Говоря о безопасности, часто повторяют, что главное слабое место — это человек. Это также верно, когда речь идет об ИТ-безопасности. Хотя в программном и аппаратном обеспечении, используемом для защиты доступа к информационной системе компании, могут быть уязвимости, они часто относительно предсказуемы и обнаруживаемы. С того момента, как в дело вступают люди, результат может быть гораздо более непредсказуемым. Поэтому пентест с использованием социальной инженерии попытается выявить потенциальные недостатки ИТ-безопасности, связанные с людьми в компании.
Что такое пентест с применением социальной инженерии?
Если вы хотите открыть бронированную дверь, замок которой можно открыть только с помощью кода, у вас есть примерно два решения. Первое решение — попытаться взломать дверь путем выявления и использования ее слабых мест. Слабее ли дверь в определенных местах, видны ли петли и можно ли их снять, можно ли взломать замок…? Второе решение — получить код для отпирания двери. Для этого вам придется убедить кого-то, кто знает код, сообщить его вам или продать его вам.
Поэтому хакеры могут попытаться взломать защитное программное обеспечение, выявить и использовать программные или аппаратные бреши в защите или даже атаки, чтобы «разрушить стены». Или же они могут попытаться проникнуть в вашу компьютерную систему, выдавая себя за человека с законным доступом.
В этом случае в дело вступает социальная инженерия. Идея заключается в том, чтобы заставить кого-то дать вам свои коды доступа, используя психологическую манипуляцию, выдавая себя за другого человека или злоупотребляя его доверием. Речь также может идти о том, чтобы заставить кого-то выполнить действие, которое приведет к плохому инциденту, чтобы извлечь из этого выгоду.
Зачем использовать социальную инженерию?
Вы можете заблокировать весь доступ к вашей компьютерной системе, но если хакер решит проникнуть внутрь, то его ничто не остановит. Относительно легко идти в ногу со временем в плане компьютерной безопасности, если, конечно, у вас есть для этого средства. Обновления аппаратного и программного обеспечения можно планировать, выполнять и регулярно проводить.
Гораздо сложнее защититься от способности хакера выдавать себя за авторизованного пользователя. В большинстве случаев жертвы даже не понимают, что ими манипулировали, или это происходит слишком поздно.
Тест на проникновение с помощью социальной инженерии позволяет оценить подготовку, знания и рефлексы сотрудников компании в области компьютерной безопасности. Это позволит определить уязвимость компании перед методами социальной инженерии хакеров.
После определения основных уязвимостей можно будет донести до сотрудников информацию о кибербезопасности и обучить их распознавать этот вид компьютерных атак.
Как работает тест на проникновение, основанный на социальной инженерии?
Прежде всего, как и в случае с другими видами пентестов, необходимо определить объем и цели аудита. Необходимо определить риски (доступ к VPN компании, ознакомление с конфиденциальными данными и т. д.), а также цели. Необходимо также обсудить условия проведения аудита. Будет ли команда, проводящая аудит, обладать определенной информацией на начальном этапе, каковы рекомендуемые сценарии, придется ли ей затем планировать сообщения, которые будут переданы целевым пользователям?
В случае пентеста «черного ящика» аудиторы не имеют никакой информации на начальном этапе и не общаются с компанией на протяжении всего теста. В случае «серого ящика» они регулярно обмениваются информацией с компанией, делятся сценариями, разработанными для атак, и предоставляют регулярные отчеты.
Пентестинг социальной инженерии основан на нескольких техниках. Каждая из них требует как технологических навыков и знаний, так и навыков межличностного общения.
Фишинг — самая распространенная техника получения информации
Фишинг — очень распространенная техника, поскольку она очень проста в настройке и часто очень эффективна.
Она заключается в отправке мошеннического электронного письма целевой аудитории (это может быть несколько выбранных людей или очень большое количество людей). Это письмо обычно использует дизайн того письма, которое оно имитирует (графика, цвета, логотип компании и т. д.). Цель заключается в том, чтобы заставить получателя нажать на ссылки в сообщении, которые приведут его на поддельный сайт.
Социальная инженерия безопасна в руках профессионалов, но опасна в руках преступника. Пентест помогает выявить пробелы в знаниях сотрудников и сделать их более осторожными к подозрительным звонкам и посланиям.