Социальная инженерия в современном обществе. Мошенничество или способ достичь цели?

Социальная инженерия в современном обществе. Мошенничество или способ достичь цели.

Если 10 абсо­лют­но слу­чай­ных людей спро­сить, что такое соци­аль­ная инже­не­рия, то при­мер­но пяте­ро отве­тят, что не пред­став­ля­ют, что это такое, трое зна­ют или при­мер­но дога­ды­ва­ют­ся, что это, а один-два чело­ве­ка не толь­ко зна­ют, но и уме­ло исполь­зу­ют мето­ды соци­аль­ной инженерии.

Име­ют ли эти двое пре­иму­ще­ства над осталь­ны­ми участ­ни­ка­ми опро­са? На этот вопрос мы отве­тим чуть позд­нее, а сей­час раз­бе­рем­ся, что же такое эта соци­аль­ная инже­не­рия и кто дол­жен ее использовать.

Хакеры и их жертвы

Все мы в той или иной мере опа­са­ем­ся так назы­ва­е­мых хаке­ров. И не без при­чи­ны. Ведь они во мно­го раз пре­вос­хо­дят рядо­во­го поль­зо­ва­те­ля в уме­нии вла­деть ком­пью­те­ром и спе­ци­аль­ной тех­ни­кой. Но что, если я ска­жу вам, что глав­ное ору­жие хаке­ров и им подоб­ных мошен­ни­ков — не спец­сред­ства и спо­соб­но­сти нахо­дить уяз­ви­мо­сти в ком­пью­те­рах, а уме­ние выяс­нять сла­бо­сти чело­ве­ка и обра­щать эти сла­бо­сти про­тив него же? Зву­чит враз­рез обще­му мне­нию, но это так.

Как чело­век, чья буду­щая дея­тель­ность свя­за­на с защи­той инфор­ма­ции, могу ска­зать, что самая глав­ная угро­за инфор­ма­ции – это чело­век. Создать мощ­ную, прак­ти­че­ски неуяз­ви­мую систе­му без­опас­но­сти чрез­вы­чай­но труд­но, но преду­га­дать вме­ша­тель­ство чело­ве­че­ско­го фак­то­ра – невоз­мож­но. Вот и полу­ча­ет­ся, что тот, кто хочет про­ник­нуть за непри­ступ­ную сте­ну, не дол­жен бить­ся лбом, а, к при­ме­ру, под­ку­пить чело­ве­ка, откры­ва­ю­ще­го ворота.

Фото с сай­та http://steam-hack.ru

Хаке­ры это пре­крас­но зна­ют и имен­но поэто­му они изоб­ре­ли то, что сей­час назы­ва­ют соци­аль­ной инже­не­ри­ей, а имен­но мани­пу­ли­ро­ва­ние дей­стви­я­ми чело­ве­ка с помо­щью мето­да, осно­ван­но­го на чело­ве­че­ских слабостях.

Сла­бо­сти есть у каж­до­го. И у мошен­ни­ков огром­ный опыт эти сла­бо­сти нахо­дить, и обра­щать себе на поль­зу. Душа ком­па­нии и за сло­вом в кар­ман не поле­зешь? Смот­ри не сболт­ни лиш­не­го новой подруж­ке. Наде­жен настоль­ко что началь­ство дове­ря­ет любые сек­ре­ты? Ой не дове­ряй кол­ле­ге-про­ста­ку, что поет дифи­рам­бы тво­е­му интел­лек­ту и хочет у тебя поучиться.

Техники социальной инженерии

Несмот­ря на то, что соци­аль­ная инже­не­рия в боль­шей сте­пе­ни постро­е­на на инди­ви­ду­аль­ном мастер­стве «инже­не­ра» и том, на сколь­ко хоро­шо он уме­ет импро­ви­зи­ро­вать, в ней все же мож­но вычле­нить основ­ные тех­ни­ки, про­ве­рен­ные вре­ме­нем и обсто­я­тель­ства­ми раз­лич­ной сте­пе­ни паршивости.

Все тех­ни­ки соци­аль­ной инже­не­рии осно­ва­ны на ошиб­ках в пове­де­нии чело­ве­ка. Вот пере­чень наи­бо­лее известных:

Фишинг – это вид интер­нет-мошен­ни­че­ства, целью кото­ро­го явля­ет­ся полу­че­ние досту­па к кон­фи­ден­ци­аль­ным дан­ным поль­зо­ва­те­ля, в част­но­сти, логи­нам и паро­лям, путем под­ло­га сай­тов или web страниц.

Пре­тек­стинг – ата­ка, в кото­рой зло­умыш­лен­ник пред­став­ля­ет­ся дру­гим чело­ве­ком и по зара­нее под­го­тов­лен­но­му сце­на­рию выужи­ва­ет кон­фи­ден­ци­аль­ную инфор­ма­цию. Эта ата­ка под­ра­зу­ме­ва­ет долж­ную под­го­тов­ку, как-то: день рож­де­ния, ИНН, номер пас­пор­та либо послед­ние циф­ры сче­та, для того, что­бы не вызвать подо­зре­ний у жертвы.

Тро­ян­ский конь – это вре­до­нос­ный код, про­ни­ка­ю­щий на ком­пью­тер жерт­вы под видом легаль­но­го про­грамм­но­го обес­пе­че­ния. Эта тех­ни­ка экс­плу­а­ти­ру­ет любо­пыт­ство, либо алч­ность цели. Зло­умыш­лен­ник отправ­ля­ет e-mail, содер­жа­щий во вло­же­нии важ­ное обнов­ле­ние анти­ви­ру­са, или даже све­жий ком­про­мат на сотруд­ни­ка. Такая тех­ни­ка оста­ёт­ся эффек­тив­ной, пока поль­зо­ва­те­ли будут сле­по кли­кать по любым вложениям.

Дорож­ное ябло­ко – под­вид тро­ян­ско­го коня. Раз­ни­ца лишь в том что вме­сто E-mail рас­сыл­ки исполь­зу­ют­ся мате­ри­аль­ные носи­те­ли: флеш­ки, дис­ки, кар­ты памяти.

Кви про кво – дан­ный вид ата­ки под­ра­зу­ме­ва­ет пред­став­ле­ние зло­умыш­лен­ни­ка как пред­ста­ви­те­ля како­го-либо ведом­ства, орга­ни­за­ции, тех­под­держ­ки и т.д. Под видом реше­ния про­блем мошен­ник может, к при­ме­ру, попро­сить вве­сти набор команд, кото­рые обес­пе­чат уда­лен­ный доступ к локаль­ной машине.

Суще­ству­ет так­же и обрат­ная соци­аль­ная инже­не­рия – ее цель заста­вить чело­ве­ка по сво­ей воле обра­тить­ся к зло­умыш­лен­ни­ку за помо­щью. Для это­го мошен­ник может при­ме­нять дивер­сию или рекламу.

Социальные террористы

Веро­ят­но, после про­чте­ния вы ста­ли счи­тать, что соци­аль­ная инже­не­рия — это лишь оче­ред­ной спо­соб, кото­рые исполь­зу­ют мошен­ни­ки что­бы полу­чить неко­то­рую выго­ду? На самом деле все намно­го хуже. Соци­аль­ная инже­не­рия – это то самое ружье, кото­рое в непра­виль­ных руках обя­за­тель­но выстрелит.

В 1966 году груп­па иссле­до­ва­те­лей под руко­вод­ством Чарль­за Хофлин­га про­во­ди­ла экс­пе­ри­мент, в ходе кото­ро­го Хофлинг зво­нил в раз­лич­ные боль­ни­цы, и, при­тво­ря­ясь вра­чом и исполь­зуя свои зна­ния пси­хо­ло­га и вра­ча, при­ка­зы­вал вко­лоть зара­нее выбран­но­му паци­ен­ту смер­тель­ную дозу лекар­ства. На дру­гом кон­це про­во­да мед­сест­ра, кото­рая услы­ша­ла голос незна­ко­мо­го, но все же вра­ча, сле­по сле­до­ва­ла ука­за­ни­ям, зная о потен­ци­аль­ном убий­стве паци­ен­та. Из два­дца­ти двух мед­се­стёр два­дцать одна выпол­ни­ла приказ.

https://valkiriarf.livejournal.com/1227827.html

Не сто­ит силь­но вол­но­вать­ся, это был все­го лишь экс­пе­ри­мент, на вхо­де в пала­ты мед­се­стер оста­нав­ли­ва­ли асси­стен­ты пси­хо­ло­га и отби­ра­ли лекарства.

Этот слу­чай дока­зы­ва­ет, что соци­аль­ную инже­не­рию мож­но при­ме­нять и для куда более ужа­са­ю­щих целей, чем воров­ство паро­ля от ВКон­так­те. Пред­ставь­те толь­ко, вдруг кто-то позво­нит на воен­ную базу, где хра­нит­ся ядер­ное ору­жие, пред­ста­вит­ся пре­зи­ден­том, смо­жет в этом убе­дить, что самое глав­ное, и при­ка­жет запу­стить раке­ты? Конеч­но про­вер­нуть это чер­тов­ски труд­но, прак­ти­че­ски нере­аль­но, но, как я ска­зал вна­ча­ле, любая надеж­ная систе­ма без­опас­но­сти потен­ци­аль­но уяз­ви­ма из-за чело­ве­че­ско­го фактора.

Польза социальной инженерии

С нега­тив­ной сто­ро­ной вопро­са мы разо­бра­лись. Соци­аль­ная инже­не­рия — это опас­ное ору­жие. Но ведь ору­жие в пра­виль­ных руках может слу­жить и бла­гим целям. Поставь­те «инже­не­ров» на служ­бу госу­дар­ства, пусть ста­нут мощ­ным козы­рем для вне­зап­но­го напа­де­ния, или допол­ни­тель­ным рубе­жом обо­ро­ны, ведь кому как не созда­те­лям про­ти­во­сто­ять сво­им творениям?

Фото с сай­та http://steam-hack.ru

А что же до про­стых людей? Помни­те вопрос в самом нача­ле про одно­го-двух что зна­ют и уме­ют исполь­зо­вать? Пора дать на него ответ. Луч­ший спо­соб защи­тит­ся от того, кто соби­ра­ет­ся на тебя напа­дать, это понять, как он может это сде­лать. Ну а для того что­бы это понять нуж­но само­му уметь нападать.

Вот и полу­ча­ет­ся, что един­ствен­ный спо­соб защи­тит­ся от соци­аль­ной инже­не­рии это изу­чить ее, и научить­ся при­ме­нять. Хочешь устра­нить опас­но­сти чело­ве­че­ско­го фак­то­ра, научись вна­ча­ле видеть его уяз­ви­мо­сти. Ну и по воз­мож­но­сти воз­дей­ство­вать на них, дабы знать, чего ожидать.

 

Автор: Grey Fox