April 10, 2019

Социальная инженерия: тормозить не вредно.

Начну с того, что социнженерия-это не опасный и вредный факт, а полезная штука, которую, как любой инструмент, можно использовать в разных целях, сегодня я пишу именно о том, как её используют мошенники, но молчу о том, как она служит во благо.

Социальная инженерия-звучит громко и того заслуживает, СИ даёт большие возможности тому, кто её использует, потому что опирается она фактически на главное, что есть у всех людей-на чувства и эмоции. Наверняка, большинство из вас слышали об этом явлении, но кто-то, может, и не слышал.

Просто говоря, социальная инженерия-это комплекс методов управления людьми без использования технических средств, основанный на действии "человеческого фактора". Все ведь слышали про этот пресловутый фактор? На него можно что угодно свалить, потому что он может сработать у любого из нас и привести к неожиданным результатам, но это чаще касается чрезвычайных ситуаций, а вот в повседневной жизни, чтобы избежать неприятностей, надо уметь вовремя тормозить, потому что приёмы социальной инженерии обожают использовать мошенники во главе с небезызвестным Кевином Митником, который на данный момент выглядит как светлый.

Социальная инженерия в деле.

Звонок в дверь

пожилая женщина: "Кто пришёл?"

некто за дверью: "Доктор из поликлиники, я вас осмотрю и выпишу бесплатные лекарства"

Чаще всего, мошенники пользуются такими человеческими качествами как доверчивость- как в случае с бабушкой и "врачом", страх ("ваш компьютер заражён и умрёт", "ваш Виндовс заблокирован, потому что вы преступник, и вас посадят в тюрьму"), отзывчивость ("Девочка,-говорит усатый дядька,- я в машине котёнка потерял, помоги его найти!") и жадность (примеры придумайте сами)).

Существует бесчисленное множество техник социальной инженерии и вот самые распространённые из них:

1) Претекстинг

Работа по заранее запланированной схеме, часто требует дополнительного сбора информации о каждой жертве в отдельности.

Пример: злоумышленник звонит и представляется менеджером банка, держателем карты которого является жертва. Называя номер карты, реквизиты бванка, другие данные, он вызывает доверие и может получить доступ к другим персональным данным, например, пин-коду карты.

2) Фишинг

«Рыбалка» - метод похищения информации посредством подделки веб-страниц, содержащих формы для ввода персональных данных, будь то пароль от ВКонтакте или номер банковской карты.

Пример: Поддельные страницы сайта интернет-банка PayPal от самых некачественных до практически неотличимых от настоящей.

3) Троянский конь

В отличие от первых двух методик, опирается не на доверие жертвы, а на её любопытство. Распространяются ссылки/файлы с интригующим описанием, жертва «клюёт» на удочку и получает программу-шпиона в свою систему, вуаля.

Пример: сообщение от друга в ICQ: «Смотри на своё лицо в старости "ссылка" мы тут смеёмся уже полчаса)))». Жертва огорчена/задета/заинтересована и переходит по ссылке, к слову, ссылка обычно сокращена, что так же может насторожить. Или может быть так:

4) "Дорожное яблоко"

Распространение инфекции через внешние носители : злоумышленники подсовывают заражённые носители информации, снабжая их интригующим описанием.

5) Кви про кво ( одно вместо другого, путаница).

Злоумышленник через самого пользователя получает доступ к компьютеру и устанавливает вредоносное ПО на него. В связи с развитием этого вида атак, у многих людей стало вызывать сомнение функционирование пунктов бесплатной он-лайновой компьютерной помощи, так как мастер/хэлпер теоретически может заразить систему вредоносным ПО, а это, я считаю, вообще безобразие и дискриминация.

6) Другие способы.

Получить информацию можно миллионами различных способов хотя бы потому, что мошенники не стеснены техническими возможностями своих утилит, а возможности фантазии безграничны.

Существует понятие «Обратная социальная инженерия», означающее вынуждение жертвы выдать информацию самостоятельно, здесь может использоваться приём отвлечения внимания.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.