Социальная инженерия 2

Читать

Социальная инженерия 2
sh: 1: –format=html: not found

Максим Кузнецов, Игорь Симдянов

Социальная инженерия и социальные хакеры

Введение

Для кого и о чем эта книга

Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации.

О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется “Человеческий фактор в программировании”. Это, пожалуй, единственная книга на данную тему, переведенная на русский язык.

Вот что пишет автор в предисловии к этой книге: “Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)”. Несмотря на то, что книга Л.

Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.

Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют.

Тому, как это делают и как от этого защититься, и посвящена данная книга.

Исторически так сложилось, что хакерство с использованием человеческого фактора называют “социальной инженерией”, поэтому наша книга так и называется “Социальная инженерия и социальные хакеры”.

Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком.

Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога.

Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.

Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу “социальная инженерия” в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице “Редиссон-Славянская” для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…

Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: “Это делается так-то”. А почему именно так – никто не объясняет.

В лучшем случае приводятся фразы: “в основе этого приема лежат принципы нейролингвистического программирования”, что, правда, запутывает еще больше. Иногда еще говорят, что “для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье”.

О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные (“киношные”), которые в реальной жизни не сработают.

Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты.

Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе “социального хакерства”.

С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание.

Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то “охмурить”, а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.

Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию.

В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из “недр компьютера” спрашивают именно с IT-специалистов.

И именно им в первую очередь приходится “расхлебывать” последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии.

Книга будет интересна также и “рядовым” пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется.

Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании “человеческого фактора”.

Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.

Источник: https://www.litmir.me/br/?b=215830&p=2

Краткое введение в социальную инженерию

Социальная инженерия 2

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение.

Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!

К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие человека с компьютером таит в себе наибольшую угрозу из всех существующих.

Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних. В отношении безопасности математический аппарат безупречен, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны. Брюс Шнайер «Секреты и ложь.

Безопасность данных в цифровом мире»

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е.

при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.

Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.

Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.

К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны. Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным.

Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.

Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника.

Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.).

Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие.

Этот вид атак применяется обычно по телефону.

Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации.

Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий.

Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия.

Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:

Диверсия: Создание обратимой неполадки на компьютере жертвы.

Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.

Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить. Вот некоторые правила, которые будут полезны: 1. Все пользовательские пароли являются собственностью компании.

Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует. 2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями.

Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании.

Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. 3.

Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании.

Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

Источник: https://habr.com/post/83415/

Социальная инженерия – как не попасться на удочку мошенникам?

Социальная инженерия 2

В век технологий и интернета управлять людьми стало проще и этому можно научиться. Существуют методы, которые существовали и успешно использовали на заре человечества, которые полностью основываются на психологии и поведении людей в критических ситуациях. Они помогают направлять оппонента в то русло, которое необходимо манипулятору.

Что такое социальная инженерия?

Под термином социальная инженерия (СИ) подразумеваются сразу несколько понятий. Первое относится к социологии и обозначает совокупность методов, изменяющих человеческое поведение, обеспечивающих контроль над окружающими, их действиями. Эти подходы ориентированы на изменение организационных структур, так как самым уязвимым местом любой системы является человеческий фактор.

В каком-то роде социальная инженерия – это наука, а в сфере информационной безопасности под термином подразумевается незаконный метод получения информации.

На сегодняшний день известными приемами пользуются мошенники, пытаясь добраться до «лакомого куска» – конфиденциальной или ценной информации.

В начале 21 века понятие было популяризировано, хотя методы для сбора фактов и манипуляция людьми были известны задолго до века компьютерной эры.

Чем занимается социальная инженерия?

Методология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства).

Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия.

Конструируя различные ситуации, специалисты в этой области предугадывают возможные ошибки и варианты поведения людей. Деятельность включает в себя такие процедуры, как:

  • анализ объекта деятельности;
  • оценка его состояния в настоящем и будущем;
  • разработка проекта нового состояния объекта;
  • прогнозирование вариантов развития внутренней и внешней среды;
  • реализация плана.

Как наука, социнженерия развивается по нескольким направлениям: занимается строительством социальных институтов (здравоохранения, образования и пр.), формированием региональных и местных сообществ, целевых групп и команд, строительство организаций. Социальную действительность можно изменить, пользуясь методами предвидения и прогнозирования, планирования и программирования.

Социальная инженерия – психология

Методики и техники СИ заимствуются из практической психологии. Если говорить об использовании науки в обманных целях, очень важно понимать людям, которых затронула социальная инженерия, что это направление неотделимо от психологии и НЛП.

Жертва может быть гораздо умнее и образованнее атакующего, но это не поможет ей избежать обмана.

Приемы всегда направлены на рефлекторное и шаблонное поведение; они действуют в обход разума, интеллекта и осуществляются на уровне эмоций и подавлении внимания.

Методы социальной инженерии

Техники и приемы социальной инженерии основаны на ошибках и отклонениях поведения, мышления и восприятия. В основном они перешли в пользование манипуляторов из богатого арсенала спецслужб. Хитрость, игра на слабостях и психологии – все это и многое другое используется для получения от человека необходимой информации. Можно назвать базовые методы социнженерии «на все времена»:

  • спешка, создание дефицита времени, чтобы лишить оппонента времени на размышление и проверку данных;
  • провоцирование и ирония (с то же целью);
  • подозрительность и безразличие (чтобы у оппонента появилось желание оправдываться).

Мошенники, использующие методы СИ, постоянно их совершенствуют. Самая популярная схема обмана на сегодня носит имя фишинг (от англ. «рыбная ловля»). Это практика отправления электронных сообщений с целью выудить необходимые данные.

Другие известные техники, которые применяет социальная инженерия: троянский конь (когда эксплуатируются алчность и любопытство объекта), перевоплощение или кви про кво (обманщик выдает себя за другого человека), претекстинг (разговор по подготовленному сценарию).

Виды социальной инженерии

В зависимости от способа воздействия на объект обмана СИ делится на два основных вида: прямая и обратная социальная инженерия. Приемы первой были описаны выше, а во втором случае жертва сама обращается за помощью к атакующему.

К этому человека вынуждают такие действия злоумышленников, как диверсия (создание обратимой неполадки), вовремя предложенная реклама услуг и оказание помощи.

цель обманщиков: вынудить объект поделиться своими данными, предоставить необходимую информацию, но для этого нужно быть немножко психологом.

Социальная инженерия для начинающих

В последнее время социальная инженерия как наука динамично развивается, позволяя регулировать человеческое поведение и осуществлять контроль, но гораздо дольше она существует как методология атак.

Профессионалы в этой области успешно обманывали людей на протяжении нескольких десятилетий, и всегда ставка делалась на человеческий фактор: любопытство, лень, страх.

Чтобы не попасться в ловушку мошенников, нужно уметь распознавать основные приемы хакеров и понимать, что сведения, которые появляются в открытом доступе, могут быть использованы против тех, кто ими поделился.

Социальная инженерия в социальных сетях

С повышением роли социальных сетей в жизни людей в них успешно применяются методы СИ.

На личных страничках люди добровольно сообщают факты о себе и своих близких, охотно вступают в контакт даже с посторонними людьми, особенно если те представляются не тем, кем являются на самом деле.

Мошенникам легко создать поддельную страницу любой влиятельной организации или известной фирмы и расставлять там свои «капканы». В открытом доступе все на виду, но ничего нельзя проверить.

Социальная инженерия и фейки с целью наживы и обмана распространены в социальных сетях.

Здесь работают и другие приемы, основанные на любопытстве (желание зайти на интересную страницу, попытаться узнать больше о другом пользователе) и страхе (мошенники представляются сотрудниками органов и требуют доступ к аккаунту или просто предлагают установить антивирус). Атака социальной инженерии успешна, если мошенник действует смело и дерзко.

Социальная инженерия и НЛП

Нейролингвистическое программирование (НЛП) представляет собой способ использования знаний, полученных из различных областей: лингвистики, нейрологии и психологии – с целью склонить оппонента к принятию «нужного» решения.

Управление нервными процессами происходит с помощью языковых средств. Принципы социальной инженерии, базовые техники и убеждения взяты из НЛП.

На жертву воздействуют «в реальном времени», требуя немедленного принятия решения, обращаются к подсознательным установкам индивида.

Социальная инженерия – заработок

Использование техник приносит результат, и на манипуляции другими людьми можно неплохо подзаработать, но эти способы будут нелегальными, связанными с обманом граждан, несанкционированным получением информации и доступа к чужому кошельку.

Социальная инженерия профессия – имеет место быть, но как разновидность социологии. «Продвинутые» инженеры нужны в бизнесе, органах управления и правопорядка, сферах общественной и хозяйственной жизни.

Их задачи: оптимизировать управление, взаимодействие, решать возникающие проблемы.

Социальная инженерия – книги

В наши дни социальная инженерия вызывает большой интерес в обществе. Цели могут быть разными, но интерес к методологии управления постоянно подогревается.

Чтобы научиться манипулятивным приемам и техникам, можно прочесть книги про социальную инженерию, написанные Кевином Митником, бывшим хакером, который взломал информационные системы крупнейших мировых компаний. Это такие издания, как:

  • «Искусство обмана» – сборник историй, раскрывающих секреты социальной инженерии.
  • «Искусство вторжения» – вторая книга серии об атаке через компьютеры.
  • «Призрак в сети». Мемуары величайшего хакера» – невыдуманная история, демонстрирующая опыт Митника.

Каждый может научиться управлять действиями других людей и использовать свои знания в добрых целях. Направлять собеседника в «правильное» русло – безусловно, удобно и выгодно, иногда для обеих сторон, но важно различать других потенциальных хакеров, манипуляторов, обманщиков и не попасться на их удочку. Многолетний опыт СИ должен быть использован на благо общества.

Источник: https://zen.yandex.ru/media/id/5c54c87fa68c1000ad5eb221/5c54c8e3314e5c00ad01f826

Угнать мыло за 60 секунд #5. Социальная инженерия #2. – Экселенц — КОНТ

Социальная инженерия 2

На мой взгляд, разделять социальную инженерию на виды и методы большого смысла не имеет. Специалисты, работающие в этой области, используют все доступные способы и методы, и кроме этого, постоянно придумывают что-то новое. Люди, рассказывающие о СИ, делят тактику атаки на два способа:

1. Социальная инженерия

2. Обратная социальная инженерия

Для того что бы читатели могли составить более полное представление о явлении СИ, я постараюсь описать разницу и расскажу недавний случай, который не попадает в эту классификацию, но является показательным и совсем не частным.

Собственно, в предыдущей статье рассказывается о социальной инженерии как о способе несанкционированного доступа(к чему угодно) через взлом человека, как носителя прав доступа.

В случае прямого использования СИ получение от жертвы необходимых данных является результатом обмана и подлога, например, злоумышленник представиться другим человеком – как самый распространенный вариант.

Крис Хэднеги, ставший основателем компании с говорящим названием Social-Engineer Inc, выполняя заказ одной из компаний, проверяя возможные «дыры» в безопасности, поступил следующим образом: Задачей было выяснить у сотрудников фирмы персональные данные, включая номера соцстрахования и сведения о внутренних учетных записях. Крис узнал номера телефонов из открытых источников, а затем просто обзвонил всех, представляясь новым ассистентом начальника отдела кадров. Он сказал, что в базе данных произошел сбой и теперь он, бедолага, все записи проверяет вручную. Поговорив с каждым по пять минут, он получил даже больше, чем требовалось.

Пример с подлогом ярко иллюстрирует другой случай: Марк Раш, директор подразделения сетевой безопасности Computer Sciences Corporation участвовал в организации проверки подведомственных организаций Министерства внутренней безопасности США.

За два года до инцидента со Сноуденом(к нему мы сегодня еще вернемся) там проверяли людей, которые отвечают за предотвращение угроз в масштабах страны, и они повели себя как малые дети.Сотрудники СБ разбросали на парковке возле правительственного здания несколько компакт-дисков. Часть из них была без опознавательных знаков, а на другие был нанесен логотип DHS.

Усевшись за мониторы камер наблюдения, офицеры стали наблюдать за поведением людей. Вскоре примерно 60% дисков без надписей были подобраны и вставлены в приводы рабочих компьютеров сотрудников самых разных отделов. В группе дисков с логотипом министерства так поступили в отношении 90% болванок.

Практически каждый подумал, что нашел ценную пропажу, и захотел почувствовать себя героем шпионской истории. «Не существует устройства, которое запретит людям быть идиотами», прокомментировал произошедшее Марк Раш.

Вот такие методы используются в прямой социальной инженерии, и если признаки преступления, такие как мошенничество, просматриваются в этих случаях явно, то в случае с Обратной Социальной Инженерией, специалисту СИ чаще всего делать ничего не приходится вовсе – люди сами отдают то, что должны беречь как зеницу ока. Именно так и произошло в случае Сноудена, никакой он не супер-шпион. Даже если он и обладает высокими навыками хакера, то во всем известном происшествии навыки эти ему не пригодились.

Как выяснилось на слушаниях в Комитете по разведке сената США, Сноуден не взламывал сетей, не распространял вредоносного ПО, методы описанные выше не использовал. Будучи человеком открытым и общительным(как казалось коллегам из регионального центра управления АНБ на Гавайях,)работая сис.админом, он был готов помочь им в решении проблем, возникающих с их компами и ПО.

В нормальных условиях сисадмину не требуются пароли пользователей для выполнения своих задач. Он использует свою учетную запись или просит сотрудника залогиниться без разглашения пароля. По инструкции, если админ случайно узнает пароль пользователя, то сообщает об этом и просит сменить.

Свои учетные данные сотрудники АНБ передавали Сноудену самостоятельно и «повизгивая от удовольствия», рассчитывая на скорейшее решение их проблем. Они сами звали его по любому поводу и первым делом называли текущий пароль своей учетки.

Используя данные более чем двадцати аккаунтов с разным уровнем доступа к секретной информации, Сноуден похитил более полутора миллионов файлов из сети АНБ. Он долго не вызывал подозрений, поскольку не делал ничего странного под своей учетной записью.

О мотивах разглашения части полученной информации он рассказывал неоднократно сам.

Что осталось «не озвученным» из угнанных секретов АНБ, мы вероятнее всего, не узнаем. Смею предположить, что высокий уровень подготовленности наших властей к событиям 2014 года, отчасти был обусловлен наличием информации от «друга человечества».

На описанном выше примере я рассказал о том, что такое обратная СИ. Получается что злоумышленнику не обязательно обманывать что бы получить информацию, в некоторых случаях жертва сама обращается к нему – нужно только создать необходимые для этого условия. 

Самым распространенным случаем, ОСИ можно назвать размещение своих личных данных в открытом доступе в сети.

Телефонные номера, адреса почты, геолокацию, фотографии, рассказы о местах работы и увлечениях – в этом случае нет необходимости создавать условия, вы сами создаете предпосылки для атаки.

Все ваши данные могут стать инструментом атаки не только на вас, но и ваших близких. Не могу не упомянуть о случае произошедшим, лично со мной, летом этого 2016 года.

Атака была направлена непосредственно на меня, что развлекло не только меня, но и моего близкого друга, который назвал атаковавшего разными непечатными эпитетами, самым безобидным из которых были «нуб» и «лох». Нужно отметить, что в социальных сетях меня почти нет – они и время отнимают, и скучны по своему содержанию.

В одной из них я присутствую только по причине сохранения связей с теми интересными людьми, с кем учился и работал. Как я уже сказал, в один прекрасный летний день телефон мой «булькнул», оповестив меня о новом сообщении в соц.

сети, это оказался запрос в друзья от моего самого близкого друга, который на тот момент уже был у меня «в друзьях»(настройки приватности сделаны таким образом, что писать мне могут только друзья), пока я соображал что там могло произойти, что ему пришлось заводить новую страницу, пришло первое сообщение «Привет,…, помощь нужна твоя, если сможешь». Этому человеку я готов помочь в любой момент, но обращение такое между нами не принято(слишком официально), это стало первым «звоночком». Вторым звоночком стала сама просьба одолжить 10-15 тысяч городов российских «до понедельника» – он никогда не стал бы оперировать такими суммами. В тот момент, когда пришло это сообщение, я уже просматривал его «первую» страницу на предмет проверки времени его последнего пребывания в соц.сети. Гыгытнув, я переместился за компьютер, и написал в скайпе своему товарищу. После уточнения что пишет мне не он, о чем я и заподозрил изначально, беседа с «атакующим» была продолжена. Конечно, выяснить кто он и откуда не удалось, любые вопросы на эту тему были бы подозрительны. Оставалось довольствоваться номером карты, на которую нужно скинуть деньги. Далее действовал уже мой товарищ – работая в одной из крупнейших почтовых сервисов, который находится в одном здании с тех.поддержкой этой социальной сети, он обратился к ним для блокировки аккаунта злоумышленника и написал заявление в милицию с указанием номера карты СберБанка. Чем закончилась эта история мы не уточняли, надеюсь, карьера перспективного социального инженера на этом закончилась.

Что характерно, атака осуществлялась методом, который мы рассматривали – злоумышленник попытался выступить от имени знакомого мне человека, это один из самых распространенных способов атак в соц.сетях.

Этого «специалиста» подвело то, что я настолько близко знаком с тем, под кого он работал, что смог сразу понять – пишет не он. Вторым способом защиты с этой стороны стало мое правило – в друзьях только те, кого я знаю лично, никаких «левых» друзей.

Главной ошибкой этого любителя легких денег стал выбор человека, под образом которого он решил выступить – были использованы реальные фотографии, указана личная информация, страница была скопирована достаточно качественно.

До меня он успел «подружиться» с большим количеством друзей своего образа… Но не учел, и не мог знать, что почти все его друзья, в силу образования и работы, мягко говоря, в курсе подобных приемов. Как говорил один мой знакомый, ныне живущий – «Там, где он учился, я преподавал».

Под занавес, для оценки возможного урона и возможностей СИ в реальной жизни, коротко расскажу об истории, описанной в книге «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз(!): в примере, благодаря грамотной социальной инженерии, 95% больниц оказались критически уязвимы.

На этой поучительной истории позвольте завершить сегодняшний рассказ. Как всегда, благодарю всех читателей за поддержку! В начале статьи я обещал рассказать историю о методе, который выпадает из разделения СИ на два варианта.

Сейчас я понимаю, что рассказ этот займет места на Конте достаточно, что бы стать отдельным повествованием. Для подготовки этого рассказа мне потребуется некоторое время – будет не только описана непосредственно работа СИ, но и упомянуты как программные, так и аппаратные средства, участвующие в работе.

О некоторых из них вы можете прочитать в предыдущих статьях цикла. Всем удачи!)

Источник: https://cont.ws/post/437633

Vse-referaty
Добавить комментарий