Социальный инжиниринг. Социальная инженерия: что это такое и что важно знать

В этой статье мы уделим внимание понятию «социальная инженерия». Здесь будет рассмотрено общее Также мы узнаем о том, кто был основоположником этого понятия. Отдельно поговорим об основных методах социальной инженерии, которые применяют злоумышленники.

Введение

Методы, позволяющие корректировать поведение человека и управлять его деятельностью без применения технического набора средств, образуют общее понятие социальной инженерии. Все способы базируются на утверждении о том, что человеческий фактор - самая разрушительная слабость любой системы. Часто данное понятие рассматривают на уровне незаконной деятельности, посредством которой преступником совершается действие, направленное на получение информации от субъекта-жертвы нечестным путем. Например, это может быть определенный вид манипуляции. Однако социальная инженерия применяется человеком и в законной деятельности. На сегодняшний день чаще всего ее используют для доступа к ресурсам с закрытой или ценной информацией.

Основоположник

Основоположником социальной инженерии является Кевин Митник. Однако само понятие к нам пришло из социологии. Оно обозначает общий набор подходов, которыми пользуются прикладные соц. науки, ориентированные на изменение организационной структуры, способной определять поведение человека и осуществлять контроль над ним. Кевина Митника можно считать родоначальником данной науки, так как именно он популяризировал соц. инженерию в первом десятилетии XXI века. Сам Кевин ранее был хакером, совершавшим в самые разнообразные базы данных. Он утверждал, что фактор человека является самым уязвимым местом системы любого уровня сложности и организации.

Если говорить о методах социальной инженерии как о способе получения прав (чаще незаконных) на пользование конфиденциальными данными, то можно сказать, что они были уже известны очень давно. Однако донести всю важность их значения и особенности применения смог именно К. Митник.

Фишинг и несуществующие ссылки

Любая техника социальной инженерии базируется на наличии когнитивных искажений. Ошибки поведения становятся «орудием» в руках умелого инженера, который в будущем может создать атаку, направленную на получение важных данных. Среди методов социальной инженерии выделяют фишинг и несуществующие ссылки.

Фишинг - интернет-мошенничество, предназначенное для получения личной информации, например, о логине и пароле.

Несуществующая ссылка - использование ссылки, которая будет заманивать получателя определенными преимуществами, которые можно получить, перейдя по ней и посетив определенный сайт. Чаще всего используют имена крупных фирм, внося малозаметные коррективы в их наименование. Жертва, перейдя по ссылке, «добровольно» передаст свои личные данные злоумышленнику.

Методы с применением брендов, дефектных антивирусов и подложной лотереи

В социальной инженерии также используют методы мошенничества с применением известных брендов, дефектных антивирусов и подложной лотереи.

«Мошенничество и бренды» - способ обмана, который также относится к разделу фишинговых. Сюда входят электронные почты и веб-сайты, которые содержат название крупной и / или «раскрученной» компании. С их страничек рассылаются сообщения с уведомлением о победе в определенном конкурсе. Далее требуется введение важных данных учетной записи и их кража. Также данная форма мошенничества может осуществляться по телефону.

Подложная лотерея - способ, в котором жертве отсылаются сообщение с текстом о том, что он(а) выиграл(а) в лотерею. Чаще всего оповещение маскируют использованием имен крупных корпораций.

Ложные антивирусы - это мошенничество над программным обеспечением. Здесь применяются программы, которые внешне похожи на антивирусы. Однако на деле они приводят к генерированию ложных уведомлений об определенной угрозе. Также они стараются завлекать пользователей в сферу транзакций.

Вишинг, фрикинг и претекстинг

Говоря о социальной инженерии для начинающих, стоит также упомянуть о вишинге, фрикинге и претекстинге.

Вишинг - это форма обмана, использующая телефонные сети. Здесь используются предварительно записанные голосовые сообщения, целью которых является воссоздание «официального звонка» банковской структуры или любой другой системы IVR. Чаще всего просят ввести логин и / или пароль с целью подтверждения какой-либо информации. Другими словами, системой требуется прохождение аутентификации со стороны пользователя с использованием PIN-кодов или паролей.

Фрикинг - это еще одна форма телефонного обмана. Представляет собой систему взлома с применением звуковых манипуляций и тонового набора.

Претекстинг - нападение с применением заранее продуманного плана, суть которого заключается в представлении другим субъектом. Крайне сложный способ обмана, так как он требует тщательной подготовки.

Квид-про-кво и метод «дорожного яблока»

Теория социальной инженерии - многогранная база данных, включающая в себя как методы обмана и манипуляции, так и способы борьбы с ними. Главной задачей злоумышленников, как правило, является выуживание ценной информации.

Среди других видов афер выделяют: квид-про-кво, метод «дорожного яблока», плечевой серфинг, использование открытых источников и обратную соц. инженерию.

Квид-про-кво (от лат. - «то за это») - попытка выудить информацию компании или фирмы. Происходит это путем обращению в нее по телефону или посредством пересылки сообщений по электронной почте. Чаще всего злоумышленники представляются сотрудниками тех. поддержки, которые сообщают о наличии определенной проблемы на рабочем месте работника. Далее они предлагают способы ее устранения, например, посредством установления программного обеспечения. ПО оказывается дефектным и способствует продвижению преступления.

«Дорожное яблоко» - это метод атаки, который основан на идее троянского коня. Его суть заключается в использовании физического носителя и подмене информации. Например, могут снабдить карту памяти определенным «благом», которое привлечет внимание жертвы, вызовет желание открыть и использовать файл или перейти по ссылкам, указанным в документах флешки. Объект «дорожного яблока» сбрасывают в социальных местах и ждут, пока каким-либо субъектом не будет реализован план злоумышленника.

Сбор и поиск информации из источников отрытого типа представляет собой аферу, в которой получение данных основано на методах психологии, умении замечать мелочи и анализе доступных данных, например, странички из социальной сети. Это достаточно новый способ социальной инженерии.

Плечевой серфинг и обратная соц. инженерия

Понятие «плечевой серфинг» определяет себя как наблюдение за субъектом вживую в буквальном смысле. При этом виде выуживания данных злоумышленник отправляется в общественные места, например, кафе, аэропорт, вокзал и следит за людьми.

Не стоит недооценивать данный метод, так как множество опросов и исследования показывают, что внимательный человек может получать множество конфиденциальной информации просто проявляя наблюдательность.

Социальная инженерия (как уровень социологического знания) является средством для «захвата» данных. Существуют способы получения данных, при которых жертва сама предложит злоумышленнику необходимую информацию. Однако она может служить и во благо общества.

Обратная соц. инженерия - еще один метод этой науки. Применение этого термина становится уместным в случае, который мы упомянули выше: жертва сама предложит злоумышленнику необходимую информацию. Не стоит воспринимать это утверждение как абсурд. Дело в том, что субъекты, наделенные авторитетом в определенных сферах деятельности, нередко получают доступ к данным идентификации по собственному решению субъекта. Основой здесь служит доверие.

Важно помнить! Сотрудники служб поддержки никогда не потребуют у пользователя, например, пароль.

Осведомление и защита

Обучение социальной инженерии может осуществляться индивидом как на основе личной инициативы, так и на основе пособий, которые используются в особых учебных программах.

Преступниками могут применяться самые разнообразные виды обмана, начиная от манипуляции и заканчивая ленью, доверчивостью, любезностью пользователя и т. д. От такого вида атак крайне сложно защитить себя, что обусловлено отсутствием у жертвы осознания того, что его (ее) обманули. Различные фирмы и компании для защиты своих данных на этом уровне опасности часто занимаются оценкой общей информации. Далее происходит интегрирование необходимых мер защиты в политику безопасности.

Примеры

Примером социальной инженерии (ее акта) в области способа глобальных фишинговых рассылок является событие, произошедшее в 2003 году. В ходе этой аферы пользователям eBay были посланы письма на электронные адреса. В них утверждалось, что учетные записи, принадлежащие им, были заблокированы. Для отмены блокировки необходимо было ввести заново данные учетной записи. Однако письма были поддельными. Они переводили на страницу, идентичную официальной, но поддельную. По экспертным оценкам, убыток был не слишком значительным (менее миллиона долларов).

Определение ответственности

За применение социальной инженерии может предусматриваться наказание в некоторых случаях. В ряде стран, например, США, претекстинг (обман посредством выдачи себя за другую личность) приравнивают к вторжению в личную жизнь. Однако это может наказываться законом, если полученная в ходе претекстинга информация была конфиденциальной с точки зрения субъекта или организации. Запись телефонного разговора (как метод соц. инженерии) также предусмотрена законом и требует выплаты штрафа в виде 250 000 долларов или лишения свободы сроком до десяти лет для физ. лиц. Юридические субъекты обязаны выплатить 500 000 $; срок остается тот же.

В любой большой или даже маленькой организации есть в защите информации слабые места. Даже если на всех компьютерах компании стоит наилучшее программное обеспечение, пароли всех сотрудников являются наисложнейшими, а за всеми компьютерами следят самые умные администраторы — все равно можно найти слабое место. И одним, самым главным, “слабым местом” являются люди, которые работают в компании, имеют доступ к компьютерным системам и являются в большей или меньшей степени носителем информации об организации. Людям собирающимся украсть информацию или иными словами взломщикам, только на руку человеческий фактор. И именно на людях они пробуют различные способы влияния называющиеся социальным инжинирингом. О нем то я и попробую сегодня рассказать в статье и о том какую опасность он несет для для обычных пользователей, и для организаций.

Давайте для начала поймем, что такое социальный инжиниринг — это термин, который используют взломщики и хакеры, обозначающий несанкционированный доступ к информации, но совершенно противоположный взлому программного обозначения. Цель не взломать, а обхитрить людей так, что бы они сами дали пороли или иную информацию, которая в дальнейшем сможет помочь хакерам нарушить безопасность системы. Такое мошенничество включает в себя звонки по телефону в организацию и выявление тех сотрудников, которые владеют нужной информацией, а затем звонок выявленному администратору от несуществующего сотрудника, который якобы имеет проблемы доступа к системе.

Социальный инжиниринг напрямую связан с психологией, но развивается как отдельная его часть. В наше время подход инжиниринга используется очень часто, особенно для незаметной работы взломщика по краже документов. Этим способом обучают шпионов и тайных агентов, для тайного проникновения без оставления следов.

Человек способен думать, рассуждать, приходить к тому или иному выводу, но не всегда выводы могут оказаться настоящими, собственными, а не навязанные извне, такие какие они нужны кому то другому. Но самое интересное и главное помогающее мошенникам, что человек может не замечать, что его умозаключения ложные. Он до последнего момента может думать, что все он решил сам. Именно этой особенностью пользуются люди практикующие социальный инжиниринг.

Смысл социального инжиниринга является кража информации. Люди занимающиеся этим стараются без лишнего внимания украсть информацию, а потом распорядится ею по своему усмотрению: продать или шантажировать первичного владельца. По статистике очень часто оказывается, что подобные проделки происходят по заказу конкурирующей фирмы.

А теперь давайте рассмотрим способы социального инжиниринга.

Human denial of service (HDoS)

Суть этой атаки заключается в том, что бы незаметно заставить человека не реагировать на те или иные ситуации.

Например, отвлекающем маневром служит симуляция атаки на какой нибудь порт. Системный администратор отвлекается на ошибки, а в это время без проблем проникают на сервер и берут ту информацию, которая нужна. Но администратор может быть уверенным, что в этом порту ошибок быть не может и тогда проникновение хакера моментально будет замечено. Вся суть этого способа заключается в том, что взломщик должен знать психологию и уровень знаний системного администратора. Без этих знаний проникновение на сервер не возможен.

Способ “звонок”.

Под этим способом подразумевается телефонный звонок так называемой “жертве”. Мошенник звонит жертве и с помощью правильно поставленной речи и психологически правильно заданных вопросов вводит ее в заблуждение и выведывает всю нужную информацию.

Например: звонит мошенник и сообщает, что он по просьбе администратора проверяетт работоспособность системы безопасности. Затем он просит назвать пароль и имя пользователя, а после этого вся нужная ему информация у него в кармане.

Визуальный контакт.

Самый сложный способ. Справится с ней под силу только профессионально подготовленным людям. Смысл этого способа заключается в том, что обязательно надо найти подход к жертве. После того, как подход найден можно будет с его помощью понравится жертве, втереться ей в доверие. А уже после этого жертва сама выложит всю нужную информацию и ей будет казаться, что она ничего важного не рассказывает. Только вот делать такое может только профессионал.

Электронная почта.

Это самый распространенный у взломщиков способ вытягивания информации. В большинстве случаев взломщики отправляют письмо жертве от якобы знакомого ей человека. Самое сложное в этом способе — это скопировать манеру и стиль письма этого знакомого. Если жертва поверит в обман, то здесь уже можно вытягивать всю информацию, какая только может понадобится взломщику.

Понятие «социальная инженерия»

Определение 1

Социальная инженерия сегодня является одним из распространенных понятий. Оно используется для обозначения метода получения необходимой информации, который опирается на особенности психологического состояния человека. Главная цель социальной инженерии – получить доступ к личной информации человека, о которой он не распространяется, считая ее конфиденциальной. К такой информации относятся паспортные данные, банковский данные и иные защищенные системы.

Термин «социальная инженерия» возник относительно недавно, но сам метод используется уже на протяжении более чем пятидесяти лет. Изначально он пользовался особой популярностью у сотрудников КГБ и ЦРУ для того, чтобы получить информацию о внутреннем государственном состоянии, а также о какой-либо государственной тайне. Не менее интересной для них представлялась информация о личной жизни какого-либо видного политического деятеля, депутата, и о жизни обычного гражданина, его доходах и расходах.

Сегодня социальная инженерия пользуется спросом не только у высокопоставленных лиц: мы сами не задумываемся, что используем этот метод, когда хоти заполучить какую-либо секретную информацию, которая изначально не предназначена для нас. Но важно осознавать, что социальная инженерия не всегда осуществляется как законный способ, а за получение конфиденциальной и личной информации о человеке, который пожелал скрыть ее, можно получить определенную меру наказания в соответствии с той, что предусмотрена законодательством страны, в которой человек совершил правовое нарушение.

Методы социальной инженерии

В качестве основных методов социальной инженерии принято выделять следующие. Во-первых, это претекстинг. Он представляет собой набор отработанных по заранее разработанному сценарию действий. В результате некоторых манипуляций жертва сама выдает всю необходимую мошеннику информацию или же совершает действие, которое от нее требует исполнитель. Наиболее часто данный вид атаки встречается в голосовых средствах. Например, шантаж или вымогательства через Skype, мобильный или стационарный телефон.

Второй метод социальной инженерии – фишинг. Это одна из наиболее распространенных тактик интернет-мошенничества, которая направлена на получение личной информации пользователей какой-либо систем. Сейчас наиболее популярен фишинг социальных сетей, где мошенники собирают личную информацию пользователей, а также имеют возможность проникнуть в систему личных сообщений, шантажировать друзей и родственников жертвы, вымогать деньги, притворяясь самим пользователем.

Замечание 1

Также одним из видов фишинговых атак является поддельное сообщение (письмо), которое рассылается жертвам в виде платежных чеков или как официальное письмо от банка с требованием ввода персональных данных (пин-кодов от кредитных карт, логина и пароля от личного кабинета в банковской системе).

Зачастую в качестве мотивации для человека служит некоторая степень психологического давления со стороны мошенника: ему грозят заблокировать аккаунт, сломать систему, взломать социальные сети и распространить личную информацию на всеобщее обозрение.

Методы социальной инженерии, основанные на психологических особенностях жертвы

Безусловно, социальная инженерия выбирает те методы, которые будут оказывать влияние на жертву. Один из видов такого влияние – психологический. Сюда входят такие методы, как:

• Троянский конь – метод основан на таких чувствах, как любопытство, страх жертвы или иных негативных эмоциях. Злоумышленник отправляет жертве письмо, которое содержит некоторое послание. Например, «беспрецедентная акция», «бесплатное обновление антивируса», «денежный выигрыш» или угроза с компроматом на жертву. В письме содержится ссылка, нажимая на нее человек запускает на своем компьютере вирус, который будет использоваться для изменения данных в системе, а информация, собранная с личного аккаунта жертвы, будет затем использована с целью заполучить какую-либо выгоду (чаще всего, денежные средства с личных банковских карт и счетов жертвы);
• Кви про кво (иными словами, услуга за услугу). Эта техника предполагает личное обращение мошенника к жертве посредством электронного сообщения или звонка на телефон. Мошенник может представиться сотрудником технической поддержки и информировать жертву о наличии в системе ее компьютера какой-либо серьезной технической проблемы. Затем жертве сообщается о необходимости устранения неполадок, при этом она получает команды, которые вовсе не устраняют нарушение, а наоборот приводят к установке программного обеспечения, которое взламывает личные аккаунты жертвы и ворует информацию с них;

Замечание 2

Существует еще один метод под названием "обратная социальная инженерия". Она предполагает, что не злоумышленник находит жертву, а наоборот – жертва попадает в такие обстоятельства, что сама обращается к злоумышленнику за так называемой «помощью». Например, жертва по электронной почте получает письмо с контактными данными «службы поддержки», которая может помочь решить человеку конкретную проблему. Пользователь в данном случае звонит или связывается со злоумышленниками самостоятельно, даже не подозревая, что может быть обманут.

Нередки случаи, когда злоумышленники и хакеры сами предлагают свои услуги за определенную денежную оплату. Например, мы можем видеть рекламу «Взломаю аккаунт в Вконтакте/Инстаграм/Твиттер/Фейсбук» или в иных популярных социальных сетях. Таким образом, человек оказывается обманут дважды: во-первых, он платит деньги и лишается их навсегда, а во-вторых услуга, за которую он внес плату, остается неисполненной. В этой ситуации, при обращении в полицию наказание может понести не только мошенник, но и сам человек, который обратился за данной услугой, так как он сознательно собирался посягнуть на личную информацию и пространство другого человека с целью заполучить

Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным - дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

Думаю, IT-примеры вам и прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы .

Метод не устаревает

Это означает, что рано или поздно вам, скорее всего, потребуется социнжиниринг. И обычно - рано, потому что сначала идёт сбор информации и подготовка, а уже поверх накладываются технологии и глубокое знание IT-систем.

Если в вашей компании есть отдел безопасности, скорее всего, там есть параноики, которые понимают, сколько ценных данных может быть у сотрудников, плюс циники, которые совершенно не верят в людей. Эта команда разграничивает права, пишет инструкции и отрабатывает критические ситуации на практике. В целом это позволяет привить некоторый иммунитет, но всё равно не обеспечивает достойного уровня защиты. Что самое неприятное, в социнжинринге нельзя «поставить патч» и забыть - однажды усвоенная злоумышленником механика будет работать всегда, потому что поведение людей в целом не очень-то сильно меняется.

Основная модель социнженерии

Не верите? Представьте ситуацию, когда злоумышленник звонит одной и той же девушке из колл-центра несколько раз в неделю в течение месяца. Он представляется сотрудником, приносит море позитива, живо разговаривает, уточняет какие-то открытые мелочи, иногда просит мелкой помощи. Чёткую авторизацию заменяет тот факт, что человек звонит часто. Десять, двадцать, если надо - тридцать раз. До тех пор, пока не становится одним из явлений жизни. Он свой, ведь он в курсе разных мелочей работы компании и звонит постоянно. На 31-й раз атакующий опять делает мелкую просьбу, но на этот раз касающуюся важных данных. И если надо, приводит логичное и правдоподобное обоснование, почему это требуется, и в какой он беде. Конечно же, нормальный человек ему поможет.

Если вы думаете, что таким атакам подвержены только некомпетентные пользователи, то откройте книгу «Искусство обмана», где ещё во вступлении Митник рассказывает о том, как представился ведущим разработчиком проекта и заставил, на секундочку, сисадмина дать привилегированный доступ к системе. Заметьте, человека, который прекрасно понимал, что конкретно он делает.

Красивая вариация – банковский IVR-фишинг, когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.

Ещё частные случаи

Резюме

В про подготовку к хакерскому турниру была задача про девушку на респшене, случайно отлучившуюся на 30 секунд. Что бы вы успели сделать за это время? Поставить что-то на её машину? Нет, не хватит времени или прав юзера. Украсть документы со стола или отправить себе все письма? Не лучшая идея, вас заметят. Даже просто сесть за её компьютер - уже опасно из-за возможной скрыто смонтированной камеры в офисе. Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее. За свидание не судят, зато оно даст вам кучу данных про иерархию в компании и личные дела сотрудников.

Итак, возвращаясь к ликбезу. Прочитайте «Искусство обмана» (вам точно понравятся конкретные диалоги оттуда), главу про социнженерию из книги Дениса Ферии с пафосным названием «Секреты супер хакера», серьёзную «Психологию влияния», а для начала - с описанием основных методик. Если у вас нет мощного отдела безопасности, после прочтения предупредите руководителя и проведите простой пентест. Скорее всего вы узнаете много нового о человеческой доверчивости.

Турнир Cyber Readiness Challenge и социальная инженерия

Разумеется, для противостояния угрозе нужно «залезть в голову» атакующему вас злоумышленнику и научиться думать как он. В рамках оффлайного турнира