Социальная инженерия в современном обществе. Мошенничество или способ достичь цели?

Социальная инженерия в современном обществе. Мошенничество или способ достичь цели.

Если 10 абсолютно случайных людей спросить, что такое социальная инженерия, то примерно пятеро ответят, что не представляют, что это такое, трое знают или примерно догадываются, что это, а один-два человека не только знают, но и умело используют методы социальной инженерии.

Имеют ли эти двое преимущества над остальными участниками опроса? На этот вопрос мы ответим чуть позднее, а сейчас разберемся, что же такое эта социальная инженерия и кто должен ее использовать.

Хакеры и их жертвы

Все мы в той или иной мере опасаемся так называемых хакеров. И не без причины. Ведь они во много раз превосходят рядового пользователя в умении владеть компьютером и специальной техникой. Но что, если я скажу вам, что главное оружие хакеров и им подобных мошенников — не спецсредства и способности находить уязвимости в компьютерах, а умение выяснять слабости человека и обращать эти слабости против него же? Звучит вразрез общему мнению, но это так.

Как человек, чья будущая деятельность связана с защитой информации, могу сказать, что самая главная угроза информации – это человек. Создать мощную, практически неуязвимую систему безопасности чрезвычайно трудно, но предугадать вмешательство человеческого фактора – невозможно. Вот и получается, что тот, кто хочет проникнуть за неприступную стену, не должен биться лбом, а, к примеру, подкупить человека, открывающего ворота.

Фото с сайта http://steam-hack.ru

Хакеры это прекрасно знают и именно поэтому они изобрели то, что сейчас называют социальной инженерией, а именно манипулирование действиями человека с помощью метода, основанного на человеческих слабостях.

Слабости есть у каждого. И у мошенников огромный опыт эти слабости находить, и обращать себе на пользу. Душа компании и за словом в карман не полезешь? Смотри не сболтни лишнего новой подружке. Надежен настолько что начальство доверяет любые секреты? Ой не доверяй коллеге-простаку, что поет дифирамбы твоему интеллекту и хочет у тебя поучиться.

Техники социальной инженерии

Несмотря на то, что социальная инженерия в большей степени построена на индивидуальном мастерстве «инженера» и том, на сколько хорошо он умеет импровизировать, в ней все же можно вычленить основные техники, проверенные временем и обстоятельствами различной степени паршивости.

Все техники социальной инженерии основаны на ошибках в поведении человека. Вот перечень наиболее известных:

Фишинг – это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователя, в частности, логинам и паролям, путем подлога сайтов или web страниц.

Претекстинг – атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как-то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы.

Троянский конь – это вредоносный код, проникающий на компьютер жертвы под видом легального программного обеспечения. Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко – подвид троянского коня. Разница лишь в том что вместо E-mail рассылки используются материальные носители: флешки, диски, карты памяти.

Кви про кво – данный вид атаки подразумевает представление злоумышленника как представителя какого-либо ведомства, организации, техподдержки и т.д. Под видом решения проблем мошенник может, к примеру, попросить ввести набор команд, которые обеспечат удаленный доступ к локальной машине.

Существует также и обратная социальная инженерия – ее цель заставить человека по своей воле обратиться к злоумышленнику за помощью. Для этого мошенник может применять диверсию или рекламу.

Социальные террористы

Вероятно, после прочтения вы стали считать, что социальная инженерия — это лишь очередной способ, которые используют мошенники чтобы получить некоторую выгоду? На самом деле все намного хуже. Социальная инженерия – это то самое ружье, которое в неправильных руках обязательно выстрелит.

В 1966 году группа исследователей под руководством Чарльза Хофлинга проводила эксперимент, в ходе которого Хофлинг звонил в различные больницы, и, притворяясь врачом и используя свои знания психолога и врача, приказывал вколоть заранее выбранному пациенту смертельную дозу лекарства. На другом конце провода медсестра, которая услышала голос незнакомого, но все же врача, слепо следовала указаниям, зная о потенциальном убийстве пациента. Из двадцати двух медсестёр двадцать одна выполнила приказ.

https://valkiriarf.livejournal.com/1227827.html

Не стоит сильно волноваться, это был всего лишь эксперимент, на входе в палаты медсестер останавливали ассистенты психолога и отбирали лекарства.

Этот случай доказывает, что социальную инженерию можно применять и для куда более ужасающих целей, чем воровство пароля от ВКонтакте. Представьте только, вдруг кто-то позвонит на военную базу, где хранится ядерное оружие, представится президентом, сможет в этом убедить, что самое главное, и прикажет запустить ракеты? Конечно провернуть это чертовски трудно, практически нереально, но, как я сказал вначале, любая надежная система безопасности потенциально уязвима из-за человеческого фактора.

Польза социальной инженерии

С негативной стороной вопроса мы разобрались. Социальная инженерия — это опасное оружие. Но ведь оружие в правильных руках может служить и благим целям. Поставьте «инженеров» на службу государства, пусть станут мощным козырем для внезапного нападения, или дополнительным рубежом обороны, ведь кому как не создателям противостоять своим творениям?

Фото с сайта http://steam-hack.ru

А что же до простых людей? Помните вопрос в самом начале про одного-двух что знают и умеют использовать? Пора дать на него ответ. Лучший способ защитится от того, кто собирается на тебя нападать, это понять, как он может это сделать. Ну а для того чтобы это понять нужно самому уметь нападать.

Вот и получается, что единственный способ защитится от социальной инженерии это изучить ее, и научиться применять. Хочешь устранить опасности человеческого фактора, научись вначале видеть его уязвимости. Ну и по возможности воздействовать на них, дабы знать, чего ожидать.

 

Автор: Grey Fox