Социальная инженерия: понятие, основоположник, методы и примеры. Поведенческая инженерия


понятие, основоположник, методы и примеры

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее определение термина. Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор – самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим незаконное проникновение в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг – интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка – использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея – способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы – это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг – это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг – это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг – нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии – многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. – «то за это») – попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия – еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.

fb.ru

Социальная инженерия | Блог 4brain

С момента появления компьютеров и начала развития Интернета программисты всеми силами стремятся обеспечить компьютерную безопасность. Но даже сегодня добиться этого на 100% не удалось никому. Однако давайте представим, что этот результат все же достигнут благодаря мощнейшей криптографии, усиленным протоколам безопасности, надежному программному обеспечению и другим элементам защиты. В итоге мы получаем абсолютно безопасную сеть, и можем смело в ней работать.

«Прекрасно! – скажете вы, – дело в шляпе!», но окажетесь неправы, ведь этого недостаточно. Почему? Да потому что пользу от любой компьютерной системы можно получить лишь при участии пользователей, т.е. людей. И как раз это взаимодействие между компьютером и человеком несет в себе серьезную опасность, и человек зачастую оказывается наиболее слабым звеном в цепи мер безопасности. К тому же он сам и является причиной, по которой безопасность оказывается неэффективной.

В информационный век манипулировать людьми стало проще, ведь есть Интернет и мобильная связь, которые позволяют взаимодействовать без непосредственного контакта. Существуют даже специальные методы, помогающие злоумышленникам «оперировать» людьми так, как им хочется. Их комплекс называется социальной инженерией, и в этой статье мы попробуем выяснить, что же это такое.

Социальная инженерия: что это и как она появилась?

Несложно догадаться, что даже самая навороченная система безопасности уязвима, когда ей управляет человек, тем более, если этот человек доверчив, наивен и психологически неустойчив. И когда на машину (ПК) совершается атака, ее жертвой может выступать не только компьютер, но и человек, который за ним работает.

Именно такая атака на сленге социальных хакеров называется социальной инженерией. В традиционной форме она выглядит как телефонный звонок, где звонящий выдает себя за кого-то другого, желая выудить у абонента конфиденциальную информацию, чаще всего – пароли. Но в нашей статей мы рассмотрим явление социальной инженерии в более широком понимании, подразумевая под ним любые возможные методы психологических манипуляций, такие как шантаж, игра на чувствах, обман и т.п.

В этом понимании социальная инженерия является методом управления действиями людей без применения технических средств. Чаще всего он воспринимается как незаконный метод получения разных ценных сведений. Используется же он преимущественно в Интернете. Если вам интересны примеры социальной инженерии, то вот один из самых ярких:

ПРИМЕР: Злоумышленник хочет узнать пароль от личного кабинета Интернет-банка у человека. Он звонит жертве по телефону и представляется сотрудником банка, просит назвать пароль, ссылаясь на серьезные технические проблемы в системе организации. Для большей убедительности он называет вымышленное (или узнанное заранее реальное) имя сотрудника, его должность и полномочия (если потребуется). Чтобы заставить жертву поверить, социальный хакер может наполнить свою историю правдоподобными деталями, сыграть на чувствах самой жертвы. После того как злоумышленник получил сведения, он все также мастерски прощается со своим «клиентом», а затем использует пароль для входа в личный кабинет и кражи средств.

Как ни странно, но даже в наше время есть люди, которые клюют на такие удочки, и доверчиво рассказывают социальным хакерам, все, что им нужно. А в арсенале последних может быть немало техник и приемов. О них мы тоже расскажем, но чуть позже.

Социальная инженерия – наука (направление), появившаяся сравнительно недавно. Ее социологическое значение состоит в том, что она оперирует специфическими знаниями, направляющими, систематизирующими и оптимизирующими процесс создания, модернизации и применения новых социальных реальностей. В некотором смысле она дополняет социологическое знание, преобразуя научные знания в алгоритмы деятельности и поведения.

В определенной форме люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных риторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и решали государственные проблемы. Позже социальную инженерию взяли на вооружение спецслужбы, такие как ЦРУ и КГБ, агенты которых с успехом выдавали себя за кого угодно и выведывали государственные тайны.

К началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой разных компаний ради шутки. Но со временем кто-то сообразил, что, если использовать техничный подход, можно достаточно легко получать разную важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.

Когда же появились компьютеры, большинство синжеров сменило профиль, став социальными хакерами. Теперь понятия «социальная инженерия» и «социальные хакеры» синонимичны. А с мощным развитием социальной инженерии стали появляться ее новые виды и расширился арсенал методик.

Посмотрите это небольшое видео, чтобы узнать, как социальные хакеры манипулируют людьми.

Методы социальной инженерии

Все реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке, а жертвы социальных хакеров, как правило, даже не подозревают, что по отношению к ним применяют какую-то технику, и тем более не знают, кто это делает.

Все методы социальной инженерии основываются на особенностях принятия людьми решений. Это так называемый когнитивный базис, согласно которому люди в социальной среде всегда склонны кому-то доверять. Среди главных методов социальной инженерии выделяются:

Расскажем о них подробнее.

«Троянский конь»

При использовании «троянского коня» эксплуатируется любопытство человека и его желание получить выгоду. Социальные хакеры отправляют на E-Mail жертвы письмо, в котором есть некое интересное вложение, например, апгрейд для какой-то программы, скрин-сейвер эротического содержания, будоражащая новость и т.д. Метод используется, чтобы вынудить пользователя кликнуть по файлу, который может заразить компьютер вирусом. Часто в результате на экране появляются баннеры, закрыть которые можно только двумя способами: переустановив операционную систему или заплатив злоумышленникам определенную сумму.

Претекстинг

Под термином «претекстинг» подразумевается действие, которое пользователь совершает по предварительно подготовленному претексту, т.е. сценарию. Цель состоит в том, чтобы человек выдал конкретные сведения или совершил конкретное действие. В большинстве случаев претекстинг применяется при телефонных звонках, хотя есть примеры подобных атак по Skype, Viber, ICQ и другим мессенджерам. Но для реализации метода синжер или хакер должен не просто умело лгать, но и заранее провести исследование объекта – узнать его имя, дату рождения, место работы, сумму на счете и т.д. При помощи таких деталей синжер повышает к себе доверие жертвы.

«Дорожное яблоко»

Метод дорожного яблока состоит в адаптации «троянского коня» и требует обязательного применения какого-то физического носителя информации. Социальные хакеры могут подбрасывать загрузочные флешки или диски, подделанные под носители с интересным и/или уникальным контентом. Все, что нужно, – это незаметно подложить жертве «дорожное яблоко», например, в машину на парковке, в сумку в лифте и т.д. А можно просто оставить этот «фрукт» там, где жертва его с большой долей вероятности увидит и возьмет сама.

Фишинг

Фишинг является очень распространенным методом получения конфиденциальных сведений. В классическом варианте это «официальное» электронное письмо (от платежного сервиса, банка, частного лица высокого ранга и т.д.), снабженное подписями и печатями. От адресата требуется перейти по ссылке на фальшивый сайт (там тоже есть все, что говорит об «официальности и достоверности» ресурса) и ввести какую-то информацию, к примеру, ФИО, домашний адрес, номер телефона, адреса профилей в соцсетях, номер банковской карты (и даже CVV-код!). Доверившись сайту и введя данные, жертва отправляет их мошенникам, а что происходит дальше, догадаться несложно.

Кви про кво

Метод «Кви про кво» используют для внедрения вредоносного ПО в системы различных компаний. Социальные хакеры звонят в нужную (иногда – в любую) компанию, представляются сотрудниками техподдержки и опрашивают работников на наличие каких-либо техническим неисправностей в компьютерной системе. Если неисправности имеются, злоумышленники начинают их «устранять»: просят жертву ввести определенную команду, после чего появляется возможность запуска вирусного ПО.

Вышеназванные методы социальной инженерии встречаются на практике чаще всего, но есть и другие. Кроме того, есть еще и особенный вид социальной инженерии, который также призван повлиять на человека и его действия, но делается по совсем другому алгоритму.

Обратная социальная инженерия

Обратная социальная инженерия и социальные хакеры, специализирующиеся на ней, выстраивают свою деятельность в трех направлениях:

В случае с этим видом социальной инженерии злоумышленники изначально изучают человека или группу людей, на которых планируется оказать влияние. Исследуются их пристрастия, интересы, желания и потребности, и влияние оказывается именно через них с помощью программ и любых других методов электронного воздействия. Причем программы должны сначала работать без сбоев, чтобы не вызывать опасений, а уже потом переключаться на вредоносный режим.

Примеры обратной социальной инженерии – тоже не редкость, и вот один из них:

 Социальные хакеры разрабатывают программу для конкретной компании, исходя из ее интересов. В программе заложен вирус замедленного действия – через три недели он активируется, а система начинает давать сбои. Руководство обращается к разработчикам, чтобы они помогли устранить проблему. Будучи готовыми к такому развитию событий, злоумышленники присылают своего «специалиста», который, «решая проблему», получает доступ к конфиденциальной информации. Цель достигнута.

В отличие от обычной социальной инженерии, обратная более трудоемка, требует особых знаний и навыков и используется для воздействия на более широкую аудиторию. Зато эффект от нее потрясающий – жертва без сопротивления, т.е. по своему собственному желанию раскрывает перед хакерами все карты.

Таким образом, любой вид социальной инженерии практически всегда используется со злым умыслом. Некоторые люди, конечно, говорят о ее пользе, указывая на то, что с ее помощью можно разрешать социальные проблемы, сохранять социальную активность и даже адаптировать социальные институты к меняющимся условиям. Но, несмотря на это, успешнее всего ее применяют для:

Естественно, это не могло остаться незамеченным, и появились методы противодействия социальной инженерии.

Защита от социальной инженерии

Сегодня в крупных компаниях систематически проводят всевозможные тесты на сопротивляемость социальной инженерии. Почти никогда действия людей, подпавших под атаку социальных хакеров, не носят умышленного характера. Но тем они и опасны, ведь если от внешней угрозы защититься сравнительно легко, то от внутренней – намного сложнее.

Чтобы повысить безопасность, руководство компаний проводит специализированные тренинги, контролирует уровень знаний своих сотрудников, а также само инициирует внутренние диверсии, что позволяет установить степень подготовленности людей к атакам социальных хакеров, их реакцию, добросовестность и честность. Так, на E-Mail могут присылать «зараженные» письма, вступать в контакт в Skype или соцсетях.

Сама же защита от социальной инженерии может быть как антропогенной, так и технической. В первом случае привлекается внимание людей к вопросам безопасности, доносится суть серьезности данной проблемы и принимаются меры по привитию политики безопасности, изучаются и внедряются методы и действия, повышающие защиту информационного обеспечения. Но у всего этого есть один недостаток – все эти способы пассивны, и многие люди просто пренебрегают предупреждениями.

Что же касается технической защиты, то сюда относятся средства, затрудняющие доступ к информации и ее использованию. Учитывая то, что самыми «популярными» атаками социальных хакеров в Интернете стали электронные письма и сообщения, программисты создают особое ПО, фильтрующее все поступающие данные, и это касается как частных почтовых ящиков, так и внутренней почты. Фильтры анализируют тексты входящих и исходящих сообщений. Но здесь есть трудность – такое программное обеспечение загружает серверы, что может тормозить и сбивать работу системы. К тому же невозможно предусмотреть все вариации написания потенциально опасных сообщений. Однако технологии совершенствуются.

А если говорить конкретно о средствах, препятствующих использованию полученных данных, они делятся на:

Оба этих способа блокируют возможность автоматизации и смещают баланс между ценностью сведений и работой по их получению в сторону работы. Поэтому даже при наличии всех данных, выданных ничего не подозревающими пользователями, социальные хакеры сталкиваются с серьезными трудностями в их практическом применении.

А любому обычному человеку для защиты от социальной инженерии мы советуем просто сохранять бдительность. Получая на электронную почту письмо, обязательно внимательно читайте текст и ссылки, старайтесь понять, что находится в письме, от кого оно пришло и зачем. Не забывайте пользоваться антивирусами. Если же неизвестные звонят по телефону с незнакомого номера, никогда не называйте своих личных данных, тем более тех, которые касаются ваших финансов.

Кстати, в этом видео, пусть и коротко, но интересно рассказано о том, как защититься от социальной инженерии.

И, напоследок, мы хотим познакомить вас с некоторыми из книг по социальной инженерии, в том числе как области социологического знания, чтобы при желании вы могли познакомиться с темой подробнее.

В этих книгах есть множество практических рекомендаций о том, как овладеть распространенными манипулятивными техниками и приемами. Также вы узнаете о наиболее эффективных методах социальной инженерии и научитесь распознавать их и защищаться от атак.

Книги по социальной инженерии:

И вместе с книгами почитайте несколько наших статей о манипуляции:

Помните, что овладеть искусством управления действиями окружающих способен каждый, но эти умения нужно использовать во благо людям. Иногда направлять человека и подталкивать его к выгодным нам решениям полезно и удобно. Но намного важнее уметь определять социальных хакеров и обманщиков, чтобы не стать их жертвой; намного важнее и самому не быть одним из них. Желаем вам мудрости и полезного жизненного опыта!

4brain.ru

Краткое введение в социальную инженерию / Хабр

Обеспечить компьютерную безопасность трудно (может быть, даже невозможно), однако представьте на минуту, что нам это удалось сделать. Где необходимо, применяется мощная криптография, протоколы безопасности безупречно выполняют свои функции. В нашем распоряжении имеются как надежное оборудование, так и надежное программное обеспечение. Даже сеть, в которой мы работаем, совершенно безопасна. Чудесно!К несчастью, этого еще недостаточно. Сделать что-либо полезное эта замечательная система может лишь при участии пользователей. И это взаимодействие человека с компьютером таит в себе наибольшую угрозу из всех существующих. Люди часто оказываются самым слабым звеном в системе мер безопасности, и именно они постоянно являются причиной неэффективности последних. В отношении безопасности математический аппарат безупречен, компьютеры же уязвимы, сети вообще паршивы, а люди просто отвратительны. Брюс Шнайер «Секреты и ложь. Безопасность данных в цифровом мире»
Intro
Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать. Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел. К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны. Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Техники социальной инженерии
Все техники социальной инженерии основаны на особенностях принятия решений людьми.Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Обратная социальная инженерия. Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:Диверсия: Создание обратимой неполадки на компьютере жертвы.Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).

Меры противодействия
Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.

В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.

Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.

P.S. Если тема будет интересна, то в следующем топике я расскажу более подробно о методах и процедурах, помогающих минимизировать негативные последствия, связанные с методами социальной инженерии.

habr.com

Социальная инженерия и хакеры | Блог Лаборатории Касперского

Социальная инженерия, иногда называемая наукой и искусством взлома человеческого сознания, становится все более популярной в связи с повышением роли социальных сетей, электронной почты или других видов онлайн-коммуникации в нашей жизни. В сфере информационной безопасности данный термин широко используется для обозначения ряда техник, используемых киберпреступниками. Последние имеют своей целью выманивание конфиденциальной информации у жертв либо побуждают жертв к совершению действий, направленных на проникновение в систему в обход системы безопасности.

Даже сегодня, когда на рынке доступно огромное количество продуктов для обеспечения информационной безопасности, человек все еще владеет ключами от всех дверей. Будь то комбинация учетных данных (логин и пароль), номер кредитной карты или данные для доступа к онлайн-банку, самое слабое звено в системе обеспечения безопасности — это не технологии, а живые люди. Таким образом, если злоумышленники применяют к пользователям манипулятивные психологические техники, очень важно знать, какие приемы наиболее характерны в данной ситуации, а также понимать принцип их работы, чтобы избежать неприятностей.

Социальная инженерия — понятие совсем не новое, оно появилось давным-давно. Известными специалистами-практиками в этой науке стали, например, Кевин Митник и Фрэнк Абаньяле, которые на сегодняшний день являются ведущими консультантами по безопасности. Они живая иллюстрация того, что преступники могут превращаться в уважаемых экспертов. К примеру, тот же Фрэнк Абаньяле был одним из самых знаменитых и виртуозных мошенников: он умел создавать множество личностей, подделывать чеки и обманывать людей, вытягивая из них конфиденциальную информацию, необходимую для работы мошеннических схем. Если вы смотрели  фильм «Поймай меня, если сможешь», вы имеете представление о том, на что способен специалист по социнженерии, если он имеет перед собой ясную цель. Вам просто следует помнить, что для получения от вас нужной информации социнженер может использовать различные мошеннические схемы, не ограничивающиеся приемами, связанными с технологиями или компьютерами, так что лучше пользователям с осторожностью относиться к подозрительным действиям, даже если они кажутся обычными. Классическим приемом, например, является выманивание пароля в телефонном звонке. Кажется, что никто в здравом уме не сообщит свой пароль постороннему, но звонок «с работы» в 9 утра в воскресенье, требующий приехать для какой-то мелочевой технической операции над вашим компьютером, несколько меняет дело. Когда «ваш администратор» предложит просто сказать ему пароль, чтобы он все сделал за вас, вы не только сообщите пароль, но и поблагодарите его за заботу! Ну, может, не лично вы, но примерно половина ваших коллег поступит так гарантированно.

«Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из надежных сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря», — говорит Кевин Митник.

Большинство киберпреступников не станут тратить время на осуществление технологически сложных приемов взлома, если необходимые сведения можно получить, используя навыки в области социнженерии. Более того, существует множество сайтов, где описаны принципы работы подобных техник и причины их успеха. Один из этих сайтов называется SocialEngineer.org, и он предлагает весьма полезную основу для теоретического изучения принципов социнженерии, дополняя ее большим количеством реальных примеров.

Мы используем речь каждый день, влияя на действия друг друга, хотя часто не замечаем этого. Но язык с точки зрения социнженерии имеет несколько недостатков, так как он связан с нашим субъективным восприятием фактов, при котором мы можем опустить некоторые части истории, исказить смысл или сделать некоторые обобщения. НЛП, или нейролингвистическое программирование, которое изначально было создано для лечебных целей, сегодня считается «мутировавшей» формой гипноза, используемой социнженерами как инструмент манипуляции жертвами и оказания на них влияния с целью побудить их выполнить действия, ведущие к успеху атаки. В результате данной тактики жертва может сообщить свой пароль, разгласить конфиденциальную информацию, отказаться от какой-либо меры обеспечения безопасности, то есть, может сделать все что угодно, чтобы убрать препятствия на пути злоумышленников.

Хотя связь между психологией и хакингом кажется чересчур натянутой, на самом деле онлайн-атаки основаны на тех же принципах, которые лежат в основе «офлайнового» мошенничества. Принцип возвратности («если я окажу тебе услугу, ты окажешь услугу мне»), принцип социальной проверки (вы оцениваете свое поведение как правильное, если наблюдаете такое же поведение у большинства), преклонение перед авторитетами (проявление большей степени доверия к сотруднику полиции, врачу, сотруднику технической поддержки, кому-либо более «высокого ранга») — это универсальные для всех способы выстраивания общения в социуме и удовлетворения наших базовых социальных инстинктов. Социнженер знает, на какие кнопки нажимать, чтобы получить желаемый ответ, создавая контекст (канву) для формирования правдоподобной легенды, которая смогла бы создать ощущение срочности. Для опытных специалистов в сфере социнженерии не составит труда обойти рациональное мышление человека, и им понадобится только доля секунды, чтобы добиться преимущества и получить от жертвы необходимые данные.

Однако в данной статье мы в большей степени обратим внимание на различные техники, используемые онлайн-мошенниками для незаконного получения информации и прибыли от жертв, которые «хотели как лучше». Как мы уже упомянули, принципы, используемые для мошеннических схем в Интернете, похожи на те, которые используются в реальной жизни, но так как Интернет — это огромная машина распространения информации, одно фишинговое сообщение может быть отправлено миллионам получателей в течение самого короткого времени. То есть в таких условиях данный тип атак может превратиться в беспроигрышную лотерею: даже если только небольшая часть от общего числа потенциальных жертв попадется на удочку, это все равно означает огромную прибыль для организации или человека, стоящего за атакой.

«Заниматься тем, чем я занимался в молодости, сегодня во много раз легче. Технологии подстегивают эволюцию преступлений», — говорит Фрэнк Уильям Абаньяле.

Сегодня одним из самых распространенных методов получения конфиденциальной информации является фишинг (термин образован от игры слов password harvesting fishing — «ловля паролей»). Фишинг можно охарактеризовать как тип компьютерного мошенничества, который использует принципы социальной инженерии с целью получения от жертвы конфиденциальной информации. Киберпреступники обычно осуществляют свои действия при помощи электронной почты, сервисов мгновенных сообщений или SMS, посылая фишинговое сообщение, в котором напрямую просят пользователя предоставить информацию (путем ввода учетных данных в поля сайта-подделки, скачивания вредоносного ПО при нажатии ссылки и т.д.), благодаря чему злоумышленники получают желаемое при полном неведении со стороны жертвы.

Мы наблюдали процесс развития вредоносного ПО, который во многом использовал принципы социнженерии. Раньше факт заражения компьютера вирусом был весьма очевиден: пользователь видел странные сообщения, иконки, картинки — одним словом, все, что обнаруживало участие злоумышленника. Сегодня нас уже не удивляют примеры вредоносного ПО, которое получает доступ к системам жертв путем применения трюков, характерных для социнженерии, и остается невидимым для пользователя до того момента, как выполнит свою задачу. Бесконечная игра в кошки-мышки между хакерами и компаниями, создающими средства информационной безопасности, подтверждает: образование и информирование — это ключевой защитный механизм, необходимый для пользователей. Они должны следить за новостями и новыми веяниями в мире информационной безопасности, а также знать о ключевых тактиках мошенников.

Множество интересных примеров взлома основаны на техниках социнженерии, которые, в свою очередь, помогают злоумышленникам доставить вредоносное ПО жертвам. Среди наиболее популярных — фальшивые обновления Flash Player и других популярных программ, вшитые в документ Word исполняемые файлы и многое другое.

Большинство описанных выше методов проведения атаки направлены на жителей Латинской Америки, так как технологические угрозы такого типа не до конца понятны или распространены в регионе, а если еще и принять во внимание, что большинство компьютеров работают с устаревш

www.kaspersky.ru

Социальная инженерия и ловушки мышления: как взломать мозг

Лариса Парфентьева

Социальная инженерия — это когда с помощью психологического манипулирования человека заставляют делать то, что он делать не собирался. Например, когда в Нью-Йорке или других крупных городах вы останавливаетесь на красный свет, к вам подлетает мойщик стекол — парень с разбрызгивателем и щеткой. Вы говорите ему: «Отвали, мне не надо», а он, не обращая внимания на ваши слова, продолжает мыть.

И вот — работа сделана, и сделана на совесть, и когда он заглядывает в окошко водителя, вы думаете: «Ну ладно, он действительно вымыл мне ветровое стекло, дам я ему пару баксов». Этот мойщик применил прием социальной инженерии и заставил вас дать ему деньги.

В Балтиморе я регулярно заправлялся на одной и той же заправке. Там у входа всегда сидел бездомный, который распахивал передо мной дверь со словами: «Добрый день!» Когда я, расплатившись, выходил, он снова распахивал дверь и говорил: «У вас не найдется лишнего доллара?» Он применял социальную инженерию — и «лишний доллар» находился у множества людей.

А с вами разве не случалось, что вы получали от кого-то неожиданный подарок на день рождения и думали: «Да, не забыть теперь что-нибудь подарить на день рождения и Джиму»? Такие формы социальной инженерии могут раздражать, но, в общем-то, они безопасны. Однако многие преступники также применяют социальную инженерию.

Почему мы попадаемся: когнитивные искажения

Цель того, кто использует приемы социальной инженерии, — управлять нами, проникнув в нашу систему мышления. Мошенники — настоящие эксперты в деле обнаружения человеческих слабостей и умеют обратить эти слабости себе на пользу. Они искусно манипулируют самыми разными человеческими эмоциями — алчностью, любопытством, щедростью, страхом. Чувство страха способно уберечь нас от беды — оно заставляет нас спасаться бегством от преследователя, бежать из здания, охваченного огнем, но это же чувство может быть использовано и против нас. И в результате люди становятся жертвами не только мошенников, но и самих себя — своих когнитивных искажений.

Грубо говоря, когнитивные искажения — это ошибки мышления, происходящие при обработке полученной нами информации. Человеку, чтобы принять решение, приходится обрабатывать массу информации, и иногда это надо делать очень быстро. Когнитивные искажения происходят тогда, когда нам надо быстро принять какое-то решение, — мы словно срезаем углы, чтобы скорее добраться к цели. Такое «срезание углов» чрезвычайно полезно в некоторых ситуациях — когда надо быстро уйти от опасности, как в случае с горящим зданием. Но оно куда менее полезно, когда нас пытаются обмануть. На принятие решения влияет великое множество самых разных искажений, но зная об их существовании, осознавая, какими могут быть основные из них, вы избежите многих расставленных мошенниками ловушек.

Человек — носитель сотен когнитивных искажений, — источник

Эвристический аффект

Эвристический аффект — это немедленная, «животная» реакция, когда вы принимаете решение мгновенно, на уровне эмоций. Например, если вам что-то нравится, вы решаете, что это что-то оказывает на вашу жизнь благотворное влияние. Грубо говоря, то, как вы себя чувствуете, влияет на то, как вы интерпретируете ситуацию.

На что это похоже: если вы в детстве каждое лето проводили с семьей на берегу озера, в котором с удовольствием плескались и плавали, вид водного пространства будет вас успокаивать, доставлять вам удовольствие. Но если вы в детстве чуть было не утонули, вид воды заставит вас ощущать беспокойство и страх. Ваши связанные с водой ощущения напрямую воздействуют на вашу реакцию.

Эффект приманки

Эффект приманки возникает, когда надо сделать выбор между двумя вариантами и вдруг появляется третий вариант. Этот третий вариант становится своеобразным мерилом двух предыдущих. Джо Хубер, профессор-маркетолог из Университета Дьюка, объясняет, как работает эффект приманки, когда людей спрашивают об их ресторанных предпочтениях. Им предлагают выбрать между двумя ресторанами — один, шикарный, пятизвездочный, в котором еда наверняка очень вкусная, находится довольно далеко. А поблизости — ресторан трехзвездочный, кухня в котором — ну не так чтобы очень. Опрашиваемые никак не могут решить, какой выбрать — тот, в который надо долго ехать, но в котором им наверняка подадут изысканные кушанья, или тот, в котором еда не столь замечательная, зато ехать никуда не надо. Пока они решают, им предлагают третий вариант — двухзвездочный ресторан, скорее — обыкновенная забегаловка, а расположен он как раз между первым и вторым. И тогда опрашиваемые выбирают трехзвездочный ресторан: он привлекательнее двухзвездочного как по качеству, так и по местоположению.

Наш мозг «взламывают» даже кофейни, — источник

На что это похоже: еще не так давно при заказе кофе в ресторане, в Dunkin’ Donuts или в Starbucks, у нас имелось три варианта выбора: кофе маленький, средний или большой. Теперь ввели еще два варианта: супербольшой и «высокий». И мы выбираем средний, хотя раньше выбирали маленький. Эффект обманки заставляет наш мозг сравнивать старые и новые возможности и выбирать порцию, пусть ненамного, но большую, чем мы выбирали ранее.

Эффект страуса

Мы жаждем получить как можно больше информации — когда она носит положительный характер. Но когда информация негативная — пусть даже и полезная, — люди часто предпочитают ее не знать. Как легко догадаться, эффект страуса проявляется тогда, когда мы отрицаем негативную информацию, пряча голову в песок, следуя принципу «если я этого не вижу, значит этого и не существует».

На что это похоже: классическое проявление эффекта страуса — нежелание просматривать распечатку расходов по банковской карте после отпуска или больших праздников вроде Рождества. Вы прекрасно понимаете, что эта информация вряд ли доставит вам много радости, вот и тянете и не смотрите на счета, пока совсем не подопрет. Вы избегаете неприятных ощущений, сознательно ограничивая для себя доступ к информации.

Оптимистическое искажение

Чтобы двигаться вперед, мы должны на что-то надеяться, но зачастую мы бываем более оптимистичны, чем следует, и склонны отрицать реальность. Мы предполагаем, что все обернется к лучшему, а это не всегда так. Эта тенденция видеть будущее в радужном свете мешает нам подготовиться к потенциальным опасностям, и мы становимся уязвимыми.

На что это похоже: человек, который смотрит в будущее с чрезмерным оптимизмом, не готов к событиям негативным, но вполне возможным. Такой человек не делает сбережений на тот случай, если вдруг останется без работы. Или пренебрегает ежегодным профилактическим осмотром у врача. Если вы не делаете сбережений и регулярно не показываетесь к врачу, результаты могут оказаться самыми плачевными.

Эффект «это было недавно»

Эффект «это было недавно» выражается в нашей склонности верить, что то, что происходило в последнее время — любая тенденция или модель, которую мы сейчас наблюдаем, — будет продолжаться и впредь. Так что вместо того, чтобы опираться на реальные данные или осознавать, что некоторые события предсказать невозможно, мы живем в убеждении, что жизнь будет оставаться такой же, как и сейчас.

Как это выглядит: эффект «это было недавно» позволяет нам не принимать всерьез предупреждения о надвигающемся урагане и не предпринимать соответствующих мер — а все потому, что в этих краях ураганов до сих пор не бывало.

Не позволяйте когнитивным искажениям превратить вас в жертву мошенников

На самом деле когнитивные искажения куда более разнообразны, чем те, которые я описал. И все же вы можете принять определенные меры, чтобы не дать когнитивным искажениям превратить вас в жертву мошенников.

Я не говорю, что вам следует круглосуточно беспокоиться по этому поводу, но лучше все-таки понимать, что такое возможно. Например, если кто-то в чужой стране предлагает вам разобраться с картой, на всякий случай гляньте через плечо — а вдруг напарник доброхота уже подкрадывается к вашей сумке. Если кто-то стучит в вашу дверь и говорит, что он из полиции, — на всякий случай позвоните 911, чтобы убедиться, что это действительно полицейский. Будьте осторожны и не стесняйтесь внимательно присматриваться к окружению и перепроверять информацию — это основа вашей безопасности.

По материалам книги «Защити себя по методике спецслужб»

Фото обложки

blog.mann-ivanov-ferber.ru

Метод управления поведением людей или Социальная инженерия (справочник)

Социальная инженерия (Википедия)Эта статья — об информационной безопасности. О социологических методах см. Социальная инженерия (социология).

Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность.

История

Сам термин "социальная инженерия" является социологическим и обозначает совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним. В сфере информационной безопасности данный термин был популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по безопасности, Кевином Митником, который утверждал, что самое уязвимое место любой системы безопасности - человеческий фактор[1].Методы социальной инженерии в смысле получения доступа к конфиденциальной информации либо мотивации к действию с помощью технических и нетехнических методов были известны задолго до популяризации термина Митника и вообще до компьютерной эры. Например, группа исследователей из врачей и медсестер трех больниц Среднего Запада проводила исследование, в котором психологи по телефону представлялись врачами и просили медсестер вколоть пациенту смертельную дозу лекарства. Несмотря на то, что медсестры знали, что делали, в 95% случаев они беспрекословно выполняли команду (разумеется, их останавливали ассистенты на входе в палату)[2].

Техники

Все техники социальной инженерии основаны на когнитивных искажениях. Эти ошибки в поведении используются социальными инженерами для создания атак, направленных на получения конфиденциальной информации, часто с согласия жертвы.Так, одним из простых примеров является ситуация, в которой некий человек входит в здание компании и вешает на информационном бюро объявление, выглядящее как официальное, с информацией об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные пароли и идентификаторы для получения доступа к конфиденциальной информации.

Фишинг

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»Основная статья: ФишингФишинг (англ. phishing, от fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию[3].
Как распознать фишинг-атаку
Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего фишинговые сообщения содержат:
Популярные фишинговые схемы
Ниже описываются самые популярные фишинговые схемы мошенничества.Несуществующие ссылки[править | править вики-текст]Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчетам экспертов, убытки от этой аферы составили менее миллиона долларов (несколько сотен тысяч)[1].

Мошенничество с использованием брендов известных корпораций[править | править вики-текст]В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону[4].Подложные лотереи[править | править вики-текст]Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации[4].Ложные антивирусы и программы для обеспечения безопасности[править | править вики-текст]Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения[4].IVR или телефонный фишинг

Принцип действия IVR системОсновная статья: ВишингТелефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом. Данная техника основана на использовании системы предварительно записанных голосовых сообщений, с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя, посредством ввода PIN-кодаили пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений[5].

Телефонный фрикинг

Основная статья: ФрикингТелефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию соединенных штатов, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть.

Претекстинг

Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.
Квид про кво
Основная статья: Quid pro quoКвид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актерское мастерство[6]) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы[1].Проведенное в 2003 году исследование в рамках программы Информационная безопасность показало, что 90 % офисных работников готовы разгласить конфиденциальную информацию, например свои пароли, за какую-либо услугу или вознаграждение[7].
«Дорожное яблоко»
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника[1]. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети[8].Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето[9] выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Плечевой серфинг

Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.Опрос ИТ-специалистов в белой книге[10] о безопасности показал, что:

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.[11]

www.divinecosmosunion.net

Социальная инженерия: учимся правильно врать

Враньё - это целая технология, которая имеет название «Социальная инженерия». Качественное враньё является неотъемлемой частью «Социальной инженерии», без применения которой в современных условиях не обходится ни один, как начинающий так и прожжённый, взломщик.

Взломщики бываю разные: взломщик компьютерных рабочих станций, взломщик серверов, взломщик компьютерных сетей, взломщик телефонных сетей, взломщик (выносильщик) просто мозга и т. д., - и все они в качестве вспомогательного инструмента применяют «Социальную инженерию» или просто ложь, на которой в основном и построена «Социальная инженерия», да собственно и большая часть жизни всего человечества.

В детстве нам внушали, что лгать не можно. Никому и сроду. Впрочем, как это часто бывает, жизнь перечёркивает всё школьные уроки и настырно тычет нас в тот факт, что без неправды и не туда и ни сюда, - «Не нае соврёшь, не проживёшь». Самые наилучшие вруны лгут, как это ни удивительно, иногда и практически никогда не сознаются в этом. О иных тайнах искусства вранья мы поговорим в этой статье.

Враньём пронизаны практически все сферы жизнедеятельности человека, включая религию, а неугомонные британские исследователи всего и вся на всём белом свете и прилегающих к нему галактиках ещё и добавляют: «Оказывается, что всякий человек за свою жизнь врёт примерно более 88 тыс. раз!».

В перечень самого популярного вранья входят, безусловно, и всеми затёртые: «Бабла нет, я теперь сам на мели», «Очень рад тебя видеть», «Мы вам перезвоним» и «Большое спасибо, мне реально оч. нравится». Выходит, что лгут все, всем и всякий раз. Но кое-кто врёт замечательно, теша окружающих и облегчая себе жизнь, а иные — не совсем, принося при этом боль и страдания всем вокруг.

Итак, как же научиться просто, безопасно и красиво «пудрить мозги» (вешать на уши лапшу, гнать пургу, обманывать)? В данном ремесле, как и в любом другом, существуют свои не писанные законы и секреты.

«Профессор, конечно, лопух, но аппаратура при нем, при нем. Как слышно?»

Большое и маленькое враньё требуют одинаково щепетильного отношения

Это одно из основных правил, которое обязан заучить предстоящий мэтр вранья. Каждое твоё враньё, независимо от её значения, придётся навеки запомнить и последующее враньё строить с учётом предыдущего. Впрочем некоторым может показаться, что хватит лишь запомнить самую основную ложь, а ложь по мелким формальностям не достойна запоминания. Вот так, как правило, и горят неопытные лгуны, - нагородив гору вранья, они затем забывают, кого, когда и как «причёсывали».

Потому-то стремись запоминать каждое своё, даже самое маленькое, враньё. А потому как человеческая память не бесконечна и всё своё «гонилово» тебе запомнить уж точно не получится, то из данного умозаключения вытекает основное правило: Лги как можно реже, имхо лишь так сможешь добиться правдоподобности.

Песок в глаза, лапшу на уши

Истинный мэтр (гонильщик) лжи, подобен испанскому тореадору, который достаёт шпагу лишь в самое решающее мгновение и наносит всего-навсего 1-н удар. Всё прочее время он мастерски отвлекает жертву при помощи ловких манипуляций красным плащом. В ходе вешания лапши на уши используют подобные методы, и ловкое переключение внимания собеседника на иной объект либо перемена темы беседы время от времени вообще избавляет вас от нужды лгать. Заблаговременно продумай свою стратегию поведения так, дабы вообще не пришлось гнать всякую пургу. Да смотри не перестарайся, ведь неловкое использование мулеты может обойтись тореадор в жизнь!

Тяжело в учёбе, легко на работе

В любой профессии необходимы практические занятия, а уж в такой профессии, как лжец, без практики точно никак не обойтись. Но потому, как практиковаться на живых людях весьма не гуманно, то практиковаться мы будем на себе. Встанем впереди зеркала и будем повторяй своё враньё до тех пор, пока оно не начнёт выглядеть абсолютно природным. В идеале мы должны убедить самих себя в правдивости нашей лжи. Безупречный обман — это тот, в который мы сами поверили.

И я, то не я, и брехня то не моя

Если тебя стали подозревать во вранье, то самое плохое, что в такой ситуации можно сделать, так это приступить к своему оправданию и начать придумывать всё новое и новое враньё. Когда дом начал шататься, то из него надобно как можно скорее убегать, а не в срочном порядке достраивать дополнительные этажи. Потому-то на любые обвинения нужно отвечать оскорблённым и гордым молчанием либо же съезжать на иную тематику.

Относительно «добровольной сдачи в анальный плен», то такая сдача равносильна прямому выстрелу в висок. Зачастую бывают такие обстоятельства, когда правда равнобедренно ущербна для обеих сторон и противная сторона невзирая на свои обвинения во лжи, как и сам лгун, не желала бы её слышать. Не отступай и не сдавайся, даже в том случае, когда тебя буквально прижали к стенке. Гни свою линию наперекор подтверждениям, логике и здравому толку (в Крыму нет наших войск, - это всё народная самооборона).

Только Ты, да только Я

Можно обдумать стратегию поведения на немало ходов вперёд, можно возле зеркала отработать блестящие актёрские навыки и отработать правдивые интонации разговора, придумать отмазку, обеспечить себе свидетелей, пути отхода и вторую линию обороны.

А родные и близкие люди всё равно могут узнать правду. Научному объяснению это не поддаётся, ведь мы не верим в типа «во сне приснилось» или «жоп сердцем чувствую» … «что ты пиз лгун-фантаст». Скажем по-иному, между некими людьми может устанавливается своеобразная психофизиологическая невербальная (астральная) связь, благодаря которой они неосознанно ощущают мельчайшие модификации состояния друг друга. потому-то предпочтительно даже не пытаться лгать родным и близким людям.

Рекомендуемый контент

Об авторе

Ещё статьи автора

www.remoteshaman.com


Prostoy-Site | Все права защищены © 2018 | Карта сайта