Социальная инженерия – практические советы. #1
Даже самая совершенная система защиты бесполезна, если ею управляет психологически неустойчивый, наивный и/или доверчивый человек.
Помните анекдот о диссертации на тему зависимость скорости перебора паролей от температуры паяльника (утюга)? Многие почему то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. На хакерском жаргоне атака на человека называется социальной инженерией (social engineering) и в своем каноническом виде обычно сводится к звонкам по телефону с целью получения конфиденциальной информации (как правило, паролей) посредством выдачи себя за другое лицо. В данной статье термин социальная инженерия рассматривается намного шире и обозначает любые способы психологического воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах (любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно, подобные приемы не новы и известны еще со времен глубокой древности.
Остается только удивляться тому, что за истекшие тысячелетия человечество так и не научилось противостоять мошенникам и отличать правду от лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких принципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась. Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адреса том, имя которого стоит в заголовке.
Атакующий может находиться и в соседней Крис Касперски 2 комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоумышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам.
Поэтому, изучение приемов их работы позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные экспонаты которой представлены ниже. Конечно, на исчерпывающее руководство по обеспечению собственной безопасности данная публикация не претендует, но общее представление о методиках хищения денег и/или информации все же дает.
Введение в заблуждение (обман)
Введение в заблуждение – основной компонент социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишьнаи более популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.
Отъем денег.
Это только в американских боевиках одетые в маски грабители вламываются в какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отношение к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда обнаружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать до свидания, уходишь.
Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом го роде или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар только после заключения договора. (Договор же можно переслать обычной почтой или, на худой конец, по факсу). Кстати, встречаются и недобросовестные авторы, которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы получил кто то другой, выдавший себя за них.
Бесплатное приобретение программных продуктов
Хищение денег – это достаточно рискованный способ мошенничества и, в случае неудачи, он может обернуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение.Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо версию или атаковать локальную сеть фирмы разработчика? Чревато! Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек операторов, обслуживающих рядовых клиентов.
Если вы хотите избежать обмана – пересылайте продукт не напрямую, а через издателя. Он!то наверняка знает своих журналистов! Впрочем, вполне всамомделешний журналист может продукт взять, а статью не написать. Или написать, но по независящим от него причинам не суметь ее опубликовать…
Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка под ключ обычно стоит дорого, очень дорого, но если проявить чуточку смекали… Вот на сайте аля (dwad/daw) появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто – с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.
Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу котов в мешке. По иск хорошей работы – это вообще рулетка и без разочарований здесь не обойтись. Несанкционированный доступ.
Приемы хищения паролей.
Вероятно, самый известный прием похищения пароля – это звонок жертве от имени администратора системы или, напротив, администратору – от имени некоторого пользователя.
Просьба в обоих случаях одна, – под каким бы то ни было предлогом сообщить па роль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась – все таки жизнь чему то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая.
Лучший способ выведать пароль – не спрашивать его. Напротив, строго на строго запретить говорить! Это может выглядеть, например, так: Алло, здравствуй! те! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому!никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас? Поразительно, но многие, пропуская разъяснительную беседу мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос какой у Вас пароль можно понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы – выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу.
Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозрений жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы! Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, воз можно, даже не осознает, что она вообще делает).
Помните, низко квалифицированный оператор – все равно, что обезьяна с гранатой! Кстати, постоянная смена паролей – это худший выход из ситуации, создающий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся, да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем.
А теперь вообразите, что некий доброжелатель из соседнего отдела вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или за пьете ее молоком, но есть ненулевая вероятность того, что кто то избавится от изобличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реальной ситуации, а не теоретических измышлений. Люди – не компьютеры! В некоторых, не таких уж редких случаях, злоумышленник имеет принципиальную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании).
Самое трудное – уследить за быстро набираемым паролем, к тому же частично закрытым руками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь новый пароль уже не наберешь "на автомате"! Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникновение в систему.
SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)
SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.
Торговая площадка SEBLOG — Только проверенные временем товары и услуги.