Социальная инженерия – что это такое?
Люди, интересующиеся киберпреступлениями, или те, кто хоть раз смотрел фильмы/сериалы, раскрывающие эту тему, должны были хоть раз столкнуться с термином "социальная инженерия". Но что конкретно это из себя представляет?
Думая о киберпреступниках, мы предполагаем, что они орудуют лишь навыками программирования. Иногда так оно и есть, но порой, чтобы заполучить запретный плод (в данном случае - доступ к определенной информации), нужно предоставить нечто большее. И тогда на сцену выходит решающее звено - тема сегодняшней статьи.
Социальная инженерия - это эффективный метод получения доступа к информации путем коммуникации. Злоумышленник получает информацию, например, через сбор данных о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего.
Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности.
Если вы думаете, что таким атакам подвержены только некомпетентные пользователи, то откройте книгу «Искусство обмана», где ещё во вступлении Кевин Митник (или же "самый известный хакер в мире") рассказывает о том, как представился ведущим разработчиком проекта и заставил, на секундочку, сисадмина дать привилегированный доступ к системе. Заметьте, человека, который прекрасно понимал, что конкретно он делает. И таких случаев довольно много. Виктор Люстиг сумел продать Эйфелеву башню несколько раз вполне неглупым людям. Джозеф Уэйл заработал 400 тысяч долларов на создании фиктивного банка (на месте здания легитимного банка). Фрэнк Абигнейл за 5 лет преступной деятельности распространил фальшивые чеки на сумму 2,5 млн долларов в 26 странах мира, а его биография легла в основу фильма «Поймай меня, если сможешь».
Можно долго рассматривать схемы, используемые в социальной инженерии. Каждая стратегия предполагает несколько этапов, и чем выше уровень злоумышленника, тем меньше он будет следовать последовательности действий.
Так как о методах мошенничества многие из вас уже осведомлены, чтобы защитить себя от подобных махинаций, достаточно просто быть осторожным.