Социальная инжерения. Введение в искусство обмана.
В этой статье поднимем тему социальной инженерии (СИ). Ведь только с помощью знаний и умений СИ можно реализовать свои технические навыки и знания.
Если мы атакуем базу, то у нас есть определенный процент людей, которые перейдут по ссылку и введут данные. Это может быть 5-10-50% от общего количества. Все зависит от нашей подготовки и знаний целевой аудитории.
Абсолютно другое дело, когда необходимо получить доступы к конкретному человеку или компании. В большинстве случаев левыми письмами в социальные сети и почту не обойтись. Очень важно использовать СИ, чтобы войти в доверие или использовать одну из техник. Для этого я хотел рассказать о возможных методиках, которые Кевин Митник детально описывает в книги "Искусство обмана".
И перед разбором конкретных схем, я хочу добавить цитату: "Человеческий фактор по-настоящему самое слабое звено в безопасности".
Схема 1: Не навредить
В начале книги очень хорошо описано, что нужно внимательно работать из участниками процесса. Социальному инженеру нужно совершать много звонков и отправлять достаточно писем и в определенных моментах наша цель может заподозрить что-то подозрительное. Считается, что нападающий сжигает источник, если он дает жертве понять, что имело место атака. Это информация может быть передана руководству, службе безопасности и т.д. После этого очень сложно использовать этот источник для будущих атак.
Рекомендации от Митника:
Всегда нужно следить за настроем человека на том конце линии. От состояния, "я полностью доверяю вам" и до "я обращусь в полицию". Также стоит обращать внимание, как человек отвечает на вопросы. Если вы понимаете, что есть сомнения и подозрения, то нужно снизить количество вопросов к жертве и использовать технику "Личный вопрос".
Личный вопрос - это возможность понять по тону голоса, подозрительно ли относиться человек к такому звонку. Если тон голоса не меняется и жертва отвечает на вопрос, то в целом можно продолжать разговор в нем нет никаких подозрений.
Легенда. Уверенное обоснование позволяет снять подозрение. Можно сказать, что информация нужно для написания научной работы от университета или проведения социального исследования. Ваша легенда должна вызывать доверия и быть максимально похожей на правду.
2-3 дополнительных вопроса в конце. Обязательно нужно задать несколько дополнительных вопросов, после получения нужной информации. Если даже через некоторые время возникнут подозрения, то жертва вспомнит эти 2-3 последних вопроса.
Схема 2: Получения информации
Для общения со сотрудниками компаний или целью необходимо знать максимально информации, чтобы наша цель имела доверия по ключевым характеристиками. Иногда для получения этих всех данных нужно совершить несколько звонков и собирать всю информацию по крупицам. Для этого нужно хорошо готовиться и учитывать рекомендации.
Рекомендации от Митника:
Для получения контактов можно позвонить в компанию, где работает жертва и представить легенду, как вы работали с каким-то отделом или конкретным человеком, но потом потеряли контакт. В этом нет ничего подозрительного, а для компании клиенты=деньги. И в большинстве случае с вами поделятся нужными контактами.
Во всех разговорах необходимо иметь дружелюбный тон и использовать профессиональный сленг. Это позволяет получить минимальное доверие среди сотрудников компании.
Владение корпоративной информацией. Таким образом, можно повысить уровень доверия, зная имена, структуру и должности сотрудников, а также определенные условия работы, название серверов, определенных процедур и т.д.
Схема 3: "Работа с определенными сотрудниками компании"
Очень часто жертвами социальных инженеров являются новые работники и обслуживающий персонал, которые не имеет доступа к компьютерным системам и сетям. Новые сотрудники всегда хотят помочь и проявить себя поэтому они хорошо идут на контакт и могут не знать всех правил работы в компании.
Дежурные или другие сотрудники могут вынести печатный материал, который будет являться очень важным, не подозревая никакой опасности. В книге это описано в истории со справочником тестовых номеров, который удалось получить простым обманом. Социальный инженер позвонил и представился с издательства телефонного журнала и указал, что не сможет дать новые выпуск, пока не получит старого. Таким образом, журнал был оставлен за дверью и его успешно получил социальный инженер.
Рекомендации от Митника:
Не предоставляйте доступ к компьютерным серверам и системам новым сотрудникам, не проведя обучения по работе с информацией, системами и сетями.
Обучение по информационной безопасностью должны проходить абсолютно все сотруднике в не зависимости от того имеют они доступ к автоматизированным системам или нет.
Вся информация должна быть классифицирована. Если информация не имеет обозначения в политики информационной безопасности компании, то она должна быть отнесена к конфиденциальной.
Обучение безопасности должно подчеркивать: когда сомневаетесь, проверяйте, проверяйте, и еще раз проверяйте!
Схема 4: "Разрешите Вам помочь"
Это очень эффективная схема. Люди на подсознательном уровне благодарны тем, кто готов решить их проблему. А социальные инженеры используют этот момент с выгодой. Они знают как создать проблему, а потом предоставить вариант для решения. После выражения благодарностей можно донести необходимый вирус или получить нужную информацию, ведь никто не подозревает о какой-либо угрозе.
В 5 главе отлично описана история, когда социальной инженер позвонил одному из сотрудников и представился со службы технической поддержки. Он указал, что возможно будет отключение Интернета и если такое произойдет, то стоит обращаться по конкретному телефону. После этого социальный инженер перезвонил в техническую поддержку и попросил отключить доступ его компьютера, представившись сотрудником компании. Схема сработала и цель перезвонила по оставленному номеру. После этого социальный инженер попросил подключить интернет в службе поддержки, а на фоне этой проблемы предложил установить программу, которая позволила бы избежать такого в будущем. Это был вирус, который позволил получить полный доступ к компьютеру цели.
Рекомендации от Митника:
Не привлекайте сотрудников из вне, которые могут решить вашу проблему. Стоит очень внимательно относиться к проблемам, которые имели место обсуждения ранее. Или кто-то предупреждал и указывал номер для обращений.
Если так получилось, что вам пришлось привлечь сотрудникам для решения проблемы из вне, то не нужно выполнять никаких действий после решения проблемы. Особенно если человек просит вас ввести команды в командной строке или запустить файл.
Схема 5: "Просьба о помощи"
Довольно эффективно работает схема с простой просьбой о помощи. По своей природе люди склонны помогать другим. Обычно социальный инженер ставит себя в позицию "я в беде - мне нужно помочь". Чем лучше будет продумана ваша "беда", тем больше шансов на успех.
В книге описан хороший пример атаки в то время, когда пошел снег и на дорогах была плохая ситуация. Тогда социальный инженер воспользовался ситуацией и в качестве беды использовал плохие условия на дороге и попросил получить доступ для работы на дому. Таким способом удалось обойти двухфакторную аутентификацию.
Рекомендации от Митника:
В компаниях нужно использовать справочник номер сотрудников. Хранить его нужно как конфиденциальную информацию. Тогда можно проверит информацию и уточнить, действительно звонящий является сотрудником компании.
Необходимо разработать процедуру, которая в точности описывала ситуацию предоставления доступа к определенной системе. Для этого необходимо учитывать уровни доступа, политики информационной безопасности и т.д.
Необходимо всегда внимательно относиться к таким просьбам. Ведь в этой истории сам руководитель подтвердил такую просьбу и "помог" получить доступ социальному инженеру.
Заключение
Несмотря на то что книга была выдана в 2004 году многие техники актуальны и сегодня. Главное - это иметь представление, как это работает на практике. Таким образом, необходимо внимательно относиться к разному рода просьбам и образованием, так как среди них могут быть атаки от социальных инженеров.
SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)
SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.
Торговая площадка SEBLOG — Только проверенные временем товары и услуги.