Представьте: вы на отдыхе. У вас море, солнце, долгожданный отпуск. А у ваших сотрудников — сообщение в мессенджере: «Привет, срочно нужно перевести 1000 BYN на канцелярию. Пароль от сервиса тот же». Отправитель — вы. Только это - злоумышленник.
Так работает социальная инженерия. В этой статье объясним, что это такое, как вас могут обмануть, и как защитить бизнес.
Что такое социальная инженерия
Социальная инженерия — это когда хакеры взламывают не технику, а человека. Они не ломают пароли, а вытягивают их у вас. Не подбирают коды, а получают доступ к информации через доверие.
Вот как это выглядит:
- Вы выкладываете в социальные сети фото авиабилета. На нём — ваши ФИО, номер рейса и QR-код. Этого достаточно, чтобы узнать паспортные данные, место назначения и даже отменить перелёт.
- Ваша кошка — Буся. Об этом вы писали в блоге на личной страничке. А Буся — это и есть ответ на контрольный вопрос при восстановлении доступа к вашему аккаунту.
- Вы в отпуске. Кто-то копирует ваш профиль в соцсетях и пишет вашим сотрудникам от вашего имени: «Срочно передай логин от учетки, нужно глянуть отчёты».
Почему это работает
Злоумышленнику не нужно быть гением IT. Ему хватает умения слушать, наблюдать и фиксировать подробности.
Он изучает:
- ваш номер телефона;
- соцсети ваши личные и ваши упоминания в корпоративных аккаунтах;
- фотографии;
- список друзей;
- место работы.
Этот сбор информации называется OSINT (англ. Open source intelligence) — открытая разведка. На её основе создаётся план атаки.
Так, шаг за шагом, незнакомец становится «своим». А вы — уязвимы.
Что может сделать злоумышленник
Получив доступ хотя бы к одной точке — соцсети, почте, внутренней системе — атакующий может:
- запросить перевод денег;
- получить доступ к клиентским базам;
- скачать документы;
- отправить фальшивые письма от имени руководителя;
- заблокировать систему.
Как защититься
Социальная инженерия не про технологии. Она про людей. Поэтому и защита — человеческая.
Вот что поможет:
- Подозрительный звонок? Сначала думай, потом паникуй. Когда вам поступает задача через телефонный звонок, сообщение в мессенджере, электронную почту и имеет психологическое давление в виде срочности или важности, не торопитесь. Если это звонок из банка или налоговой, убедитесь, что это действительно звонок по сотовой связи а не через мессенджер, если это ИТ-специалист вашей компании, что его номер из телефонного справочника. А если вы не оставляли запрос в технической поддержке, лучше уточните контактные данные с кем можно связаться, и передайте информацию своим коллегами из ИТ подразделения. Но не делайте наоборот, в таких случаях не передавайте незнакомым контакты коллег, тк это тоже может быть частью OSINT, сбор контактных данных технических специалистов для последующей атаки.
- Проверяйте через два канала. Если получили странное сообщение от руководителя или коллеги— позвоните им. Лучше — по видеосвязи в корпоративном мессенджере. Убедитесь, что перед вами именно тот человек. Сейчас злоумышленники научились подделывать даже “кружочки” в популярных мессенджерах.
- Обучайте команду. Раз в квартал устраивайте короткие сессии: что такое фишинг, как выглядит подделка письма, что делать при странных звонках.
- Ограничивайте доступ. Не давайте сотрудникам больше, чем им нужно. Настройте уровни прав. Проверьте, кто к чему имеет доступ. Битрикс24, к примеру, позволяет это сделать гибко:хоть по сотруднику, хоть по отделу.
- Симулируйте атаки. Отправьте «поддельное» письмо от имени руководителя. Посмотрите, кто перейдёт по ссылке. Объясните ошибки. Это лучший способ обучения.
- Следите за активностью. Системным администраторам важно подключать мониторинг входов и активности работников в корпоративном ПО. Если сотрудник вошёл в систему в 3:42 ночи из Дубая, хотя живёт в Гомеле — это сигнал.
Главное
Хакеры всё реже ломают серверы. Зато чаще — людей. Они не подбирают пароли, они их узнают. Не проникают в сеть, а входят через «добрый день, вы меня не помните, но…».
Чем меньше мы делимся лишним — тем лучше защищены.
Поговорите с командой. Договоритесь о том, какой контент вы можете делать публичным. Удалите лишнее. Настройте права доступа в вашем корпоративном ПО, в CRM. Пользуйтесь только корпоративным мессенджером. Так вы точно будете знать, что общаетесь со своим сотрудником или руководителем, а не с злоумышленником.
Если вы работаете в онлайн-сервисе Битрикс24, у вас уже есть готовый план действий и эффективный инструмент противодействия хакерам: биометрия для авторизации, двухфакторная аутентификация, все необходимые уровни защиты сессий от редиректов, фреймов, а также возможность вести журнал вторжений. Битрикс24 помогает бизнесу работать безопасно.
*Партнерский материал. ИУП «1С-Битрикс», УНП 192042385