• «охота», предполагающая получение информации при минимальном взаимодействии с объектов атаки. При таком подходе взаимодействие, как правило, сводится к одиночному контакту атакующего с атакуемым, и после получения информации атакующий сразу прекращает общение с атакуемым;
• «животноводство», предполагающее установление продолжительных отношений с объектом атаки с целью его «доения» (т. е. получения информации) на протяжении длительного периода времени.mcafee.com Социотехнические атаки с использованием электронной почты в качестве средства связи чаще всего носят характер «охоты». Конечно, есть исключения вроде «нигерийских писем», в которых делаются попытки продлить контакт с целью извлечения большего количества денег. Социотехнические атаки в категориях «охота» и «животноводство» проводятся, как правило, в четыре этапа:

• взаимность: получив что-либо, люди чувствуют себя обязанными и стремятся дать что-нибудь взамен;
• дефицит: люди склонны выполнять просьбу, если считают, что речь идет о чем-то редком;
• последовательность: если объект атаки пообещал что-то сделать, то он будет стремиться выполнить данное обещание, чтобы не казаться неблагонадежным;
• симпатия: объект атаки охотнее выполняет просьбу, если злоумышленник ему симпатичен;
• власть: люди склонны выполнять просьбы, поступающие от представителей власти;
• социальное доказательство: склонность выполнять просьбу, если другие делают то же самое.

• Веб-сайты. В качестве канала для социотехнических атак нередко используются вредоносные веб-сайты. Согласно отчету компании Verizon о расследовании утечек данных за 2014 год (2014 Verizon Data Breach Investigations Report) «в 20 % атак, проводимых с целью шпионажа, для доставки вредоносного ПО используются механизмы стратегического взлома веб-сайтов».
• Электронная почта. Самыми распространенными видами социотехнических атак с использованием электронной почты являются фишинг вообще и целенаправленный фишинг в частности. Рассылка электронных почтовых сообщений является эффективным методом проведения атак, поскольку согласно отчету Verizon «по ссылкам в фишинговых электронных сообщениях переходит 18 % пользователей».
• Телефон. Этот канал связи пользуется популярностью у информационных посредников.
• Личная встреча. Встретившись с сотрудником компании лично, злоумышленники могут принудительно или обманным путем заставить его предоставить информацию.
• Почтовая служба. Хотя этот канал и не столь популярен, как другие, но он тоже присутствует в общей статистике по атакам.
• Факс. Примером атаки по факсу может быть поддельное сообщение от системы электронных платежей.

• Устанавливайте четкие границы. Все сотрудники должны быть ознакомлены с принятыми в организации правилами раскрытия информации и иерархическим порядком обработки запросов, выходящих за пределы их полномочий.
• Постоянное обучение. Должна быть разработана и внедрена программа повышения осведомленности сотрудников в вопросах безопасности, предполагающая постоянное обучение сотрудников. Для привлечения внимания сотрудников к распространенным тактикам проведения атак используйте такие инструменты, как специальный тест McAfee на умение распознавать фишинг.
• Разрешение на проверку. Сделайте так, чтобы ваши сотрудники не боялись сомневаться даже в самых безобидных на вид запросах. Например, сотрудник должен не бояться расспросить человека, пытающегося вслед за ним пройти в служебное помещение.
• Объясняйте важность информации. Даже самая незначительная на вид информация, такая как номера телефонов (информация, дающая новые возможности), может быть использована для проведения атаки.
• Не занимайтесь поиском виновных. Объекты социотехнических атак являются жертвами. Наказывая отдельных сотрудников, ставших жертвами обмана, вы создадите атмосферу, в которой сотрудники будут менее готовы признаваться в разглашении информации. Будучи один раз обманутыми, они могут попасть под контроль злоумышленника, который затем может начать их шантажировать.

• Отчеты о подозрительных звонках. При обнаружении подозрительных действий сотрудники должны составлять отчеты с указанием всех подробностей. Это помогает расследовать инциденты.
• Информативные блокирующие страницы. При переходе сотрудника на вредоносную веб-страницу у него должна отобразиться блокирующая страница с информацией о причинах блокирования. Это заставит их задуматься о своих предыдущих действиях и поможет выявить источники атаки.
• Оповещение клиентов. Когда организация отказывает звонящим в предоставлении информации, она должна сообщить им об этом и проверить, имеет ли звонящий право на получение запрашиваемой информации. Кроме того, организациям следует установить порядок обмена информацией с клиентами. Например, PayPal предоставляет пользователям следующую инструкцию по проверке подлинности получаемых электронных сообщений: «в своих электронных письмах мы никогда не запрашиваем информацию следующего типа: номера банковских карт, номера банковских счетов, номера водительских удостоверений, адреса электронной почты, пароли, ваше полное имя».
• Иерархический порядок. Для персонала, непосредственно работающего с клиентами, должен быть разработан простой порядок передачи потенциально мошеннических сообщений на рассмотрение в вышестоящие инстанции.
• Оперативная проверка готовности персонала. Регулярно проводите проверки на уязвимость сотрудников к социотехническим атакам с использованием разных каналов связи. Такие проверки позволяют оценить эффективность программ обучения.

• Запись телефонных разговоров. Регулярно записывайте входящие телефонные звонки — это помогает расследовать инциденты.
• Линии для подозрительных звонков. Перенаправляйте подозрительные звонки на контролируемый номер.
• Фильтрация электронной почты. Удаляйте мошеннические электронные сообщения, содержащие известные и неизвестные вредоносные программы.
• Фильтрация веб-трафика. Блокируйте доступ к вредоносным веб-сайтам и обнаруживайте вредоносные программы в процессе предоставления доступа в Интернет.
• Строгая проверка подлинности. Не устраняя полностью риск того, что в результате социотехнической атаки пользователи могут раскрыть злоумышленникам свои учетные данные, многофакторная проверка подлинности, однако, значительно усложняет злоумышленникам задачу получения учетных данных.

via | www.pcidss.ru