Искусное манипулирование
Финансовый директор Малькольм Фишер никогда не думал, что его так нагло и легко одурачат. Хотя, конечно, слышал и знал о существовании мошеннической схемы под названием «социальный инжиниринг».
Криминалу не составило большого труда разглядеть в Фишере крупную добычу. Слишком заметное место он занимает в своей компании. Крупный менеджер с широкими полномочиями. Об этом каждый может узнать, выйдя на странички корпоративного веб-сайта, либо ознакомившись с его служебным профилем в социальных сетях (Facebook, Twitter, LinkedIn).
Заядлый игрок в покер, Фишер регулярно участвует в турнирах, не забывая знакомить мир со своими успехами за карточным столом. Вот и в этот раз, собираясь на соревнование в Лас Вегас, он не забыл заботливо предупредить всех и каждого о своих планах через соцмедиа. Едва прибыв в Лас Вегас, он получил извещение как будто бы от организаторов турнира. Открыв по неосторожности послание, он невольно впустил злоумышленника в операционную систему своего служебного смартфона.
Зная, что карточная игра начинается ровно в 11 часов утра, преступник, получив контроль над электронным почтовым ящиком Фишера, отправил в офис от его имени распоряжение немедленно перевести 125 тысяч долларов некоему поставщику на прилагаемые реквизиты. Там же объяснялось, что Фишер в течение нескольких часов будет полностью занят участием в турнире. Тот, кому адресовалось распоряжение, не позаботившись о перепроверке, тут же оформил транш.
Покинув Лас Вегас с радостным чувством победителя, Фишер вскоре понял, что на самом деле его обыграли, одурачили. Автор статьи в интернет издании Security Management, September, 2018 Питер Вармка, рассказывая об этом случае (фамилия «героя», видимо, изменена), подчеркивает, что подобный сценарий не является исключением в богатой практике мошенников. Уделяя первоочередное внимание кибербезопасности, многие управленцы убеждены, что одной только хорошей технологии достаточно для защиты против информационных утечек.
Однако криминал хорошо понимает, что самое уязвимое место в компаниях – это человеческий фактор. И самое слабое звено – это взаимодействие между человеком и технологией. По данным доклада «2018 Verizon Data Breach Investigation Report», почти 90% успешных взломов корпоративных сетей и баз данных сопровождаются в той или иной степени учетом человеческого фактора.
Криминал возлагает большие надежды на инсайдеров, коими являются не только штатные сотрудники организации, но и работающие по временным контрактам, в рамках аутсорсинга: уборщики, охранники (нанимаемые со стороны), поставщики обедов, ремонтные бригады и т.д.
Прежде чем приступить к делу, опытный преступник потратит немало времени на сбор информации из открытых источников. Обычно такая работа проводится в режиме онлайна, по интернету. Сегодня уважающая себя организация поддерживает корпоративный веб-сайт: продукты и услуги, служебные портреты лидеров, пресс-релизы, контактная информация, вакансии , карьерные возможности и прочие полезные (в том числе и для криминала) данные.
Много информации можно почерпнуть из предложений о найме, которые размещаются в интернете и печатной прессе. Такие анонсы обычно содержат описание требуемых от кандидата профессиональных компетенций, нередко – сведения об операционных системах и программных решениях, с которыми соискатель должен будет иметь дело. Развернутые должностные инструкции могут содержать наводки на перспективы развития организации, будь то новые продукты/услуги или географические точки.
На кадровые предложения откликаются не только профессионалы, мечтающие о карьере, но и мошенники. Последние отсылают свое резюме напрямую или через третью, выбранную ими, организацию. Уже само электронное послание может содержать вирус, предназначенный для внедрения в корпоративную компьютерную сеть.
Некоторые преступники идут еще дальше, соглашаются на собеседование с целью выведать как можно больше информации.
О том, какое место в социальном инжиниринге принадлежит социальным сетям, и о других аспектах данного преступного промысла, будет рассказано в следующем выпуске нашего журнала.
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|