История социальной инженерии

В начале 70-х годов, когда существовали самые примитивные сети, и те были доступны только крупным корпорациям, зародилось понятие соц. инженерии в сфере компьютерных технологий, которая нас, собственно, и интересует.

Компьютерных сетей не было, но вот телефонные были. А где есть сети, там есть хакеры, а точнее "фрикеры".

Одной из их излюбленных забав являлось общение с операторами на тему их компетентности. Операторы, особенно новые и неопытные, начинали оправдываться при отсутствии информации по задаваемым им вопросам. Прошло немного времени и кто-то догадался, что можно не просто "позорить" техперсонал, но построить диалог по другому, надавить на другие эмоции, и заставить самих операторов рассказывать интересующую фрикера информацию. К концу 70-х эта система уже была отлажена настолько, что опытный фрикер мог узнать у оператора всё, что ему необходимо.

А потом появились и компьютерные сети… Если раньше фрикеры "ездили операторам по ушам" в стремлении узнать какую-либо часть базы данных или её клочок, то теперь появилась возможность узнать один единственный пароль, а после этого получить базу данных целиком.

ИНТЕРЕСНОЕ СЛОВЕЧКО

Фрикинг (от англ. сленгового слова "phreaking") – это несанкционированное подключение к телефонным сетям. Зачастую цель фрикера (от англ. "phreaker") проста и заключается в получении бесплатного телефонного звонка.

Термин "фрикер" также применяется и к людям, оказывающим психологическое воздействие (методы соц. инженерии) на других людей по телефону.

МЫ ВСЕ АКТЕРЫ ЭТОГО ТЕАТРА...

Кто-то из древних, или не очень, что-то говорил про маски, которые все мы носим в разных ситуациях. Это одно из основных умений соц. инеженера.

Прежде чем перейти к описанию вышеупомянутых масок поговорим о двух общих вещах.

• Перед тем как начинать атаку на жертву, любой соц. инженер соберёт самую подробную информацию о ней. В давние времена, это достигалось ночными ковыряниями в мусорных ящиках атакуемого предприятия... Теперь есть специализированные справочники, где всё это написано. Кроме того, возможно предварительное установление виртуального контакта с жертвой, например, с помощью IM-сетей (сетей мгновенного обмена сообщениями, таких как ICQ, Jabber и многие другие). Особое внимание уделяется именам любых лиц, которые могут быть причастны к разговору, черты характера, поведение. Еще один способ – это звонок в контору будущей жертвы, и методами СИ же сбор информации, так сказать, разведка боем.
• В любой корпорации, компании, фирме самой лакомой жертвой для соц. инженера является новичок. Однако шутки шутками, а новичок – это действительно просто зияющая дыра в защите компании, ведь он, как правило, ещё не изучил внутреннего устава конторы, связанной с защитой информации, не знает коллег в лицо (ими можно и прикинуться) и просто излучает доверчивость, отзывчивость и готовность помочь, дабы зарекомендовать себя с лучшей стороны. Поэтому высока вероятность, что соц. инженеру не зададут "лишних" вопросов и не поинтересуются его правами доступа к определенной информации.

Ну, а теперь, собственно, о "масках" – моделях поведения.

• Пользователь. Простой трудяга, делающий свою монотонную работу, которая его вполне устраивает. Возникшая проблема вышибла его из его же монотонности, от чего он чувствует себя неуютно. Единственным желанием является скорейшее возвращение к работе, то есть решение проблемы, причинами и сутью которой он совсем не интересуется.
• Технический работник (системный администратор, оператор и т.п.). Вы когда-нибудь слышали, как сисадмин общается с остальными работниками? Правильно, они делают это снисходительно, но вежливо (особенно с начальником, бухгалтером). В речи изобилуют специальные термины (ведь для него это не термин, а просто словарный запас) и настойчивое желание вернуться к своей банальной работе, то есть прекратить всякую деятельность. Отказ сотрудничать встречается легко, в мягкой (или не очень) форме давая понять, что проблема без него станет только серьёзнее, а также какие всё это может иметь последствия (во всех красках). И вообще, следит за всем он, но, отказавшись, оппонент берёт на себя ответственность за проблему, а значит, все шишки от высоко начальства падают уже именно на него.
• Секретарь. Мужчина с хриплым басом подойдет на эту роль меньше всего. Секретарь, а обычно секретарша, это девушка с приятным голосом (зачастую это один из критериев отбора). Секретарь, как правило, в курсе дел, которыми занимается его шеф и контора в целом, поэтому может невзначай ронять факты (лучше достоверные, но можно и те, которые невозможно проверить). Своей задачей имеет во что бы то ни стало выполнить поручение начальства, а при отказе сотрудничать упоминает наказание со стороны всё того же начальства.
• Начальник. Своим поведением показывает, что возникшая проблема незначительна, а значит, никаких задержек в её решении быть просто не может. Или же проблема серьёзна, тогда на всякую ерунду просто нет времени, так как контора может понести значительные убытки из-за каких-то пустяков. Начальник – человек привыкший приказывать и не привыкший слышать возражения, у него просто нет на них времени, поэтому тон жёсткий, темп разговора быстрый и чёткий.

А теперь несколько слов о том, как соц. инженер заставляет себе поверить. Мало кто заканчивал театральные училища и обладает навыками актёрского мастерства. Самый простой способ – это практика, практика и еще раз практика. Однако если практиковаться времени нет, вспомним многие истории о том, что даже актёры не просто играют, а стараются вжиться в образ персонажа. Это может сделать и соц. инженер...

Вы бы не смеялись, если бы были сисадмином и у Вас полетела база данных? Точно нет. Вот и настоящий соц. инженер, переживает те же эмоции и создаёт такое же настроение, что и реальный человек в реальной экстремальной ситуации. При таком подходе шансы на успех значительно возрастают.