О том, что самым слабо защищенным звеном в любом процессе или системе является человек, известно с докомпьютерных времен. Поэтому среди прочих кибер-криминальных ситуаций преобладают те, в которых как компонент информационной системы атаке подвергается именно он — человек. Атакуя его, кибер-преступники активно используют приемы социальной инженерии: согласно данным корпорации Symantec почти 70% успешных атак связаны с нею.
“Плохие парни” давно поняли, что вместо того чтобы искать уязвимости в коде и “железе”, гораздо эффективнее использовать человеческие слабости, будь перед ними рядовой пользователь или искушенный системный администратор. Знание психологии и личная изобретательность при таких атаках зачастую играют более важную роль, нежели глубокие технические познания. Некоторые эксперты вообще определяют социальную инженерию как “метод атак без использования технических средств”, хотя на самом деле так случается редко, и к средствам коммуникации — телефону, электронной почте и т. п. — хакеры прибегают повсеместно.
Риски и потери
Конечной целью атак, в которых используются приемы социальной инженерии, сегодня является материальная выгода преступников. Стремление к сомнительной славе крутого взломщика уже несколько лет как уступило место в криминальной кибер-среде жажде наживы. Коммерциализация кибер-преступности приносит “черным” хакерам богатые плоды. Так, согласно данным корпорации Symantec, ущерб организаций и частных лиц от успешных компьютерных атак составил в 2008 г. около 600 млрд. долл. Чаще всего крадут пароли доступа к информационным системам, коммерческую и техническую информацию (например, о том, как строится защита компании, — политики и процедуры организации ИБ, версии используемых программных продуктов, данные об ИТ-инфраструктуре и т. п.).
Сохранность конфиденциальной информации на 80% зависит от правильного подбора, расстановки и воспитания персонала.
Среди главных связанных с кибер-преступностью рисков для компаний можно назвать следующие: затраты на восстановление потерянной информации и выведенного из строя оборудования; оплату претензий со стороны клиентов, пострадавших от утечек информации; иски со стороны регулирующих органов; снижение инвестиционной привлекательности; удар по репутации. Схожим образом страдают от кибер-атак и частные граждане, которые тоже несут прямые и косвенные финансовые убытки и моральные потери. Проводимые два раза в год исследования Unisys Security Index обновляют так называемый индекс безопасности, в основе которого лежат представления рядовых граждан о национальной, финансовой, личной и информационной безопасности на текущий временной период. Организаторы недавних очередных исследований для определения текущего Unisys Security Index установили, что число респондентов, не испытывающих страха перед интернет-угрозами, примерно равно количеству людей, вообще не выходящих в Сеть; иными словами, почти каждый пользователь Интернета считает его опасным, и прежде всего он боится утечки своих идентификационных данных.
Приемы социальной инженерии в ИБ
Теми, на кого обрушиваются психологические атаки компьютерных злоумышленников, движут обычные человеческие свойства: беспечность, жадность, страх, любопытство… Никак не претендуя на полноту описания, остановимся на самых главных и наиболее новых приемах криминальных социальных инженеров, использующих упомянутые выше качества.
По-прежнему активно применяется фишинг. Только через Интернет и электронную почту фишеры умудряются выливать на наши головы мутные потоки своей “информации”. Однако не стоит думать, что отключив компьютер от сети, вы избавите себя от фишеров — помните о телефоне и даже о простом, не опосредованном какими-либо техническим средствами, общении.
На крючки фишеров попадаются не только “чайники”. Например, системному администратору могут предложить прибегнуть к “тайным” знаниям и изменить ключи в реестре ОС Windows “для повышения её быстродействия” или воспользоваться утилитами для автоматизации этого процесса. С помощью этого метода авторы вредоносного ПО производят перенастройку системы безопасности ОС и внедряют в неё троянские программы.
Набирает популярность фарминг, когда посредством зловредного ПО пользователь перенаправляется на мошеннические сайты, где их поджидают фишинговые ловушки. Фарминг зачастую связан с кражами репутации — подменой добропорядочных информационных ресурсов зловредными. Исследователи Cisco зафиксировали в 2008 г. 90%-ный рост количества атак, исходящих из добропорядочных доменов Интернета.
Достаточно большой популярностью пользуются рассылки якобы от имени администрации социальных сетей, которые на деле никакого отношения к ним не имели. Включенные в эти письма ссылки вели на подставные сайты, распространяющие вредоносный код. Там пользователям под разными предлогами предлагалось ввести свои персональные данные — параметры доступа к банковским счетам, логины и пароли платного интернет-сервиса и т. п. Подобным фишинг-атакам подвергались клиенты JPMorgan Chase Bank, RBC Royal Bank, Google AdWords, PayPal, eBay и др.; в России это были Альфа-банк и платежная система “Яндекс.Деньги”.
Пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus.
Прогноз компании Cisco говорит о том, что в текущем году социальный инжиниринг станет более изощренным и целенаправленным. По оценкам Cisco, сегодня целенаправленный фишинг составляет не более 1% от общего числа фишинг-атак, однако его доля будет расти по мере того, как преступники станут делать спам все более персонализированным и настроенным на нормальное общение конкретного пользователя.
По данным Microsoft Security Intelligence Report v7, в первой половине 2009 г. наблюдался всплеск распространения ложного антивирусного ПО, также известного как “Rogue Security Software”. Для этого используются вредоносные программы, известные под названием “scareware” (ПО для запугивания). Его применяют также для оповещения о ложных заражениях вирусами в надежде вынудить пользователя скачать поддельный антивирус, который в лучшем случае окажется бесполезным, а в худшем сразу установит на компьютер вредоносный код или снизит общий уровень безопасности системы для последующих атак.
Чтобы вынудить людей загружать фальшивые программы, мошенники размещают на веб-сайтах объявления, играющие на страхе пользователя перед компьютерными угрозами. Как правило, тексты таких объявлений предупреждают: “Если вы видите эту надпись, значит, ваш компьютер подвергается угрозе заражения вирусом”. Далее пользователю предлагается перейти по некоторой ссылке, чтобы просканировать компьютер или установить программу для удаления “вируса”.
Закачанные и установленные фальшивые ИБ-программы обходятся доверчивым пользователям в 30—100 долл. Однако мошенническая операция не заканчивается установкой ложного антивируса. Некоторые из этих программ сразу внедряют в систему вредоносный код, который делает компьютер уязвимым для других угроз; некоторые требуют от пользователя понизить действующий уровень безопасности для своей бесконфликтной “работы по защите компьютера” и уже после этого вводят в систему вредоносное ПО или блокируют доступ к веб-сайтам производителей настоящих антивирусов.
Никакие программные или аппаратные средства, даже самые лучшие, не спасают от фишинга — выручает только комплексный подход к ИБ.
Чтобы исключить подозрение со стороны пользователей, разработчики фальшивых антивирусов стараются создавать для своих программ заслуживающий доверие интерфейс. Часто они подстраивают его под внешний вид настоящих антивирусов. Поддельные средства защиты нередко распространяются через веб-сайты, которые внешне не вызывают опасений. Многие легальные сайты, хотя и не имеют связи с мошенниками, демонстрируют информацию об их ПО в качестве рекламы. Некоторые мошеннические сайты используют реальные системы онлайновой оплаты кредитными карточками, а их жертвам направляются электронные сообщения о поступлении платежа, в которых содержится информация о серийном номере продукта и коде сервисного обслуживания.
Согласно исследованиям Symantec пятерка самых известных поддельных антивирусов выглядит так: SpywareGuard 2008, AntiVirus 2008, AntiVirus 2009, SpywareSecure, XP AntiVirus. Сообщается, что 93% фальшивых антивирусов распространяются через специально созданные для этого веб-сайты, 52% из них продвигаются через интернет-рекламу.
Защита от атак, использующих социальную инженерию
Защита от атак, основанных на социальной инженерии, по мнению специалистов Microsoft, одна из самых сложных задач обеспечения ИБ. Они полагают, что здесь не помогут сами по себе никакие программные или аппаратные средства, даже самые лучшие, а выручит только комплексный подход.
По оценкам SANS Institute, среднее время нахождения незащищенного компьютера в Интернете до заражения сегодня измеряется минутами, поэтому ИБ-специалисты рекомендуют как обязательный, базовый компонент комплексного подхода использовать известные технологии, такие как контроль сетевого трафика на уровне провайдерских и корпоративных шлюзов; репутационная фильтрация сайтов, файлов и приложений (которую сегодня предлагают ведущие ИБ-вендоры); современный (разумеется, не фальшивый) антивирус на рабочей станции, обеспечивающий комплексную защиту от вредоносного ПО конечной точки сети.
Данные, полученные компанией Deloitte в финансовом сегменте, хорошо согласующиеся с исследованиями в других отраслях, свидетельствуя о том, что среди прочих угроз безопасности главной для себя компании считают утечки данных, причем произошедшие по вине персонала, а не из-за внешних атак. Именно поэтому рынок средств обнаружения и предотвращения утечек данных (DLP) развивается сегодня темпами, опережающими среднеотраслевые по ИТ, и в контуре защиты этими системами пользуются наиболее зрелые в области ИБ компании.
DLP-системы защищают как от злонамеренного инсайда, так и от непреднамеренного нарушения корпоративных политик ИБ. Но поскольку на долю последних, согласно данным Gartner, приходится 80—90% утечек, компаниям есть прямой резон пересмотреть организацию корпоративной ИБ, сосредоточив на этой проблеме дополнительные усилия. Для этого прежде всего следует классифицировать обращающуюся в компании информацию (что является обязательным стартовым этапом внедрения DLP-технологии), наладить ролевой доступ персонала к информационным ресурсам и поддерживать его системами строгой идентификации и аутентификации пользователей. Стоит также помнить, что сохранность конфиденциальной информации, как считают специалисты по вопросам ИБ, на 80% зависит от правильного подбора, расстановки и воспитания персонала, а это — прямые задачи кадровой службы компании.