У цій статті розглянемо інформаційні атаки, у тому числі різні види фішингу, наведемо приклади атак і розповімо про засоби захисту від них.
329 
Соціальна інженерія стала невід’ємною частиною кібершахраїв. Мова йде про спеціальну методику маніпуляції, яка допомагає змусити людину віддати зловмисникам необхідні дані. Яким чином? Використовуючи людські слабкості – тобто емоції та природну поведінку жертви. Соціальна інженерія — це мистецтво маніпулювання користувачами обчислювальної системи з метою розкриття конфіденційної інформації, яка може бути використана для отримання несанкціонованого доступу до комп’ютерної системи. Термін також може включати такі дії, як використання людської доброти, жадібності та цікавості для отримання доступу до будівель з обмеженим доступом або спонукання користувачів до встановлення бекдорного програмного забезпечення. Сьогодні існує чимало методів використання соціальної інженерії. В основі – маніпуляція людськими страхами, зацікавленістю або довірою. Жертвою соціальної інженерії можна стати як під час особистого спілкування, так і по телефону або через цифрові гаджети. Зловмисники можуть «маскуватися» під установи, яким довіряє людина.
Наприклад, прикидаючись представниками оператора мобільного зв’язку або працівниками банку, вони можуть надсилати електронні листи з додатком або посиланням, за яким людина має ввести свої особисті дані. Жертві також можуть додатково зателефонувати із проханням відкрити цей додаток або ж перейти за посиланням. Вважається, що таке «живе» спілкування додає ситуації чималої правдоподібності і зазвичай змушує людей відкривати вкладення. Знання трюків, які використовують хакери, щоб оманою змусити користувачів оприлюднити життєво важливу інформацію для входу, є фундаментальним для захисту комп’ютерних систем.
Збір інформації : це перший етап, на якому людина дізнається якомога більше про заплановану жертву. Інформація збирається з веб-сайтів компаній, інших публікацій, а іноді й шляхом розмови з користувачами цільової системи.
План атаки : зловмисники описують, як він/вона збирається здійснити атаку
Інструменти отримання: це комп’ютерні програми, які зловмисник використовуватиме під час атаки.
Атака : використовуйте слабкі місця цільової системи.
Використовуйте набуті знання . Інформація, зібрана під час тактики соціальної інженерії, як-от імена домашніх тварин, дати народження засновників організації тощо, використовується в атаках, наприклад підбір пароля.
Методи соціальної інженерії можуть приймати різні форми.
Нижче наведено список поширених техні:
Експлойт знайомства: користувачі менш підозрілі щодо знайомих їм людей. Зловмисник може ознайомитися з користувачами цільової системи до атаки соціальної інженерії. Зловмисник може взаємодіяти з користувачами під час їжі, коли користувачі курять, він може приєднатися, на соціальних заходах тощо. Це робить зловмисника знайомим користувачам. Припустімо, що користувач працює в будівлі, яка вимагає код доступу або картку для отримання доступу; зловмисник може стежити за користувачами, коли вони заходять у такі місця. Користувачі найбільше люблять тримати двері відкритими, щоб зловмисник зайшов, оскільки вони знайомі з ними. Зловмисник також може запитати відповіді на запитання, наприклад, де ви познайомилися зі своєю дружиною, ім’я вашого вчителя математики в середній школі тощо. Користувачі, швидше за все, розкриють відповіді, оскільки довіряють знайомому обличчю.
Обставини , що лякають: люди, як правило, уникають людей, які лякають оточуючих. Використовуючи цю техніку, зловмисник може прикинутися гарячою сваркою по телефону або зі спільником у схемі. Потім зловмисник може запитати у користувачів інформацію, яка буде використана для порушення безпеки системи користувачів. Користувачі, швидше за все, дають правильні відповіді, щоб уникнути конфронтації з зловмисником. Цей прийом також можна використовувати, щоб уникнути перевірки на контрольно-пропускному пункті.
Фішинг : ця техніка використовує хитрість і обман для отримання особистих даних від користувачів. Соціальний інженер може спробувати видати себе за справжній веб-сайт, наприклад Yahoo, а потім попросити нічого не підозрюючого користувача підтвердити ім’я облікового запису та пароль. Цю техніку також можна використовувати для отримання інформації про кредитну картку або будь-яких інших цінних особистих даних.
Переслідування : ця техніка передбачає стеження за користувачами позаду, коли вони входять у заборонені зони. З людської ввічливості користувач, швидше за все, впустить соціального інженера в зону обмеженого доступу.
Експлуатація людської цікавості : використовуючи цю техніку, соціальний інженер може навмисно кинути заражений вірусом флеш-диск у місце, де користувачі можуть легко його підхопити. Користувач, швидше за все, підключить флешку до комп’ютера. Флеш-диск може автоматично запускати вірус, або користувач може спробувати відкрити файл із такою назвою, як Employees Revaluation Report 2013.docx, який насправді може бути зараженим файлом.
Експлуатація людської жадібності : використовуючи цю техніку, соціальний інженер може заманити користувача обіцянками заробити багато грошей в Інтернеті, заповнивши форму та підтвердивши свої дані за допомогою даних кредитної картки тощо.
Загроза безпеці визначається як ризик, який потенційно може завдати шкоди комп’ютерним системам і організації. Причина може бути фізичною, наприклад хтось викрадення комп’ютера, який містить важливі дані. Причина також може бути нефізичною, наприклад вірусна атака. У цій серії посібників ми визначимо загрозу як потенційну атаку хакера, яка може дозволити йому отримати несанкціонований доступ до комп’ютерної системи.
Фізична загроза є потенційною причиною інциденту, який може призвести до втрати або фізичного пошкодження комп’ютерних систем.
У наведеному нижче списку фізичні загрози класифікуються за трьома (3) основними категоріями;
Внутрішні : загрози включають пожежу, нестабільне електропостачання, вологість у приміщеннях, де розміщено обладнання тощо.
Зовнішні : ці загрози включають блискавку, повені, землетруси тощо.
Людина : ці загрози включають крадіжки, вандалізм щодо інфраструктури та/або обладнання, збої, випадкові чи навмисні помилки.
Щоб захистити комп’ютерні системи від вищезгаданих фізичних загроз, організація повинна мати засоби контролю фізичної безпеки. У наведеному нижче списку показано деякі з можливих заходів, які можна вжити:
Внутрішні : загрози пожежі можна запобігти, використовуючи автоматичні пожежні сповіщувачі та вогнегасники, які не використовують воду для гасіння пожежі. Нестабільному електроживленню можна запобігти за допомогою контролерів напруги. Для регулювання вологості в кімнаті інформатики можна використовувати кондиціонер.
Зовнішні : системи блискавкозахисту можуть використовуватися для захисту комп’ютерних систем від таких атак. Системи блискавкозахисту не є ідеальними на 100%, але певною мірою вони зменшують ймовірність того, що блискавка завдасть шкоди. Розміщення комп’ютерних систем у високогір’ях є одним із можливих способів захисту систем від повеней.
Люди : таким загрозам, як крадіжка, можна запобігти, використовуючи замкнені двері та обмежений доступ до комп’ютерних кімнат.
Нефізична загроза є потенційною причиною інциденту, який може призвести до:
Втрата або пошкодження системних даних
Порушити бізнес-операції, які покладаються на комп’ютерні системи
Втрата конфіденційної інформації
Незаконний моніторинг діяльності в комп’ютерних системах
Порушення кібербезпеки
інші
Нижче наведено список поширених типів нефізичних загроз:
Вірус
Трояни
Черви
шпигунське програмне забезпечення
Ключові реєстратори
рекламне ПЗ
Атаки на відмову в обслуговуванні
Розподілені атаки на відмову в обслуговуванні
Несанкціонований доступ до ресурсів комп’ютерної системи, таких як дані
Фішинг
Інші ризики комп’ютерної безпеки
Щоб захистити комп’ютерні системи від вищезгаданих загроз , організація повинна мати логічні заходи безпеки . У наведеному нижче списку показано деякі можливі заходи, які можна вжити для захисту від загроз кібербезпеці
Для захисту від вірусів, троянів, хробаків тощо організація може використовувати антивірусне програмне забезпечення . Крім антивірусного програмного забезпечення, організація також може контролювати використання зовнішніх пристроїв зберігання даних і відвідування веб-сайтів, які, швидше за все, завантажують неавторизовані програми на комп’ютер користувача.
Несанкціонований доступ до системних ресурсів комп’ютера можна запобігти за допомогою методів автентифікації . Методами автентифікації можуть бути ідентифікатори користувачів і надійні паролі, смарт-карти або біометричні дані тощо.
Системи виявлення/запобігання вторгненням можна використовувати для захисту від атак на відмову в обслуговуванні. Існують також інші заходи, які можна застосувати, щоб уникнути атак на відмову в обслуговуванні.
Більшість методів, які використовують соціальні інженери, передбачають маніпулювання людськими упередженнями . Щоб протистояти таким методам, організація може:
Щоб протистояти експлойту знайомства , користувачів потрібно навчити не замінювати знайомство заходами безпеки. Навіть люди, з якими вони знайомі, повинні довести, що вони мають дозвіл на доступ до певних областей та інформації.
Щоб протистояти атакам залякування обставин, користувачі повинні бути навчені визначати методи соціальної інженерії, які виловлюють конфіденційну інформацію, і ввічливо відмовляти.
Щоб протистояти методам фішингу , більшість сайтів, таких як Yahoo, використовують безпечні з’єднання для шифрування даних і доведення, що вони є тими, за кого себе видають. Перевірка URL може допомогти вам виявити підроблені сайти . Уникайте відповідей на електронні листи з проханням надати особисту інформацію .
Щоб протистояти небезпечним атакам, користувачі повинні бути навчені не дозволяти іншим використовувати їхній дозвіл безпеки для отримання доступу до зон обмеженого доступу. Кожен користувач повинен використовувати власний дозвіл доступу.
Щоб протистояти людській цікавості , краще надати підібрані флеш-диски системним адміністраторам, які мають перевірити їх на наявність вірусів чи іншої інфекції, бажано на ізольованій машині.
Щоб протистояти методам, які використовують людську жадібність , співробітники повинні бути навчені щодо небезпеки попадання на такі шахрайства.
329 
320 
299