April 10, 2019

Социальная инженерия в хакерстве.

В мастер-классе собраны самые сливки всего того, о чем Митник говорит на своих консультациях по информационной безопасности. Кроме того, в качестве бонуса в этом разделе приведен иллюстрированный классификатор фишинговых атак.

Вводные замечания от Кевина Митника

Тема кибербезопасности сегодня весьма злободневна. Существует множество высокотехнологичных решений, призванных защищать корпоративные информационные системы. Однако, как мы знаем, самое слабое звено любой информационной системы – это ее пользователи, которые, став жертвой злоумышленника, сами того не подозревая, отдают ему ключи от сокровищницы. Лично я знаю это не понаслышке, поскольку сам был хакером. Я открыл для себя, насколько легко обмануть сотрудников, чтобы убедить их отдать мне любую конфиденциальную информацию об их компании: имена пользователей, пароли, номера учетных записей и коды удаленного доступа. И насколько легко использовать эту информацию для взлома самого сердца их сетей. Моя ловкость в этом вопросе сыграла со мной злую шутку, и мне пришлось отсидеть пять лет в федеральной тюрьме. Однако, выйдя в 2000-м из тюрьмы, я стал консультировать бизнесменов и правительство по вопросам кибербезопасности. В этой статье я представлю все то, о чем говорю на своих консультациях.

Зловещее искусство убеждения

Самое большое заблуждение в кибербезопасности – это то, что самый опасный инструмент хакера – это компьютер. Вовсе нет. Самый опасный инструмент хакера – это телефон. По мере совершенствования технологий кибербезопасности злоумышленники все чаще прибегают к «старой школе».

Зачем бороться с непомерно защищенным корпоративным файрволом, когда можно обмануть служащего?

Служащего, который снимет трубку и скажет пароль своего босса. Злоумышленники, прокладывающие путь в «защищенные» корпоративные системы, умеют манипулировать естественными человеческими склонностями. Вот почему я называю их социальными инженерами.

Основа для создания защиты от атак социальных инженеров – ясное понимание того, как именно происходит процесс убеждения. Социальная инженерия опирается на несколько фундаментальных аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, склонность следовать за большинством, склонность исполнять негласные публичные обязательства, склонность гнаться за дефицитными вещами и склонность доверять авторитету. Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера. Основа для создания защиты от атак социальных инженеров – ясное понимание того, как именно происходит процесс убеждения. Расскажу об этом ниже.

Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлоггер на компьютер директора компании.

Этот случай смоделирован на основе реальных событий.

В отделе кадров крупного издательства Москвы звонит телефон:

– Отдел кадров, Елена.

– Привет, Лен. Это Сергей с автостоянки. У нас возникли проблемы с картами доступа на парковке: недавно устроившиеся к нам сотрудники жалуются, что карты не работают. Поэтому нам надо перепрограммировать карты новых сотрудников, которые устроились на работу в течение последних 30 дней. Как мне узнать всех новичков?

– Я могу проверить наш список новичков и перезвонить вам. Какой у вас телефон?

– Отлично! Но я сейчас убегаю. Может, я сам перезвоню где-нибудь через полчаса?

– Хорошо.

Когда «Сергей» звонит Елене вновь, та передает ему имена и номера двух новых сотрудников. И она без каких-либо подозрений говорит, что один из них вице-президент, а другой, Евгений Михайлович, помощник по финансам. Бинго! Следующий звонок «Сергея» – около шести вечера – Евгению:

– Финансы. Евгений на проводе.

– Очень рад, что кто-то работает допоздна. Послушай, это Владимир Иванов. Я вице-президент книжного отдела. Нас не успели представить друг другу. Добро пожаловать в нашу компанию.

– Ой, спасибо.

– Евгений, я на конференции в Питере, и у меня форс-мажор. Знаю, что у тебя своих дел хватает, но помоги, пожалуйста. А я тебе персональную экскурсию по отделам устрою.

– Конечно. Чем могу помочь?

– Сходи в мой офис. Мне нужна рукопись. Ты знаешь, где мой офис?

– Нет.

– Это угловой офис на 15-м этаже, комната 1502. Я перезвоню тебе туда через несколько минут. Когда попадешь в офис, нажми кнопку переадресации вызова на телефоне, чтобы мой звонок не был переадресован на мою голосовую почту.

– Хорошо. Уже иду.

Десять минут спустя Евгений уже в офисе Владимира Иванова. Он отключил переадресацию вызовов Владимира и ждет телефонного звонка. Наш социальный инженер, представившийся Владимиром, просит его запустить Internet Explorer на компьютере Владимира, напечатать «www.geocities.com/ron_vitarro/manuscript.exe» и нажать «ENTER». Появляется диалоговое окно, и наш социальный инженер просит Евгения нажать «ОТКРЫТЬ», вместо «СОХРАНИТЬ». Компьютер начинает загружать рукопись, но затем экран гаснет. Когда Евгений сообщает, что что-то идет не так, социальный инженер подыгрывает:

– О нет. Неужели опять. У меня уже были проблемы с загрузкой с этого сайта, но я думал, что ошибку исправили. Ну да ладно. Не волнуйся. Я попозже найду другой способ получить этот файл.

Затем социальный инженер просит Евгения перезагрузить компьютер: чтобы «Владимир» мог убедиться, что компьютер работает нормально. Пока компьютер перезагружается, «Владимир» дружелюбно болтает с Евгением. Когда компьютер снова загружается и начинает работать правильно, «Владимир» сердечно благодарит Евгения и вешает трубку. Евгений возвращается к своему рабочему столу, довольный тем, что наладил хороший контакт с вице-президентом.


Конечно же, Евгений не знает, что его обманул ловкий социальный инженер и он только что помог хакеру установить шпионскую программу на компьютер вице-президента. Установленная программа будет записывать все нажимаемые Ивановым клавиши. В том числе электронную почту, пароли, посещаемые веб-сайты. А также делать скриншоты и отправлять все это богатство по электронной почте на анонимный бесплатный почтовый ящик хакера из Чукотк��.

Как и большинство подобных нарушений, такие действия требуют лишь минимальных технических навыков (маскировка шпионской программы под рукопись) и небольшой предварительной подготовки. Хакеру надо было предварительно получить некоторую информацию: офис Иванова, время его ухода и т.д. Однако подобного рода детали легко собираются при помощи тактики наподобие той, что была использована для получения списка новых сотрудников.

Используя подобные методы, социальные инженеры могут:

  • получить контроль над компьютерными и телефонными системами компании;
  • убедить охранников и других работников в том, что они являются сотрудниками;
  • захватить голосовую почту сотовых и домашних телефонов высокопоставленных руководителей и таким образом получить доступ к полному списку клиентов, финансовым отчетам и планам организационного развития.

И это только начало. При этом у большинства компаний практически нет защиты от социальных инженеров.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.