Социальная инженерия: как это работает

Что общего у продвинутых сетевых взломщиков и обыкновенных мошенников, которые подстерегают доверчивых жертв на улицах? И те и другие широко используют социальную инженерию. Хотя многие из них даже не знают такого термина.

Социальная инженерия — это способ получить необходимую информацию, используя психологию людей, в частности, слабость человеческого фактора. Дело в том, что реакции homo sapiens во многом предсказуемы. Зная об этом, можно программировать поведение как отдельного человека, так и группы.

Примеры социальной инженерии можно встретить и в интернете, и в обычной жизни. Ее используют в ходе маркетинговых и предвыборных кампаний, для чего предварительно собираются терабайты информации о предпочтениях и привычках людей. Ведь зная типичные схемы поведения и пристрастия можно таргетированно размещать рекламу, побуждающую человека к совершению покупки, заказа или голосованию за того или иного кандидата. Подобная практика может не всем нравиться, но в случае легального сбора информации у гражданина хотя бы есть возможность не делиться своими данными. Например, пользователь интернета может запретить сайтам отслеживать историю его поисков и геолокацию.

Криминальное же использование техники социальной инженерии прежде всего нацелено на получение необходимой преступникам конфиденциальной информации абсолютно не учитывая желания жертв.

Стандартный алгоритм действий социальных хакеров состоит из нескольких основных этапов:

  1. Выбор целевого объекта.
  2. Сбор данных о нем, чтобы обнаружить наиболее уязвимые точки для воздействия.
  3. Реализация на основе собранных сведений сценария, который должен в результате принудить жертву к совершению определенных действий, нужных мошеннику. (В интернете целью обычно является облегчение проникновения злоумышленниками в защищенную компьютерную систему, минуя проверку и системы безопасности.) Говоря о принуждении следует учитывать, что явного насилия не наблюдается, оно незаметно для объекта манипуляции: человек думает, что действует под воздействием самостоятельно принятого решения.

Можно смоделировать и такую ситуацию, когда жертва сама обратится к злоумышленникам за “помощью”. К примеру, на видном месте в офисе помещается объявление с контактными данными служб технической поддержки, а потом удаленно создается какая-нибудь неполадка на компьютере. В результате пользователь сам свяжется с мошенниками и в процессе “решения проблемы” разгласит необходимые им данные.

социальная инженерия

Основные техники социальной инженерии

Фишинг

Один из путей получения конфиденциальных данных от самого пользователя. Для этого будущей жертве посылают e-mail якобы от банка или другой авторитетной организации, в котором просят ввести в специальную форму какие-то сведения: логины, пароли, номера карт или пин-коды. Помимо компрометации секретных данных жертва фишинга рискует также заполучить на свое устройство вредоносное ПО, которое установится при переходе на поддельный сайт или заполнении пресловутой «формы». (О вреде фишинга и способах защиты от него мы уже писали.)

Троянский вирус

Является разновидностью предыдущего метода, тоже распространяется при помощи электронных писем. Только вместо поддельной формы для заполнения фигурирует вложение, содержащее вредонос, способный в дальнейшем собирать или модифицировать информацию на компьютере пользователя.

Претекстинг

Обычно для него используются не электронные письма, а голосовые средства связи — телефон, разнообразные мессенджеры. Для проведения нужны некоторые предварительные знания об “объекте”, чтобы вызвать у него доверие (имя, должность, над какими проектами работает данный сотрудник, имена коллег и начальников). Претекстинг задействует заранее разработанные сценарии разговоров, которые побуждают выдать какую-то информацию или совершить определенное действие. Например, звонок в техническую поддержку компании с просьбой напомнить пароль от “своей” учетной записи.

К сожалению, недостатка в информации о будущих объектах у социальных хакеров нет. Социальные сети — ценнейший для мошенников кладезь сведений о миллионах людей. И предоставляется она совершенно добровольно, часто даже с гордостью: фотографии нового дома и айфона, место работы и подробные отчеты о путешествиях, имена друзей, коллег, детей, любимых. Все то, о чем в обыденной жизни мы не станем рассказывать первому встречному, выкладывается в интернет.

Фарминг

Скрытое перенаправление на поддельные сайты. Осуществляется с помощью вредоносного программного обеспечения, которое перебрасывает пользователя с запрошенных страниц интернета на их мошеннические копии. Особая опасность в том, что обнаружить такую атаку обычно очень сложно, практически невозможно. Ведь пользователь сам вводит нужный адрес в браузер! А уж куда он после этого попадает — дело десятое.

Почему социальная инженерия работает

Суть социальной инженерии в том, что ее атаки всегда происходят в обход критического и аналитического мышления и нацелены прежде всего на эмоциональную сферу. А у многих людей, занимающихся умственной деятельностью (к которым относится и большинство офисных сотрудников), эмоциональные порывы обычно подавляются. Поэтому так результативно бывает воздействие социнженеров. При этом интеллект атакующего может быть значительно ниже, чем у его жертв. Но не к интеллекту, а к эмоциям обращаются методы социальной инженерии. Этим объясняется успех в “разведении лохов” у профессиональных преступников, умственные способности которых часто невелики. Чтобы разум подопытного не “вмешивался” в процесс, его обычно блокируют, перегружая второстепенной фоновой информацией. Для этого мошенники зачастую много тараторят, “забалтывая” клиента.

Козырь злоумышленника — внезапность и искусственно создаваемая атмосфера спешки (а лучше еще и страха). В ситуации, когда решение должно быть принято незамедлительно, некогда проверять сообщенные атакующим сведения, и на принятие решения оказывают влияние не мысли, а чувства. Это может быть желание оказать помощь или побыстрее отделаться от неожиданной проблемы. Сюда же относятся “крючки” страха, желание легкой прибыли или получения какого-то преимущества (но только сейчас!). По этому принципу работают широко известные “представители канадских компаний”: говорят быстро, утверждают, что невероятная скидка действует еще только час-другой и если не купить товар сейчас, то в будущем человек будет жалеть об упущенной выгоде.

На страхе за близких и репутацию основаны сообщения по телефону о том, что муж или ребенок попал в аварию либо задержан правоохранителями. Естественно, срочно нужны деньги для того, чтобы откупиться от составления протокола или для оказания неотложной медпомощи.

Почему социальная инженерия так популярна у кибермошенников? Прежде всего потому, что обычного, неподготовленного к психологической атаке человека “взломать” гораздо проще и дешевле, чем защищенные компьютерные системы, усиленные всевозможными мерами обеспечения безопасности.

Итог вышесказанного печален: там где “работает” социальная инженерия, информационная безопасность оказывается под серьезной угрозой. Есть ли хоть какая-то вероятность ее избежать?

В наше время, когда огромная часть личной и деловой жизни каждого связана с интернетом, в деле противостояния хакерам не стоит уповать только на технические средства. В компаниях следует как можно больше разделять и разграничивать права на доступ к тем или иным элементам корпоративной сети и сведениям, составляющим коммерческую тайну. Лучше, если каждый работник будет иметь доступ только к необходимой ему информации для выполнения служебных обязанностей.

Не менее важно понимание проблемы социальной инженерии и ее высокой опасности для личных и служебных данных. Любой пользователь (а пользователи корпоративных сетей особенно) обязан владеть информацией о том, какие приемы “психологического взлома” могут быть против него использованы и как нужно на них реагировать.

Author: Olga Geo

Раньше была стопроцентным гуманитарием: преподавала фортепиано и синтезатор. Компьютер и интернет считала "мировым злом". Однако, познакомившись с ними поближе, кардинально изменила мнение. Освоив HTML, CSS и другие необходимые для работы навыки, сделала интернет основным местом приложения собственных усилий. Сегодня занимается разработкой сайтов и ведением собственного блога о программном обеспечении. Пишет статьи об IT-технологиях.

Share This Post On

Оставить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Можно использовать следующие HTML-теги и атрибуты: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку!

Подпишитесь на нашу рассылку и получайте последние новости из мира информационной безопасности от блога Protectimus.

Спасибо за подписку на нашу рассылку!

Share This