THELOCALHOST.RU
Социальная инженерия
Самые совершенные и продвинутые в техническом плане системы защиты зачастую пасуют перед человеческим фактором. Ведь при проектировании и монтаже различных систем безопасности как-то почти не принято помнить, что объектом атаки может выступить не только сама система, но и человек, имеющий доступ к данной системе. Причем человек часто оказывается наименее защищенным звеном в цепи управления.
На слэнге хакеров и специалистов по информационной безопасности (очень тесно взаимосвязанные профессии, надо сказать) сам процесс проведения атаки на человека, который имеет доступ к какой-либо системе, называется социальной инженерией. Классически данный вид атаки проводился по телефону: человеку, который имел доступ к каким-либо защищенным данным, злоумышленники звонили по телефону и, выдавая себя за другое лицо, выведывали у того все нужные для себя сведения (в основном пароли доступа).
Сейчас социальная инженерия рассматривается намного шире и подразумевает под собой способы психологической обработки жертвы, такие как: введение в заблуждение или попросту обман, игра на его мыслях и чувствах, иногда шантаж.
Все эти приемы являются далеко не новыми и известны человечеству со времен глубокой древности, но, несмотря на их известность, работают они в интересах злоумышленников весьма плодотворно и по сей день.
Большинство злоумышленников и мошенников пользуются какими-то отработанными шаблонными схемами, но иногда попадаются и уникумы. Изучение способов, какими они работают, позволяет уберечь себя от неприятностей.
Рассмотрим же данные методы и приемы, знание их никому не повредит, а от неприятностей может избавить.
Обман (введение в заблуждение). Обман является наверное основным составляющим компонентом социальной инженерии. При проведении обмана используется несколько приемов и методик: выдача себя злоумышленником за другое лицо, отвлечение внимания жертвы, нагнетание психологической обстановки. Цели же обмана также весьма разнообразны и отличны друг от друга: получение доступа к закрытой (конфиденциальной) информации, перевод подозрений о совершенном противозаконном деянии на другое лицо, даже банальный увод денег жертвы или денег, к которым жертва имеет доступ.
Увод денег как принадлежащих самой жертве, так и денег, к которым жертва имеет доступ, но которые ей не принадлежат.
Ситуация в данном направлении в России почему-то не улучшается. Всеобщий бардак процветает. Ведь зачатую можно прийти в день выдачи зарплаты в бухгалтерию какого-нибудь крупного учреждения или организации, при этом по пути подсмотрев на табличках кабинетов любую понравившуюся фамилию, назваться у окошечка кассы этой фамилией, и получить причитающуюся этому человеку зарплату или премию. А ведь элементарное предъявление документа могло бы помочь избежать данной нелицеприятной ситуации.
Бесплатное приобретение программного обеспечения.
Хищение денег является уголовно наказуемым деянием, в случае проявления бдительности данный способ мошенничества может обернуться тюремным заключением, поэтому многие злоумышленники предпочитают воровать не деньги, а какие-то материальные ценности.
Для примера, потребовался злоумышленнику какое-либо программное обеспечение, стоящее довольно больших денег. Где же его взять? Ломать демонстрационную версию – долго, муторно и может вообще не получиться, проводить хакерскую атаку на сеть разработчиков – может оказаться чреватым последствиями. Гораздо проще прийти в организацию разработчиков или распространителей данного продукта, представиться там журналистом какого-либо популярного компьютерного издания, и, попросив у них один экземпляр программы, взамен пообещав разрекламировать его в серии статей своего журнала, получив желаемое, скрыться. Хотя и в данном случае мошенничества проверка документов и более подробная беседа как с самим журналистом, так и с редактором журнала (хотя бы по телефону) поможет избежать обмана.
Еще один способ обмана с помощью социальной инженерии. Заключается он в желании заработать в Интернете на своих знаниях. На сайте, посвященному фрилансу или работе, дается объявление о наборе сотрудников (допустим, программистов) в мегапрограммерский холдинг. При этом предлагается сделать тестовое задание для оценки квалификации программиста-соискателя. В итоге все участники оповещаются, что они не прошли теста, злоумышленник, подавший объявление, остается с готовым программным продуктом, а соискатели ищут новую работу.
Наиболее популярным способом хищения паролей является звонок жертве по телефону. Злоумышленник, представившись другим лицом, получает интересующую его информацию, если пользователь не проявит бдительности.
Для получения доступа к защищенной системе проводятся атаки и на администраторов этих систем. Пример действий злоумышленников: звонок администратору и сообщение о готовящейся атаке на систему. При этом указывается примерная область атаки. Администратор, если он не имеет еще достаточных навыков отражения атак с использованием методов социальной инженерии, начинает в срочном порядке переконфигурировать систему, при этом зачастую допускает несколько ошибок, которые могут быть использованы злоумышленниками.
На этом мы статью заканчиваем статью с названием социальная инженерия и, как и прежде, призываем – будьте бдительны!