что такое социальный инженер
Социальная инженерия – технология «взлома» человека
Apr 2, 2017 · 13 min read
#profiling #hackandsecurity #лонгрид
Также читайте меня тут: Telegram и Вконтакте
Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.
Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.
Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.
“Социальная инженерия” (social engi n eering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Я ещё это называю “brain hack”. Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).
Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами. Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета снимутся все деньги, а не только 500р. Для технически грамотного хакера это совсем не проблема.
Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Друзья, представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Все просто — поставьте себя на ее место. Ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.
Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:
1. Создал личность прикрытия (брат) и хорошую легенду, которую наполнил реальными фактами, которые доказывали, что это именно он. Место, где они гуляли с друзьями (геопривязки Инстаграмма); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.
2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого афериста — заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.
3. Использовался один очень сильный механизм влияния — давление на жалость (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.
Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния – принцип контраста, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.
Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.
Социальная инженерия. Как «взломать» человека
Виктор Люстиг заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню. Дважды. Всё это с помощью социальной инженерии.
Однако не все социальные инженеры — мошенники. Они могут вернуть доброе имя компании после атаки конкурентов или чёрного пиара. Психологические методы используют, например, чтобы получить данные анонимного комментатора и сподвигнуть его удалить нежелательный отзыв или клевету.
Социальные инженеры регистрируются на форумах, вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.
Много веков назад монах Шварц Бертольд изобрел «порошочек для забавы», который стал порохом — причиной глобальных войн. Так и инструменты социальной инженерии: они настолько мощные, что используются даже в крупнейших аферах киберпреступников.
Как запустить сарафанное радио: четыре механики для B2C-стартапа
Учимся у Dropbox, Tesla, Starbucks и United Airlines.
В этой статье рассмотрим реальные примеры атак психологическими методами.
Кейс первый. Не в службу, а в дружбу
Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.
Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.
Кейс второй. Просто попроси
Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству.
Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.
Кейс третий. Фраза, которая потрясла Уолл-стрит
В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.
Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»
На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.
Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.
Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.
Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.
Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.
Никакие обычные средства защиты (антивирусы, файрволлы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.
Социальная инженерия – что это?
Даже самая совершенная система защиты не безопасна
Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с терминами, видами и некоторыми методами.
Так что же такое социальная инженерия?
Социальная инженерия – это способ управления действиями человека без использования технических средств, направленный на использовании слабостей человеческого фактора, и считается очень разрушительным.
В основе методов социальной инженерии всегда лежит манипулирование базовыми эмоциями человека: страхом, жадностью, эмпатией.
Основная задача социального инженера — «подобрать ключ» к каждому конкретному человеку и сыграть на его чувствах и эмоциях так, чтобы он забыл про осторожность и совершил необходимые злоумышленнику действия.
В результате успешных атак с применением методов социальной инженерии жертва добровольно и зачастую без каких-либо подозрений предоставляет злоумышленнику важные данные (логины и пароли от учетных записей, реквизиты банковских карт) или необходимые возможности для получения доступа к целевой системе в обход ограничений безопасности.
Виды социальной инженерии
Социальная инженерия подразделяется на два основных вида:
У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны. Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.
Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.
В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.
〈Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.
Раньше одна и та же компания создавала от 5 до 20 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.〉
Почему человек думал, что это разные организации?
Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.
Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.
Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу «whois». Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов.
Методы социальной инженерии
Существуют различные методы социальной инженерии, принято выделять следующие:
Фишинг
Поддельные страницы сайта являются одними из самых популярных методов обмана пользователей с целью получения персональной или конфиденциальной информации. Страница, повторяющая дизайн целевой, и содержит поля для ввода логина и пароля.
Ссылки на такие страницы распространяются через СМС-сообщения, электронные письма, социальные сети и мессенджеры. Причем получить фишинговое письмо можно даже от знакомого адресата. Чтобы вызвать доверие у своей жертвы, злоумышленники часто используют взломанные учетные записи.
Претекстинг
Метод социальной инженерии, при которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию подводит пользователя к тому, что тот совершает требуемые мошеннику действия или выдает необходимую конфиденциальную информацию.
Обычно реализуется через телефон, социальные сети или электронную почту и требует предварительного сбора информации о жертве.
« Примером может служить телефонный звонок от имени сотрудника банка, который сообщает клиенту, что его банковская карта заблокирована и выманивает у него реквизиты карты под предлогом ее разблокировки. »
Обратная социальная инженерия
Обратная социальная инженерия строится на трех факторах:
Метод, при которой злоумышленник вынуждает жертву саму обратиться к нему за «помощью». Этим методом пользуются злоумышленники, выдающие себя за сотрудников технической поддержки. Подобная атака проходит в несколько этапов.
« Например, сначала злоумышленник создает на компьютере жертвы обратимую неполадку.
Затем сообщает пользователю о своей возможности решить подобные технические проблемы
(размещает объявление или свои контакты рядом с рабочим местом пользователя или там, где он их увидит наверняка).
После того как пользователь обратится к нему за помощью, злоумышленник решает проблему и заодно получает необходимый для своих целей
доступ к компьютеру пользователя. »
Подведём итоги
Самый основной способ защиты от социальной инженерии – это обучение, поэтому тот, кто предупрежден, тот вооружён.
Именно поэтому данный блог будет посвящён социальной инженерии и в следующих статьях мы будем описывать методы, различные манипуляции, техники воздействия на человека, делиться полезными книгами на данную тематику и способы защиты от Си.
Статьи будут представлены исключительно в ознакомительных целях. Вся информация будет направлена на то, чтобы уберечь читателей от противозаконных действий.
Что такое социальная инженерия? Принцип работы и методы влияния
Само по себе понятие «социальная инженерия» существует крайне давно и активно применяется, как раньше, так и сейчас. Еще в 90-х годах, специалист в области взлома и защиты информации Кевин Митник помог популяризировать данный термин написав ряд книг посвященных теме социальной инженерии и методам воздействия на человека. В 2001 году была выпущена под его авторством книга «Искусство обмана» (англ. «The Art of Deception»), где он рассказывает о реальных историях, как с точки зрения мошенника, так и жертв. Объясняет, почему каждая атака имела свой успех и как ее можно было бы предотвратить.
Техники и методы социальной инженерии
Прежде, чем приступить к действиям, злоумышленник, проведет полную подготовку, которая может занять неделю и месяц, чтобы узнать, как организована работа в компании, или узнать, как живет человек и чем он предпочитает заниматься в свободное время. Подготовка может включать в себя множество факторов, в частности поиск списка телефонных номеров компании и сотрудников, сбор информации через интернет, что сейчас актуально, как никогда. Только после того, как будет собрано достаточное количество данных они смогут прийти и постучать в дверь или сделать телефонный звонок, или принять другие меры для достижения желаемого.
Давайте рассмотрим более подробно, в чем заключается и, что представляет собой каждый из методов.
Фишинг («Рыбная ловля»)
Данный вид воздействия наиболее из распространенных сегодня. Вы регулярно с ним встречаетесь. Главная цель: получить доступа к персональным данным пользователя (логину, паролю, имени, адресу, банковским данным). Чаще всего, атака подразумевает под собой отправку жертве электронного письма на почту, которое выглядит точно так же, как и письмо от официального представителя (игрового аккаунта, платежной системы, социальной сети, банка). Письмо будет содержать в себе элементы, которые будут воздействовать на эмоции человека и требовать решительных действий «здесь и сейчас». Сообщение может содержать в себе тему, например: «Ваш аккаунт пытались взломать, необходимо изменить пароль», «Поздравляем! Вам начислено 1000$ в честь дня Рождения проекта, остался 1 день, спешите» и т.п.
Подделку отличить от оригинала крайне сложно. Всегда стоит обращать внимание на такие детали, как:
Претекстинг
Еще одна форма социальной инженерии, где злоумышленник действует по заранее сфабрикованному сценарию, чтобы получить конфиденциальную информацию от своей жертвы. Атака совершается при предварительной подготовки и с базовыми знаниями (кода агента, номера паспорта, даты рождения, последних цифр банковской карты и т.п.). Преступник, например, может выдавать себя за внешнего ИТ-специалиста и манипулировать сотрудниками фирмы через мобильный телефон или же при физическом присутствии, чтобы получить доступ в желаемую комнату.
В отличие от фишинговых писем, использующих эмоции человека в своих интересах, здесь атаки основана на создании ложного чувства доверия с жертвой. Мошенник придумывает «достоверную» историю, которая не оставляет практически никакого места для сомнения жертве и таким образом получая желаемое.
Посмотрите короткий фрагмент видео из фильма «Кто Я», чтобы иметь более полное представления о том, как работает данная техника:
Претекстинг, в свою очередь имеет две категории:
Квид про кво («Услуга за услугу»)
Мошенник осуществляет подобный вид атаки социальной инженерии, например, путем звонка в компанию через внутренний телефон или пишет на электронную почту, где он выдает себя за сотрудника ИТ-отдела и говорит, что в системе были обнаружены критические сбои, которые необходимо срочно устранить. В свою очередь, ничего не подозревающий сотрудник компании начинает следовать «рекомендациям» специалиста, тем самым предоставляя мошеннику доступ к внутренней системы, а в последствие и к конфиденциальным сведениям.
Троянский конь («Дорожное яблоко»)
Помните историю про троянского коня, который был представлен в качестве подарка, а по факту оказался коварным замыслом? Данный техника атаки переставляет его адаптацию, поскольку жертва не получает «подарок», а находит его сама. Заключается метод в использование физического носителя (дискета, диск, флешка) содержащей на себе вредоносное программное обеспечение. Предварительно злоумышленник подготавливает одну или несколько копий носителя вирусного ПО, оформляет его в фирменном стиле компании или же помечает его каким либо текстом вызывающим интерес, например: «Список сотрудников под сокращение» и т.п. Разбрасывает носители на территории компании, там, где их будет легко найти, у входа в здание, коридорах, туалетах, столовых и ждет.Человек, который обнаружит «яблоко» вероятнее всего захочет удовлетворить свое любопытство и узнать, что на нем находится.
Фрикинг
Впервые о понятие фрикинга стало известно в начале 60-х годов в Америке. Компания Bell, покрывающая на тот период основную часть территорию ранее указанной страны, для своей сети использовала сигналы импульсные, а для передачи сигналов служебных применялся тоновый набор. Разумеется, находчивость людей не знает границ и были такие, которые использовали служебные команды для своих целей. Подавая тоновый сигнал в сеть, по определенному алгоритму можно было позвонить бесплатно, организовать конференцию между несколькими абонентами, получить доступ к управлению сетью, блокировать и перенаправлять звонки. Вскоре Bell сменила свою технологию осуществления звонков.
Обратная социальная инженерия
В данной технике, жертва ничего не подозревая, передает необходимую информацию мошеннику самостоятельно. Как такое может произойти? Примером такой ситуации может служить подобный сценарий. Жертва обращается в ИТ-службу компании с целью восстановить доступ к системе («Я что-то нажала и все пропало»), однако, телефон по которому она позвонила не принадлежит ИТ-отделу, т.к. за неделю до этого злоумышленник сменил контактные номера у сотрудника. Соответственно, жертва ничего не подозревая, думая о том, что разговаривает с подлинным специалистом, предоставляет ему удаленный доступ и сообщает все, что он будет запрашивать. Множество людей, для устранения ошибок или проблем, готовы, как можно скорее передать всю необходимую информацию, в том числе и конфиденциальную.
Сбор информации из открытых источников
В данном случае не требуется от социального хакера специальных навыков и знаний в области психологии или социологии, достаточно умения искать информацию о человеке в интернете. Данная техника стала актуальна с появлением интернета, сетей, форумов и прочих открытых источников, где пользователь самостоятельно загружает свои фотографии, информацию о себе, как общего характера, так и личного. При должном внимание к своей безопасности, можно избежать распространения важных факторов для потенциального преступника.
Серфинг через плечо
Данный метод, сложно организовать специально, тем не менее он имеет место быть. Заключается он в банальном и просто подглядывание за информацией отображаемой у человека на экране смартфона, планшета или ноутбука. Можно осуществить находясь в общественных местах (общественном транспорте, ВУЗах, кафе, парках, аэропортах).
Впритык
Противодействие методам социальной инженерии
Чтобы защитить себя и не стать жертвой атаки социальной инженерии:
Обрести практические и теоретические навыки
Тема является для Вас интересной и актуальной? Прочтите список весьма содержательных книг по социальной инженерии, которые Вы можете скачать на Ваш электронный гаджет или купить и, тем самым изучить тему еще больше:
Так как книги читать мало кто любит, есть небольшая подборка фильмов и сериалов про социальную инженерию, где можно увидеть, в той или иной мере, методы ее применения:
Фильмы:
Сериалы:
Быть уверенным в сегодняшнем и завтрашнем дне Вы можете только с безопасностью. Статья является ознакомительного характера и не призывает Вас к злоупотреблению техниками социальной инженерии. Здесь собраны сведения о том, какие существуют методы и как они работают, узнав их Вы сможете избежать влияния со стороны мошенника и не станете его жертвой, тем самым сохраните конфиденциальную информацию.