Кевин Митник: «Сейчас при звонке в банк не сразу удается поговорить с живым человеком — люди к этому привыкли, и это нередко используется для проведения социальной атаки» |
Также на конференции прошел российский этап конкурса хакеров Cyber Readiness Challenge, победители которого поедут на европейский тур, намеченный на 8 октября. Отметим, что результаты российского конкурса оказались одними из самых высоких в мире.
Кевин Митник, основатель компании Mitnick Security Consulting и известный хакер, выступил с докладом о современных методах социальной инженерии. На конференции он показал несколько простых фокусов, которые помогают злоумышленнику обманывать систему защиты крупных компаний. «Методы социальной инженерии хорошо работают в большой компании, где сотрудники друг друга знают плохо, — отметил Митник. — Для проведения успешной атаки на небольшие фирмы нужно постараться».
В частности, Митник описал способ, как с помощью записи голосового меню банка и фишингового письма можно привлечь клиентов банка в поддельный контакт-центр и выведать у них по телефону множество секретных данных. Многие также привыкли доверять SMS от знакомых им людей, что и позволяет манипулировать ими с помощью подделки этих сообщений. Еще одной технологией, которой пока доверяют, является аутентификация сотрудников по беспроводным идентификационным карточкам. Однако и этот метод проверки пользователей можно обмануть посредством специального устройства, которое помещается в папке и позволяет скачать идентификационную информацию, если его поднести достаточно близко к карточке.
И хотя социальному инженеру проще атаковать крупную компанию, тем не менее, по заверению Митника, небольшие компании также могут быть атакованы, но только не со стороны сослуживцев, а через друзей или домашних — хакеру главное найти координаты людей, которые им бы доверяли. Собственно, Митник описал три этапа атаки с помощью социальной инженерии: сбор сведений о том, чему и кому доверяет жертва, изучение возможности по обходу доверенного средства защиты и создание образа, с помощью которого атакуемый сотрудник и вводится в заблуждение. Причем для сбора первоначальных сведений может пригодиться самая разнообразная информация. Митник привел пример, как с помощью анализа метаданных документов на сайте компании можно узнать версии используемых операционных систем и офисных пакетов. На основе этой информации хакер может подобрать наиболее эффективный инструмент взлома, который использует уязвимость именно в этой версии офисного пакета.
При этом защититься от социальной инженерии сложно, поскольку, как выразился Митник, «она не зависит от версии операционной системы, а исправления уязвимости для глупости еще не придумали». Основным методом защиты является просвещение пользователей и их непрерывная тренировка. Если сотрудники привыкнут к тому, что их часто проверяют с помощью тестов социальной инженерии, то они будут постоянно начеку. Впрочем, совсем не обязательно делать подобные тренировки для всех — обучать нужно в основном ключевых сотрудников, которые либо общаются с внешним миром (например, операторы контакт-центра), либо принимают решения (системные администраторы).
Для небольших компаний, возможно, правильным решением будет нанять на эти позиции профессионалов, знакомых с методами противодействия социальной инженерии. Причем если компания покупает услуги защиты, то она может проверить своих контрагентов, заказав тесты на проникновение с использованием социальной инженерии, которыми и занимается Mitnick Security Consulting. Надо сказать, что в России сейчас подобные услуги предлагают несколько компаний. Собирается выйти на этот рынок и компания «Крок». Борис Бобровников, генеральный директор компании, рассказал, что «Крок» сейчас формирует центр по реагированию на инциденты, на основе которого планируется в дальнейшем предоставлять услуги соответствующего профиля.