В отношении безопасности математический аппарат безупречен, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны.
Брюс Шнайер "Секреты и ложь. Безопасность данных в цифровом мире"
Сложно сказать, сильно ли преувеличивал автор эпиграфа масштабы "трагедии", но факты говорят сами за себя. Математический аппарат разработан давно и с годами лишь оттачивается и совершенствуется. Дыры в безопасности программного обеспечения закрываются, а в процесс их поиска вовлекается все больше исследователей. Но сегодня большинство экспертов единогласны в одном: наибольшую угрозу безопасности для компании представляют ее непосредственные сотрудники. Именно человеческий фактор становится причиной основной массы утечек информации.
В целом, любые действия человека, связанные с нарушением политик безопасности компании, можно разделить на две группы: умышленные и неумышленные нарушения.
К первым относится кража информации с целью ее дальнейшей продажи либо опубликования, намеренная порча, модификация либо уничтожение информации (диверсия) и т.п. Со всеми этими инцидентами обычно приходится бороться постфактум, то есть когда они уже произошли. Тем не менее, на сегодняшний день уже известны решения, позволяющие предупредить утечки информации и вычислить злоумышленников. Речь идет о DLP-системах (от англ. Data Leak Prevention — предотвращение утечки информации). Однако, это тема для отдельной статьи.
К неумышленным нарушениям можно отнести потерю носителей информации, а также ее порчу или уничтожение по неосторожности. В большинстве случаев человек просто не понимает, что его действия могут нарушать принятые компанией политики безопасности. Отдельно от остальных в неумышленных нарушениях стоит социальная инженерия — большой набор техник и приемов, направленных на получение конфиденциальной информации через "доверчивых" сотрудников компании. В случае социальной инженерии человек не осознает, что его действия противозаконны, но при этом тот, кто его просит это сделать, четко знает, что нарушает коммерческую тайну. Давайте рассмотрим подробнее этот способ воздействия, который стал необычайно популярен у мошенников в последнее время.
История успеха
Социальная инженерия не сразу стала самым эффективным средством для добычи конфиденциальной информации. Во многом ее популяризации поспособствовал не только бурный рост социальных сетей, но и "доверчивость" пользователей. Одно дополняло другое. Например, Facebook, по началу, запрещал использовать псевдонимы и требовал указания только реальных данных. И пользователи верили.
С другой стороны, им никто не объяснял, как действуют политики безопасности и зачем они нужны. Это привело к тому, что многие люди по неопытности открывали свои персональные данные и другую важную информацию. Обладая такими сведениями, мошенники разработали множество схем, которые применяются по сей день. Наибольшую известность получили: фишинг, "троянский конь" и сбор информации из открытых источников. Остановимся подробнее на каждой из них.
Фишинг
Пожалуй, самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных уже не обходится без волны фишинговых рассылок, следующих за ней. Само слово, как нетрудно догадаться, пошло от английского слова "рыбалка", так как по идеологии похоже на нее. Целью злоумышленников является "ловля" конфиденциальной информации на "наживку". К примеру, у банка произошла утечка информации о его клиентах. В том числе злоумышленники получили доступ к адресам электронной почты.
С большой долей вероятности можно предположить, что вскоре клиенты получат электронное письмо, которое будет очень похоже на стандартное письмо от банка (дизайн узнается заранее), в котором, для большей достоверности, будут использованы личные данные клиента (обращение по имени-отчеству, номер счета, личный номер и т.п.). Жертва наверняка заинтересуется содержанием письма, ведь полагает, что информация, указанная в нем, известна только банку.
В теле письма обычно содержится информация, призывающая жертву перейти по предложенной ссылке для дальнейших действий. Это может быть сообщение о произошедшем инциденте, извещение о плановой смене паролей от личных кабинетов и т.п. В общем, на что хватит фантазии мошенников. Так или иначе, в конце письма предлагается перейти по ссылке для смены пароля. Обычно "жертвы" не придают значения тому, что ссылка не ведет на сайт банка. К тому же, некоторые злоумышленники могут проявить изобретательность и зарегистрировать похожее доменное имя. Вряд ли вы с первого раза отличите www.baltbank.ru от www.ba1tbank.ru (во втором случае вместо буквы "l" была использована цифра "1").
Перейдя по поддельной ссылке, жертва попадает на поддельный сайт, который является копией реального ресурса банка. Используется та же цветовая схема, тот же стиль кнопок и т.п. На этой странице "банк" просит клиента ввести свой логин и старый пароль от личного кабинета. Для отвода глаз могут попросить ввести новый. Но как только будет нажата кнопка "ОК", информация попадет к злоумышленникам. Примечательно, что даже спецслужбы не брезгуют фишингом.
Троянский конь
Можно утверждать, что именно эта техника была прародителем фишинга. При использовании "троянского коня" цель получает письмо, содержащее прикрепленный файл или ссылку. В нем и кроется вирус. Для разжигания любопытства используются актуальные или "желтые" заголовки, как-то: "график отпусков отдела" или "прикольные фотки с корпоратива". К сожалению, несмотря на то, что эта техника известна уже давно, она до сих пор остается и будет оставаться актуальной, пока пользователи будут слепо кликать по любым вложениям.
Сбор информации из открытых источников
Принципиально новым способом получения различного рода информации стал ее сбор из открытых источников, и в первую очередь из многочисленных социальных сетей. Люди, не искушенные в вопросах безопасности, зачастую оставляют в свободном доступе сведения, которыми могут воспользоваться злоумышленники.
Показательным примером, в этом плане, может служить история с похищением сына Евгения Касперского. В ходе следствия удалось установить, что преступники узнали примерное расписание дня и маршруты следования подростка из его записей на странице в социальной сети. К тому же, даже если вы ограничили доступ посторонних к вашей странице, мошенники для получения информации могут попытаться втереться в доверие через ваших друзей.
Известная "теория шести рукопожатий" гласит, что любые два человека на нашей планете, в среднем, разделены лишь небольшой цепочкой из пяти общих знакомых.
В этом году Facebook совместно с учеными из Миланского университета провели исследование, в результате которого оказалось, что в реальности среднее число "рукопожатий", которые разделяют любых двух человек на Земле — 4,74.
Как показывает практика, именно на это и полагаются злоумышленники. Доказано, что если жертва видит, что у человека, подавшего заявку на дружбу, есть с ней общие знакомые, подозрения к нему существенно уменьшаются.
В реальной жизни этот принцип доказал бразильский исследователь по вопросам компьютерной безопасности. Он показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал "жертву" и создал фальшивый аккаунт человека из ее окружения — ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от "жертвы". Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
***
Автор — аналитик компании SearchInform
__0pog25k.jpg)
__6d2vesh.jpg)