Социальная инженерия или почему у друзей Оушена всё получилось?
Помните культовый фильм «11 Друзей Оушена»? Одиннадцать мошенников совершают дерзкую кражу, открывая самые неприступные сейфы казино. Успех их операции кроется в социальной инженерии.Что же такое социальная инженерия? Это метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Проще говоря: ключ от всех дверей — это человеческие слабости. Один из самых знаменитых социальных инженеров в истории, Кевин Митник, утверждает: фундамент социальной инженерии — очарование, вежливость, уверенность и простота. И добавляет: намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности.
Первая заповедь Социальной Инженерии (СИ):
На первый взгляд, бесполезная информация выводит на следующий уровень доступа, а значит, в итоге приведёт на нужный, где заключены полезные данные и полномочия.
Простой пример: есть секретарша Света. Она, конечно, не знает пароли к финансовым базам данных и не имеет доступа к счетам фирмы. Однако она владеет информацией обо всех сотрудниках компании, знает их номера и прочую личную информацию. А ещё она разговорчива и ей нужен новый новый друг. Если вам нужно «подобраться» к боссу — не стоит идти напролом, для начала стоит поговорить по душам с секретаршей.
Она может рассказать о шефе что угодно, даже совсем не желая ему зла. С кем и где он отдыхает, какого цвета носит носки, и сколько ложек сахара кладёт в кофе. Умелый социальный инженер сможет даже из такой пустяковой информации выжать полезное для себя.
Вторая заповедь СИ:
Люди глупее, чем кажутся, а их поведение зачастую иррационально.
Существует несколько распространённых техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае.
Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана также могут быть весьма разнообразными.
Существует несколько техник социальной инженерии: подложные лотереи, ложные антивирусы и программы для обеспечения безопасности, троянские программы. Но самые распространённые техники — это претекстинг и фишинг.
1. Претекстинг
Это набор действий, проведённый по определённому, заранее готовому сценарию (претексту). Техника предполагает использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя совершить необходимое действие или предоставить определённую информацию.
2. Фишинг
Это вид интернет-мошенничества целью которого является получение доступа к конфиденциальным данным пользователей — логинами и паролями.
Пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, следующих за ней. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий.
Случай, ставший классическим примером СИ разводки от Кевина Митника:
Группа хакеров решила взломать компьютерную систему компании-разработчика софта, но им это никак не удавалось. Митник сделал это за 5 минут, когда ему было всего 17 лет. Он позвонил сисадмину и уверенным голосом сказал, что он — Антон Чернов, ведущий разработчик проекта, что ему очень нужно зайти в свой аккаунт, но система даёт сбой. Сисадмин сказал ему пароль и цель была достигнута — весь исходный код украден.
Не думайте, что социальная инженерия — удел голливудских фильмов и больших корпораций. В современной Украине также распространён этот вид мошенничества. Так что будьте начеку и не сообщайте свои персональные данные малознакомым людям. Кстати, а какой у вас пароль?
SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)
SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.
Торговая площадка SEBLOG — Только проверенные временем товары и услуги.