Социальная инженерия

Ухудшение имиджа, плохое паблисити, массовый отток клиентов

Сентябрь

СП ОО «Мобильная цифровая связь» (владелец торговой марки Velcom)

В продаже появилась БД с более чем 2 млн абонентов белорусского сотового оператора Velcom. Компания обвинила в утечке партнерский банк, которому база была передана для проверки правильности указанных реквизитов при оплате услуг связи. Фирма МЦС даже собралась подать на банк в суд. Пресса при этом отмечает, что БД с клиентами оператора появляются в продаже регулярно с 2002 года

Удар по репутации, потеря лояльных клиентов, трудности с привлечением новых клиентов

Октябрь

ЗАО «Вэб Хостинг» (владелец торговая марка Valuehost)

Массовый отток клиентов, юридические издержки, удар по репутации

Декабрь

Банк «Русский стандарт», ХКБ Банк, Росбанк, Финансбанк, Импэксбанк и др.

Плохое паблисити, ухудшение репутации всего банковского сектора

Итак, мы выяснили, что наиболее опасной угрозой ИБ является утечка конфиденциальной информации, произошедшей по вине инсайдеров. Потенциальный ущерб отражен в таблице, и все же интересно узнать мнение респондентов, к каким последствиям для организации приводит данная угроза

Только каждый 10-й упомянул об юридических издержках и судебное преследование, что свидетельствует о неразвитости правоприменительной практике в России. 30 января 2007 вступил в действие закон ФЗ-152 «О персональных данных» и тем самым создал все основания для того, чтобы компания, допустившая утечку, могла быть привлечена к ответственности. К сожалению, новый закон пока на сегодняшний день не оправдывает ожидания, не достает вынесения жестких судебных решений для тех организаций, которые допускают утечки. Небольшой обзор, посвященный этому закону будит приведен в разделе «Организационно-правовое обеспечение информационной безопасности».

При этом обращает на себя значительно возросший рейтинг печатающих устройств и фотопринадлежности, которые как и прежде остаются менее покрыты вниманием ИТ-служб, а рост числа сетевых принтеров в организациях, доступность фотопринадлежностей и их встраиваемость во все на свете позволяют злоумышленнику эффективно такими средствами пользоваться. Собственно, уровень ИТ-безопасности в компаниях понемногу растет и достаточно немало компаний уже приобрели и установили у себя средства контентной фильтрации, что немного повлияло на Интернет-канал и электронную почту. И злоумышленникам ничего не остается, как искать иные каналы для выноса конфиденциальных данных.

Очень интересным является следующая гистограмма. Респондентам задавался вопрос о допущенном количестве утечек конфиденциальной, информации в 2006 г.

Количество «затрудняющихся ответить» уменьшается что свидетельствует о положительно динамике, т.к. возросло число респондентов способных однозначно отвечать на вопрос. Каждый 4-й опрошенный ответил, что его компания допустила от одной до пяти утечек, каждый 8-й уверенно сообщает о шести до 25 утечек. Значит у респондентов появилась возможность фиксировать утечки или отслеживать результат по факту происшедшего. Значительно сократилось число респондентов утверждающих, что у них не происходит утечек.

Таким образом, дальнейшая профанация руководством компании вопросов, учитывающих информационные риски, по меньшей мере, приведут к значительным финансовым потерям. В отдельных случаях, они приведут к краху компании. По четкому убеждению российского представительства управляющих различных компаний, утечка конфиденциальной информации в объеме 20% приводит в 60% компанию к банкротству.

2.4 Наиболее распространенные области применения социальной инженерии

Не удивительно, что многие механизмы, методы и схемы заимствованы из арсенала спецслужб. Техника отработана, созданы методологии. Создан серьезный штат специалистов. Частичный переход ряда специалистов из госслужбы в частный сектор, способствовало тому, что часть своих знаний эти специалисты стали использовать для собственных нужд в интересах коммерческого сектора. К сожалению, немало таких знаний стало использоваться в мошеннических целях социальными инженерами. О наиболее «популярных» областях, в которых социтехника используется на все сто процентов, стоит упомянуть.

В основе любой операции, задуманной социоинженером или группой, всегда тщательно изучается объект воздействия и используется та «человеческая уязвимость» которая выражается в желаниях, чертах, характере, привычках и других качествах человека и которая попала в зону пристального внимания атакующего. Следующая, далеко не полная схема (рис. 2.17) показывает современное использование социальной инженерии в мошеннических целях.

2.4.1 Финансовые махинации в организации

Крис Касперский, известный отечественный автор приводил в своей статье [21] факты при которых, за получением гонорара в издательство может прийти кто угодно и назваться в бухгалтерии тем автором, который находится в листе-реестре, получения гонорара. Причем, некоторые наглые товарищи, могут прийти дважды. Сославшись на то, что за него кто-то другой приходил и получил деньги, а он первый раз пришел и такая нелепая ситуация. Картина похожа в разных издательствах, т.к. знать всех авторов в лицо невозможно. Немалое их число проживает в других городах. Тем не менее, немало денежных вопросов решается через электронную почту, по телефону или онлайн-пейджеры, что недопустимо. Введение политики заключения авторских договоров, способно было бы разрешить этот вопрос в пользу издательства, а также пресечь авторов- или мне-авторов мошенников.

Размещено на http://www.allbest.ru/

Немало известно случаев, когда таким же образом приходят получать зарплату ряд операторов продающих какие-то услуги и товары, работающие по соглашению с компанией у себя на дому.

Несколько слов о случайных встречах

Существует немало агентств, которые организуют «случайные встречи» как на заказ, так и для своей работы. К операции «случайная встреча» подготовка идет основательная. Просчитываются все возможные и невозможные варианты. Когда на «жертву» собирается полное досье, учитывающее все, что имеет отношение к нему. В данном случае злоумышленники действуют по принципу «много информации не бывает». Учитываются предпочтения и личные интересы. Если это мужчина, учитывают его отношение к женщине, какой тип женщин у него вызывает восторг, с определенными её чертами и качествами. Какую музыку он случает, какие места посещает, что предпочитает в еде, какие черты характера для него самого характерны. Собирается абсолютно вся информация. Далее с помощью психологов прогнозируется достаточно точно психо- и социотип жертвы с предсказанием её поведения в той или иной ситуации. Используется дерево решений. Например, если подобрали девушку, у которой «сломалась» машина на его маршруте, он не остановившись проехал дальше, тогда организовывается «подставная авария» в которой в его дорогую машину врезается девушка на своем авто. Просчитывается поведение объекта. Подойдет ли он сам, или он жесткий парень и «на разборку» выйдут его охранники. А сам он предпочитает «стерв», а не фифачек, шлепающихся в обморок, как по делу, так и без дела, и такой номер на него не подействует. И вон он сидя в своей машине, слышит гортанный женский голос: «Эй, вы бодигарды, кыш отседова. Говорите, сколько я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей нелегкой женской долей. А вашему недоумку, который за рулем скажите, чтобы при виде бабы за рулем, убирался с дороги по добру, по здорову!». Слушая такую речь, Петр Иванович, владелец нескольких крупных салонов и автозаправок в центре столицы, а также небольшого нефтезавода уже подсознательно понимает, что эта речь, этот тембр, принадлежит «стерве его мечты». Решает сам выйти и поглядеть кто она такая. Далее, все идет по раннее разработанному сценарию. Продумывается все, сама речь, постановка и обороты, фактор выразительности и умение реагировать на собеседника, не теряя сноровки. Если такой девушки нет в арсенале агентства, которая бы соответствовала стереотипному представлению жертвы, её обучают и готовят.

В Москве, Санкт-Петербурге и других городах имеются «агентства знакомств» которые собирают обширное досье на первых лиц различных компаний. Особенно попадающие на страницы журнала “Forbs” и в списки состоятельных граждан. Организуется двусторонняя работа, когда женщина заказывает агентству желанного «жениха», либо этому агентству поступает крупный заказ со стороны на «развод» какой-то жертвы. Так организуется «случайная встреча», после которой 40% от всех доходов, полученных за счет вымогательства, в результате деления состояния, переведенных на счет девушки сумм, от стоимости дорогих подарков (драгоценности, дорогая машина, квартира и других) и т.д. передаются в агентство. А также самой девушкой передается информация по этому человеку, представляющая большой интерес для конкурентов, чтобы подавить выбранную жертву. После «полного уничтожения» жертвы, всегда у девушки найдутся веские основания покинуть его. Да и она сама уже способно долго и безбедно самостоятельно существовать, за счет улучшения состояния за счет жертвы.

В таких случаях, очень часто используется желание жертвы, обладать «женщиной своей мечты», эксплуатируется чувство и понятие любви.

Достаточно распространенный пример. Есть некоторая средняя по размеру компания. В ней работает бухгалтером хорошенькая девушка Ольга. «Случайно» в клубе весной, когда все расцветает не только на улице, но и в душе, она познакомилась и без памяти влюбилась в юношу Вадима, очень милого, обаятельного, прекрасного парня. Во время первой встречи, она узнала, что Вадим приехал недавно в город и поступил на вечернее отделение финансового факультета. Бывший слесарь, а это не страшно, рассуждала Ольга, скоро выучится, и будут её коллегой по сфере деятельности. В общем, затевалась свадьба, и впереди было масса приятностей и наконец, долгожданная любовь, о которой мечтала так Ольга. И вот в один «прекрасный» день она узнает, что с её компьютера осуществляет значительный денежный перевод на не известную фирму. В компании Ольга имеет самую замечательную репутацию очень уравновешенного, хорошего и ответственного человека и сотрудника. В это время и Вадим исчез. Никому и в голову не пришло, что это мог сделать Валим, такой потрясающий, отзывчивый, обаятельный и интересный юноша. А дело в том, что Вадим влюбил в себя Ольгу, чтобы воспользоваться её служебным положением. У Вадима целью было воровство денег. Улучив момент и оставшись в кабинете Ольги один, он и осуществил перевод. Как выполнить эту процедуру, он узнал у Ольги, задавая вопросы и интересуясь, как все работает, ссылаясь на профессиональный интерес, в силу получаемого финансового образования. Во время бесед Вадим выяснил, где лежат дискеты с электронными ключами главбуха и директора. Причем, Вадим своими манерами и поведением влюбил в себя многих сотрудников компании, в которой работала Ольга. Даже директор готов был взять Вадима в штат фирмы, благословляя их с Ольгой за раннее свадьбу. Из-за упрощенной процедуры электронной подписи, для осуществления перевода денег, такая махинация может достаточно свободно проводиться во многих отечественных компаниях.

Если на месте Ольги оказался бы сам директор, желающий любви со своей «мечтой», которую бы подобрали по схеме описанной выше, сложно представить себе последствия такой «случайной встречи».

2.4.2 Бесплатное приобретение программных продуктов

Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика, сегодня не оправданная мера. Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.

Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно стоит дорого, но если проявить чуточку смекали, возможно все. Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто - с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.

Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу "котов в мешке". Поиск хорошей работы - это вообще рулетка и без разочарований здесь не обойтись.

2.4.3 Бесплатный наем рабочей силы

Распространенная практика найма «бесплатной» рабочей силы для выполнения либо какого-то заказа на разработку, либо написания собственной системы для компании. Как отмечалось в предыдущем пункте, это может быть непосредственно поиск работы по какому-либо сайту и в качестве тестинга, компания высылает по интернету на обозначенный ею срок заказ на разработку какого-то модуля или другого программного средства. Или уже начатую разработку, и соискателю нужно будит в указанный срок разработать/доработать какой-то программный продукт. При этом, не заключаются никакие соглашения, в виде договора на разовую работу.

Или другой механизм, когда компания приглашает на разработку квалифицированные кадры. Часто говорит, что у нас мол, выплата зарплаты производится по истечению двух месяцев работы и за один месяц, а не два разработанных. Мы мол, к вам присматриваться будем, подходите вы нам или нет. По истечению двух месяцев мы с Вами будим заключать трудовой контракт, если подойдете.

Разумеется, по истечению двух месяцев выплачивается зарплата за месяц, и то далеко не та обещанная сумма, нежели была обозначена на собеседовании и ответ сотрудника отдела кадров «Извините, вы нам не подходите». Или через месяц человека просто просят уйти. По Москве сам таких случаев от своих коллег знаю немало.

2.4.4 Информация о маркетинговых планах организации

Сыграть на опережение, компании конкурента, выведав её маркетинговые планы - один из желанных лакомых кусочком большинства компаний. Впрочем, эти сведения, при их получении можно выгодно продать. Методы социальной инженерии, самый простой способ получения такой информации, этим всегда пользуется конкурентная разведка.

2.4.4.1 Выставки

Очень хороший способ получения информации от представителей компаний на выставочных стендах. Если человек проявляет к продукции заинтересованность, тогда, как правило, представитель фирмы готов поведать все, что он знает о продукции, последующих перспективах, сильных сторонах продукта и технологиях. Достаточно, просто слушать. Но, если немного владеть данной областью, тактично, умело и последовательно, задавать вопросы, сопоставлять с продукцией конкурентов, указывая на некоторые сильные стороны конкурирующих решений, перемешивать ключевые вопросы с общими, изменять скорость отпускания новых вопросов и реплик, вызывать в собеседнике эмоциональные нотки, чтобы он пытался отстаивать свою точку зрения, можно узнать массу всего. При этом еще и записывать на диктофон. Главное, не говорить инее представляться конкурентом этой компанию. Ключевую роль играет сама надпись на бейджике представителей топ-менеджмента. Сам вид и поведение должно соответствовать надписи на бейджике, не обязательно быть в очень дорогом костюме. Опрятность в манерах, одежде, поведении, это прежде всего.

Если представитель компании не разговорчив, боится представить компанию в невыгодном свете, тогда меняется сам подход. Допустим, можно войти в роль руководителя компании, знать инициалы директора интересующей нас компаний или группы руководителей топ-менеджеров этой компании, можно спросить: «А что нового появилось у вас в этом году? Что-нибудь про это знаешь?» - если представитель не сразу ответил, тогда используется беспроигрышный ход: «Хорошо! Не суть важно, сам позвоню Иванову, спрошу у него!», уходя при этом добавить: «… непонятно кого поставили у стендов, двух слов связать не могут, уж на такие мероприятия нужно знающего человека присылать». Если представитель интересующей нас компании не отреагировал, тогда походив по другим стендам, следует подойти вновь к стенду, задав на этот раз значимый вопрос, с точки зрения представителя компании, по существу: «А вот про это тебе хоть что-то известно? У тех ребят на стенде и в раздаточном материале все четко расписано и отвечают грамотно. Вы будите подобное делать, или мне сразу стоит с ними заключить договор?». Поскольку уже фигурировала фамилия генерального директора, существует большая вероятность того, что представитель компании начнет рассказывать. Представить компании в не лучшем свете, опасается каждый представитель компании на выставке, что для получателя информации является мишень, при этом аттракцией будит являться значимость «мнеперсоны» статус которой указывается на бейджике и его поведение об этом свидетельствует само за себя.

2.4.4.2 Интервирование ключевых лиц компании

После получения информации на выставке, интересно провести интервирование ключевых лиц этой компании. В процессе интервью возможно получение массы информации о положении дел на предприятии. Узнать о маркетинговых планах, кто с кем объединяется и дружит, кто кого обидел, каковы отношения с конкурентами вообще, узнать о некоторых опасениях компании и т.д. Здесь играет роль один их недостатков человеческого фактора - чувство собственной значимости и безопасность уходит на второй, третий план. Поэтому, интервью с удовольствием дают многие, особенно, если для телевидения. Для социоинженера, это выгодно, т.к. не нужно стесняться в вопросах и можно ими разнообразить, без риска вызвать подозрение. В терминах это называется вести скрытый допрос, т.е. извлекать полезную информацию из разговора с тем, кто не подозревает, что стал объектом вытягивания информации. Часто такой прием используют в психологии.

Для того, чтобы разговорить оппонента, следует «поддеть», спровоцировав его на эмоции. Для этого часто, в процессе беседы, достаточно сказать фразу: «Но вот у организации ААА (конкурент), в журнале «Мир высоких технологий» писалось, что их продукция по многим техническим параметрам опережает производимую у Вас на предприятии аналогичную продукцию. Чем Вы можете это объяснить?». Более того, при большой заинтересованности, можно создать вариант такого журнала с распечаткой статьи и выдержками из нее, или создать сайт с таким журналом и разместить там указанную статью. И во время интервью показать этот материал. Если требуется получить серьезную информацию, тогда это не окажется затратной частью и продумывается масса мелочей. Важно - убедить собеседника и поддев его получить желанную информацию. Причем, периодически стоит «ошибаться», чтобы собеседник начал поправлять и тем самым чувствовал свою значимость и компетентность в вопросе. Результат интервью окажется всегда потрясающим, если тщательно подготавливать вопросы, их порядок и иметь запасные варианты как вопросов и поведения, так и «легальности» представительства, на которое ссылаемся при встрече (несложно арендовать на время телефонный номер и усадить по нему человека, который бы выступили от лица секретаря или главного редактора, например).

Другой подход, превратиться в абсолютно «технически безграмотного дурака». Прося объяснить ту или иную деталь. В таком случае чувство превосходства дополняет чувство собственной значимости.

В терминах психологии, использования трансактного анализа, первый подход является манипулированием по схеме Родитель - Дитя, когда мы производим нападение на оппонента, выступая в роли подкованного и информированного Родителя. Задача нашего оппонента отстоять точку зрения и как Дитя попытаться оправдаться. Второй подход обратный первому, когда разыгрывается Дитя - Родитель и в трансактном анализе он более значим и является хорошим началом многих манипуляций. Достаточно представить ребенка, чтобы понять как он умеет «раскрутить» родителей на покупку мороженного или игрушки.

2.4.5 Кража клиентских баз

Статистика таких краж невелика. Но это не значит, что таких случаев мало. Наоборот, в целях скрытия таких прецедентов компании стараются умалчивать факт хищения клиентских баз, т.к. это значительно отразится на репутации организации в целом. Спрос на базы данных всегда был и остается наиболее значительным.

Уповать на государство и законодательную базу не приходится. Так «Комсомольская правда» от 03.03.2006 г. опубликовала статью «Кто и как ворует базы данных?» в рубрике «Расследование КП», в которой сообщает, что «на торговле краденными в госучреждениях персональными сведениями о россиянах делаются миллионы данных. На неделе появилась очередная база данных за 1200 у.е. содержащая паспортные данные 16 млн. россиян как нынешних, так и бывших жителей столицы. Базой приторговывает Московский центр экономической безопасности, который судя из названия, обязан эту информацию защищать. Руководство центра чуть ли не с гордостью, заявляло, что базу они продают вполне официально. Потому, как закона, запрещающего торговлю такими данными, нет». Странно, о какой национальной безопасности вообще можно говорить, если сегодня не редкость встретить на Горбушке и других рынках, где продают программное обеспечение базы данных с данными из ГИБДД, МВД, Пенсионным фондом и т.д.

В своей основе лежит беспечное отношение сотрудников компании. Очень часто счета фактуры, иные финансово-платежные документы лежат стопками на столах сотрудников, которые имеют привычку выходить на 10-30 минут с кабинета, не блокируя свою рабочую станцию. Мусорные корзины в организациях часто заполнены теми документами, которые должны уничтожаться только с помощью шредера или сжигаться за счет специально-организованных выездов для утилизации финансовых документов, расходных лент с факсимальных аппаратов, магнитных носителей и т.д. В ряде магазинов (мебельные, где продажей техники и других) не редки случаи, когда продавец, очень долго оформляет покупку из-за слабых навыков работы с системой. На просьбу, может ли помочь ввести в 1С данные или другое программное средство, ведущее собственную базу данных, откликаются, и позволяют сесть за рабочее место оператора. При этом могут отлучиться от рабочего места на несколько минут, а проходящий мимо персонал магазина не особо беспокоится, что на рабочем месте сидит посторонний человек.

Не редко, под видом обслуживающей фирмы (представителя 1С например) или технической службы на предприятие проникают посторонние, уточняя какими базами сейчас пользуются сотрудники и как бы желая обновить базы, дополнить новыми. Можно подружиться с системным администратором и подменить его, когда тому нужно по делам в рабочее время решать иные вопросы (организовать вызов ему в военкомат, в домоуправление и т.д. подбросив в почту повестку). И при проверке, позвонив системному администратору он подтвердит легальность своего товарища.

Другая распространенная схема, это трудоустройство менеджером по продажам на 1-2 месяца (на испытательный срок), после получения копии базы, не дожидаясь срока истечения уйти из организации, обосновав тем, что такая работа не подходит, буду пробовать на другой должности.

Самый распространенный случай, это уход ведущего менеджера или группы менеджеров вместе с базой клиентов. Причем, после ожжет достаточно легко появиться новая фирма в составе ушедших менеджеров и работающая с теми же клиентами, что и на предыдущем месте. Учитывая привязанность многих компаний к конкретному менеджеру, ведущего их фирму, и желающего работать только с ним (возможно, были какие-то устные договоренности, устраивающие обоюдно друг друга) ведут к прямым финансовым потерям и выработке негативного отношения на рынке самой организации, которую покинул этот менеджер или группа менеджеров по продажам.

Отмечу еще один нюанс, свидетелем таких ситуаций приходилось быть самому. Когда с руководящих постав компании (коммерческий директор, директор по связям с общественностью, начальник отдела маркетинга, начальник отдела продаж и т.д.) уходит сотрудник, тогда он обычно обращается в информационно-технический отдел к кому-то из технической службы или администратору, чтобы последний сохранил его рабочий профиль и записал профиль на диск или флеш-карту (которую последний сам предоставляет). В 99% случаев, среди этих данных обязательно присутствует база клиентов, с которой работает в настоящее время компания. Увольняющийся сотрудник, обычно аргументирует это как свои наработки за время работы в компании. Однако, некоторые сотрудники работали в компании 3-4 недели. При этом профиль пользователя по объему занимал почти столько же, сколько профиль сотрудника отработавшего в компании на аналогичной должности от года и больше. Причем, сохраняя с помощью IT-службы свои данные, он легализует эту операцию, делая её не своими руками, тем самым отводит ненужное подозрение от себя. Манипуляция происходит за счет личностных отношений («притирки») к сотрудникам IT-службы. Как правило, все руководители, начиная от технического звена и топ-менеджмент, стараются не сориться с данным подразделением, периодически их сдабривая.

В качестве примера, когда вынос клиентской базы может работать не основой для становления своего бизнеса, а всего лишь, как средство получения разовой прибыли. Украинские спецслужбы в 2006 г. раскрыли цепочку противоправных нарушений, начавшуюся с продажи диска с базой данных абонентов одного из харьковских интернет-провайдеров. Покупатель, некий народный умелец, ставший обладателем этой конфиденциальной информации, нашел себе «спонсоров» среди клиентов этого провайдера и произвел ряд перекрестных транзакций, тем самым лишив возможности провайдера восстановить состояние счетов. Компания вынуждена была начислить пострадавшим клиентам компенсацию, в результате её собственный ущерб составил несколько десятков тысяч гривен (точная сумма не указывается, но в долларовом эквиваленте это приличная сумма с учетом зарплат на Украине).

2.4.6 Рейдерские атаки

Рейдеры - это захватчики предприятий, которые поглощают или помогают поглотить насильственно выбранный объект, против воли поглощаемого объекта. Соответственно рейдерская атака - это атака по захвату предприятия.

В толковом словаре, понятие рейдер дословно означает, военный корабль, ведущий на морских путях самостоятельные операции по уничтожению транспортных судов противника.

В нашем случае, это сложная процедура, планирующаяся с инженерной точностью, имеющая в своем составе несколько ключевых этапов (рис.2.18).

Размещено на http://www.allbest.ru/

1 этап. Сбор информации о предприятии.

На этом этапе наиболее широко используются методы социальной инженерии. Собирается и анализируется вся информация о предприятии: финансовая ситуация на предприятии, список контрагентов, список клиентов, список акционеров (реестр акционеров), информация о слабых и сильных сторонах предприятия, о вредных привычках руководства и сотрудников, кто поддерживает друг с другом дружеские отношения и против кого, информация о маркетинговых планах и прочее. Этап занимает 1-3 месяца в зависимости от масштаба предприятия, организационной структуры в нем. Ключевым моментом является получение копии реестра акционеров.

2 этап. Начало атаки.

Атакой является начало скупки акций у миноритарных акционеров (акционеры с небольшим количеством акций), которые рейдеры скупают по очень выгодной цене для держателя акций.

Одновременно со скупкой акций проходит работа по «закошмариванию» предприятия, т.е. организация по дезорганизации его работы. Что приводит к большему числу акционеров желающих расстаться со своими акциями.

В рамках ведения дезорганизационной (диверсионной, можно так назвать) деятельности, руководству «впариваются» иски от имени акционеров по поводу нарушения различных операций с акциями, нарушения порядка проведения сделок, возбуждаются уголовные дела в отношении сотрудников и руководству (чаще всего фиктивные и подделки), инициируются проверки деятельности предприятия различными службами (налоговая, противопожарная, санэпидстанция и т.д.) для парализации работы предприятия широко используется техника гринмейл (корпоративный шантаж, достигаемый реализацией прав мелких акционеров агрессивным образом или вышеприведенной деятельностью).

На этом этапе используется повсеместно набор техник социального программиста (глава 2.7). Осуществляется класс атак HDoS (Human denial-of-service) т.е. отказ в обслуживании самого человека, или метод «блокировки» используемый психологами. Такие атаки достаточно популярны в технике социоинженера и социопрограммиста.

Руководство предприятия в это время начинает идти на увольнение работников для локализации проблемы. Акции предприятия переводятся в доверительное управление или передаются в залог другой компании как правило, подконтрольной основному предприятию. Далее проводится дополнительная эмиссия акций и организуется самим предприятием контрскупка акций.

На этом этапе сегодня, часто привлекают социопрограммистов. В частности задача таких специалистов дискредетировать предприятие в сети Интернет, чтобы СМИ «раздули» скандал и обсуждение. Заводятся форумы, вычисляются партнеры и клиенты предприятия-объекта и создается негативное паблисити, как предприятия-объекта, так и его партнерам и клиентам. Если же у предприятия есть свой сайт и форум, все необходимое готово и социоинженер начинает работу с него.

3 этап. Внесение раскола в состав руководства предприятия.

Задача рейдеров, стать обладателями 30% + 1 акциями, чтобы свободно войти на предприятие. Консолидированный пакет у руководства сегодня, это не меньше 70% акций, чтобы обезопасить себя после кошмарных 90-х годов. Тогда рейдеры пошли по другому пути - внесение раскола между членами управления, играя на внутренних противоречиях между управляющим составом предприятия. О чем становится известно на 1-м этапе. Здесь имеют место интриги и скупка акций у основных держателей акций.

Параллельно формируется оппозиция из миноритарных акционеров, для последующего входа на предприятие или «легализации» своих отношений.

Действие руководства на этом этапе:

· Постараться смягчить конфликт между управляющим составом предприятия;

· Попытка смягчить оппозицию, частично уступая миноритарным акционерам.

На этом этапе, очень широкое поле деятельности для социального программиста. В силу предсказуемости многих поступков людей и групп. Создавая ореол неблагополучного предприятия, сотрудники его просто покидают.

4 этап. Работа с активами предприятия.

На этом этапе руководство предприятия пытается сделать так, чтобы захват предприятия потерял для рейдера смысл. Для этого руководству нужно либо вывести активы предприятия, либо каким-либо образом их обременить. Рейдеры пытаются этого не допустить.

5 этап. Вход на предприятие.

Для легального входа на предприятие рейдер пытается созвать внеочередное собрание акционеров для переизбрания совета директоров. Для этого, собирается пакет акций 30% +1 акция и посылается в действующий орган управления предприятия требование о созыве внеочередного собрания акционеров. После игнорирования руководством собрания, рейдер имеет право провести такое собрание самостоятельно (как правило скрытно, с присутствием на нем подконтрольных рейдеру акционеров, кто пытается присутствовать из управляющего совета, таких пытаются блокировать или обмануть). В таком случае первое собрание не является достаточным кворумом для принятия решения, поэтому на первом собрании констатируется отсутствие кворума, что заносится в протокол собрания и все расходятся. Если собрать повторное собрание, то 30% + 1 акция уже будит считаться кворумом и решения принимаются большинством голосов. Как правило, это прекращение полномочий прежнего совета директоров и избрать новый совет директоров (т.е. параллельный орган управления). Рейдеры делают еще один шаг, с помощью одного из участников собрания в суд направляется претензия к проведению собрания, чтобы признать его недействительным. Повод выбирается формальный, чаще вздорный, чтобы суд не признавал его значимости. Что суд и делает. Документ получаемый на руки рейдеру ценный, т.к. он признал очередное собрание легитимным и суд это подтверждает. После чего, параллельный орган начинает работать и предприятие в руках рейдера.

2.5 Общая классификация АТАК и связанные с ними угрозы, ОСНОВАННых НА МЕТОДАХ СОЦИОТЕХНИКИ

Корпорация Microsoft все угрозы связанные с использованием методов социотехники для упрощения восприятия, выделяет в пять основных направлений проведения атак [26]. Считаю её достаточно удачной классификацией и поэтому возьмем её в качестве общей структуры.

Направления атак:

1. Сетевые атаки.

2. Телефонные атаки.

3. Поиск информации в мусоре.

4. Персональные (личностные) подходы.

5. Обратная социальная инженерия (или инсайд).

Как упоминалось раннее, главной целью атак злоумышленников является так называемая чувствительная информация: персональная информация пользователей (имена, пароли, аккаунты, идентификационные номера, банковские реквизиты и т.п.) и данные о корпоративных сетях. С помощью такого рода сведений возможен обход многоуровневых систем защиты от вторжений. Злоумышленниками движут людские потребности - получение денег, получение социального статуса и поднятия собственной самооценки. Что это несет для компании-цели атаки, мы видели в аналитическом разделе (раздел 2.3).

Как было выяснено, самыми дорогими и потому, самыми опасными являются неправомерные действия сотрудников, т.е. внутренние угрозы. В разделе 2.3 (рис. 2.4, рис. 2.6, рис. 2.11, рис. 2.12 и рис. 2.15) на гистограммах указаны основные виды каналов утечки конфиденциальной информации. Специалисты по защите информации, считают, что основными причинами вызывающие утечку конфиденциальных сведений являются [27]:

1. Открытый доступ сотрудников к большому объему информации, зачастую не требующейся для выполнения их служебных обязанностей.

2. Это несвоевременная деактивация электронных аккаунтов сотрудников, уволенных из компании.

3. Косвенная, но важная причина - наличие (или разрешение) в компании средств коммуникации, опасных для использования. К таким средствам относятся, например, интернет-пейджеры и бесплатные почтовые сервисы (mail.ru, rambler.ru и т.п.).

4. Электронная почта и Интернет, если их использование не регламентируется соответствующими политиками и не контролируется специальными средствами.

2.5.1 Сетевые угрозы

У мошенников имеется целый арсенал отработанных средств и наработанного опыта, который постоянно пополняется и даже профессионалу часто сложно оценить ситуацию, чтобы не попасться на очередную уловку. В силу того, что сегодня основная масса информации любой компании обрабатывается в электронном виде и передается, как по внутренним, так и внешним телекоммуникационным каналам связи, рассмотрим наиболее опасные угрозы, которые используют наиболее популярные сегодня в любой компании каналы - электронную почту, Интернет, службы мгновенного обмена сообщениями.

2.5.1.1 Угрозы связанные с электронной почтой

Электронная почта стал обыденным инструментом любого сотрудника в компании. Ежедневно многие из нас получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. При таком потоке корреспонденции невозможно уделить должное внимание каждому письму, да и не редко, просто притупляется внимательность или возникает любопытство, а кто нам написал, или письмо по содержанию оказывается убедительным, чтобы нажать на ссылку внутри него или выслать определенные данные по указанному адресу. Даже темы, от незнакомых нам лиц бывают актуальными или сентиментальными. Например, письмо пришедшее от банковского агента, в котором заведен личный счет, с просьбой подтвердить свои данные.

Злоумышленник может отправить сотруднику компании письмо, в котором говорится об указании начальника прислать ему все расписания выходных дней для организации встречи, отправив копию ответа всем пользователям, включенным в прилагаемый список. Злоумышленник может легко включить в этот список внешний адрес и подделать имя отправителя, чтобы казалось, что письмо получено из внутреннего источника. Подделать данные особенно легко, если у злоумышленника есть доступ к корпоративной компьютерной системе, потому что в этом случае ему не могут помешать брандмауэры, защищающие периметр сети. Утечка информации о расписании выходных дней подразделения не кажется угрозой безопасности, но на самом деле благодаря этому злоумышленник может узнать, кто из сотрудников компании и когда будет отсутствовать на своем рабочем месте. В это время злоумышленник сможет выдать себя за отсутствующего сотрудника с меньшим риском разоблачения.

Фишинг Термин произошел от словосочетания «ловля и сбор паролей» (password harvesting fishing) - вид онлайнового мошенничества, целью которого является получение идентификационных данных пользователей с помощью техник социальной инженерии, когда пользователя ложным письмом или сообщением от той или иной организации пытаются заставить ввести определенные данные на сайте, контролируемом злоумышленником. Организаторы фишинг-атак рассылают электронные письма от имени популярных брендов, от имени партнеров, телекоммуникационных компаний (якобы оператора связи, услугами которого пользуется компания) и вставляют в них ссылки на фальшивые сайты. Оказавшись на таком сайте, пользователи рискуют сообщить преступникам информацию cугубо конфиденциального характера.

Например, на следующем рисунке (рис. 2.19) показана на первый взгляд корректная ссылка на страницу управления учетной записью веб-узла компании Contoso.

Используя фишинг, злоумышленник обычно действует наобум, просто запрашивая у пользователя информацию. Для придания правдоподобности таким письмам злоумышленники могут использовать в них корпоративные логотипы и шрифты и даже указывать реальные бесплатные телефоны службы поддержки, ФИО реальных сотрудников компаний, от чьего имени производится якобы рассылка. Информация у пользователей часто запрашивается под предлогом оказания помощи с обновлением систем или предоставления дополнительных услуг. Более продвинутой формой фишинга является направленный фишинг (spear-phishing) -- атака, целью которой является конкретный сотрудник или группа сотрудников. Этот подход гораздо более сложен, поскольку в этом случае злоумышленник должен быть знаком с личными и важными корпоративными данными, чтобы его обман выглядел убедительно. Однако и вознаграждение злоумышленника при этом выше: добившись успеха, он получит более подробные и конкретные сведения.

Если приглядеться внимательно к самой ссылке, можно заметить два несоответствия:

1. В тексте письма утверждается, что узел, на который указывает ссылка, защищен с помощью протокола https, тогда как по подсказке видно, что на самом деле при взаимодействии с этим узлом используется протокол http.

2. В тексте письма указано название компании Contoso, но на самом деле ссылка указывает на веб-узел компании Comtoso.

Раньше, чаще других фишинг-атаками подвергались пользователи различных банковских и платежных систем. Сегодня, помимо этой цели преследуется новые цели - это неавторизованная загрузка вредоносного кода пользователю, для осуществления «захода с боку» и проникновение в корпоративную сеть, удаленного администрирования компьютера подключенного к сети, воровство персонифицированных данных, выявления уязвимостей в системе и загрузка ботов. Злоумышленники рассылают пользователю письма с троянскими программами, осуществляющими кражу банковских реквизитов, номера и PIN коды платежных карт и другие персональные данные. Очень часто, преступники действуют цинично и не остаются без их внимания даже происходящие в мире трагедии. Так, декабрьское цунами 2004 г. в Юго-Восточной Азии, унесшее жизни сотен тысяч людей, вызвало внедрение многочисленных вирусов и краж конфиденциальной информации. Были зафиксированы рассылки троянских программ, выдаваемых за «фотографии цунами», «секретные отчеты о численности жертв» и т.п.

Фишинг-атаки осуществляются следующим образом: предварительно злоумышленники подготавливают сайт-двойник или специальный сайт с вредоносной страницей Взламывается, как правило, какой-нибудь относительно популярный веб-сайт. Известность подобного сайта играет немаловажную роль в привлечении к нему внимания пользователей. Кроме того, сайт с вредоносной страницей может быть создан на любом доступном хостинге. На практике подобные сайты существуют недолго: их закрывают сами хостинг-провайдеры при получении запроса от антивирусных компаний или правоохранительных органов. Третий способ создания вредоносного сайта - это заражение сервера владельца сайта или хостинговой компании с последующим доступом к аккаунтам для управления взломанными сайтами.. Затем при помощи так называемых ботнетов «Ботнет» или «зомби»-сеть - сеть из зараженных компьютеров и серверов, централизованно управляемых злоумышленниками. Существуют различные способы создания таких сетей: в основном, для проникновения на компьютер-жертву применяются различные уязвимости в системе Windows, способы подбора паролей к открытым на доступ сетевым ресурсам, а также рассылка почтовых червей, которые открывают на зараженной системе определенные порты и позволяют злоумышленнику получить полный доступ к системе. В дальнейшем «ботнеты» используются для рассылки спама, организации DoS-атак, а также распространения вредоносных программ. По оценкам специалистов, в настоящее время общее количество компьютеров, входящих в какой-либо «ботнет», составляет несколько миллионов, а их число ежемесячно увеличивается на 300-350 тысяч. осуществляется массированная спам-рассылка электронных писем и сообщений для интернет-пейджеров (SPIN-рассылки), призывающих получателя зайти на подготовленный инфицированный сайт. Рассылка может быть осуществлена не только по электронной почте, но и при помощи других средств коммуникации, например, через интернет-пейджеры. Цель рассылки создать мотивированную реакцию пользователя, т.е. посещение сайта по указанной ссылке в письме. При этом злоумышленник, как правило, подменяет DNS на целевой сайт (DNS poisoning) или каким-либо другим способом перенаправляет сетевой трафик Метод, часто называемый фармингом, от английского слова pharming., чтобы скрыть истинный адрес взломанного сайта. Изобретательности мошенников нет предела, есть целый ряд вариантов фишинга с помощью электронной почты, в том числе применение изображений в качестве гиперссылок на вредоносные программы и включение текста в изображения ради обхода фильтров проверки гиперссылок.

Затем на сайте пользователю предлагается ввести персональную информацию (банковские реквизиты, пароли, PIN-коды и т.п.) или изменить пароль для онлайновых операций в целях безопасности. Таким образом, в руках злоумышленников окажутся персональные данные пользователей банковских систем. Дальнейшее их применение с целью кражи финансовых средств со счетов становится «делом техники». Помимо финансовых махинаций, может быть предложено зарегистрироваться на сайте для ознакомления с новостями в интересующей пользователя сфере, финансовой например. Вероятность того, что пользователь введет логин и пароль который он использует в компании для личного доступа к корпоративным ресурсам равна 80% по проведенным исследованиям аналитического центра Info Watch.

Первым случаем в России фишинговой атаки произошел в мае 2004 г. когда владельцы кредитных карт Ситибанка получили письма от «администрации банка» с просьбой уточнить личные данные - номер карты и PIN-код. Поскольку держателей таких карт в России - десятки тысяч, рассылка этих писем была поставлена на поток и проводилась в течение трех месяцев. Мошенники действовали по отработанной схеме: все ссылки из писем вели на фальшивый сайт Ситибанка. В самом Ситибанке утверждают, что ни одного пострадавшего не было. Через несколько дней после начала скандала банк разослал заявление о своей непричастности к хакерской рассылке, подписанное президентом Алланом Херстом. Атаки на Ситибанк продолжались до осени. В конце сентября клиенты банка получили последнее письмо, в котором сообщалось, что на их счет пришла некоторая сумма, и для ее зачисления нужно подтвердить свои реквизиты.

Фарминг - метод хищения идентификационных данных интернет-пользователей. Суть его сводится к автоматическому перенаправлению пользователей на фальшивые сайты. В отличие от фишинга, этот способ хищения данных почти не требует участия потенциальной жертвы. Пользователи могут стать жертвой фарминга в силу уязвимостей браузеров, операционных систем и DNS-серверов. Механизм фарминга вступает в действие, когда жертва открывает почтовое сообщение с троянской программой (как правило, рассылаемое по спамерским спискам) или посещает веб-узел с исполнимым файлом, который тайно запускается в фоновом режиме.

Когда пользователь набирает интернет-адрес, чтобы получить доступ к веб-странице, адрес должен быть конвертирован в реальный IP-адрес в следующем формате: 000.000.000.000. Обычно требуется DNS-сервер, так как браузер не может совершить конвертацию. Эти серверы администрируют имена, соответствующие каждой из таких цифровых последовательностей и доставляют пользователя на запрашиваемую страницу.

Атаки фарминга могут проводиться напрямую против DNS-сервера таким образом, что изменение адреса повлияет на всех пользователей, обращающихся к серверу, или они могут быть выполнены локально, т.е. на отдельных компьютерах. Последний способ предполагает изменение на компьютерах, работающих под управлением ОС Windows файла hosts. Здесь хранится информация о серверах и соответствующих им IP-адресах, наиболее часто используемых, чтобы не нужно было обязательно обращаться к DNS-серверу для конвертации интернет-адресов (URL) в IP-адреса. Если этот файл перезаписан, и в него вносятся фальсифицированные адреса страниц, то каждый раз, вводя имя сайта в браузере, пользователь попадет на страницу, созданную злоумышленником, которая выглядит так же, как истинная страница. Ничего не подозревающая жертва затем может ввести конфиденциальные данные. При этом злоумышленник имеет возможность редактировать hosts-файл напрямую (осуществляя удаленный доступ к системе) или используя вредоносный код, обычно - троянцев.

2.5.1.2 Вредоносные программы

Вредоносные программы включают в себя вирусы, черви, троянские программы, а также различные скрипты и исполнимые программы.

Почтовые черви - это вредоносные программы, которые распространяются по каналам электронной почты во вложениях к почтовым сообщениям. Они запускаются при открытии пользователями вложенных файлов и используют уязвимости в почтовых клиентах. Почтовые черви снабжены механизмами саморазмножения и используют для распространения списки рассылки почтовых клиентов.

В настоящее время эпидемии почтовых червей происходят значительно реже, в связи с чем сегодня наблюдается морфологические мутации и зменения червей и на замену почтовым червям приходят черви для интернет-пейджеров (IM-черви, Instant Messaging) и файлообменных сетей (P2P-черви, peer-to-peer), защищенных гораздо хуже современных почтовых программ.

Распространение IM-червей осуществляется следующим образом: на атакуемые компьютеры рассылаются (как правило, по записям контакт-листов заранее взломанных интернет-пейджеров) сообщения, содержащие ссылку на специально подготовленный веб-сайт. Используя технологию социального инжиниринга, злоумышленник заставляет пользователя пойти по указанной ссылке. На сайте находится вредоносная программа. В момент ее загрузки червь (либо через эксплойты различных уязвимостей в Internet Explorer и клиентах интернет-пейджеров, либо путем прямой загрузки и запуска) проникает в систему.

Инсталляция Р2Р-червей на компьютер-жертву осуществляется в момент закачки файлов по файлообменной сети. При этом вредоносные программы внедряются в загружаемый файл и используют различные способы маскировки, чтобы не быть замеченными в момент передачи данных.

Большинство Р2Р и IM-червей способны устанавливать в систему и другие вредоносные программы. Так, существует немало червей, устанавливающие троянские программы на зараженные компьютеры. С помощью троянцев с компьютера жертвы осуществляется кража конфиденциальной информации или персональных данных. Сам же компьютер превращается в «зомби-машину» и включается в «ботнет».

Троянские программы -достаточно сильный и широкоиспользуемый инструмент любого мошенника при осуществлении атаки на корпоративную сеть. В зависимости от задач, которые выполняют троянские программы, различают соответственно:

· троянцы-шпионы и бекдоры (от английского trojan-backdoor - «черный ход»), предназначенные для кражи конфиденциальной информации и персональных данных, рассылки спама и осуществления атак типа «отказ в обслуживании»;

· троянцы-прокси, используемые злоумышленниками для построения «ботсетей»;

· уведомляющие троянцы, (от английского Trojan_Notifier), сообщающие злоумышленнику о том, что компьютер инфицирован;

· троянцы-загрузчики (от английского downloader), целью которых является установка и постоянное обновление вредоносных программ на инфицированных машинах;

· PSW-троянцы (от английского password), используемые для поиска, а также кражи паролей и кодов доступа.

Основным способом распространения троянских программ являются массовые спам-рассылки, а также почтовые и IM-черви.

2.5.1.3 Потенциально опасные программы

Достаточно новый вид угроз, который возник в виду изменившегося в последнее время портрета нарушителя. Это достаточно мощный и очень часто нужный класс программных средств, поставляемый с операционной системой и средствами администрирования и разработки легально непосредственным разработчиком или третьими разработчиками. Такие программы принято относить к классу «riskware» или «greyware» («потенциально опасные программы»). Хотя это легитимное ПО и созданы во благо, но в руках злоумышленников могут причинить значительный вред информационной системе. В связи с чем, специалисты по ИБ отнесли такие средства к угрозам.