Социальная инженерия: основы, примеры и защита

Салют, Аноним!
Многие хакеры, постоянно занимающиеся взломами, всегда имеют в запасе пару приемчиков СИ, ведь там, где невозможно найти уязвимость в коде, часто ее можно найти в голове жертвы.


Коротко о главном

Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у нас, хакеров - это атака на человека.

Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб даже целой компании. Метод основан на слабостях человека, его чувствах, неопытности, использование чего может привести к фатальным последствиям.

Ты будешь удивлен, но социальная инженерия не всегда используется в незаконных целях. Например, во время уголовного следствия, что бы разговорить преступника или свидетеля.

История

Сам термин "социальная инженерия" появился недавно, и особенно его популяризовал Кевин Митник. Однако известно, что в Древнем Риме и Греции всегда были в почёте люди, которые умели навешать лапшу на уши любому человеку и убедить в своей правоте. Они всегда вели переговоры и могли без проблем вывести целый город из ситуации, когда могло потребовать применение оружия. В 70-х во время расцвета фрикинга социальная инженерия приобрела огромную популярность среди юных хакеров, которые чуть подправив свои фразы, не редко могли заставить сотрудников телефонной компании чувствовать себя виноватыми и в порыве эмоций говорить секретную информацию. Эти же хакеры зачастую и развлекались бесплатными междугородними и интернациональными звонками. В то время социальная инженерия и приобрела свой первоначальный смысл. Обычный звонок по телефону мог решить многие проблемы. Появление компьютеров очень расширило возможности социальных инженеров и дало новые просторы для творчества. В ход пошло всё: электронная почта, социальные сети, форумы и т. д. Чем не удача? Тем самым само понятие социальной инженерии очень расширилось с появлением информационных технологий.


Главный смысл

Основа социальной инженерии – введение в заблуждение человека. К этому могут относиться выдача себя за другого человека, нагнетание обстановки, отвлечение внимания.

Рассмотрим самый простой случай:
В офис приходит посторонний человек, представляется Васей Пупкиным из технического отдела и говорит, что в компьютерах компании найдена уязвимость, которую нужно срочно устранить. Тем самым социальный инженер не только узнаёт пароль от компьютера, но еще и запускает в сеть компании вирус.

Социальная инженерия очень универсальный метод, его можно применять к любым системам, где есть человек. А он есть везде. Недаром говорят, что человек – слабейшее звено в любой защите. Так же социальная инженерия даёт возможность узнать данные напрямую от человека, а не заниматься поиском уязвимостей в системе, или пытаться выведать пароль перебором. Единственная сложность – найти правильный подход к каждому человеку. Хотя, профессиональные соц. инженеры почти всегда действуют экспромтом, полагаясь только на свои чувства.


Техники социальной инженерии

Социальная инженерия включает в себя несколько техник. Каждая из них отличается по принципу, но цель остается неизменной.

  • Претекстинг – действие по заранее созданному плану, или претексту. соц. инженер продумывает всё до мелочей, включая не только то, что он будет говорить, но и всю информацию о «новом» себе, а так же реакцию атакуемого. Является самым распространённым способом, и не требует больших усилий.
  • Фишинг – метод, основанный получение информации из-за невнимательности человека. Например, жертве присылают электронное письмо от имени известного бренда или сайта с просьбой авторизоваться из-за технических проблем. Дизайн, стиль письма – всё как полагается, ничего не вызовет сомнений. И человек сделает всё, как написано. И конечно, не обратит внимание ни на адрес отправителя, ни на адрес сайта для авторизации. Всё похоже? В чём могут быть проблемы? А в результате хакер может получить пароли не только, например, к электронной почте, но и к кошельку.
  • Троянский конь, или троян – техника, которая использует любопытство, алчность жертвы. Само название говорит за себя. Человек получает посылку с одним названием, но абсолютно другим содержанием. Самый распространённый вариант, адаптированный к социальным сетям: человек ищет программу для взлома странички социальной сети, качает её, но эта волшебная программа представляет собой обычный вирус.
  • Дорожное яблоко – техника, которая эксплуатирует любопытство жертвы и является слегка переделанным троянским конём. Единственное отличие – человек не получает «посылку», а сам её находит. Например, объект «случайно» находит в лифте диск с названием “Информация о сотруднике 2011, только для служебного пользования”. Прежде, чем этот честный гражданин отнесёт диск начальству (а может и не отнесёт), он обязательно глянет на содержимое, и тоже подцепит вирус. А тем более, если и отнесёт этот диск, есть вероятность заразить и начальство, и всю компанию.
  • Кви про кво – метод, использующий неквалифицированность и неопытность жертвы. Например, человек звонит в офис «из отдела техподдержки», и тоже сообщает, что в компьютере либо уязвимость, либо просто интересуется о наличии ошибок. А далее просто командует, говоря, что нужно делать.
  • Обратная социальная инженерия. Кстати, кроме обычной социальной инженерии используется и обратная социальная инженерия, она легко совмещается вместе с любой из вышеперечисленных техник. Её смысл в том, что жертва сама находит соц. инженера. Например, диверсия – жертве могут просто создать обратимую проблему с компьютером. А если ещё и подкинуть рекламу себя в качестве того, кто ремонтирует компьютеры, то можно заполучить сразу всю систему.

Защита

Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования, captha. Но и их можно обойти.


Примеры социальной инженерии

Приведу несколько примеров социальной инженерии. Хотя, фактически, их может придумать и использовать любой. Поэтому и примеров существует немыслемое количество, как и их авторов.

Звонок

«Добрый день! Вы Вася Пупкин? Вас беспокоят из прокуратуры Маскалянской области. Скажите, вы зарегистрированы в социальной сети вконтакте.ру под именем Васёк Пупкин? Да? Дело в том, что было обнаружено, что от вашего имени ведётся массовая рассылка материалов экстремистского характера. Вам об этом что-нибудь известно? Нет? В этом случае нам необходимо получить доступ к вашему аккаунту. Мы просто установим IP сканнер, что бы вычислить преступника. Вы можете сообщить пароль?»

Честный гражданин поступит так, как сказано. Но вскоре разочаруется.

Сообщение в социальной сети

«Здравствуйте! В связи с недавними неполадками на сервере, была утеряна база данных логинов и паролей. Если вы и в дальнейшем собираетесь использовать нашу социальную сеть, вышлите пожалуйста ваши регистрационные данные на этот адрес в течении двух дней, так как произойдёт окончательная очистка кэша и вход будет невозможен. С уважением, Администрация супер-пупер социальной сети»

Должно быть и дураку понятно, что администрация никогда не будет спрашивать пароли. Однако, на такое до сих пор ведутся люди.

Форум

«Здравствуйте! Ищу программиста, зарплата 4000$ + полный соцпакет. Работа в престижной компании, возможно на дому. В качестве тестового задания, написать такую-то программу»

И программа у нас в кармане.

Вывод

Как видишь, вариаций социальной инженерии существует невероятно огромное количество. Каждый может придумать и использовать свою. В этом деле важен опыт, практикуйся и все обязательно получится. А у меня на этом все. Спасибо за внимание!

Да, хочу!


Напоминаем, что у нас есть и другие проекты, которые могут быть вам интересны: