплачивание коллектива, установление дружеских связей внутри него, проведение корпоративных вечеров. Когда сотрудники знают друг друга хорошо, в том числе сотрудников из филиалов, то вероятность того, что посторонний человек сможет представиться кем-то из персонала, будет значительно меньше, в связи с тем, что сотрудники будут узнавать друг друга по голосу.

Телефонные переговоры. Необходимо, чтобы все в организации, а особенно работающие с клиентами, соблюдали определенные правила безопасности при разговорах с пользователями услуг и персоналом. При заочном разговоре, необходимо полностью убедиться, что с той стороны действительно тот человек.

Необходимо обучить сотрудников тому, чтобы они задавали уточняющие вопросы для идентификации личности (например: просьба подтвердить разговор по телефону сообщением по электронной почте).

Существует три главных типа атак, направленных на офисные АТС, во время которых:

• просят информацию, обычно имитируя законного пользователя для обращения к телефонной системе непосредственно или для получения удаленного доступа к компьютерным системам;
• получают доступ к «свободному» использованию телефона;
• получают доступ к системе коммуникаций.

Термин для атак такого рода называется – фрикинг. Самый обычный подход социального инженера – это симулирование роли телефонного инженера, как показано на рисунке 6.

 

Рисунок 6 Схема нападения на офисную АТС

Социальный инженер не может добиться успеха в добыче информации от сотрудника, который отвечает на все звонки. Данный тип атаки, работает лишь, когда социальный инженер разговаривает с сотрудников, чей номер телефона не доступен широкой публике, в связи, с чем создается впечатление, что тот, кто звонит, работает в организации.

Не смотря на убедительность представления запрашиваемого, невзирая на статус или должность в организации, никакая информация, которая не предназначена для общественного доступа, не должна быть предоставлена, пока личность звонящего не будет установлена (нельзя использовать визитные карточки и другую контактную информацию, предоставленную самим неизвестным лицом).

Сотрудники должны немедленно связываться с сотрудниками технического отдела, если к ним обращается некто, заявляющий, что он сотрудник технической поддержки.

Даже когда личность звонящего установлена, нельзя разглашать конфиденциальную информацию по телефону и электронной почте, если это не предусмотрено инструкцией. При четком регламентировании правила передачи конфиденциальных сведений на бумажных носителях из рук в руки, отходить от этого правила нельзя, даже если обратившийся утверждает, что эти данные очень необходимы.

Сотрудники должны записывать фамилию, имя и отчество звонившего, телефон и название организации, офиса или подразделения, прежде чем повесить трубку. При необходимости перезвонить, сотрудник должен убедиться, что в указанной организации действительно имеется сотрудник с такой фамилией и что телефон, по которому надо перезвонить действительно телефон этой организации.

Если сотрудник не может проверить номер телефона по независимому источнику, его необходимо проинструктировать о других способах сделать это, например, обратившись к непосредственному начальнику.

Технический отдел должен балансировать между безопасностью и деловой эффективностью, а политика и процедуры безопасности должны помогать в этом.

Социальные инженеры пытаются создавать такие ситуации, когда обычный порядок действий разговора по телефону оказывается неприменимым.

Секретарь, осуществляющий прием основного потока звонков, должен быть проинструктирован касательно опасности перевода подозрительных внешних звонков на внутреннюю линию (связано это с тем, у сотрудника, которому был переведен такой звонок, возникает ощущение, что ему позвонили по внутреннему номеру, и его бдительность снижается). Также требуется, чтобы секретарь при просьбах дать номер какого-либо сотрудника, директора или руководителя уточнял личность звонящего, записывал информацию о нем в журнал, в том числе указывал бы цель звонка (документировать такие ситуации необходимо как можно подробнее: кто звонил, по какому вопросу, полезно также передавать суть разговора).

Необходимо осуществлять защиту аналитика технического отдела. Процедуры защиты должны обеспечивать двойную роль в этой ситуации:

• аналитик технического отдела должен иметь гарантии аудита всех действий (необходимо вести журнал всех действий так, чтобы быстро исправить или ограничить любой ущерб в случае атаки);
• аналитик технического отдела должен иметь структурированную процедуру действий обработки запросов пользователей.

Аудит всех процедур — самый ценный инструмент в предотвращении инцидента и последующем его расследовании.

Следует иметь отдельный идентификатор для работ, связанных с поддержкой информационных систем. Наличие такого идентификатора позволит отделить функции технического сопровождения от других и обеспечит дополнительную безопасность как для работ по сопровождению, так и для взаимодействия сотрудников в организации.

Для контроля телефона, следует использовать запись разговоров, но необходимо помнить о том, что сотрудники помнят информацию и по окончании рабочего дня, в связи с этим, социальный инженер может связаться с необходимым ему сотрудником в нерабочее время.

Также необходимо постоянное обновление телефонного справочника для того, чтобы все сотрудники были в курсе о принятии или увольнении сотрудников.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 5.

Таблица 5 Телефонные нападения

Цели нападения	Описание	Направленность
Запрос информации организации	Социальный инженер исполняет роль законного пользователя для  получения конфиденциальной информации	Конфиденциальная информация Деловое доверие
Телефонный запрос информации	Социальный инженер притворяется телефонным мастером для получения доступ к офисной АТС	Ресурсы Деньги
Используя офисную АТС, обратиться к компьютерным системам	Социальный инженер взламывает компьютерные системы, используя офисную АТС, захватывает или управляет информацией

Вишинг. Данный вид угрозы назван по аналогии с фишингом, только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер. При этом зачитывается сообщение, в котором потенциальную жертву просят сообщить свои конфиденциальные данные.

Прежде всего, защититься от такого вида атак можно с помощью здравого смысла, а именно:

1. При звонке, организация, услугами которой вы пользуетесь, обычно обращается к клиенту по имени и фамилии, как по телефону, так и по электронной почте. Если это не так, то скорее всего это мошенничество.
2. Нельзя звонить по вопросам безопасности кредитной карты или банковского счета по предложенному номеру телефона.
3. Если же звонит некто, представляющийся провайдером и задает вопросы, касающиеся конфиденциальных данных – это мошенники, и следует прервать разговор.

Электронная почта. Принимаемая информация. Входящие электронные письма могут содержать гиперссылки, которые вынуждают сотрудников к нарушению защиты корпоративной среды. Такой вид мошенничества называется «Фарминг».

Фарминг – это технология интернет-мошенничества, которая заключается в краже личных конфиденциальных данных, таких как пароли доступа, данные банковских и идентификационных карт и т.д. Пример ссылки, показанный на рисунках 7 и 8 не всегда ведет на заявленные в письме страницы. Если более внимательно рассматривать рисунок 7, то можно найти два различия: текст в почте заявляет, что сайт безопасен, используя «https», однако на экране видно, что сайт фактически использует «http», а так же название организации в почте – «Contoso», но ссылка указывает на организацию по имени «Comtoso».

Рисунок 7 Образец гиперссылки на фишинговый сайт

При активации присланной гиперссылки, сотрудник может загрузить в корпоративную сеть троянскую программу или вирус, что позволяет легко обойти многие виды защиты. Гиперссылка также может указывать на узлы с всплывающими приложениями, которые запрашивают какие-либо данные или предлагают помощь. Самым эффективным способом защиты от подобного рода атак является скептическое отношение к любым неожиданным входящим письмам [1, с. 76]. Для распространения этого подхода в организации в политику безопасности включаются конкретные принципы использования электронной почты, которые охватывают перечисленные ниже элементы:

• вложенные файлы;
• гиперссылки;
• запросы личной или корпоративной информации, исходящие изнутри организации;
• запросы личной или корпоративной информации, исходящие из-за пределов организации.

Рисунок 8 Образец фишингового письма

Примерами могут служить электронные письма, которые содержат  предложения, призывающее действовать незамедлительно, используя такие ключевые фразы как «действуйте сейчас», «осталось только 20 мест» и т.д.  Так же необходимо изучать письма, полученные от сотрудников организации. Соответствует ли оно корпоративной политике, присутствует ли блок подписи, соответствуют ли шрифты корпоративным стандартам.

Если легитимность письма с запросом вызывает сомнения, то необходимо связаться непосредственно с организацией, от чьего имени оно пришло. Нельзя полагаться на контактную информацию, которая предоставлена в письме или на веб-сайте, связанным с данным запросом; вместо этого следует использовать координаты, уже известные из предыдущих контактов с этой организацией.

Следует сохранить несколько подобных писем для наглядного примера и напоминания сотрудникам о существующей проблеме.

Следует остерегаться вложенных приложений во входящей почте и свободного программного обеспечения.

Необходимо проверять доменные имена, в связи с тем, что вложенный в электронное письмо файл может содержать двойное расширение типа «creditcard.doc.exe» и значком, обычно используемым для документов Microsoft Word, второе расширение чаще всего скрыто, и сотрудник не сомневается, что пришел именно текстовый документ. Для этого следует включить отображение расширения файлов, выполнив команду «Сервис > Свойства папки» и снять флажок «Скрывать расширение для зарегистрированных типов файлов» на вкладке «Вид»). Это обусловлено тем, что большинство сотрудников до сих пор считают, что запускаемую программу определяет значок (например: щелкнув на значке с изображением калькулятора, сотрудник ожидает, что запустится калькулятор, а не какой-нибудь «W32.Bagle-А»).

Распознавание фишинг-атак. Чаще всего фишинговые сообщения содержат:

• сведения, которые вызывают беспокойство, или угрозы, например, закрытие пользовательских банковских счетов;
• обещания огромного денежного приза с минимальными усилиями или вовсе без них;
• запросы о добровольных пожертвованиях от лица каких-либо благотворительных организаций;
• грамматические, пунктуационные или орфографические ошибки.

Популярные фишинговые схемы:

• мошенничество с использованием известных брендов каких-либо корпораций (в таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, которые содержат названия крупных или известных организаций, в сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом организацией, сообщение о том, что срочно требуется изменить учетные данные или пароль);
• подложные лотереи (сотрудник может получить сообщение, в котором будет говориться о том, что он выиграл в лотерею, которая проводилась какой-либо известной организацией);
• ложные антивирусы или программы для обеспечения безопасности (такое мошенническое ПО – это программы, которые выглядят как антивирусы, хотя выполняют совершенно другие функции, они генерируют ложные уведомления о различных угрозах, а также пытаются завлечь сотрудника в мошеннические транзакции. Сотрудники могут столкнуться с ними в электронной почте, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения).