Методы социальной инженерии
Приветствуем, друзья!
Современные системы защиты могут защитить данные практически от всего, кроме человеческого фактора.
Можно воздвигнуть неприступную программную стену перед потенциальным хакером, но все труды окажутся напрасными, если наивный пользователь сам сообщит злоумышленнику пароли.
«Взломать человека намного проще, чем компьютер, поскольку компьютеры следуют инструкциям, а люди – поддаются эмоциям», – утверждает Кевин Митник, один из самых знаменитых хакеров мира.
Социальная инженерия, или взлом человеческого сознания – один из самых популярных хакерских инструментов современности. Вы удивитесь, но самые коварные методы социальной инженерии практически не требуют от злоумышленника особых технических знаний. Вот несколько приемов, которые будут актуальны до тех пор, покуда существует человеческая глупость. То есть вечно.
Это – один из хрестоматийных примеров того, как хакер может завладеть паролем для доступа в корпоративную систему. Особенно он актуален для крупных компаний, где многие сотрудники зачастую не знакомы друг с другом. Хакеру достаточно связаться с одним из сотрудников по телефону или электронной почте и выдать себя за глупого новичка. Кончено, многое тут зависит от везения. Нужно изначально не ошибиться и выбрать в качестве живой «уязвимости» доверчивого и сердобольного человека, готового помочь неопытному «коллеге».
Аккуратно расспрашивая сотрудника и жалуясь на то, что «ничего не получается», хакер выманивает у него пароль для доступа в систему. А далее – дело техники.
Прием, обыгранный в массе шпионских фильмов, но не потерявший актуальности. Вы наверняка видели в каком-нибудь кино, как герой звонит, к примеру, на контрольно-пропускной пункт, прикидывается злым генералом и требует от робеющих дежурных немедленно что-то сообщить или кого-то пропустить.
Пример довольно утрированный, но даже в 2016 году с помощью подобной уловки хакеры умудряются грабить банки. Ярчайший пример – в январе злоумышленники похитили из крупного бельгийского банка 70 млн. евро. Хакер направил одному из менеджеров финансового отдела гневное письмо, где представился одним из важных клиентов банка. «Клиент» сердился и спрашивал, какого дьявола банк задерживает проведение невероятно важной транзакции. Сотрудник испугался и перевел деньги, не особо вдаваясь в проверки присланных документов, подделанных при помощи фотошопа.
К слову, этот метод отлично совмещается с «глупым новичком». То т же «большой и злой генерал» может позвонить подчиненным и потребовать объяснений, почему у него что-то не работает. Главное в это деле – харизма и убедительность. Гнев, глупость и самодурство должны «большого босса» выглядеть достаточно естественно и быть достаточно интенсивными, чтобы жертва не смогла собраться с мыслями и просто не успела усомниться в происходящем.
Несмотря на возросшую компьютерную грамотность, при желании Вы все еще легко отыщете людей, мечтающих о наличии на клавиатуре кнопки «сделать всё хорошо». Это – тот самый скорбный разумом контингент, который никогда «ничего не нажимал, всё само сломалось». Такие люди – настоящая находка. Потому хакеру достаточно позвонить им и сказать что-то вроде «Я N из техподдержки, мне сообщили, что у вас проблемы с компьютером». У жертвы гарантированно обнаружатся «проблемы с компьютером», будь то исчезнувшая линейка в Microsoft Word или заблокированные админом «Одноклассники». В ходе решения таких «проблем» пользователь поверит едва ли не каждому слову хакера и с радостью продиктует ему всё что угодно, включая логин, пароль и паспортные данные собственной бабушки.
Если Вы работаете в крупном офисе, оглядитесь вокруг. Посмотрите на компьютеры коллег. Наверняка на чем-нибудь мониторе вы обнаружите липкий стикер, где записаны все необходимые пароли для входа в систему. Таким образом, внимательному и зоркому хакеру нужно лишь найти способ попасть в офис. Способов для этого может быть масса. К примеру, ни для кого не секрет, что иногда по офисным зданиям ходят «бродячие продавцы», предлагая местным обитателям разнообразную косметику, книги или прочий товар. Нет никаких гарантий, что один из таких продавцов, войдя в помещение, не начнет высматривать на чьем-нибудь мониторе бумажку с паролями.
Следует отметить, что в случае с большими корпорациями этот метод не сработает, так как они на свою территорию посторонних, как правило, не пропускают. Но если Ваша компания снимает офис в местом Доме Быта, то нет никаких гарантий, что паренек-курьер, который полчаса назад ошибся дверью, этим же вечером не попытается взломать Вашу базу данных.
Актуальная ссылка - @cyber_sq
Главный - Fantom