Один из ваших сотрудников тихо сидит на крыльце своего дома в выходной день, в День поминовения (национальный день памяти США), когда досадно знакомый звук текстового сообщения прерывает тишину.
«Мне очень жаль, что мы сорвали заслуженный уик-энд, но нам только что стало известно о проблеме, которая может значительно задержать выдачу вашей зарплаты, — говорится в текстовом сообщении главы отдела кадров. — Чтобы решить эту проблему, войдите в новый HR-портал на данной ссылке, используя свои учетные данные».
Проблема в том, что это прислал не глава отдела кадров. Против вашего сотрудника пытаются использовать «smishing» — SMS-фишингом — сообщением, которое представляет собой попытку получить доступ к наиболее конфиденциальной информации организации через вредоносную ссылку, отправленную в текстовом сообщении.
Это всего лишь один пример «человеческого взлома», — сказал на прошлой неделе Питер Вармка, бывший сотрудник ЦРУ с более чем 20-летним стажем и основатель Института контрразведки, на саммите по киберзащите-2021. Злоумышленники нацелены на сотрудников, чтобы, используя их личную информацию, заставить совершать действия, которые могут привести к нарушению безопасности.
Хотя Вармка ушел со своей работы, которая предполагала «прямое манипулирование людьми для облегчения взлома», он сказал присутствующим, что был зол на то, как его прежние рабочие инструменты использовались во многих недавних взломах.Питер Вармка раскрыл как злоумышленники полагаются на легкие цели, такие как собственные сотрудники организации или сторонние партнеры для проникновения в трудные цели — организации с системами, содержащими ценные данные о клиентах или сотрудниках и конфиденциальную информацию, которая может иметь лучшую защиту.
Кто такой инсайдер?
Различные атакующие группы имеют разные мотивы своей деятельности. Криминальные структуры используют информацию для перепродажи или получения финансовой выгоды. Спецслужбы и конкуренты могут искать конфиденциальные данные. Группы активистов могут искать деликатную информацию, чтобы поддержать свою деятельность. «Одинокие волки» могут просто искать интересную задачу.
По словам Вармки, автора книги «Признания шпиона ЦРУ: Искусство взлома человека», в зависимости от целей злоумышленника, каждому угрожает опасность стать инсайдером.
У инсайдеров есть особая конфиденциальная информация, и злоумышленники нацелены на них, потому что ими часто легче манипулировать. Инсайдером может стать любой человек в организационной структуре — от генерального директора до помощника или стажера — или любой, кто работает с организацией, например, подрядчик, обслуживающий копировальные аппараты, или сотрудник бухгалтерской фирмы. Если злоумышленники заинтересованы в серьезной цели — компании из списка Fortune 500 — то они часто преследуют поставщиков, которые указывают эту компанию в качестве клиента.
«Злоумышленники собирают как можно больше информации, чтобы добиться максимального успеха и минимизировать неудачи или компромиссы», — сказал Вармка.
Интернет: Рог изобилия компрометирующей информации
Информация, добытая из золотого рудника, которым является Интернет, может быть опасной. На таких сайтах обзора вакансий, как Glassdoor, потенциальные хакеры могут получить подробную информацию о мышлении уязвимых целей. Сотрудники, которые чувствуют, что они перегружены работой, что их недооценивают и недоплачивают, являются потенциальными целями, чтобы стать инсайдером.
Иногда компания раскрывает конкретные детали, которые могут быть использованы против нее. Например, объявление о вакансии для ИТ-специалиста может содержать подробные сведения обо всех системах и базах данных, которые использует компания, которые могут стать целью заражения. Пресс-релиз может показать, как организация растет и меняется, а также указать потенциальные цели, их должности или даже хобби и интересы.
По словам Вармки, просто введите название компании вместе с фразами «руководство для сотрудников» и «PDF» в поисковой системе. Руководства для сотрудников могут раскрывать пакеты льгот, правила и другую конфиденциальную информацию.
Организации должны принять во внимание, какая информация о компании — даже если она кажется полностью безопасной — доступна посторонним, и переместить ее в место, доступное только сотрудникам, например на сайт интрасети.
Социальные сети — еще одна золотая жила.
В социальных сетях есть все понемногу: история работы, сертификаты, волонтерская деятельность, политические взгляды, статусы отношений, а также любимые книги и фильмы. Фотографии могут использоваться для определения социально-экономического статуса.
Вармка сказал, что хакеры используют эту ценную информацию для разработки профиля оценки личности по целям, «чтобы определить как мотивацию, так и уязвимые места» отдельных людей, таких как образование, семья и карьера.
«Даже если мы не хотим этого признавать, у всех нас есть уязвимости, — сказал Вармка. — У всех нас есть мотивы и уязвимости, и они меняются в течение нашей жизни».
По его словам, можно воспользоваться темными сторонами нашей жизни, такими как наши пристрастия и пороки, добавив, что эго, ненависть и месть являются наиболее доступными человеческими эмоциями, которыми можно манипулировать.
«Каждый человек — уникальный человек, — сказал он. — И если мы поймем, на какие кнопки мы можем нажимать, это то, что будет использовать хакер».
Проверяй, потом доверяй
Тактику социальной инженерии можно использовать в сочетании с подразумеваемым доверием, чтобы заставить работников думать, что их данные о заработной плате скомпрометированы, не подвергая это сомнениям. Вармка сказал, что люди уязвимы для взлома, потому что мы верим в развитие доверия.
«Доверие — это не плохо, — сказал он. — Доверие — это то, что связывает людей вместе в функционирующие общества посредством чего-то написанного или сказанного. Слепое доверие — это то, что действительно может быть фатальным. Это доверие, которое хакеры используют. Они используют это доверие для великого обмана».
Организации не могут сообщать сотрудникам, что они могут или не могут публиковать в своих личных профилях в социальных сетях, но они могут показать сотрудникам, как информация, которой они делятся публично, может быть использована против них. Помощь сотрудникам в использовании средств контроля конфиденциальности и ограниченных настроек способствует их личной безопасности, а также может помочь организации. Обучение безопасности также должно включать сведения о том, какие рабочие данные не следует публиковать в Интернете, чтобы свести к минимуму объем информации, доступной для взлома злоумышленниками.
Лучший способ бороться с этими обманами, которые могут привести к нарушениям безопасности — помимо контроля информации, которая публикуется на веб-сайтах и в социальных сетях — это обучать сотрудников проверять информацию, прежде чем доверять ей. Обучение должно быть больше, чем короткие видеоролики о соответствии и экзамен с тремя вопросами. Сотрудники должны понимать ценность того, что обеспечение безопасности информации — это нечто большее, чем просто ежегодная рутинная работа по сохранению их рабочих мест.
«Подход должен быть таким, чтобы сотрудники понимали, что если они являются целью, то могут лично подвергнуться риску, — сказал Вармка. — На карту поставлена их личная и финансовая безопасность, а также безопасность членов их семей.
«Они должны учитывать, что защита себя автоматически перенесена и в организацию», — добавил он.
Перевод статьи «How Attackers Hack Humans»