/ Новости сайта / Что такое социальная инженерия? Принцип работы и методы влияния
23Май Социальная инженерия и ее методы

Что такое социальная инженерия? Принцип работы и методы влияния

171

Социальная инженерия - это искусство манипулирования, которое включает в себя обман человека, применяя методы воздействия с помощью ошибок мышления (когнитивных искажений). Злоумышленники пытаются обмануть Вас, чтобы заполучить конфиденциальную информацию (пароли или банковские данные), или получить технических доступ к системе, чтобы установить вредоносное ПО, с целью, корпоративного шпионажа. Атака социальной инженерией, в основном, использует доверие человека, потому что, это намного легче для преступника, чем взломать Ваше программное обеспечение. Мошенники могут представляться, в качестве должностного сотрудника компании, личности, которая осуществляет внеплановую проверку, коллеги, друга или босса.

 

Само по себе понятие "социальная инженерия" существует крайне давно и активно применяется, как раньше, так и сейчас. Еще в 90-х годах, специалист в области взлома и защиты информации Кевин Митник помог популяризировать данный термин написав ряд книг посвященных теме социальной инженерии и методам воздействия на человека. В 2001 году была выпущена под его авторством книга «Искусство обмана» (англ. «The Art of Deception»), где он рассказывает о реальных историях, как с точки зрения мошенника, так и жертв. Объясняет, почему каждая атака имела свой успех и как ее можно было бы предотвратить.

 

Техники и методы социальной инженерии


Прежде, чем приступить к действиям, злоумышленник, проведет полную подготовку, которая может занять неделю и месяц, чтобы узнать, как организована работа в компании, или узнать, как живет человек и чем он предпочитает заниматься в свободное время. Подготовка может включать в себя множество факторов, в частности поиск списка телефонных номеров компании и сотрудников, сбор информации через интернет, что сейчас актуально, как никогда. Только после того, как будет собрано достаточное количество данных они смогут прийти и постучать в дверь или сделать телефонный звонок, или принять другие меры для достижения желаемого.

 

Человеческий фактор и эмоциональная реакция - основа для социальной инженерии. Существует множество способов, с помощью которых злоумышленник может обмануть Вас, как в реальной, так и виртуальной среде. К наиболее популярным методам социальной инженерии относится:

  • Фишинг;
  • Претекстинг:
  1. Квид про кво («Услуга за услугу»);
  2. Троянский конь («Дорожное яблоко»);
  • Обратная социальная инженерия;
  • Сбор информации из открытых источников;
  • Серфинг через плечо;
  • Впритык;
  • Наживка.

 

Давайте рассмотрим более подробно, в чем заключается и, что представляет собой каждый из методов.

 

Фишинг («Рыбная ловля»)

 

Данный вид воздействия наиболее из распространенных сегодня. Вы регулярно с ним встречаетесь. Главная цель: получить доступа к персональным данным пользователя (логину, паролю, имени, адресу, банковским данным). Чаще всего, атака подразумевает под собой отправку жертве электронного письма на почту, которое выглядит точно так же, как и письмо от официального представителя (игрового аккаунта, платежной системы, социальной сети, банка). Письмо будет содержать в себе элементы, которые будут воздействовать на эмоции человека и требовать решительных действий «здесь и сейчас». Сообщение может содержать в себе тему, например: «Ваш аккаунт пытались взломать, необходимо изменить пароль», «Поздравляем! Вам начислено 1000$ в честь дня Рождения проекта, остался 1 день, спешите» и т.п.

 

Подделку отличить от оригинала крайне сложно. Всегда стоит обращать внимание на такие детали, как:

  • ссылки (не стоит переходить по ссылкам в сообщение, если не уверены, что оно является подлинным. Лучше всего перейти на подлинный ресурс и получить доступ непосредственно через него);
  • угрозы (сообщения о том, что аккаунт взломали, средства с банковской карты были сняты и т.п. - не стоит сразу реагировать и пытаться что-либо предпринимать. Удостоверьтесь в том, что письмо является действительным);
  • текст (в нем могут содержаться банальные орфографические, грамматические и пунктуационные ошибки);
  • дизайн (если Вы уже ранее получали письма от этого ресурса, посмотрите, соответствует ли структура оригиналу: сравните расположения отдельных блоков, элементов, текста, ссылок);
  • имя и адрес отправителя (скорее всего адрес будет соответствовать оригиналу, т.к. подделать его не вызывает никаких трудностей, тем не менее, возможно электронная почта отличается одним или нескольким символом, цифрой или же вовсе не соответствует - обратите внимание).

 

Претекстинг

Претекстинг
 

Еще одна форма социальной инженерии, где злоумышленник действует по заранее сфабрикованному сценарию, чтобы получить конфиденциальную информацию от своей жертвы. Атака совершается при предварительной подготовки и с базовыми знаниями (кода агента, номера паспорта, даты рождения, последних цифр банковской карты и т.п.). Преступник, например, может выдавать себя за внешнего ИТ-специалиста и манипулировать сотрудниками фирмы через мобильный телефон или же при физическом присутствии, чтобы получить доступ в желаемую комнату.

 

В отличие от фишинговых писем, использующих эмоции человека в своих интересах, здесь атаки основана на создании ложного чувства доверия с жертвой. Мошенник придумывает «достоверную» историю, которая не оставляет практически никакого места для сомнения жертве и таким образом получая желаемое.

 

Посмотрите короткий фрагмент видео из фильма "Кто Я", чтобы иметь более полное представления о том, как работает данная техника:

 

Претекстинг, в свою очередь имеет две категории:

  1. Квид про кво («Услуга за услугу»)

Мошенник осуществляет подобный вид атаки социальной инженерии, например, путем звонка в компанию через внутренний телефон или пишет на электронную почту, где он выдает себя за сотрудника ИТ-отдела и говорит, что в системе были обнаружены критические сбои, которые необходимо срочно устранить. В свою очередь, ничего не подозревающий сотрудник компании начинает следовать «рекомендациям» специалиста, тем самым предоставляя мошеннику доступ к внутренней системы, а в последствие и к конфиденциальным сведениям.

  1. Троянский конь («Дорожное яблоко»)

Помните историю про троянского коня, который был представлен в качестве подарка, а по факту оказался коварным замыслом? Данный техника атаки переставляет его адаптацию, поскольку жертва не получает «подарок», а находит его сама. Заключается метод в использование физического носителя (дискета, диск, флешка) содержащей на себе вредоносное программное обеспечение. Предварительно злоумышленник подготавливает одну или несколько копий носителя вирусного ПО, оформляет его в фирменном стиле компании или же помечает его каким либо текстом вызывающим интерес, например: "Список сотрудников под сокращение" и т.п. Разбрасывает носители на территории компании, там, где их будет легко найти, у входа в здание, коридорах, туалетах, столовых и ждет.Человек, который обнаружит «яблоко» вероятнее всего захочет удовлетворить свое любопытство и узнать, что на нем находится.

 

Фрикинг

Фрикинг

 

Впервые о понятие фрикинга стало известно в начале 60-х годов в Америке. Компания Bell, покрывающая на тот период основную часть территорию ранее указанной страны, для своей сети использовала сигналы импульсные, а для передачи сигналов служебных применялся тоновый набор. Разумеется, находчивость людей не знает границ и были такие, которые использовали служебные команды для своих целей. Подавая тоновый сигнал в сеть, по определенному алгоритму можно было позвонить бесплатно, организовать конференцию между несколькими абонентами, получить доступ к управлению сетью, блокировать и перенаправлять звонки. Вскоре Bell сменила свою технологию осуществления звонков.

 

Обратная социальная инженерия

Обратная социальная инженерия

 

В данной технике, жертва ничего не подозревая, передает необходимую информацию мошеннику самостоятельно. Как такое может произойти? Примером такой ситуации может служить подобный сценарий. Жертва обращается в ИТ-службу компании с целью восстановить доступ к системе («Я что-то нажала и все пропало»), однако, телефон по которому она позвонила не принадлежит ИТ-отделу, т.к. за неделю до этого злоумышленник сменил контактные номера у сотрудника. Соответственно, жертва ничего не подозревая, думая о том, что разговаривает с подлинным специалистом, предоставляет ему удаленный доступ и сообщает все, что он будет запрашивать. Множество людей, для устранения ошибок или проблем, готовы, как можно скорее передать всю необходимую информацию, в том числе и конфиденциальную.

 

Сбор информации из открытых источников

Сброс информации из открытых источников

 

В данном случае не требуется от социального хакера специальных навыков и знаний в области психологии или социологии, достаточно умения искать информацию о человеке в интернете. Данная техника стала актуальна с появлением интернета, сетей, форумов и прочих открытых источников, где пользователь самостоятельно загружает свои фотографии, информацию о себе, как общего характера, так и личного. При должном внимание к своей безопасности, можно избежать распространения важных факторов для потенциального преступника.

 

Серфинг через плечо

Серфинг через плечо

 

Данный метод, сложно организовать специально, тем не менее он имеет место быть. Заключается он в банальном и просто подглядывание за информацией отображаемой у человека на экране смартфона, планшета или ноутбука. Можно осуществить находясь в общественных местах (общественном транспорте, ВУЗах, кафе, парках, аэропортах).

 

Впритык

Впритык

 

"Подождите, не закрывайте дверь" - как часто слышите подобные просьбы и видите человека, который торопится попасть в помещения следом за Вами? Уверены, что он является сотрудником компании? Как Вы уже поняли, для получения доступа в помещение или другой охраняемой территории злоумышленник ждет (курит сигарету или просто стоит в стороне) пока кто-то из сотрудников будет заходить или выходить, чтобы просто на просто проскочить пока дверь открыта.

 

Противодействие методам социальной инженерии


Безопасность - когда у Вас есть четкое представление о том, кому можно доверять. Вы должны однозначно понимать и знать - кому можно предоставлять данные и доступ на территорию, а кому - категорически нет. Любой специалист в области обеспечения безопасности, скажет Вам, что человеческий фактор является самым слабым звеном во всей цепочке безопасности. Не имеет никакого значения, сколько дверей и какие замки Вы поставите, имеется у Вас заборы с колючей проволокой и вооруженный персонал с собаками на территории, подключена ли системы сигнализации, прожекторы и камеры видеонаблюдения. Если доверяете первому встречному человеку у ворот, который говорит, что он не может попасть домой, т.к. его обокрали,. При этом Вы позволяете ему без какой-либо предварительной проверки пройти на охраняемую территорию, Вы обрекаете все обеспеченные меры защиты на провал.

 

Чтобы защитить себя и не стать жертвой атаки социальной инженерии:

  • изучайте и собирайте, как можно больше информации о способах и методах воздействия злоумышленниками, что позволит Вам всегда быть готовым;
  • относится с осторожностью и скептично к человеку, запрашиваемому внутренние организационную сведения или персональные данные;
  • дайте однозначное понятие - кому можно дать доступ к конфиденциальной информации и при каких условиях. не предоставляйте сведения о своей организации, логин и пароль по телефону, и электронной почте;
  • при чтении электронной почты обращайте внимание на подлинность сообщения, обращайте на стиль его оформления, ссылки и адрес отправителя;
  • установите соответствующие ПО (антивирусы, спам-фильтры, брандмауэры).

 

Обрести практические и теоретические навыки


Тема является для Вас интересной и актуальной? Прочтите список весьма содержательных книг по социальной инженерии, которые Вы можете скачать на Ваш электронный гаджет или купить и, тем самым изучить тему еще больше:

  • Максим Кузнецов, Игорь Симдянов - «Социальная инженерия и социальные хакеры»;
  • Кевин Д. Митник, Вильям Л. Саймон - «Искусство обмана»;
  • Кевин Д. Митник, Вильям Л. Саймон - «Призрак в Сети. Мемуары величайшего хакера»;
  • Кевин Д. Митник, Вильям Л. Саймон - «Искусство вторжения»;
  • Крис Касперски - «Секретное оружие социальной инженерии»

 

Так как книги читать мало кто любит, есть небольшая подборка фильмов и сериалов про социальную инженерию, где можно увидеть, в той или иной мере, методы ее применения:

Фильмы:

  • «Кто я», 2014 - Баран бо Одар
  • «Хакеры», 1995 - Иэн Софтли
  • «Взлом», 2000 - Джо Чаппелль
  • «Кибер», 2015 - Майкл Манн
  • «Пароль Рыба-Меч», 2001 - Доминик Сена
  • «Чужими глазами», 2012 - Седрик Жименес, Арно Дюпрей
  • «Враг государства», 1998 - Тони Скотт
  • «Крепкий орешек 4», 2007 - Лен Уайзман

Сериалы:

  • «Мистер робот», 2015 - Сэм Эсмейл, Джим МакКэй, Триша Брок и др.
  • «Охота на Унабомбера», 2017 - Грег Яйтанс

 

Быть уверенным в сегодняшнем и завтрашнем дне Вы можете только с безопасностью. Статья является ознакомительного характера и не призывает Вас к злоупотреблению техниками социальной инженерии. Здесь собраны сведения о том, какие существуют методы и как они работают, узнав их Вы сможете избежать влияния со стороны мошенника и не станете его жертвой, тем самым сохраните конфиденциальную информацию.

Статья для Вас была полезной? Расскажите о ней в социальных сетях:

Комментарии 0

avatar
Наверх