Да, я знаю, что термину «социальная инженерия» уже много лет, что Кевина уже давно отпустили, что есть куча материалов о том, как защититься от этих «инженеров». Я не собираюсь пинать мертвую кобылу, я хочу узнать у кого такая же кобыла тоже сдохла, а у кого отлично живет. Иными словами — мы на предприятии обучаем пользователей основам ИБ, рассылаем им информацию по разным типам атак и способам борьбы с ними. Примером такой рассылки про социальную инженерию я и хочу с вами поделиться.

Социальная инженерия – метод управления действиями человека без использования технических средств. Суть метода заключается в использовании человеческих слабостей, психических особенностей человека.

Проще всего понять значение этого термина на примерах:

1. Один сотрудник банка, назовем его Марк, идет утром на работу. Прошел турникет на входе, поднялся по лестнице, открыл дверь на этаж своим пропуском и встретил в коридоре человека. Этот человек говорит, что вышел налить кофе, а пропуск оставил в кабинете и теперь не может попасть внутрь. Глупая ситуация, в которую попадал, наверное, каждый. Марк любезно открывает своим пропуском дверь в нужный незнакомцу кабинет и идет дальше по своим делам.

На первый взгляд ничего ужасного не произошло. И не важно, что Марк видел этого человека впервые – всех сотрудников не запомнишь. А может этот человек вообще первый день работает. А на деле незнакомец может оказаться мошенником, который перепрыгнул через турникет, когда охранник отвернулся. Затем прошел на этаж вместе с другими сотрудниками. А на этаже воспользовался доверчивостью любезного Марка, который пустил его в нужный кабинет.
Этот человек не хакер, он не использовал компьютер. Он, может, вообще не умеет им пользоваться. Он просто мастерски «втирается в доверие».

2. Другой пример. Уже знакомый нам Марк пошел в столовую пообедать. И только он взял в руки нож с вилкой, как заметил, что за соседним столом, с которого еще не убрали грязную посуду, кто-то забыл флешку. Наш Марк решил, что владелец флешки очень расстроится, узнав, что потерял ее. И решил вернуть флешку хозяину. Для этого нужно сначала выяснить, чья она. В этом могут помочь файлы, хранящиеся на ней. Вернувшись в кабинет, Марк вставил носитель в USB порт и… заразился компьютерным вирусом. Потому что флешка была специально подброшена мошенниками. До этого дня у них не было доступа в корпоративную сеть банка. А в столовую может попасть кто угодно. Вот и получается, что оставить флешку с вирусом в столовой проще, чем взламывать защищенную сеть.

Из этих примеров видно, что для успешного осуществления атаки на банк злоумышленники использовали сотрудников, пользовались их добропорядочностью и доверчивостью. Чтобы не стать Марком нужно всегда соблюдать бдительность и выполнять несколько правил:

1. Никогда никому не верьте на слово по телефону. Если вам звонят по внутреннему рабочему телефону и представляются сотрудником тех.поддержки, начальником смежного подразделения, бухгалтером, сотрудником следственного комитета, врачом скорой помощи, женой вашего коллеги или еще кем-то, проверьте этот номер в телефонном справочнике или любым другим доступным способом – правда ли этот человек тот, за кого себя выдает.

2. Никогда никому не сообщайте свой пароль. Ни по телефону, ни письменно. Ни коллегам, ни начальнику. Даже если от этого зависит выполнение срочной задачи.

3. Не вставляйте в компьютер носители информации, кроме тех, которые должны использоваться в соответствии с бизнес-процессами.

4. Не открывайте электронные письма пришедшие с незнакомых адресов. Тем более не открывайте вложения из таких писем. Не открывайте письма, которые явно адресованы не вам. Например, якобы ошибочная рассылка с корпоративного почтового ящика с заголовком «компромат на сотрудников» или «зарплатная ведомость руководящего состава» будет содержать в себе вирус, а не обещанную информацию. Не поддавайтесь соблазну.

5. Используйте разные пароли в разных системах. Очень важно, чтобы пароли не совпадали. И даже не были похожи. Если вы не можете запомнить несколько сложных паролей, используйте специальные программы – менеджеры паролей. Но только используйте разные менеджеры – один для паролей от систем на работе, другой для паролей от развлекательных сайтов.

6. Не открывайте дверь незнакомым людям. При посетителе всегда должен находиться сопровождающий из числа сотрудников компании.

7. И знакомым людям тоже не открывайте дверь. Человек, которого вы уже пять лет знаете как сотрудника смежного подразделения, мог быть вчера уволен. Если кто-то забыл в кабинете пропуск, то ему стоит позвонить своему начальнику для разрешения этой ситуации.

8. В любой непонятной ситуации позвоните в службу безопасности по телефону (ххх)-хххх.
Нашли чужую флешку? Отдайте ее в службу безопасности. Увидели незнакомого человека без сопровождения, который ходит по коридору и пытается попасть хоть в какой-нибудь кабинет? Позвоните в службу безопасности. Кто-то спрашивает ваш личный пароль? Позвоните в службу безопасности.

Эти простые правила помогут поймать мошенника.
Не будьте Марком, будьте бдительны.

Комментарии (40)


  1. artskep
    11.08.2017 15:45
    -1

    Спасибо Капитан Очевидность. Но зачем вы все-таки пинаете мертвую кобылу?
    И да, опрос ни о чем тоже т.к. «обучение основам» может подразумевать под собой все что угодно. Как минимум «распишитесь здесь, что ознакомлены» есть практически везде.


    1. Volosatik Автор
      11.08.2017 15:55
      +3

      Ну нет. Неужели вы не видите разницы между «ознакомлен» и «обучен»? Когда собирают подписи в журнале без фактического проведения хотя бы инструктажа, то это, как правило, означает, что никакого документа, с которым вы «ознакомлены» вовсе не существует. Политика информационной безопасности есть, к сожалению, далеко не в каждой компании. И это не то же самое, что и формальное требование не разглашать пароль.

      А по поводу К.О. — еще раз, я не претендую на открытие каких-то новых данных по данному вопросу. Я делюсь опытом, как это проходит в нашей компании. Если в вашей компании этого нет — можете взять моё. Но изначальная цель — рассказать, как делается у нас. И, может быть, услышать ваше мнение: «мы тоже обучаем, но у вас скучный текст, а у нас интерактив и провокации».


      1. Epoiiika
        14.08.2017 15:11

        … я не претендую на открытие каких-то новых данных по данному вопросу. Я делюсь опытом, как это проходит в нашей компании...

        Если честно в приведенном выше тексте я не заметил ни какого обучения, 2 жизненных случая и все. И ради этих прописных истин надо было поднимать такую обширную тему? Мне кажется вы хотите нас обмануть и пропихнуть свои услуги, под предлогом опроса и громкого заголовка =)


        1. Volosatik Автор
          14.08.2017 15:29

          Вы считаете, что «два жизненных случая и прописные истины» — это хорошая реклама своих услуг? ;)

          Но что-то мне подсказывает, что любой мой ответ повлечет за собой бессмысленный спор, которого мне бы хотело избежать. Так что будет проще сразу с вами согласиться. Так сказать, авансом.


  1. zunzon
    11.08.2017 16:18
    +1

    Не открывайте электронные письма пришедшие с незнакомых адресов.


    Интересно, тот, кто это писал хоть примерно понимает как работают почтовые серверы, почтовые клиенты, и собственно передача почты?


    1. Volosatik Автор
      11.08.2017 16:20
      -1

      А что именно вас смущает?


      1. SinsI
        11.08.2017 16:38
        +1

        Да хотя бы https://geektimes.ru/post/291939/

        Как раз доверенные адреса имеют куда больший шанс использоваться злоумышленниками, пытающимися на вас использовать социальную инженерию.


        1. Volosatik Автор
          11.08.2017 16:43
          -1

          И все равно не вижу противоречия. Письмо пришло с незнакомого ящика. И не важно правда оттуда или отправителя подделали. Не открывайте это письмо.


          1. maxzhurkin
            11.08.2017 21:05

            Дурной тон отвечать на сообщение, не вникнув в его суть: речь о том что письмо пришло со знакомого адреса, но это только видимость.
            До сих пор SNMP это позволяет чаще, чем следовало бы.


            1. maxzhurkin
              12.08.2017 07:28
              +1

              SMTP, конечно же
              или читать, как Simple Network Mail Protocol


          1. clawham
            11.08.2017 21:50
            +1

            Ещё раз ВНИМАТЕЛЬНО! прочитайте нервую строку статьи — я могу подделать ЛЮБОЙ адрес ЛЮБОГО ящика отправляя ЛЮБОЕ свое письмо ЛЮБОМУ получателю! Вам может прийти письмо с приказом установить новый корпоративный чат от вашего начальника. Я в любом случае подобное переспрашиваю по телефону или лично. телефонные карточки сейчас тоже легко в течение полу часа перевыпускаются мошенниками. да основная перестает работать но вы-то позвоните начальнику а там мошенник вам голосом начальника и ответит даа… стааавь мы пробуем новое… угу ага…
            Всегда надо уточнять достоверность информации и личность собеседника. Или вы думаете мало людей на просьбу в социалках кинуть 100 руб на телефон — денег нет? кидают очень много и регулярно.


            1. maxpsyhos
              12.08.2017 08:10
              -1

              Так а всё же, как всё вами описанное опровергает фразу «Не открывайте электронные письма пришедшие с незнакомых адресов.»?


              1. clawham
                12.08.2017 09:57
                +1

                Очень просто — от знакомых ТОЖЕ! нету разницы. любой мошенник может отправить от любого адреса любое письмо.


                1. vsb
                  12.08.2017 17:05

                  Предлагаете не пользоваться почтой? :)


                  1. clawham
                    12.08.2017 17:50

                    как я уже писал — Я в любом случае подобное переспрашиваю по телефону или лично.
                    Всегда надо уточнять достоверность информации и личность собеседника. Или вы думаете мало людей на просьбу в социалках кинуть 100 руб на телефон — денег нет? кидают очень много и регулярно.


        1. AndreyHenneberg
          12.08.2017 18:41
          +2

          Мораль: используйте криптографию для подтверждения отправителя и целостности сообщения. Сохранность ключа — отдельная тема.


  1. Celahir
    11.08.2017 16:26
    +1

    Эти правила необходимы, главное, чтобы они были уместными и обоснованными. Я говорю не конкретно про этот список, но иногда бывают формальности, которые затрудняют рабочий процесс и при этом не имеют никакого смысла.

    Но только используйте разные менеджеры – один для паролей от систем на работе, другой для паролей от развлекательных сайтов.

    Поясните, зачем использовать разные менеджеры паролей? Разных баз данных с разными паролями недостаточно?


    1. Volosatik Автор
      11.08.2017 16:34
      +1

      В данном случае имеет место некое обобщение.
      Если мы говорим о паролях на работе, то использование облачного менеджера не допускается по двум причинам: 1. у некоторых групп пользователей просто нет интернета. 2. хранить пароли от критичных сервисов хоть и в зашифрованном виде нужно в периметре компании. Поэтому хранить в локальном менеджере на работе личные пароли — это излишне. На работе они все равно не понадобятся.
      Если же отойти от локального хранилища, то да, разных баз достаточно. Но не все менеджеры это позволяют. Да и объяснение «используйте разные менеджеры, ну или один, но с разными базами, и с разными паролями на разные базы» было избыточным.


  1. RubyFOX
    11.08.2017 16:53
    -1

    7. И знакомым людям тоже не открывайте дверь.

    Вот так очень скоро у вас не останется друзей на работе, зато безопасно…


    1. Celahir
      11.08.2017 17:28
      +1

      Зато останется работа. :)

      Это во многом решается зонами допуска. Если вы можете открыть офис смежного подразделения — это уже странно. Открыть дверь в свой офис, чтобы знакомый человек забрал свой пропуск (при вас) это одно. А вот пускать в комнаты с высоким уровнем допуска, особенно без присмотра, точно никого не стоит.

      Я как-то попросил коллегу открыть дверь в лабораторию после рабочего дня, т.к. оставил там журнал. Я очень удивился, когда он мне просто дал свой пропуск. Отличный пример, как делать не надо.


  1. stanislavkulikov
    11.08.2017 19:38

    Предлагаю добавить ещё один опрос: есть ли в вашей компании вообще служба безопасности?


  1. Hellsy22
    11.08.2017 20:03

    Очередная попытка свалить на пользователей проблемы непродуманности организации безопасности и лень администраторов.

    Кроме предварительно авторизованных никакие USB-устройства работать не должны;
    Запуск приложений — только по белому списку;
    Совсем в идеале — тонкие клиенты, стартующие по сети;
    Все рабочие документы — на сетевом диске, с регулярным бэкапом.

    И тогда не будут страшны ни зараженные флэшки, ни непонятные письма и даже утечка паролей приведет лишь к локальным проблемам.


    1. zerg59
      11.08.2017 21:42
      +4

      вспомнил недавнее с баша:
      Коротко о ситуации с компьютерами в поликлинике, где работает родственница: в кабинете есть компьютер с тонким клиентом (без винта, с пломбой) с настроенной загрузкой по сети одного из linux-дистрибутивов в котором для работы через спец. программу доступен лишь один единственный сетевой ресурс, запрашивающий учетные данные при входе. Учетных данных доктора не знают и то, зачем нужен этот ресурс тоже. Доктора бы рады использовать этот компьютер хоть для набора и печати документов, но сохранить их будет негде: домашняя папка не сохраняет содержимого и после перезапуска чистится, а монтирование флешек заблокировано.
      Стоит в кабинете бесполезный компьютер с большим красивым монитором, с подключенным к нему принтером, но использовать его никто не может. Так и живем.


  1. da-nie
    11.08.2017 21:38
    +2

    Добавлю ещё одно: не используйте карты стандарта EM-Marine для контроля доступа. :)


    1. AndrewRo
      11.08.2017 23:38

      Почему?


      1. da-nie
        12.08.2017 07:09

        Потому что они легко копируются и считываются с довольно больших расстояний (можно, конечно, включить режим ответа по паролю, но кто его включает? Да и его, строго говоря, можно считать дистанционно в момент передачи.). Поэтому гораздо лучше использовать Mifare.


  1. ferreto
    11.08.2017 23:17
    +4

    Хочется добавить от Г.Гаррисона: "ВОДУ СПУСКАЙ — О ВРАГАХ НЕ ЗАБЫВАЙ" и "ЗАКРОЙ ШИРИНКУ, ОХЛАМОН, — СЗАДИ ПРЯЧЕТСЯ ШПИОН!".


  1. AndrewRo
    11.08.2017 23:40

    7 пункт — это уже какой-то перебор. Вот именно сегодня вашего знакомого уволили, вам сообщить не успели, он в этот же день завербовался к конкурентам и решил украсть то, к чему вчера имел доступ.
    В каких случаях это вообще реально может произойти?


    1. Hellsy22
      12.08.2017 00:49
      +3

      В случаях, когда уволенный полагает, что случилась несправедливость.


  1. hdfan2
    12.08.2017 10:06

    Зачем нужен турникет, который можно перепрыгнуть? Или делайте такой, который невозможно обойти, или ставьте рядом вахтёра, который будет следить, чтобы не прыгали. Типичное перекладывание с больной головы на здоровую.


  1. potorof
    13.08.2017 01:35
    +1

    Такое ощущение, что начальство стелит себе соломку…


    1. CityCat4
      14.08.2017 08:28
      +1

      Такое ощущение, что люди никогда не сталкивались ни с одной из описанных ситуаций. Многие из них уже просто анекдотичны — но ведь до сих пор работают! Сколько Ваших сотрудников, увидев лежащую бесхозную флэшку, тут же воткнет ее себе в тачку, а сколько отдаст админу? (ну или ИТ-безопаснику, если он конечно у вас есть)?

      А между прочим, атака на Натанз началась именно с «бесхозной» флэшки…


  1. DEmon_CDXLIV
    14.08.2017 08:29
    +1

    Эти правила мне напомнили случай, который произошел со мной когда мне было пять лет. Мама сказала, что никому дверь не открывать. В итоге сестра чтобы попасть домой лезла через окно.


  1. Psq
    14.08.2017 08:29
    +1

    Рассылка безусловна полезна, но где возможно — необходимо использовать либо программные средства (настроить антивирус на блокировку внешних носителей / spam-фильтры), либо человеческий ресурс (контрольно-пропускной пункт).
    Внедряя «Внешний контроль» вы снижаете вероятность человеческого фактора в вашей системе безопасности.


    1. Volosatik Автор
      14.08.2017 08:32

      В данном случае — рассылка, разумеется, не единственный рубеж в противостоянии атакам. Это лишь «дополнительный фактор», который должен еще чуть-чуть снизить риски.


  1. Daddy_Cool
    14.08.2017 08:30
    +1

    Это всё работает, если сотрудники искренне понимают чем именно им лично грозит этот незнакомец с флэшкой. У каждой компании (особенно большой) есть некоторый запас прочности который и будет эксплуатироваться в таких ситуациях.


    1. Volosatik Автор
      14.08.2017 08:36

      Так потому в рассылке и используется человеческий образ коллеги — Марка. Не сухое перечисление правил и цитат политики ИБ, а «очеловечивание». Чтобы читателю было легче сопоставить Марка и себя и поставить себя на его место.
      Возможно стоило добавить в конце, что случилось с Марком, как он ощутил на себе последствия своих поступков?
      Но основная цель данного материала не столько показать связь поступок-наказание, сколько продемонстрировать, что даже незначительные действия одного из нас могут сильно навредить компании. А значит и ее сотрудникам.


  1. MarkNikitin
    14.08.2017 08:30
    +1

    Я думаю что каждой кто работает с данными которые подлежат защите, должен не только знать что такое социальная инженерия, а и хорошо распознать ее и не дать воздействовать на себя.


    1. Volosatik Автор
      14.08.2017 08:49

      Если обобщить, то каждый человек обладает данными, которые нужно защищать. Номер банковской карты, телефонная книга в смартфоне (фио и телефон начальника — уже неплохое начало для попытки атаки), уровень ЗП.
      Нам еще преподаватель в универе говорил, что можно и без промышленного шпионажа узнать обо всех планах компании, если «очень внимательно» следить за ее публичной информацией. Например о том, что один известный банк на букву Т собирается запускать собственную банкоматную сеть, мы с коллегами узнали еще задолго до официального анонса. А предпосылок было несколько, но самая явная из нех: они вывесили вакансию начальника безопасности сети банкоматов. Пару месяцев искали такого человека. Потом он, вероятно, провел какой-то аудит, подготовил отчет. И после всего этого уже стали появляться сообщения в СМИ.
      Так что любая информация должна защищаться. С разной степенью рвения, но все же. И я был бы только рад, если бы каждый знал, что такое соц.инженерия и умел противостоять ей. И, хоть идеал и недостижим, мы именно для этого и рассказываем сотрудникам подобные вещи.