Искусство цифровой самозащиты
Шрифт:
Часть 3. Социальная инженерия
Социальная инженерия – в контексте информационной безопасности – психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа от традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества.
Также может быть определено как «любое побуждение человека к действию, которое может или не может быть в его интересах».
Сегодня
Многие специалисты по информационной безопасности говорят, что как ни защищай программы и системы, есть одно слабое звено – это сам пользователь. Люди зачастую оказываются очень доверчивыми и сами предоставляют мошенникам конфиденциальную информацию.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов, стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальные инженеры» и «социальные хакеры» стали синонимами.
Яркие примеры социальной инженерии
Кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные – правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счет. И те перевели.
В 2007 году одна из самых дорогих систем безопасности в мире была взломана – без насилия, без оружия, без электронных устройств. Злоумышленник просто забрал из бельгийского банка ABN AMRO алмазы на 28 миллионов долларов благодаря своему обаянию. Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка еще за год до инцидента. Он выдавал себя за бизнесмена, делал подарки, короче говоря – налаживал коммуникацию. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оцененных в 120 000 каратов.
А слышали, как Виктор Люстиг продал достояние Парижа – Эйфелеву башню – на металлолом? Всё это стало возможным с помощью социальной инженерии.
Эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека
или отсутствии профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.Самые популярные методы социальной инженерии:
• Фишинг – это вид мошенничества, суть которого – завладение логинами и паролями от важных сайтов, аккаунтов, счетов в банке и другой конфиденциальной информацией путем рассылки писем со ссылками на мошеннический сайт, внешне очень похожий на настоящий. После того как пользователь попадает на поддельную страницу, мошенники пытаются различными психологическими приемами побудить его ввести на поддельной странице свои логин и пароль, что позволяет им получить доступ к аккаунтам и банковским счетам.
• Фарминг – при фарминге на персональный компьютер жертвы устанавливается вредоносная программа, которая меняет информацию по IP-адресам, в результате чего обманутый пользователь перенаправляется на поддельные сайты без его ведома и согласия. Это более продвинутая версия фишинга, тут уже не нужно слать письма.
• Вишинг – метод, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карточки конфиденциальную информацию или стимулируют его к совершению каких-то действий со своим счетом или банковской платежной карточкой.
• Взлом социальных сетей – взламывается страница пользователя, и от его имени идут сообщения его друзьям, чаще всего с просьбой «скинь денег на карточку». Тот, кого взломали, может понять это, когда не сможет войти в свой аккаунт, ведь пароль уже изменен.
• СМС-атаки – мошенник создает фейковый аккаунт в социальных сетях либо регистрируется, к примеру, в Viber, с сим-карты, которая оформлена не на него. Далее высылает объявление «Помогите на лечение ребенку», размещая фото и реквизиты. Если это действительно реальный человек, то реквизиты легко проверяются. Но, к сожалению, люди не часто проверяют такую информацию.
• Претекстинг – набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон, электронная почта и т. п. Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника, должность, название проектов, с которыми он работает, дату рождения). Используя такую информацию, он входит в доверие и получает необходимые ему данные.
• Кви про кво (в английском языке это выражение обычно используется в значении «услуга за услугу») – злоумышленник представляется, например, сотрудником технической поддержки и информирует о возникновении каких-то проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы злоумышленник подталкивает жертву к совершению действий, позволяющих атакующему выполнить определенные команды или установить необходимое вредоносное программное обеспечение на компьютере жертвы. Эта техника предполагает обращение злоумышленника к пользователю – как правило, по электронной почте или корпоративному телефону.