Разработка методики противодействия социальному инжинирингу на предприятиях БРО ООО «ВДПО» и ООО «Служба Мониторинга – Уфа»

Методы борьбы с фишингом, созданные для защиты от фишинга:

1. Самостоятельный ввод веб-адреса организации в адресную строку браузера вместо использования любых гиперссылок в подозрительном сообщении (практически все подлинные сообщения организаций, содержат в себе информацию, которая недоступна для социальных инженеров.
2. Технические методы:
1. Использование браузеров, которые предупреждают об угрозе фишинга.
2. Создание списка фишинговых сайтов и последующая сверка с ним.
3. Использование специальных DNS-сервисов, которые осуществляют фильтрацию известных фишинговых адресов.
4. Усложнение процедуры авторизации (например: сайт «Bank of America» предлагает своим пользователям выбирать личное изображение и показывает это выбранное изображение с каждой формой ввода пароля, в итоге пользователям банковских услуг следует вводить пароль лишь тогда, когда они видят выбранное изображение, однако недавнее исследование показало, что отсутствие изображения не останавливает большинство пользователей при вводе пароля).
5. Установка специализированных спам-фильтров, которые могут уменьшить число фишинговых электронных сообщений (эта методика основана на машинном обучении и обработке естественного языка при анализе фишинговых писем).
6. Услуги мониторинга (организации, предоставляющие услуги круглосуточного контроля, анализа и помощи в закрытии фишинговых сайтов).

Отправляемая информация. Необходимо выстроить систему, которая будет обеспечивать безопасность пересылки важной информации какому-то незнакомому лично отправителю. Так же необходимо разработать особые процедуры для передачи файлов с важной информацией.

При запросе информации от незнакомого человека, должны быть предприняты шаги для подтверждения его личности. Также должны быть установлены различные уровни доступа к информации.

Способы, которые следует применить:

1. Необходимо понять, насколько сильно необходимо знать запрашиваемую информацию запрашивающему (данный шаг может потребовать получения одобрения со стороны владельца информации).
2. Необходимо хранить историю всех транзакций.
3. Необходимо утвердить список сотрудников, которые имеют право  отправлять важную информацию. Следует требовать, чтобы лишь эти сотрудники имели право отсылать информацию за пределы организации.
4. При запросе на информацию в письменном виде (е-мэйл, факс или почта), необходимо предпринять особые шаги, чтобы удостовериться в подлинности указываемого источника.

Нельзя раскрывать личные и финансовые сведения в сообщениях электронной почты, нельзя отвечать на сообщения, которые запрашивают подобные сведения (в том числе нельзя переходить по ссылкам в таких сообщениях).

Для контроля электронной почты в организациях следует сделать единый почтовый сервер, которым будут пользоваться все сотрудники организации или филиалов в отдельности.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 6.

Таблица  6 Интерактивные Почтовые нападения

Цели нападения	Описание	Направленность
Воровство информации, которая принадлежит организации	Социальный инженер играет роль внутреннего пользователя, для получения информации организации	Конфиденциальная информация Деловое доверие
Воровство финансовой информации	Социальный инженер использует фишинг, вишинг, фарминг для запроса конфиденциальной информации (например: подробности учетной записи)	Деньги Конфиденциальная информация
Загрузка вредоносного ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя и, с помощью открытия гиперссылки или открытия вложенного файла, загружает вредоносное ПО	Атака на ресурсы Доступность Деньги

Всплывающие приложения и диалоговые окна. В связи с просмотром интернета сотрудниками в личных целях, эти действия могут принести опасность. Одной из самых популярных целей социальных инженеров является внедрение почтового сервера в пределах компьютерной сети, через которую в последующем начинается фишинг-атака или иные почтовые нападения на другие организации или физические лица.

Для того чтобы классифицировать нападения и определить риски в организации, необходимо использовать матрицу векторов нападения, целей нападения и описаний, изложенных в таблице 7.

Таблица 7 Он-лайн атака с помощью всплывающих приложений или диалоговых окон

Цели нападения	Описание	Направленность
Воровство персональной информации	Социальный инженер запрашивает персональную информацию сотрудника	Конфиденциальная информация Деньги
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника с помощью гиперссылки или вложения, инфицирует сети организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает пользователя, с помощью гиперссылки или вложения, загружает хакерское ПО	Атака на ресурсы Доступность Деньги

Защита сотрудников от всплывающих приложений состоит, прежде всего, в понимании. Необходимо на техническом уровне заблокировать всплывающие окна и автоматические загрузки.

Сотрудники обязаны знать, что они не должны нажимать ссылки на всплывающих окнах, не посоветовавшись с сотрудниками технического отдела. Однако при этом сотрудник должен быть уверен, что сотрудники технического отдела не будут поверхностно относиться к просьбам сотрудников о помощи, если он просматривает интернет.

Службы мгновенного обмена сообщениями (IM). Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются:

1. Указание в тексте сообщения ссылки на вредоносную программу.
2. Доставка вредоносной программы.

Одной из особенностей служб мгновенного обмена сообщениями является неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет социальному инженеру гораздо легче выдавать себя за другого человека и значительно повышает шансы на успешное проведение атаки. На рисунке 9 показно, как работает имитация при использовании IM.

Рисунок  9 Имитация при использовании IM

Социальный инженер (на рисунке выделен красным цветом) исполняет роль известного пользователя и посылает IM-сообщение, исходя из соображений, что получатели примут их за сообщения от человека, которого знают. Знакомство ослабляет пользовательскую защищенность.

При использовании в организации программ, которые обеспечивают мгновенный обмен сообщениями, то необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований:

• выбрать одну платформу для мгновенного обмена сообщениями;
• определить параметры защиты, которые задаются при развертывании службы мгновенного обмена сообщениями;
• определить принципы установления новых контактов;
• задать стандарты выбора паролей;

Для предотвращения неприятностей, исходящих от сотрудников, использующих IM и соответствующих программ, существует несколько решений:

1. Блокирование общих портов брандмауэрами.
2. Агенты аудита, настроенные на подобное ПО для отслеживания недобросовестных пользователей и устранения приложений, несущих риск;
3. Решения, наподобие выпускаемых «Akonix», которые позволяют применять политику безопасности, включая шифрование и обнаружение вирусов.

В таблице 8 наглядно указаны цели нападения, описание нападения и направленность нападения с помощью IM.

 

 

 

 

Таблица 8 Нападения IM передачи сообщений

Цели нападения	Описание	Направленность
Запрос о конфиденциальной информации организации	Социальный инженер, исполняя роль коллеги, использует IM имитацию, для запроса деловой информации	Конфиденциальная информация Доверие
Загрузка вредоносного ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, инфицирует сеть организации	Доступность
Загрузка хакерского ПО	Социальный инженер обманывает сотрудника, с помощью гиперссылок или вложений, загружает хакерское ПО	Атака на ресурсы Доступность Деньги

В целом, методы защиты от социального инжиниринга при использовании IM клиентов, ничем не отличаются от методов защиты при использовании электронной почты [12, с. 20].

Пароли. Все сотрудники, имеющие доступ к информации, должны четко понимать, что такая простая процедура, как смена пароля, может привести к серьезной бреши в безопасности системы.

Сотрудники должны подозрительно относиться к любому запросу по поводу их учетных данных, т.к. именно с паролями связано большинство атак социальных инженеров.

Никогда нельзя использовать стандартные пароли, а также не рекомендуется пользоваться стандартными ответами на секретные вопросы. Пароль должен представлять собой набор заглавных и строчных букв, различных символов и цифр. А также размер должен быть никак не меньше шести-семи символов.

Пароль должен быть достаточно простым, чтобы его нельзя было забыть, но не настолько, чтобы его можно было взломать и воспользоваться им.

Пароли, которые часто взламывают:

• электронная почта, потому что так можно получить доступ ко всем сервисам, на которых производилась регистрация;
• ICQ, особенно короткие номера;
• Skype;
• ВКонтакте.

Пароли, которые легко взломать:

• дата рождения;
• 111, 333, 777 или что вроде этого;
• 12345 или qwerty – буквы клавиатуры идущие подряд;
• простые имена - sergey, vovan, lena;
• русское слово набранное в английской кодировке, напр. Сергей получится Cthutq.

Защищенным паролем является:

• длинный (8-15 символов);
• сложно взломать пароль в котором присутствуют ЗАГЛАВНЫЕ БУКВЫ, малые буквы и цифры (не дата рождения!);
• не из словаря, т.е. не слово, и не имя;
• отдельный пароль для каждого отдельного сервиса;
• не связанный с сотрудником (адрес, номер сотового и т.д).

Рекомендуется иметь уникальный пароль: для электронной почты и платежных систем. Остальные пароли можно группировать. Например:

• Простой пароль и логин для регистрации во всех временных и не важных мест;
• Надежный пароль для всех форумов и социальных сетей и т.д.;

Самый сложный и охраняемый пароль должен быть для электронной почты. Связано это с тем, что если получить доступ к электронной почте, то можно получить доступ ко всем местам, где производилась регистрация. Поэтому этот пароль должен быть надежным.

Ни в коем случае нельзя создавать в компьютере папку с паролями, лучше запомнить или записать на бумаге. Если пароли сохранены на бумаге, то необходимо сделать вторую копию и хранить оригинал и копию в недоступном месте, подальше от чужих глаз. 

Нельзя вводить пароль на чужих и подозрительных сайтах, и отсылать по почте, даже если этого требует администрация сайта, возможно, это мошенники. Так же нежелательно вводить пароль с чужого компьютера, и в общественных местах, такие как: кафе с доступом в интернет, терминалы.