Ingineria socială: niciodată nu ești prea inteligent pentru a fi înșelat

Ingineria socială: niciodată nu ești prea inteligent pentru a fi înșelat

34
George Hannah

Autor: George Hannah

Nu este un secret faptul că utilizatorii de sisteme dintr-o organizaţie reprezintă o ameninţare majoră la adresa securităţii informatice, chiar și atunci când o organizaţie a investit în tehnologii avansate pentru a preveni încălcarea securităţii. Indiferent dacă sunt naivi sau pur și simplu distraţi, acești utilizatori pot – și de cele mai multe ori o fac – compromite securitatea întregii organizaţii cu un singur click.

Desigur, utilizatorii înșiși nu poartă răspunderea exclusivă. Hackerii folosesc o multitudine de tehnici sofisticate, denumite în mod obișnuit „inginerie socială”, pentru a păcăli sau a manipula oamenii, profitând într-un mod inteligent de comportamentele umane obișnuite și de prejudecăţile cognitive. Înclinaţiile cognitive se referă la o abatere de la comportamentul raţional, cum ar fi tendinţa foarte umană de a folosi „scurtături” mentale atunci când sunt luate decizii sub presiune sau de a efectua acţiuni de rutină, fără a gândi, din pură obișnuinţă.

Aceste tactici de inginerie socială sunt utilizate pentru a păcăli oamenii să-și infecteze propriul dispozitiv cu programe malware sau să introducă într-un program informaţiile lor personale – în mod voluntar.

Unii hacker-i aleg ingineria socială ca metodă de obţinere a accesului la informaţii privilegiate. Dacă ar alege metodele tradiţionale de hacking, un hacker ar trebui să aibă acces mai întâi la o reţea securizată și apoi să caute informaţii, ceea ce poate dura mult timp și ar avea nevoie de o mulţime de tehnologii.

Social Engineering
Social Engineering

Alegând să manipuleze utilizatorii să renunţe singuri la informaţii, hackerii pot să nu facă practic ceva și să se relaxeze în timp ce răspunsurile vin, oferindu-le informaţiile potrivite pentru a efectua un cyberattack. De fapt, conform unui recent raport al companiei Verizon privind investigaţiile despre încălcările datelor, aproape jumătate din toate încălcările de securitate raportate au implicat ingineria socială.

Păcălirea celui deștept

S-ar putea să gândiţi: „Sigur, unii oameni ar putea cădea pradă acestor trucuri, dar eu sigur recunosc o înșelătorie când văd una.” Nu fiţi așa de siguri. Hackerii pot folosi ingineria socială pentru a viza cu succes chiar și pe cei mai tehnici din domeniu. În 2017, un adolescent britanic, Kane Gamble, a intrat în conturile de e-mail ale șefilor DNI și CIA folosind ingineria socială. Prin personificare, el a reușit să obţină suficiente informaţii personale despre acești oficiali americani pentru a convinge furnizorii de e-mailuri ale acestora să le reseteze parolele, oferindu-i astfel lui Gamble accesul deplin la conturile de e-mail.

Exemplu Încercare de Phishing
Exemplu tentativă de Phishing

Înșelătoriile prin e-mail-urile din zilele noastre sunt mai sofisticate decât oricând. Hackerii care vizează anumite organizaţii pot colecta o mare varietate de detalii despre utilizatorii vizaţi, pentru a face email-urile să pară cât mai convingătoare posibil. Ele pot, de asemenea, să creeze un sentiment de urgenţă, diminuând judecată de moment. E-mailul poate crea o poveste logică, cum ar fi o organizaţie care le solicită tuturor utilizatorilor să descarce o „actualizare software” falsă pentru a rezolva o problemă de securitate sau să descarce un document atașat e-mail-ului care conţine o situaţie (falsă) la nivel de companie și are nevoie de revizuire urgentă.

Chiar și utilizatorii care sunt instruiţi în mod specific pentru a recunoaște încercările de phishing sau spoofing pot face greșeli. În timp ce training-ul este o tehnică esenţială și eficientă pentru a reduce încălcările securităţii, ea se bazează pe un singur lucru – capacitatea utilizatorului de a gândi încet și raţional. Chiar și cel mai atent utilizator poate face un clic neglijent atunci când este distrat, sub presiune, sau, chiar, pur și simplu obosit. În aceste cazuri, utilizatorul ar putea ignora semnele clare de phishing sau o adresă de e-mail falsificată, pentru că gândesc repede. Așa cum scrie Daniel Kahneman în cartea sa „Thinking, Fast and Slow”, chiar și aceia dintre noi care sunt instruiţi în logica avansată pot să nu reușească să evalueze riscurile simple și să facă erori de judecată atunci când gândesc rapid, ducând la decizii proaste – cum ar fi să apese pe un link maliţios. Niciun training nu poate împiedica apariţia unui astfel de comportament uman natural – cel puţin ocazional.

Soluții inteligente pentru escrocherii inteligente

Pentru a diminua ameninţările interne generate de utilizatorii care cad pradă ingineriei sociale, majoritatea organizaţiilor se bazează pe soluţii hardware și software tradiţionale, cum ar fi software antivirus, firewall-uri și gateway-uri de e-mail, pentru a detecta și a bloca traficul sau fișierele suspecte din reţele sale sau din endpoint-uri. De fapt, cele mai bune practici dictează utilizarea mai multor niveluri de securitate în întreaga organizaţie pentru a se asigura că nu există un punct unic de eșec care să expună reţeaua la un atac la scară largă.

Cu toate acestea, pentru ameninţările avansate care nu pot fi detectate, organizaţiile trebuie să aibă pe lângă soluţiile de detectare și blocare și mijloace de protecţie proactive, în special atunci când vine vorba de aplicaţii orientate spre exterior, cum ar fi programele de e-mail și browser-ele web. Tehnologia avansată, cum ar fi izolarea browser-ului de la distanţă, poate, de exemplu, să protejeze în mod proactiv endpoint-urile împotriva ameninţărilor de la nivel de browser, nedetectate, împiedicând phiserii și alţi infractori cibernetici să obţină acces prin acest vector popular de ameninţare.

Compararea Riscurilor
Compararea Riscurilor

Atunci când se utilizează RBI, utilizatorii pot naviga pe Internet ca de obicei prin intermediul unui flux de conţinut interactiv. Cu toate acestea, în fundal, tot codul activ pentru sesiunea de browser este executat într-un container virtual din DMZ sau cloud. Containerul este distrus când sesiunea s-a terminat. Astfel, dacă un utilizator dă clic pe ceva maliţios, codul nu va intra niciodată în reţeaua organizaţiei. Aceasta este protejată de rezultatul potenţial catastrofal al unei simple erori de judecată.

Nimic nu va elimina complet ameninţarea ingineriei sociale. Instruirea și educaţia cu siguranţă nu sunt suficiente. Atacatorii sunt mereu în căutarea unor noi modalităţi de a convinge și de a încălca, atât la nivel uman, cât și la nivel de mașină. Noi soluţii inteligente, cum ar fi RBI, ar trebui folosite pentru a oferi un nivel de protecţie preventiv, care să permită greșeli umane și prejudecăţi cognitive, fără a lăsa o organizaţie vulnerabilă la atacurile cibernetice.