Маскировка отправителя Сообщение вызывает доверие, если оно послано от имени давно знакомого отправителя. Атакующий может добиться этого, выступая от имени другого пользователя Неявная имитация отправителя. В случае если атакующий сумеет заразить компьютер жертвы, в дальнейшем вредоносное программное обеспечение сможет задействовать законное программное обеспечение, установленное на компьютере жертвы, чтобы разослать вредоносное сообщение непосредственно от имени этого пользователя другим пользователям из его адресной книги. Таким образом, получателям покажется, что сообщения исходят от имени пользователя. Это неявная имитация отправителя, так как атакующий сам не принимает меры, чтобы отправлять письма от имени жертвы. Явная имитация отправителя. Явная имитация заключается в том, что атакующий создает и подделывает сообщение от имени известного жертве отправителя. В этом случае компьютер отправителя может и не быть заражен. В большинстве случаев червь, заражая компьютер жертвы, производит поиск адресов на зараженном компьютере и затем через собственный сервер SMTP отсылает письма, используя найденные адреса в качестве имен отправителей. Изменение расширений вложений. Первым вирусом, использовавшим методику социальной инженерии двойных расширений файлов, был вирус LoveLetter. Хотя с тех пор прошло уже много времени, данная практика применяется и сегодня. При этом используется следующая схема: <название>. <фальшивка, безобидное на вид расширение>. <реальное, выполнимое расширение> Например, ILOVEYOU.txt.vbs. После появления в LoveLetter данная методика несколько изменилась, и некоторые программы вставляют значительное количество точек между поддельным и реальным расширением. Манипуляция значками. Некоторые вредоносные программы изменяют графическое обозначение значка программы, подражая при этом символам для обработки безвредного программного обеспечения. Например, используется значок Notepad Windows. Архивирование вложения. С вводом запрета на пересылку файлов с определенными вложениями авторы вредоносного кода научились упаковывать программы в архивы. Развитием данной методики является пересылка злонамеренного кода в защищенных паролем архивах. В некоторых случаях пароли пересылаются в виде графических файлов. Защиты от атак социальной инженерии Первым шагом в формировании системы защиты информации в организации должно быть создание политики безопасности. После того как вы создали политику безопасности, необходимо сделать ее доступной персоналу и призвать исполнять. Хотя вы можете осуществить технический контроль без обучения сотрудников, нужно заручиться их поддержкой, если вы хотите осуществить защиту от атак социальной инженерии. Чтобы поддерживать выполнение политики, следует разработать протоколы об инцидентах для персонала службы поддержки. Понимание Прежде всего следует обучить сотрудников таким образом, чтобы они понимали, почему политика устроена так, а не иначе, и знали, как реагировать на возможное нападение. Ключевой элемент атак с использованием социальной инженерии — доверие: адресат доверяет хакеру. Чтобы сопротивляться этой форме нападения, нужно стимулировать здоровый скептицизм персонала в отношении необычных вопросов. Понимание зависит от того, как вы преподносите информацию. Вы можете выбрать неформальные встречи или другие мероприятия, чтобы разъяснить политику безопасности в этой области. Чем больше у сотрудников информации о политике безопасности, тем более успешным будет ее выполнение. Важно, чтобы обеспечение безопасности было в списке основных дел менеджеров и персонала. Безопасность компании — общая задача, так что вы должны удостовериться, что понимание необходимости безопасности присуще каждому сотруднику компании. Соберите мнения об этом со всех отделов и от разных пользователей, особенно тех, кто работает вне офиса. Управление инцидентами При подготовке к нападению с применением методов социальной инженерии убедитесь, что персонал знает, как справиться с инцидентом. Протоколы реагирования должны реализовываться в процедурах, связанных с политикой безопасности, но инцидентное управление означает, что вы используете нападение, чтобы инициализировать дальнейшее укрепление защиты. По мере возникновения новых инцидентов следует определить, появились ли новые риски для безопасности компании. Также нужно изменить политику и процедуры, основанные на результатах рассмотрения риска. Все изменения в политике безопасности должны быть согласованы с корпоративными стандартами управления изменениями. Персонал должен составить протокол, описывающий попытку атаки, в котором будет содержаться следующая информация: название; отдел; дата; цель нападения; эффект нападения; рекомендации. Проводя протоколирование попыток атаки, можно идентифицировать их в дальнейшем. Помните, что только тщательный анализ и разбор инцидентов сможет помочь снизить их последствия в дальнейшем!
