Примеры социальной инженерии

2.Виды социальной инженерии

Социальная инженерия подразделятся на два основных вида:

  • Социальная инженерия.
  • Обратная социальная инженерия.

У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны. Социальная инженерияможет быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.

Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.

В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать. Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.

Поисковые системы, которые являются основным источником посетителей на сайт, пытаются сделать выдачу по определенному запросу как можно более разнообразной, чтобы получить еще больше посетителей, а, следовательно, денег.

Раньше одна и та же компания создавала от 10 до 50 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.

Почему человек думал, что это разные организации?

Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем. Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.

Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу whois. Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов. Например, для этого домена specialist-seo.ru фирма, скорее всего, называлась бы, ООО «Специалист СЕО».

Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром — «Спрашивайте Вашего персонального менеджера Александра» и т.п.

Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.

Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.

Социальная инженерия очень часто используются в целях повышения уровня доверия посетителя, причем повсеместно.

В интернет основными факторами, позволяющими повысить доверия к сайту являются следующие:

Помимо выше приведённых примеров существует ещё масса других методик и способов.Предположим , у нашей фирмы №1 есть следующее:

  • Три сотовых телефона с прямыми городскими номерами
  • Один домашний адрес
  • Три сайта.

Каким же образом фирма будет получать прибыль от этого?

  • На каждом сайте по whois указываются разные контактные данные, а имя и фамилия владельца скрывается.
  • Сайты находятся на разных хостингах, чтобы обеспечить различные ip адреса.
  • На всех сайтах указаны контакты и телефоны, которые не пересекаются и не повторяются.
  • На каждом сайте уникальное оформление и содержание.

Осталось понять только одно, как фирма, находящаяся в собственной квартире доставляет товары и отправляет заказчиков на склады?

Все очень просто, рассказывать детали не буду. Дам только намек, что есть договоренность с производителями, которые и выполняют всю работу, а задача владельцев сайта, только сообщить, что клиент пришел от них.

Не стоит бояться заказывать через интернет, после прочтения данного текста, Вы просто делаете заказ через посредников, у которых есть определенные скидки, поэтому они могут предлагать товары дешевле, чем производитель, который специально фиксирует цены.

Как защититься от атак

Существует множество способов, которые не позволят вам стать жертвой атак социальной инженерии. Прежде всего, в любой ситуации необходимо сохранять присутствие духа и хладнокровие, а также помнить, что:

  • Запрашивать конфиденциальную информацию по электронной почте незаконно. Если вы получили такое письмо, прежде чем отвечать, проверьте адрес. Если отправитель вам неизвестен, немедленно удалите сообщение.
  • Необходимо повысить уровень настройки фильтров антиспама. Возможность настройки фильтров предоставляют все провайдеры электронной почты.
  • Защита всех операционных устройств – всегда плюс. Не стоит забывать об антивирусных программах для любых платформ, будь то Android, Windows, Mac или Linux. Установка таких программ также помогает защититься от вирусов.
  • Операционную систему рекомендуется обновлять. Практически все ОС время от времени выпускают обновления, устраняющие уязвимости зашиты.

Почему социальная инженерия работает

Суть социальной инженерии в том, что ее атаки всегда происходят в обход критического и аналитического мышления и нацелены прежде всего на эмоциональную сферу. А у многих людей, занимающихся умственной деятельностью (к которым относится и большинство офисных сотрудников), эмоциональные порывы обычно подавляются. Поэтому так результативно бывает воздействие социнженеров. При этом интеллект атакующего может быть значительно ниже, чем у его жертв. Но не к интеллекту, а к эмоциям обращаются методы социальной инженерии. Этим объясняется успех в “разведении лохов” у профессиональных преступников, умственные способности которых часто невелики. Чтобы разум подопытного не “вмешивался” в процесс, его обычно блокируют, перегружая второстепенной фоновой информацией. Для этого мошенники зачастую много тараторят, “забалтывая” клиента.

Козырь злоумышленника — внезапность и искусственно создаваемая атмосфера спешки (а лучше еще и страха). В ситуации, когда решение должно быть принято незамедлительно, некогда проверять сообщенные атакующим сведения, и на принятие решения оказывают влияние не мысли, а чувства. Это может быть желание оказать помощь или побыстрее отделаться от неожиданной проблемы. Сюда же относятся “крючки” страха, желание легкой прибыли или получения какого-то преимущества (но только сейчас!). По этому принципу работают широко известные “представители канадских компаний”: говорят быстро, утверждают, что невероятная скидка действует еще только час-другой и если не купить товар сейчас, то в будущем человек будет жалеть об упущенной выгоде.

На страхе за близких и репутацию основаны сообщения по телефону о том, что муж или ребенок попал в аварию либо задержан правоохранителями. Естественно, срочно нужны деньги для того, чтобы откупиться от составления протокола или для оказания неотложной медпомощи.

Почему социальная инженерия так популярна у кибермошенников? Прежде всего потому, что обычного, неподготовленного к психологической атаке человека “взломать” гораздо проще и дешевле, чем защищенные компьютерные системы, усиленные всевозможными мерами обеспечения безопасности.

Итог вышесказанного печален: там где “работает” социальная инженерия, информационная безопасность оказывается под серьезной угрозой. Есть ли хоть какая-то вероятность ее избежать?

В наше время, когда огромная часть личной и деловой жизни каждого связана с интернетом, в деле противостояния хакерам не стоит уповать только на технические средства. В компаниях следует как можно больше разделять и разграничивать права на доступ к тем или иным элементам корпоративной сети и сведениям, составляющим коммерческую тайну. Лучше, если каждый работник будет иметь доступ только к необходимой ему информации для выполнения служебных обязанностей.

Не менее важно понимание проблемы социальной инженерии и ее высокой опасности для личных и служебных данных. Любой пользователь (а пользователи корпоративных сетей особенно) обязан владеть информацией о том, какие приемы “психологического взлома” могут быть против него использованы и как нужно на них реагировать

Профилирование

Если в предыдущем пункте речь шла больше о массовости, то такой инструмент, как профилирование (составление профиля человека — психологического портрета) — это чисто индивидуально-ориентированный инструмент. Это крайне сложная наука и требует большой квалификации и знаний. Мы с коллегами в профайлинге используем разные технологии профилирования, и я как-нибудь напишу отдельную статью об этом. Как показывает практика, большинство социальных инженеров, к счастью, не очень сильны в данной теме и ищут уязвимости людей другими способами, хотя с точки зрения индивидуального подхода — это самый мощный способ.

Социальная инженерия для начинающих

В последнее время социальная инженерия как наука динамично развивается, позволяя регулировать человеческое поведение и осуществлять контроль, но гораздо дольше она существует как методология атак. Профессионалы в этой области успешно обманывали людей на протяжении нескольких десятилетий, и всегда ставка делалась на человеческий фактор: любопытство, лень, страх. Чтобы не попасться в ловушку мошенников, нужно уметь распознавать основные приемы хакеров и понимать, что сведения, которые появляются в открытом доступе, могут быть использованы против тех, кто ими поделился.

Методы социальной инженерии

Техники и приемы социальной инженерии основаны на ошибках и отклонениях поведения, мышления и восприятия. В основном они перешли в пользование манипуляторов из богатого арсенала спецслужб. Хитрость, игра на слабостях и психологии – все это и многое другое используется для получения от человека необходимой информации. Можно назвать базовые методы социнженерии «на все времена»:

  • спешка, создание дефицита времени, чтобы лишить оппонента времени на размышление и проверку данных;
  • провоцирование и ирония (с то же целью);
  • подозрительность и безразличие (чтобы у оппонента появилось желание оправдываться).

Мошенники, использующие методы СИ, постоянно их совершенствуют. Самая популярная схема обмана на сегодня носит имя фишинг (от англ. «рыбная ловля»). Это практика отправления электронных сообщений с целью выудить необходимые данные. Другие известные техники, которые применяет социальная инженерия: троянский конь (когда эксплуатируются алчность и любопытство объекта), перевоплощение или кви про кво (обманщик выдает себя за другого человека), претекстинг (разговор по подготовленному сценарию).

Примеры социальной инженерии

Приманки

В ходе таких атак преступники используют против своих жертв качества их характера, чаще всего — жадность и желание легкой наживы. Злоумышленник заманивает жертву в ловушку, обещая золотые горы, однако в итоге человек теряет контроль над своими учетными данными или система оказывается инфицированной вредоносным ПО.

Попасть в такую ловушку намного легче, чем кажется на первый взгляд. Приманки могут быть двух видов – физическая приманка и интернет-приманка. В первом случае преступник использует инфицированный флеш-накопитель, оставив его на видном месте. После того, как жертва подключает флешку к офисному или домашнему компьютеру, происходит автоматическая установка вредоносной программы, разрушающей компьютерную систему.

В случае с онлайн-вариантом пользователь загружает вредоносное ПО с интернет-сайта. Чтобы заставить вас загрузить файл, используются разные методы – сообщения электронной почты, фейковый интернет-сайт или рекламные объявления, направляющие на вредоносный сайт.

5.Защита пользователей от социальной инженерии

Нужно не только знать, как нападать, нужно знать и как защищаться

Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии.

Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.

С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.

Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.

Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.

5.1 Антропогенная защита

Простейшими методами антропогенной защиты можно назвать:

  • Привлечение внимания людей к вопросам безопасности.
  • Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
  • Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.

Данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей
не обращает внимания на предупреждения, даже написанные самым заметным шрифтом.

5.2Техническая защита

К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.

Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.

Заключение

Разговор о секретах социальной инженерии можно продолжать бесконечно, но это все равно не защитит вас от злоумышленников и мошенников всех мастей. Среди них нередко попадаются весьма талантливые люди, проворачивающие на редкость изощренные комбинации, перед которым снял бы шляпу и сам Остап Бендер. Поэтому, типовых противодействий социальным инженерам не существует и не может существовать! Каждая ситуация требует индивидуального подхода и всестороннего рассмотрения.

Единственная рекомендация — не допускайте бардака ни у себя дома, ни на работе. Расхлябанность, отсутствие дисциплины, халатность — вот главные дыры в системе безопасности, не компенсируемые ни какими, даже 1024-битными системами шифрования. Помните, что скупой платит дважды. Экономия на собственной безопасности до добра еще никого не доводила.

Список используемой литературы

1) Кевин Митник, Вильям Саймон «Искусство обмана»: Компания АйТи; 2004

2) Крис Касперски «Секретное оружие социальной инженерии»: Компания АйТи; 2005

3) Портал http://socialware.ru/

4) Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.

5) Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.

6) Гришина Н.В. – Организация комплексной защиты информации. – М: Гелиос АРВ, 2007. – 256.

7) Козиол Дж., Личфилд Д., Эйтэл Д., Энли К. и др. Искусство взлома и защиты систем. — СПб/ Питер, 2006. — 416 с: ил.

Социальная инженерия

Считается, что социальная инженерия — самый опасный и разрушительный вид атак на организации. Но к сожалению на конференциях по информационной безопасности этому вопросу практически не отводится внимания.

При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и книги Кевина Митника- Искусство обмана. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

Социальная инженерия в информационной безопасности и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько примеров применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

Давайте определимся с понятиями, чтобы всем было ясно, что я имею в виду.  В статье я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

В данной сфере я буду выступать лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

Что такое социальная инженерия?

Под термином социальная инженерия (СИ) подразумеваются сразу несколько понятий. Первое относится к социологии и обозначает совокупность методов, изменяющих человеческое поведение, обеспечивающих контроль над окружающими, их действиями. Эти подходы ориентированы на изменение организационных структур, так как самым уязвимым местом любой системы является человеческий фактор.

В каком-то роде социальная инженерия – это наука, а в сфере информационной безопасности под термином подразумевается незаконный метод получения информации. На сегодняшний день известными приемами пользуются мошенники, пытаясь добраться до «лакомого куска» – конфиденциальной или ценной информации. В начале 21 века понятие было популяризировано, хотя методы для сбора фактов и манипуляции людьми были известны задолго до века компьютерной эры.

Чем занимается социальная инженерия?

Методология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства). Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия. Конструируя различные ситуации, специалисты в этой области предугадывают возможные ошибки и варианты поведения людей. Деятельность включает в себя такие процедуры, как:

  • анализ объекта деятельности;
  • оценка его состояния в настоящем и будущем;
  • разработка проекта нового состояния объекта;
  • прогнозирование вариантов развития внутренней и внешней среды;
  • реализация плана.

Примеры социальной инженерии

Как наука, социнженерия развивается по нескольким направлениям: занимается строительством социальных институтов (здравоохранения, образования и пр.), формированием региональных и местных сообществ, целевых групп и команд, строительство организаций. Социальную действительность можно изменить, пользуясь методами предвидения и прогнозирования, планирования и программирования.

Методы социальной инженерии

В качестве основных методов социальной инженерии принято выделять следующие. Во-первых, это претекстинг. Он представляет собой набор отработанных по заранее разработанному сценарию действий. В результате некоторых манипуляций жертва сама выдает всю необходимую мошеннику информацию или же совершает действие, которое от нее требует исполнитель. Наиболее часто данный вид атаки встречается в голосовых средствах. Например, шантаж или вымогательства через Skype, мобильный или стационарный телефон.

Второй метод социальной инженерии – фишинг. Это одна из наиболее распространенных тактик интернет-мошенничества, которая направлена на получение личной информации пользователей какой-либо систем. Сейчас наиболее популярен фишинг социальных сетей, где мошенники собирают личную информацию пользователей, а также имеют возможность проникнуть в систему личных сообщений, шантажировать друзей и родственников жертвы, вымогать деньги, притворяясь самим пользователем.

Замечание 1

Также одним из видов фишинговых атак является поддельное сообщение (письмо), которое рассылается жертвам в виде платежных чеков или как официальное письмо от банка с требованием ввода персональных данных (пин-кодов от кредитных карт, логина и пароля от личного кабинета в банковской системе).

Зачастую в качестве мотивации для человека служит некоторая степень психологического давления со стороны мошенника: ему грозят заблокировать аккаунт, сломать систему, взломать социальные сети и распространить личную информацию на всеобщее обозрение.

Как работают социальные инженеры?

В фильме «Поймай меня, если сможешь», снятом по одноименной книге, рассказывается о событиях из жизни реального человека, Фрэнка Абигнейла. Сейчас он является экспертом по документарной безопасности, но в середине ХХ века Абигнейл подделывал чеки и в течение пяти лет виртуозно скрывался от полиции, легко перевоплощаясь в разных людей от пилота до врача. Такое поведение, уловки и тонкая психологическая игра – яркий пример социальной инженерии.

Если для достижения своих целей Фрэнку Абигнейлу приходилось лично контактировать с людьми, используя психологические уловки и актерское мастерство, то сегодня злоумышленники добывают информацию дистанционно, с помощью Интернета и сотовой связи. На уловки хакеров попадаются и обыкновенные компьютерные пользователи, и работники крупных компаний, хорошо разбирающиеся в вопросах информационной безопасности. Главная опасность состоит в том, что жертва сообщает необходимую информацию добровольно, даже не подозревая о том, что своими действиями помогает преступнику.

Манипулирование мыслями и действиями становится возможным из-за когнитивных искажений – отклонений в нашем восприятии, мышлении и поведении. Эти ошибки могут быть вызваны стереотипами, эмоциональным или моральным состоянием, влиянием социума, отклонениями в работе головного мозга. Под воздействием одного или нескольких факторов происходит сбой на этапе анализа полученной информации, в результате чего мы можем составить нелогичное суждение, неправильно интерпретировать события или предпринять иррациональные действия. Зная о таких особенностях работы человеческого мышления, социальные инженеры создают ситуации, в которых жертва наверняка совершит нужное действие, и, как показывает практика, когнитивные искажения оказываются сильнее нас.