Инженерия человека. Учебник по социальной инженерии

Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Если рассматривать современную профессиональную социальную инженерию, то область её применения вполне законна - например, она помогает достичь изначально недостижимый результат, или «программировать» для совершения позитивных и полезных действий конкретного человека или группу людей. Конечно, сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации или информации, которая представляет большую ценность. Но современные соц-инженеры используют свои навыки для повышения результатов в бизнесе и жизни [ ] . Техники Все техники социальной инженерии основаны на когнитивных искажениях . Эти ошибки в поведении используются социальными инженерами для создания атак, направленных на получение конфиденциальной информации, часто с согласия жертвы. [ ] Так, одним из простых примеров является ситуация, в которой некий человек входит в здание компании и вешает на информационном бюро объявление, выглядящее как официальное, с информацией об изменении телефона справочной службы интернет-провайдера. Когда сотрудники компании звонят по этому номеру, злоумышленник может запрашивать личные пароли и идентификаторы для получения доступа к конфиденциальной информации. [ ] Фишинг Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание) - это вид интернет-мошенничества , целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям . Это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо - от банка или платёжной системы - требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию. Популярные фишинговые схемы Ниже описываются самые популярные фишинговые схемы мошенничества. Несуществующие ссылки Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква «l» заменена на «i». Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных кредитной карты эта информация сразу направляется к злоумышленнику. Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учётная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчётам экспертов, убытки от этой аферы составили менее миллиона долларов (несколько сотен тысяч) . Мошенничество с использованием брендов известных корпораций В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учётные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону . Подложные лотереи Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации . Ложные антивирусы и программы для обеспечения безопасности IVR или телефонный фишинг Телефонный фрикинг Телефонный фрикинг (англ. phreaking) - термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию США, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть. Претекстинг Претекстинг (англ. pretexting) - атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту. Квид про кво «Дорожное яблоко» Этот метод атаки представляет собой адаптацию троянского коня , и состоит в использовании физических носителей . Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника . Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить , снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство. Сбор информации из открытых источников Применение техник социальной инженерии требует не только знания психологии , но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей . К примеру, такие сайты как livejournal , «Одноклассники », «ВКонтакте », содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником. Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети . Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадёт в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения - её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от жертвы. Тем самым исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями. Плечевой серфинг Плечевой серфинг (англ. shoulder surfing ) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте. Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника. Известные социальные инженеры Братья Бадир Несмотря на то, что братья Бадир, Мушид и Шади Бадир, были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны [неизвестный термин ] провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи . Архангел Вложения в документы. Гиперссылки в документах. Запросы личной или корпоративной информации, исходящие изнутри компании. Запросы личной или корпоративной информации, исходящие из-за пределов компании. Угрозы, связанные с использованием службы мгновенного обмена сообщениями Мгновенный обмен сообщениями - сравнительно новый способ передачи данных, однако он уже приобрёл широкую популярность среди корпоративных пользователей. Из-за быстроты и лёгкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями - это ещё и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями - это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки. Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надёжного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований. [ ] Выбрать одну платформу для мгновенного обмена сообщениями. Определить параметры защиты, задаваемые при развёртывании службы мгновенного обмена сообщениями. Определить принципы установления новых контактов Задать стандарты выбора паролей Составить рекомендации по использованию службы мгновенного обмена сообщениями. Основные защитные методы Специалисты по социальной инженерии выделяют следующие основные защитные методы для организаций: разработка продуманной политики классификации данных, учитывающей те кажущиеся безвредными типы данных, которые могут привести к получению важной информации; обеспечение защиты информации о клиентах с помощью шифрования данных или использования управления доступом; обучение сотрудников навыкам для распознавания социального инженера, проявлениям подозрения при общении с людьми, которых они не знают лично; запрет персоналу на обмен паролями либо использование общего; запрет на предоставление информации из отдела с секретами кому-либо, не так знакомому лично или не подтверждённому каким-либо способом; использование особых процедур подтверждения для всех, кто запрашивает доступ к конфиденциальной информации; Многоуровневая модель обеспечения безопасности Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем. Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены. Данные. Деловая информация: учётные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных. Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения. Компьютеры. Серверы и клиентские системы, используемые в организации. Защита пользователей от прямых атак на их компьютеры, путём определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах. Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удалённой работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде. Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Социальная инженерия

Социальная инженерия - это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств . Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей , данных о кредитных картах и т.п. Основным отличием от простого взлома является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

История

Несмотря на то, что понятие «социальная инженерия» появилось относительно недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны. В начале 70-х годов, в период расцвета фрикинга , некоторые телефонные хулиганы названивали операторам связи и пытались выведать конфиденциальную информацию у технического персонала компаний. После различных экспериментов с уловками, к концу 70-х фрикеры настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели.

Принципы и техники социальной инженерии

Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные (см. также Когнитивность) предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.

Техники социальной инженерии

Претекстинг

Претекстинг - это набор действий, проведенный по определенному, заранее готовому сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя цель совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных о объекте атаки (например, персональных данных: даты рождения, номера телефона, номеров счетов и др.) Самая распространенная стратегия - использование поначалу небольших запросов и упоминание имен реальных людей в организации. В дальнейшем, в процессе разговора, злоумышленник объясняет, что он нуждаются в помощи (большинство людей могут и готовы исполнить задачи, которые не воспринимаются как подозрительные). Как только доверительная связь установлена, мошенник может попросить что-то более существенное и важное.

Фишинг

Пример фишингового письма, отправленного от почтового сервиса, запрашивающего «реактивацию счета»

Фишинг (англ. phishing, от fishing - рыбная ловля, выуживание) - это вид интернет-мошенничества , целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям . Пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, следующих за ней. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте,и подделанное под официальное письмо - от банка или платёжной системы - требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию.

Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокированна, и для ее разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. По подсчетам экспертов убытки от этой аферы составили несколько сотен тысяч долларов

Как распознать фишинг-атаку

Практически каждый день появляются новые схемы мошенничества. Большинство людей может самостоятельно научиться распознавать мошеннические сообщения, познакомившись с их некоторыми отличительными признаками. Чаще всего Фишинговые сообщения содержат:

• cведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов.
• обещания огромного денежного приза с минимальными усилиями или вовсе без них.
• запросы о добровольных пожертвованиях от лица благотворительных организаций.
• грамматические, пунктуационные и орфографические ошибки.

Популярные фишинговые схемы

Ниже описываются самые популярные фишинговые схемы мошенничества.

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление о победе в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.

Ложные антивирусы и программы для обеспечения безопасности

IVR или телефонный фишинг

Принцип действия IVR систем

Кви про кво

Кви про кво(от лат. Quid pro quo - «то за это»)- это аббревиатура, обычно используемая в английском языке в значении "услуга за услугу". Данный вид атаки подразумевает звонок злоумышленника в компанию по корпоративному телефону. В большинстве случаев злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. В процессе "решения" технических проблем, мошенник "заставляет" цель вводить команды, которые позволяют хакеру запустить или установить вредоносное программное обеспечение на машину пользователя.

Троянский конь

Иногда использование троянов является лишь частью спланированной многоступенчатой атаки на определенные компьютеры, сети или ресурсы.

Типы троянских программ

Троянские программы чаще всего разрабатываются для вредоносных целей. Существует классификация, где они разбиваются на категории, основанные на том, как трояны внедряются в систему и наносят ей вред. Существует 5 основных типов :

• удалённый доступ
• уничтожение данных
• загрузчик
• сервер
• дезактиватор программ безопасности

Цели

Целью троянской программы может быть :

• закачивание и скачивание файлов
• копирование ложных ссылок, ведущих на поддельные вебсайты, чаты или другие сайты с регистрацией
• создание помех работе пользователя
• похищение данных, представляющих ценность или тайну, в том числе информации для аутентификации , для несанкционированного доступа к ресурсам, выуживание деталей касательно банковских счетов, которые могут быть использованы в преступных целях
• распространение других вредоносных программ, таких как вирусы
• уничтожение данных (стирание или переписывание данных на диске, труднозамечаемые повреждения файлов) и оборудования, выведения из строя или отказа обслуживания компьютерных систем, сетей
• сбор адресов электронной почты и использование их для рассылки спама
• шпионство за пользователем и тайное сообщение третьим лицам сведений, таких как, например, привычка посещения сайтов
• регистрация нажатий клавиш с целю кражи информации такого рода как пароли и номера кредитных карточек
• дезактивация или создание помех работе антивирусных программ и файрвола

Маскировка

Многие троянские программы находятся на компьютерах пользователей без его ведома. Иногда трояны прописываются в Реестре, что приводит к их автоматическому запуску при старте операционной системы. Также трояны могут комбинироваться с легитимными файлами. Когда пользователь открывает такой файл или запускает приложение, вмести с ним запускается и троян.

Принцип действия трояна

Трояны обычно состоят из двух частей: Клиент и Сервер. Сервер запускается на машине-жертве и следит за соединениями от Клиента. Пока Сервер запущен, он отслеживает порт или несколько портов в поиске соединения от Клиента. Для того, чтобы атакующая сторона подсоединилась к Серверу, она должна знать IP-адрес машины, на которой он запущен. Некоторые трояны отправляют IP-адрес машины-жертвы атакующей стороне по электронной почте или каким-либо другим способом. Как только происходит соединение с Сервером, Клиент может отправлять на него команды, которые Сервер будет исполнять. В настоящее время, благодаря NAT-технологии, получить доступ к большинству компьютеров через их внешний IP-адрес невозможно. Поэтому сегодня многие трояны соединяются с компьютером атакующей стороны, отвечающий за прием соединений соединений, вместо того, чтобы атакующая сторона сама пыталась соединиться с жертвой. Многие современные трояны также могут беспрепятственно обходить файрволы на компьютерах пользователей.

Сбор информации из открытых источников

Применение техник социальной инженерии требует не только знания психологии , но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей .К примеру, такие сайты, как livejournal , «Одноклассники », «Вконтакте », содержат огромное количество данных, которые люди и не пытаются скрыть.Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.

Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал «жертву» и создал фальшивый аккаунт человека из ее окружения - ее начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часа исследователь добился добавления в друзья от «жертвы». Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.

Дорожное яблоко

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей . Злоумышленник подбрасывает "инфицированный" , или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство. Например, мошенник может подбросить , снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью "Заработная плата руководящего состава". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Обратная социальная инженерия

Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.

Известные социальные инженеры

Кевин Митник

Кевин Митник. Всемирно известный хакер и консультант по безопасности

Одним из самых именитых социальных инженеров в истории является Кевин Митник . Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2002 году выходит книга "The Art of Deception" под его авторством, повествующая о реальных историях применения социальной инженерии. Кевин Митник утверждал, что намного проще получить пароль путем обмана, нежели пытаться взломать систему безопасности

Братья Бадир

Несмотря на то, что братья Мундир, Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи.

Архангел

Обложка журнала "Phrack"

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернет-журнале "Phrack Magazine" , Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

Способы защиты от социальной инженерии

Для проведения своих атак, злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак, нужно изучить их разновидности, понять что нужно злоумышленнику и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

Классификация угроз

Угрозы, связанные с электронной почтой

Многие сотрудники ежедневно получают через корпоративные и частные почтовые системы десятки и даже сотни электронных писем. Разумеется, при таком потоке корреспонденции невозможно уделить должное внимание каждому письму. Это значительно облегчает проведение атак. Большинство пользователей систем электронной почты спокойно относятся к обработке таких сообщений, воспринимая эту работу как электронный аналог перекладывания бумаг из одной папки в другую. Когда злоумышленник присылает по почте простой запрос, его жертва часто выполняет то, о чем ее просят, не задумываясь о своих действиях. Электронные письма могут содержать гиперссылки, склоняющие сотрудников к нарушению защиты корпоративной среды. Такие ссылки не всегда ведут на заявленные страницы.

Большинство мер по обеспечению безопасности направлены на предотвращение доступа неавторизованных пользователей к корпоративным ресурсам. Если, щелкнув присланную злоумышленником гиперссылку, пользователь загрузит в корпоративную сеть троянскую программу или вирус, это позволит легко обойти многие виды защиты. Гиперссылка может также указывать на узел с всплывающими приложениями, запрашивающими данные или предлагающими помощь.Как и в случае с другими разновидностями мошенничества, самым эффективным способом защиты от атак злоумышленников является скептическое отношение к любым неожиданным входящим письмам. Для распространения этого подхода в организации в политику безопасности следует включить конкретные принципы использования электронной почты, охватывающие перечисленные ниже элементы.

• Вложения в документы.
• Гиперссылки в документах.
• Запросы личной или корпоративной информации, исходящие изнутри компании.
• Запросы личной или корпоративной информации, исходящие из-за пределов компании.

Угрозы, связанные с использованием службы мгновенного обмена сообщениями

Мгновенный обмен сообщениями - сравнительно новый способ передачи данных, однако он уже приобрел широкую популярность среди корпоративных пользователей. Из-за быстроты и легкости использования этот способ коммуникации открывает широкие возможности для проведения различных атак: пользователи относятся к нему как к телефонной связи и не связывают с потенциальными программными угрозами. Двумя основными видами атак, основанными на использовании службы мгновенного обмена сообщениями, являются указание в теле сообщения ссылки на вредоносную программу и доставка самой программы. Конечно, мгновенный обмен сообщениями - это еще и один из способов запроса информации. Одна из особенностей служб мгновенного обмена сообщениями - это неформальный характер общения. В сочетании с возможностью присваивать себе любые имена, этот фактор позволяет злоумышленнику гораздо легче выдавать себя за другого человека и значительно повышает его шансы на успешное проведение атаки.Если компания намерена использовать возможности сокращения расходов и другие преимущества, обеспечиваемые мгновенным обменом сообщениями, необходимо предусмотреть в корпоративных политиках безопасности механизмы защиты от соответствующих угроз. Для получения надежного контроля над мгновенным обменом сообщениями в корпоративной среде следует выполнить несколько требований.

• Выбрать одну платформу для мгновенного обмена сообщениями.
• Определить параметры защиты, задаваемые при развертывании службы мгновенного обмена сообщениями.
• Определить принципы установления новых контактов
• Задать стандарты выбора паролей
• Составить рекомендации по использованию службы мгновенного обмена сообщениями.

Многоуровневая модель обеспечения безопасности

Для защиты крупных компаний и их сотрудников от мошенников, использующих техники социальной инженерии, часто применяются комплексные многоуровневые системы безопасности. Ниже перечислены некоторые особенности и обязанности таких систем.

• Физическая безопасность. Барьеры, ограничивающие доступ в здания компании и к корпоративным ресурсам. Не стоит забывать, что ресурсы компании, например, мусорные контейнеры, расположенные вне территории компании, физически не защищены.
• Данные. Деловая информация: учетные записи, почтовая корреспонденция и т. д. При анализе угроз и планировании мер по защите данных нужно определить принципы обращения с бумажными и электронными носителями данных.
• Приложения. Программы, запускаемые пользователями. Для защиты среды необходимо учесть, как злоумышленники могут использовать в своих целях почтовые программы, службы мгновенной передачи сообщений и другие приложения.
• Компьютеры. Серверы и клиентские системы, используемые в организации. Защитита пользователей от прямых атак на их компьютеры, путем определения строгих принципов, указывающих, какие программы можно использовать на корпоративных компьютерах.
• Внутренняя сеть. Сеть, посредством которой взаимодействуют корпоративные системы. Она может быть локальной, глобальной или беспроводной. В последние годы из-за роста популярности методов удаленной работы, границы внутренних сетей стали во многом условными. Сотрудникам компании нужно разъяснить, что они должны делать для организации безопасной работы в любой сетевой среде.
• Периметр сети. Граница между внутренними сетями компании и внешними, такими как Интернет или сети партнерских организаций.

Ответственность

Претекстинг и запись телефонных разговоров

Hewlett-Packard

Патриция Данн, президент корпорации Hewlett Packard, сообщила, что наняла частную компанию с целью выявить тех сотрудников компании, кто был ответственен за утечку конфиденциальной информации. Позже глава корпорации признала, что в процессе исследования использовалась практика претекстинга и других техник социальной инженерии

Примечания

См. также

Ссылки

• SocialWare.ru – Приватный проект по социальной инженерии

Обычно социальной инженерией называют комплекс приемов, направленных на то, чтобы человек повёл себя определенным образом, так как нужно кому-то, например, отдал деньги, предоставил секретную информацию или что-то подписал. Для того, чтобы это сделать, обычно необходимо изучить человеческий фактор, реакции людей на просьбы, жалобы, источники стресса и прочее. Зная установки и реакции большинства людей, несложно добиться от них определённых поступков.

Как социальная инженерия связана с мошенничеством и как её используют для добычи запретной информации.

Рассмотрим социальную инженерию с этих двух точек зрения. Возможно, вы заметили, что во время экономического мошенники всегда особенно активируются. В наш век технологий, они становятся всё более подготовленными и обученными. На их службе психология, соц инженерия, ИТ технологии и многие другие специальные знания, которые помогают управлять действиями людей. Все их трюки изучать, конечно, не хватит времени, но основным принципам уловок и технологий, которые они используют, всё же уделить внимание полезно, чтобы не попасть в расставленные сети.

Какие люди чаще всего становятся ? Как быть жертвой людей и обстоятельств? ? Как на нас ? Об этом и не только, мы уже писали на нашем сайте. Сейчас вкратце об особой науке — знания из которой используют «продвинутые» мошенники — социальные инженеры.

Социальная инженерия как наука.

Социальная инженерия — это достаточно молодая наука, которая включает в себя знания психологии людей и их поведения в критических ситуациях. Социальную инженерию также можно назвать «копилкой человеческих ошибок», так как эта наука вбирает в себя всё, что связано с человеческим фактором и его использованием.

Такие знания позволяют предугадывать возможные варианты поведения человека и конструировать различные ситуации с целью его выведения на определенную реакцию. Спровоцированная мошенником — социальным инженером — реакция приводит человека к тем действиям, которые изначально и были целью мошенника. Что может быть его целью? Конечно же, выведать информацию или проникнуть на чужую территорию или просто получить ваши деньги. В связи с этим социальных инженеров, еще называют социальными хакерами.

Что за личность, этот социальный инженер?

Это личность обладающая и умело использующая знания из социальной инженерии. Это «психолог» (не профессионал, конечно), учитывающий комплексы, слабости, предрассудки, привычки, рефлексы и т.д. людей.

Кевин Митник, который раньше был социальным хакером, а сейчас консультирует по вопросам безопасности, высказался, что гораздо проще выманить нужную информацию с помощью уловок, чем придумывать различные программы по взлому.

Как защититься от «социальных хакеров»?

Это бывает очень сложно, практически невозможно, если о них ничего не знать. И, даже зная их уловки, можно попасть на удочку, ведь это знатоки ваших спонтанных реакций, рефлексов, автоматизмов и так далее. Будьте осторожны!

Так, совсем недавно, в январе этого года, интернет буквально пестрел такими новостями:

Расчет хакеров был прост — получатели рассылки выполнят просьбу мошенников от имени руководства, дабы избежать от этого руководства выговора. Так и вышло. Согласно инструкции социальных хакеров банковские служащие бельгийского банка Crelan совершили необходимые мошенникам действия без дополнительных проверок. Сообщение от хакеров на электронную почту содержало просьбу о срочном завершении транзакции. Выглядело оно достаточно правдоподобно, так как преступники использовали копии логотипов компаний и известных доменов.

Психологи проводили подобные эксперименты и до ситуации с бельгийским банком. Так исследователи из Англии отправили сотрудникам крупной корпорации сообщения от имени системного администратора их компании. Сообщение содержало просьбу отправить пароли, в связи с плановой проверкой оборудования. Результат был печальным — большая часть сотрудников (75 %) выполнила инструкции злоумышленников.

Как видим, человеческие действия достаточно легко программируются. Причем, попадаться на удочку мошенников могут вполне умные, образованные и высоко интеллектуальные люди. Ничего странного здесь нет, если учесть, что есть другие люди, изучающие поступки, автоматизмы, реакции всяких разных людей. В том числе и очень умных.

ПРИМЕРЫ использования методов социальной инженерии

Один социальный инженер описывает как он пробрался в место с закрытым доступом используя стереотипы мышления людей. Охранники ведь, тоже люди! Этот человек (социальный инженер) понаблюдал, какие бейджи у сотрудников нужной ему компании, сделал себе такой же, распечатав на компьютере и пошёл через задний ход вместе с сотрудниками заведения.

Конечно, у него не было чипа от дверей, но он применил метод «паровозик». Суть его проста. Когда перед дверью накапливается кучка людей, она до конца не закрывается и идущие впереди придерживают дверь для тех, кто следуют за ним. Обычная вежливость. Ведь они по бейджу видят, что это тоже сотрудник. Охранники видят кучку людей с одинаковыми бейджами и не обращают на них особого внимания. Причём на стене крупными буквами висит даже не объявление, а плакат, предупреждающий, что каждый должен проходить по одному. Нельзя придерживать дверь идущему позади в целях общей безопасности! Но, разве компания знакомых будет это делать? Кто из этой компании скажет одному из людей: «А вы, пожалуйста, выйдите, и зайдите снова со своим ключом (чипом), потому, что я вас не знаю». Вероятность этого очень мала. Но делать нужно именно так.

Вот и выходит, что сотрудники с завидным постоянством нарушают требования безопасности, а аферисты, с тем же постоянством используют вышеописанные автоматизмы. Люди идущие на поводу аферистов, будут всегда, сколько бы их не предупреждали и не учили. Социальные инженеры хорошо это знают и поэтому сильно не заморачиваются, какой трюк придумать. Они с просто пользуются одними и теми же методами. Ведь и автоматизмы у людей особо не меняются, на то они и автоматизмы. Будьте оригинальным. Не мыслите стереотипно! Всегда с осторожностью относитесь к неожиданным или пугающим сообщениям. Обращайте внимание на предупреждающие объявления.

Наиболее используемые приемы социальных инженеров основаны на таких человеческих слабостях, как жалость, страх и желание быстро обогатиться. Если говорить о жалости, то хакеры используют эту черту людей самыми разными способами. Например, отправляют сообщения по телефону или через соцсети с просьбой о помощи от имени ваших друзей или родственников.

Основные методы и приёмы социальных инженеров/ социальный инжиниринг

Все методы социальной инженерии основаны на человеческом факторе, то есть на особенностях психике людей: поддаваться панике, одинаково реагировать в определённых обстоятельствах, терять бдительность, уставать, сочувствовать, испытывать страх и многое другое. Для примера приведём лишь некоторые приёмы, а вы постарайтесь самостоятельно определить, какую особенность психики использовал здесь социальный инженер:

1. 1. Один из сюжетов может быть такой: друг оказался за городом, сам сейчас позвонить не может — серьезная проблема, срочно нужны деньги. Просит выслать на счет или номер банковской карты. Пусть положительно отреагируют далеко не все, а только какой-то процент респондентов, хакер знает, что так будет. Это его не заботит, ведь запрограммированные им сообщения отправляет машина. Находятся те, кто срочно помогают, не проверяя откуда эти смс. Ведь друг в беде.. А в связи со срочностью многие и не проверяют источник.
   2. С этим же расчетом некоторое время назад многим женщинам отправлялись смс от сына, который попал в беду. Сам он, конечно, перезвонить не может, пока мама не пришлет денег для решения этой проблемы. И мамы присылали, неизвестно куда и кому. Ничего не перепроверяя (так сын просил).
   3. Также, от имени друзей выманивают личную информацию, рассылают вредоносные ссылки с комментариями. Например: «привет, хочешь посмеяться? Пройди по этой ссылке и ты сможешь прослушать любой интересующий тебя телефонный разговор (или смс-переписку)». Или что-то в этом роде, главное чтобы вы нажали на ссылку.

Есть в арсенале социальных инженеров и вариант, когда они «работают» под покупателя. Многие пользователи выставляют на продажу свои вещи, например на Авито. Такой «покупатель» ищет что подороже (автомобили, дома и т.п), связывается с настоящим продавцом и заявляет о своем желании купить вашу не дешевую вещь. Конечно, продавец рад. Надо же, как быстро, не успел выставить, как все продалось. В уме уже подсчитывает доход. Правда, покупатель с огорчением сообщает, что заехать сможет за вещью только через два или три дня. Ну, а чтобы вы не продали кому-то другому эту ценную вещь, он просит снять с Авито объявление и для гарантии готов прямо сегодня оплатить половину или даже 75% стоимости. «Конечно!»,- думаете вы, — «С удовольствием! Пусть платит!». «Покупатель» спрашивает на какую карту, он мог бы перевести вам деньги. И вы сообщаете этому незнакомцу все данные карты. Только вместо приобретения его денег, вы теряете все свои сбережения. Также он может попросить, сообщить ему код, который придет вам на телефон.

Если говорить о о такой черте, как желание быстро и без особых усилий разбогатеть, то это такой порок, используя который социальные инженеры могут еще очень долгое время изобретать и изобретать. Ведь люди сами ищут этих «приключений» и, даже, готовы наступать на одни и те же грабли. Поэтому и продолжают аферисты изображать: то известный бренд, дарящий сумасшедшие подарки; то компанию обещающую заманчивые скидки; то банк предлагающий взять кредит с мизерным процентом; то работодателя, который поможет легко заработать интернете или другом месте… Только, чтобы получить что-либо из этого, нужно сначала сообщить данные карты… Ведь, должен же новоявленный работодатель или добрый банк куда-то перечислить вам деньги… Сообщили данные карты незнакомому лицу, можете распрощаться с её содержимым.

Почему об этом нужно знать?

В последнее время интерес к социальной инженерии становится очень высоким. Это видно из популярности данного запроса в интернет. Значит, количество хакеров и спрос на программы по защите от их атак, будет только расти. Да и не только хакеры, аферисты любого толка используют методы социальной инженерии в своих целях.

Чтобы быть информированными, значит вооруженными, можете прочитать литературу по этой теме:

Социальная инженерия и социальные хакеры». Максим Кузнецов, Игорь Симдянов.

Будьте осторожными! Не позволяйте себя обманывать.

Социальная инженерия использует знания психологии и человеческого фактора. Будьте предельно осторожны, социальные хакеры знают вас очень хорошо.

Еще интересно было бы узнать, знали ли вы о социальной инженерии и хитрых приемах используемых теми людьми, которые за ней стоят?

С уважением, сайт Если хотите получать новые статьи, подпишитесь на нашу рассылку.

Социальная инженерия – способ получения доступа к конфидециальной информации, паролям, банковским и другим защищенным данным и системам.
Киберпреступники используют социальную инженерию для проведения таргетированных атак (атаки на инфраструктуру компаний или государственных структур). Они заранее тщательно изучают средства защиты этой организации.

Публикация данной статьи на портале www.. Ни редакция сайта, ни автор статьи не несут ответственности за ненадлежащее использование полученной из статьи информации!

Социальная инженерия

Считается, что социальная инженерия - самый опасный и разрушительный вид атак на организации. Но к сожалению на конференциях по информационной безопасности этому вопросу практически не отводится внимания.

При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и книги . Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

Социальная инженерия в информационной безопасности и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько примеров применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

Давайте определимся с понятиями, чтобы всем было ясно, что я имею в виду. В статье я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с , мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине - это не социальная инженерия.

В данной сфере я буду выступать лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, - это отслеживание пользователя счетчиком «Яндекс.Метрики».

Примеры социальной инженерии

Наверняка вы слышали про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео - это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

Верифицированный отправитель

Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше - наш текст и ссылка. Сообщение от сервиса будет в самом низу.

Как это превратить в оружие массового поражения?

Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки - нужно было только немного автоматизировать заполнение формы.

Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов.

А вот «тренд» апреля 2018-го.

Письма с Google Analytics

Расскажу о совсем новом случае - за апрель 2018 года. С почты Google Analytics на несколько моих адресов начал приходить спам. Немного разобравшись, я нашел способ, которым его отправляют.

Примеры социальной инженерии. Метод «Верифицированный отправитель»

«Как это применить?» - подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст.

Примеры социальной инженерии. Метод «Верифицированный отправитель»
Примеры социальной инженерии. Метод «Верифицированный отправитель»

Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов.

Любопытство

Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют.

Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов.

Фейковая подписка на рассылку

А что это там написано?

Чтобы заманить людей с какого-нибудь форума или сайта с открытыми комментариями, не нужно выдумывать заманчивые тексты - достаточно всего лишь запостить картинку. Просто выберите что-нибудь попривлекательнее (какой-нибудь мем) и ужмите так, чтобы различить текст было невозможно. Любопытство неизменно заставляет пользователей кликать по картинке. Я в своих исследованиях провел эксперимент и получил таким примитивным способом около 10k переходов. Этим же способом злоумышлении когда-то доставляли трояны через ЖЖ (живой журнал).

Как вас зовут?

Заставить пользователя открыть файл или даже документ с макросом не так сложно, даже несмотря на то, что многие слышали о подстерегающих опасностях. При массовой рассылке даже просто знание имени человека серьезно повышает шансы на успех.

Например, мы можем отправить письмо с текстом «Этот email еще активен?» или «Напишите, пожалуйста, адрес вашего сайта». В ответе как минимум в 10–20% случаев придет имя отправителя (чаще это встречается в крупных компаниях). А через какое-то время пишем «Алёна, здравствуйте. Что такое с вашим сайтом (фото приложил)?» Или «Борис, добрый день. Никак не разберусь с прайсом. Мне 24-я позиция нужна. Прайс прикладываю». Ну а в прайсе - банальная фраза «Для просмотра содержимого включите макросы…», со всеми вытекающими последствиями.

В общем, персонально адресованные сообщения открываются и обрабатываются на порядок чаще.

Массовая разведка

Этот сценарий - не столько атака, сколько подготовка к ней. Предположим, мы хотим узнать имя какого-то из важных сотрудников - например, бухгалтера или руководителя службы безопасности. Это несложно сделать, если отправить кому-то из сотрудников, которые могут обладать этой информацией, письмо следующего содержания: «Подскажите, пожалуйста, отчество директора и график работы офиса. Нужно отправить курьера».

Время работы спрашиваем, чтобы замылить глаза, а спрашивать отчество - это трюк, который позволяет не выдавать, что мы не знаем имени и фамилии. И то и другое, скорее всего, будет содержаться в ответе жертвы: ФИО чаще всего пишут целиком. Мне в ходе исследования удалось таким образом собрать ФИО более чем двух тысяч директоров.

Если нужно узнать почту начальства, то можно смело писать секретарю: «Здравствуйте. Давно не общался с Андреем Борисовичем, его адрес еще рабочий? А то ответ не получил от него. Роман Геннадьевич». Секретарь видит email, выдуманный на основе настоящих ФИО директора и содержащий сайт компании, и дает настоящий адрес Андрея Борисовича.

Приемы социальной инженерии Человеческий мозг — это большой винчестер, хранилище огромного количества информации. И воспользоваться этой информацией может как владелец, так и любой другой человек. Как говорится, болтун находка для шпиона. Чтобы вы в дальнейшем поняли смысл нижесказанного, вы как минимум должны быть знакомы с азами психологии.
Социальная инженерия позволяет нам «воспользоваться мозгом» другого человека, прибегая к различным способам, и получить от него нужную информацию.
Вики гласит: «Социальная инженерия - это метод управления действиями человека без использования технических средств»

Социальная инженерия — это своеобразная молодая наука. Существует множество методов и приемов манипулирования сознанием человека. Кевин Митник был прав, говоря, что иногда проще обмануть и получить информацию, чем взломать доступ к ней. Почитайте книгу «Искусство обмана» на досуге, вам понравится.
Существует обратная социальная инженерия , которая направлена на получение данных от самой жертвы. При помощи нее, жертва сама рассказывает о своих паролях и данных.

В интернете нет жестов, интонации, мимики. Все общение построено на текстовых сообщениях. И от того, как повлияют ваши сообщения на собеседника, зависит ваш успех в той или иной ситуации. Какими же приемами можно воспользоваться, дабы скрыто манипулировать сознанием человека?

Провоцирование
Собственно говоря, это и есть троллинг. Выводя человека из себя, он в большинстве случаев некритично относится к информации. В этом состоянии можно навязать или получить нужную информацию.

Влюбленность
Пожалуй, это самый эффективный прием. В большинстве случаев именно его я и применял)). В влюбленном состоянии человек мало чего воспринимает, а манипулятору как раз это и нужно.

Безразличие
Создается эффект безразличия манипулятора к определенной теме, а собеседник в свою очередь старается его переубедить, чем самым попадается в капкан и раскрывает нужную вам информацию.

Спешка
Часто возникают ситуации, когда манипулятор, якобы, спешит куда-то и постоянно намекает на это, но при этом он целеустремленно продвигает нужную ему информацию.

Подозрительность
Прием подозрительности чем-то схож с приемом безразличия. В первом случае жертва доказывает обратное, во втором — жертва пытается оправдать «свою подозрительность», тем самым не понимая, что выдает всю информацию.

Ирония
Сходна с приемом провоцирования. Манипулятор ирониет выводит человека из себя. Тот в свою очередь в гневе не способен критически оценивать информацию. В итоге в психологическом барьере образуется дыра, которой и пользуется манипулятор.

Откровенность
Когда манипулятор рассказывает собеседнику откровенную информацию, у собеседника возникают некие доверительные отношения, что подразумевает ослабление защитного барьера. Это и создает брешь в психологической обороне.

Описанные выше приемы не до конца исчерпывают весь потенциал социальной инженерии. Об этих приемах и методах можно рассказывать и рассказывать. Прочитав эти приемы, вы должны осознать, что не нужно идти на поводу у всех и вся. Научитесь контролировать себя и свой гнев и тогда ваша защита будет всегда на должном уровне.
Наш продолжается. Ждите новых статей))