Преступники собирают в Интернете информацию о людях, чтобы подобраться к ним ближе. Имя в поисковике, профиль в соцсети — и все: пазл сложился, вас «хакнули».
В Берлине завершилась конференция Check Point Experience-2012 (CPX-2012), посвященная вопросам информационной безопасности. Одной из тем мероприятия стало влияние социальных сетей на жизнь современников.
О социальных сетях сейчас говорят много и часто. Порой, даже слишком много и чересчур часто. Но когда речь идет об информационной безопасности, пристальное внимание к соцсетям обусловлено суровой необходимостью. В «социальном мире без границ», где живут современные люди, нет ограничений не только для коммуникаций, но и для самых изощренных преступлений.
Когда вы выкладываете в Интернет информацию о себе, тем более, если вы открываете к ней публичный доступ, вы должны понимать, какую цену вы за это платите. Любой человек из любой точки мира может просто набрать ваше имя в поисковике и найти все что угодно: где вы живете, что вам нравится, кто ваши друзья, кем и на кого вы работаете. Используя эту информацию, можно собрать полную историю жизни человека.
Сегодня приемы социальной инженерии успешно используются в Сети. Они помогают как маркетологам, так и мошенникам, которые охотятся за вашими деньгами (впрочем, ваши деньги нужны и тем, и другим). И те, и другие по кусочкам, словно пазл, собирают истории людей в Интернете.
Чтобы понять, как много о вас уже известно всему миру, просто наберите свое имя в поисковике, предлагает евангелист компании Check Point Томер Теллер (Tomer Teller). В интервью BFM.ru он рассказал о том, как легко мошенники могут подобраться к жертве в Интернете.
— Весь мир «сидит» в соцсетях, в Интернете хранится очень много информации о людях. Как мошенники могут это использовать?
— Давайте представим, что я хочу подобраться к какому-то человеку не с самыми благими намерениями. Проще говоря, «напасть» на кого-то через Сеть. Как я буду это делать? Мне надо стать ближе к нему. Первое что можно сделать — проверить, какая информация о жертве находится в Google. Можно зайти на страничку человека в Facebook, LinkedIn. И построить «карту» его жизни.
— Что с ней делать дальше?
— Представим, например, что человек работает в сфере туризма — он агент, продающий туры. И вдруг кто-то пишет ему: «Привет, мне порекомендовал тебя наш общий друг. Не мог бы ты мне помочь с выбором отеля? Что ты думаешь вот об этом».
Вспомним, мы до этого выстроили историю: он действительно турагент, ваш профайл внушает доверие, вы ссылаетесь на общих друзей. Кликнет ли он по ссылке? Конечно да.
Таким же образом, предварительно собрав «картинку», можно подобраться к любому человеку.
— Значит, и к любой компании?
— Все, что нужно преступнику — найти «слабое звено» в этой компании. Этим слабым звеном может стать, например, новый сотрудник, который еще не ознакомился с политиками безопасности этой компании, не посещал обучающих семинаров и не успел познакомиться со всеми, кто работает в этой компании.
Мошенник может просто прислать такому человеку письмо — оно будет выглядеть как письмо из самой компании. И там будет написано что-то вроде «Добро пожаловать в компанию, пожалуйста, ознакомьтесь со следующими правилами…». Дальше снова следует ссылка на зараженный сайт. И все, игра окончена, вас «хакнули».
Несмотря на то, что система безопасности компании может предупредить сотрудника о том, что переходить на сайт опасно, он ведь думает, что это письмо от IT-службы компании. Таким образом, на компьютер данного сотрудника попадает «червь», который будет собирать информацию. Через этот компьютер он может получить доступ не только к данным, которые хранятся на одной машине, но и ко всей корпоративной сети — по крайней мере, к той ее части, куда сотрудник имеет доступ.
Таким образом в прошлом году было взломано несколько компаний. В одном из случаев была крупная утечка — мошенники получили данные рекрутинговой службы компании, в том числе список всех сотрудников, которых планировалось нанять.
Я говорю о том, что провести успешную атаку на компанию не так уж сложно: сотрудник делает клик — и преступник получает полный контроль.
— Как компаниям защищать себя?
— Сейчас существует множество угроз, связанных с потерями данных. Они актуальны для любой организации. Это означает, что компании должны обучать всех своих сотрудников. Все должны знать правила: не нажимайте на ссылки, не общайтесь с незнакомцами, не посещайте те или иные сайты. Иногда и это не помогает, потому что вы не можете постоянно следить за всеми своими сотрудниками и держать их в курсе последних угроз. Тот или иной сотрудник однажды может по невнимательности нарушить правила. Вот почему очень важна комбинация из обучения сотрудников и защитных технологий. То, от чего не может защитить осторожность, может быть устранено защитными средствами. Необходимо и то, и другое.
— Должны ли компании запрещать своим сотрудникам доступ в соцсети?
— Эта тема довольно часто поднимаются. В каждой компании поступают по-своему. Конечно, есть те, в которых убеждены, что сотрудники должны в рабочее время заниматься исключительно работой, поэтому там запрещен доступ в соцсети. Но есть и те, в которых настолько ограничивать свободу сотрудников просто не принято. Запреты могут очень негативно восприниматься людьми. Вообще, такой запрет может оказать как негативный, так и позитивный эффект на работу.
Впрочем, если вы все-таки решили заблокировать своим сотрудникам Facebook, LinkedIn и другие соцсети, вы действительно защититесь от ряда угроз. Но есть и огромное число других проблем, которые не решить таким способом.
Я уже рассказывал про электронную почту — вы не можете запретить ее на работе. По e-mail приходит спам, в котором содержаться ссылки на вредоносные сайты или зараженные файлы. Это могут быть письма, замаскированные под внутренние, от кого-то из компании. Наконец, мы потому и говорим о социальной инженерии, что подобраться к сотруднику можно с помощью обычного телефонного звонка.
Человек может получить звонок с номера своей же организации. Он подумает, что звонит секретарь или кто-то из коллег, хотя на самом деле это будет мошенник.
Преступники часто играют на любопытстве. Например, они могут разместить QR-код, который захочет просмотреть ваш сотрудник. Он просканирует QR-код, перейдет на зараженный сайт и его мобильное устройство будет заражено. Человек придет в офис, подключится к WiFi-сети организации — и все, червь внутри.
Так что, если вы ограничиваете доступ для сотрудников в соцсети, вам надо помнить о других возможных путях атаки. Вы не можете перекрыть их все.
— Все больше людей используют личные мобильные устройства на работе — это еще одна распространенная тема у экспертов информационной безопасности. Не преувеличены ли масштабы угроз?
— Нет. Я думаю, что мобильные устройства усложняют IT-специалистам работу — очень трудно контролировать все устройства на разных платформах — Android, iOS и прочих. Сотрудники часто заходят со смартфонов или планшетов на корпоративный портал, просматривают почту и прочее. Мне кажется, что нельзя их лишать такой возможности, но нужно четко разграничивать доступ. Если это мобильный пользователь, он может зайти на сайт и найти необходимую информацию. Но он не должен попадать в «админку» или в интранет. Для этого он должен залогиниться через свой рабочий ноутбук, используя защищенное соединение.
Мобильное устройство может быть заражено вирусом, о котором не будет знать его владелец, оно может быть «взломано», открытое интернет-соединение может быть небезопасным. Поэтому важно, чтобы доступ к данным был разграничен.
— Можете рассказать одну из наиболее показательных историй о том, как приемы социальной инженерии привели мошенников к успеху? Лучше из собственной практики.
— О, у меня есть очень хороший пример из прошлого. Это случилось, когда я еще учился в университете. Однажды один профессор, читая лекцию, упомянул о том, что очень хотел бы работать в Apple. Он сказал, что это его мечта. Один из студентов, который был в аудитории, услышал это и запомнил. В конце семестра, перед экзаменом, он «хакнул» профессорский компьютер и выкрал все ответы. — Честное слово, это был не я — это был очень плохой студент, в отличие от меня — я был очень хорошим.
— И как ему это удалось?
— Очень просто. Он создал поддельную страничку в LinkedIn от имени рекрутера Apple [напомним, LinkedIn — это социальная сеть для поиска профессиональных контактов, BFM.ru]. Он добавил множество людей в контакты — совершенно случайных людей. При этом он добавил еще и нескольких друзей того профессора. Страница была заполнена очень хорошо и информация на ней выглядела очень достоверной.
Затем он послал приглашение присоединиться к его странице профессору. Тот, конечно, увидел своих друзей в общих контактах и подумал «Ого! Как замечательно! Меня добавил рекрутер Apple!». Он ведь мечтал там работать.
После того, как профессор добавил этого псевдо-сотрудника Apple в друзья, тот послал ему PDF-файл с названием «видение компании» [такие посылают при официальных офертах многие зарубежные организации]. Профессор открыл этот файл и получил «червя» на свой компьютер. Таким образом, студент получил доступ к данным, которые там хранились. В итоге, он смог выкрасть ответы к тесту и сдал его.
Правда, ему так и не удалось сдать последний экзамен — когда он попытался в очередной раз залезть в компьютер профессора, оказалось, что он уже защищен. Просто одна из камер университета зафиксировала, как студент взламывал компьютер профессора, и тот успел принять меры.
Вот история о том, как важно защищать свой компьютер антивирусными и антишпионскими программами. Конечно, я шучу. Она о том, что нужно честно готовиться к экзаменам.
— В этом случае студента поймали, потому что он взламывал компьютер под камерой. Сколько же подобных случаев, о которых никто не узнал? Как часто преступникам удается обвести жертву вокруг пальца, втираясь к ней в доверие?
— Это одна из главных проблем в таких случаях. Люди не сообщают о том, что кто-то пытался узнать через них какую-то информацию. Они просто не думают, что должны это делать. Когда антивирус сообщает, что компьютер заражен вирусом, люди звонят в IT-департамент, и специалисты принимают необходимые меры. Но когда кто-то просто звонит человеку и говорит: «Привет, я твой коллега, пожалуйста, скажи мне свой пароль» — человек обычно говорит «я вас не знаю» и кладет трубку. Он не сообщает об этом специалистам по безопасности, не придает этому значения. Мы должны обучать людей, чтобы все понимали, что делать в таких ситуациях. Одна из главных проблем в борьбе с приемами социальной инженерии — отсутствие сообщений о подобных случаях.
Источник: http://www.bfm.ru/articles/2012/06/03/intervju-tomera-tellera-check-point.html