Социальная инженерия: основы, примеры и защита Коротко о главном Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у хакеров - это атака на человека. Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб целой компании. Метод основан на слабостях человека, его чувствах, неопытности, использование чего может привести к фатальным последствиям. Однако социальная инженерия не всегда используется в незаконных целях. Например, во время уголовного следствия, что бы разговорить преступника или свидетеля. А как вы думаете, почему агенты КГБ и ЦРУ в фильмах такие «крутые»? Потому что могли представиться кем угодно и выведать самую секретную информацию. История Сам термин "социальная инженерия" появился недавно, и особенно его популяризовал Кевин Митник. Однако известно, что в Древнем Риме и Греции всегда были в почёте люди, которые умели навешать лапшу на уши любому человеку и убедить в своей правоте. Они всегда вели переговоры и могли без проблем вывести целый город из ситуации, когда могло потребовать применение оружия. В 70-х во время расцвета фрикинга социальная инженерия приобрела огромную популярность среди юных хакеров, которые чуть подправив свои фразы, не редко могли заставить сотрудников телефонной компании чувствовать себя виноватыми и в порыве эмоций говорить секретную информацию. Эти же хакеры зачастую и развлекались бесплатными междугородними и интернациональными звонками. В то время социальная инженерия и приобрела свой первоначальный смысл. Звонок по телефону мог решить многие проблемы. Появление компьютеров очень расширило возможности социальных инженеров и дало новые просторы для творчества. В ход пошло всё: электронная почта, социальные сети, форумы и т. д. Чем не удача? Тем самым само понятие социальной инженерии очень расширилось с появлением информационных технологий. Главный смысл Основа социальной инженерии – введение в заблуждение человека. К этому могут относиться выдача себя за другого человека, нагнетание обстановки, отвлечение внимания. Рассмотрим самый простой случай. В офис приходит посторонний человек, представляется Васей Пупкиным из технического отдела, и говорит, что в компьютерах компании найдена уязвимость, и её нужно срочно устранить. Тем самым синжер (т. е. социальный инженер) не только узнаёт пароль от компьютера, а заодно и запускает вирус. Социальная инженерия очень универсальный метод, его можно применять к любым системам, где есть человек. А он есть везде. Недаром говорят, что человек – слабейшее звено в любой защите. Так же социальная инженерия даёт возможность узнать данные напрямую от человека, а не занимать поиском уязвимостей в системе, или пытаться выведать пароль перебором. Единственная сложность – найти правильный подход к каждому человеку. Хотя, профессиональные синжеры почти всегда действуют экспромтом, полагаясь только на свои чувства. Техники социальной инженерии Социальная инженерия включает в себя несколько техник. Каждая из них отличается по принципу, но цель остается неизменной. Претекстинг – действие по заранее созданному плану, или претексту. Синжер продумывает всё до мелочей, включая не только то, что он будет говорить, но всю информацию о «новом» себе, а так же реакцию атакуемого. Является самым распространённым способом, и не требует больших усилий. Фишинг – (от англ. ловля рыбы) метод, основанный получение информации из-за невнимательности человека. Например, жертве присылают электронное письмо от имени известного бренда или сайта с просьбой авторизоваться из-за технических проблем. Дизайн, стиль письма – всё как полагается, ничего не вызовет сомнений. И человек сделает всё, как написано. И конечно, не обратит внимание ни на адрес отправителя, ни на адрес сайта для авторизации. Всё похоже? В чём могут быть проблемы? А в результате злоумышленник может получить «ключик» не только, например, к электронной почте, но и к электронному кошельку. Троянский конь, или троян – техника, которая использует любопытство, алчность жертвы. Само название говорит за себя. Человек получает посылку с одним названием, но абсолютно другим содержанием. Самый распространённый вариант, адаптированный к социальным сетям: человек ищет программу для взлома странички социальной сети, качает её, но эта волшебная программа представляет собой обычный вирус. Дорожное яблоко – техника, которая эксплуатирует любопытство жертвы, и является слегка переделанным троянским конём. Единственное отличие – человек не получает «посылку», а сам её находит. Например, объект «случайно» находит в лифте диск с названием “Информация о сотрудника 2011, только для служебного пользования”. Прежде чем этот честный гражданин отнесёт диск начальству (а может и не отнесёт), он обязательно глянет на содержимое, и тоже подцепит вирус. А тем более, если и отнесёт этот диск, есть вероятность заразить и начальство, и всю компанию. Яркий пример вы могли видеть здесь. Сюда же можно отнести письмо, якобы «не по адресу», но с любопытной ссылкой. Кви про кво – метод, использующий неквалифицированность и неопытность жертвы. Например, человек звонит в офис «из отдела техподдержки», и тоже сообщает, что в компьютере либо уязвимость, либо просто интересуется о наличии ошибок. А далее просто командует, что нужно делать, причём присутствие самого синжера необязательно, сам сотрудник сам себе навредит. Обратная социальная инженерия Кстати, кроме обычной социальной инженерии используется и обратная социальная инженерия, причём возможно, вместе с любой из вышеперечисленных техник. Её смысл в том, что жертва сама находит синжера. Например, диверсия – жертве могут просто создать обратимую проблему с компьютером. А если ещё и подкинуть рекламу себя в качестве того, кто ремонтирует компьютеры, то можно заполучить сразу всю систему. Защита Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования, captha. Но и их можно обойти. Примеры социальной инженерии Для того, что бы знать, от чего именно защищаться, приведу несколько примеров социальной инженерии. Хотя, фактически, их может придумать и использовать любой. Поэтому примеров немысленное количество, как и их авторов. Звонок «Добрый день! Вы Вася Пупкин? Вас беспокоят из прокуратуры Маскалянской области. Скажите, вы зарегистрированы в социальной сети вконтакте.ру под именем Васёк Пупкин? Да? Дело в том, что было обнаружено, что от вашего имени ведётся массовая рассылка материалов экстремистского характера. Вам об этом что-нибудь известно? Нет? В этом случае нам необходимо получить доступ к вашему аккаунту. Мы просто установим IP сканнер, что бы вычислить преступника. Вы можете сообщить пароль?» Честный гражданин поступит, как сказано. Но вскоре разочаруется. Поэтому обращайте внимание на номер телефона, попросите представиться сотрудника, узнайте, есть ли такой на самом деле. Сообщение в социальной сети «Здравствуйте! В связи с недавними неполадками на сервере, была утеряна база данных логинов и паролей. Если вы и в дальнейшем собираетесь использовать нашу социальную сеть, вышлите пожалуйста ваши регистрационные данные на этот адрес в течении двух дней, так как произойдёт окончательная очистка кэша и вход будет невозможен. С уважением, Администрация супер-пупер социальной сети» Должно быть и дураку понятно, что администрация никогда не будет у вас спрашивать ваши пароли. Очень легко можно, например, «заставить сделать» компьютерную программу, которой не существует, но очень нужна. Форум или подобный сайт «Здравствуйте! Ищу программиста, зарплата 1000$ + полный соцпакет. Работа в престижной компании, возможно на дому. В качестве тестового задания, написать такую-то программу» И программа в кармане. Как отличить такого обманщика? Достаточно сложно. Нужно обратить на его репутацию, отзывы о нём, и т. д. Тем более что проходит конкурс. Но всё же реально, однако нужен опыт. Иногда можно встретить такой вид социальной инженерии, как тестовое проникновение, когда сам сотрудник компании (причём пока скрытый) по заданию руководства крадёт свою информацию для проверки компании на уязвимость. И затем предоставляет всю собранную информацию руководству. Особенно в этом деле отличился Айрэ Винклер, который умудрился украсть абсолютно все данные компании. После чего директор заявил: “Мы должны благодарить Бога, что вы не работаете на наших конкурентов”. Об этом можно почитать в книге Винклера «Промышленный шпионаж». Вывод Как видите, вариаций существует огромное количество. Каждый может придумать свою. И использовать их тоже можно по разному. Одними для интереса, другими – для уничтожения компании. Главное, уметь отличать. Но и для этого нужен опыт. Без него никуда.