Социальная инженерия и социальные хакеры
Шрифт:
Рис. 2.1. Основные области применения социальной инженерии
Финансовые махинации
…Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки золотые. "Ну и что, что слесарь", — рассуждала Наташа, — "выучится скоро и будет финансистом". Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только любовь и много всего приятного, что с этим связано. А при чем же здесь финансовые махинации, спросите вы? А при том, что в планы Наташи жестко вмешалась реальная жизнь, в которой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера был осуществлен перевод на счет некоей фирмы немалой суммы денег. Она точно помнила, что ничего
Что же произошло? А произошел классический сюжет. Обаятельный Илья влюбил в себя Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто происходящая, только цели разные. В данном случае целью было воровство денег.
Примечание
Мишень воздействия в данном случае — потребность Наташи в любви. Аттракция, естественно, любовные ухаживания Ильи за Наташей. Кроме того, аттракцией здесь также является и показ серьезности своих намерений (как помним, готовилась свадьба).
И вот, дождавшись удобного момента, когда он был один в рабочий день в кабинете Наташи, он перевел деньги туда, куда хотел. О том, как это делается, она сама ему рассказала, потому что он спрашивал, мотивируя свои вопросы тем, что ему это интересно для образования (он же, как помним, на финансовом факультете учился, да и вообще, все, что связано с легендированием, в данном случае сделано очень грамотно). Во время же этих бесед Илья выяснил, где лежат дискеты с ЭЦП (Электронно-цифровая подпись) главбуха и директора. Была ли Наташа дурочкой? Нет, не была. Хотя бы потому, что в Илью за те несколько месяцев, что он был рядом с Наташей, влюбились почти все сотрудники фирмы, включая директора, который лично благословил их быструю свадьбу и готов был в скором будущем взять Илью в штат своей фирмы. И потому, что она, по большому счету не виновата в том, что деньги во многих наших фирмах переводятся по упрощенной процедуре. Как по правилам должен происходить перевод денег? Нужно, к примеру, перевести какую-то сумму. Приходит главный бухгалтер, вставляет дискетку со своей ЭЦП, потом вставляет свою дискету директор. И только после этого деньги переводятся, так как наличие ЭЦП и директора и главбуха — необходимое условие для перевода денег. И если бы все делать по правилам, то такая атака, конечно же, немыслима. Но… даже самая мелкая фирма может делать в день до десяти переводов. А теперь представьте, что директор каждый раз будет бегать и вставлять свою дискету. А если фирма не мелкая? Да он фирму скорее закроет, чем таким самоистязанием будет заниматься. Поэтому очень нередко, когда обе дискетки с ЭЦП просто лежат в столе у того бухгалтера, который переводит деньги. Как было и в описанном случае. А что было Илье? А ничего не было. Потому что он после того, как все сделал, сразу куда-то уехал. То ли в другой город, то ли в другую страну. Паспорт, естественно, был поддельным, у него вообще этих паспортов было больше, чем в паспортном столе.
Примечание
Оставим за скобками дальнейшее развитие или возможное развитие этой ситуации, так как нам оно, в принципе, не важно. Деньги могли быть и переведены, а потом обналичены, а могли и не успеть их обналичить, потому что сотрудники фирмы оперативно "откатили ситуацию". История финансовых махинаций знает примеры и того и другого вариантов развития событий. Для нас важен сам факт доступа к компьютеру, с которого осуществлялись банковские переводы, и факт осуществления этого перевода, т. е. тот этап работы, который связан с социальным хакерством был сделан, и сделан успешно. Разговор же о том, какими способами можно успеть обналичить деньги до того, как фирма (И/ИЛИ компетентные органы, если им сообщили об инциденте) начнет принимать меры, как можно сделать так, чтобы успеть обналичить деньги и т. д., выходит за рамки данной книги.
Честно сказать, универсальных рекомендаций, позволяющих защититься от данного вида атак, не существует. Эта история с точностью до небольших вариаций не раз происходила и наверняка еще не раз произойдет. Многие авторы в похожих случаях говорят мол, нужно быть внимательнее, нужно четко следовать инструкциям и подобные вещи просто будут невозможны. Мы с этими словами, конечно же, полностью согласны, но, увы, это только слова. Не имеющие никакого отношения к реальной жизни слова. А если дело поставлено серьезно, и им занимаются серьезные люди, знающие, как такие дела делаются, можно гарантировать, что на эту удочку попадутся процентов 90 населения. А многие — еще и не один раз. Поэтому не будем опускаться до банальностей и честно скажем: гарантированных способов защиты нет. А теперь представьте на секунду, что влюбили не девушку Наташу, а директора. И представьте последствия. Причем сделать все это не очень сложно: определяется психотип человека, на основании чего выясняется, какие девушки (или юноши) ему (ей) нравятся — и через некоторое время жертва находит "ту единственную и неповторимую любовь, о которой всю жизнь мечтала". Излюбленный метод мошенников всех времен и народов. И очень действенный метод, потому что является атакой, основанной на физиологических потребностях человека. О физиологических потребностях мы здесь говорим более шире, чем принято, и понимаем под этими потребностями не только, скажем, потребность в еде, сексе и прочее, а также потребность в любви, потребность в деньгах, потребность в комфорте и т. д. и т. п. И вот, когда мишенью является одна из таких потребностей, дело плохо. В том смысле, что очень сложно. А умные социальные инженеры в качестве мишеней выбирают именно такие потребности. Рассмотренная нами атака —
как раз из этой категории, когда в качестве мишени воздействия была выбрана потребность в любви.Давно известно, что в крупных городах России существуют целые агентства, которые содержат обольстительниц самого разного вида на самый разный, в том числе и изощренный, вкус. Цель их существования — получение прибыли путем "развода" богачей мужского пола. Действительно, зачем строить достаточно сложную комбинацию, как в только что приведенном примере, когда можно сделать все легче: влюбить в себя до беспамятства богатого человека, который сам по своей доброй воле будет переводить денежки на твой счет. Незачем нанимать орду хакеров, проворачивать финансовые аферы, балансировать на грани закона, — все можно сделать так, что человек сам отдаст деньги и отдаст их добровольно. Схема работы такая. На первом этапе сотрудники агентства выясняют все, что только можно о "клиенте": какую пищу предпочитает, какие книги, каких девушек, какие машины, какую музыку, — в общем все. Здесь действуют по принципу, что информация лишней быть не может. Это делается для того, чтобы в соответствии со вкусами жертвы, подобрать для него ту единственную и неповторимую, от которой он просто физиологически не сможет отказаться. Действительно, ну какой мужчина откажется от женщины, которая мало того что в его вкусе и красоты неписанной, но и страстная поклонница футбола (как и он сам, естественно), да еще и болеет за ту же самую команду. И, — о ужас, когда он как-то раз подвез ее на машине, она с сожалением и с некоторым кокетством констатировала:
— Володя, вот если бы не одно, но, я могла бы сказать, что ты мужчина моей мечты.
— Какое НО? — слегка насторожившись, но, придав тону игривость, спрашивает банкир Володя.
— Ты не любишь классику…
— Почему? Почему ты так решила, — слегка запнувшись, и уже без всякой игривости в голосе спросил он.
— А ты вечно крутишь какую-то попсу в машине, а классику ни разу не включил, а я попсу терпеть не могу.
— Что же ты раньше не сказала, ведь я тоже люблю классику, просто боялся тебе в этом признаться, думал, что сочтешь меня не современным.
— Какая, к чертям, современность, все эти "Муси-пуси, трали-вали, поцелуй меня же Люся, пока нас не разорвали", — с ехидством пропела она, — от этой нынешней классики жить не хочется. То ли дело Бетховен… Все эти трали-вали в сравнении с ним…
"Мой любимый композитор", — подумал он, а вслух спросил:
— А что тебе больше всего у Бетховена нравится?
— Соната до-минор, наверное, — ответила она, на мгновенье задумавшись.
"Моя любимая соната, — думает он, — о, ужас… Нет, таких совпадений не может быть. Я первый раз встретил красивую и современную девушку, от которой я и так почти без ума, и которой еще вдобавок нравится классика, и, более того, даже в классике наши вкусы совпали. А, впрочем, почему я так думаю? Разве я не заслужил того, чтобы мне господь послал ту единственную и неповторимую? Разве мало я детям помогал, деньги в детдом № 5 перечислял? Может это и есть та награда за добрые дела, о которой говорят умные авторы в умных книжках, над которыми мои друзья только цинично посмеиваются. Может на фиг все? Может рискнуть? Ну что жена… С ней никогда и раньше то общего не было, а сейчас, ошалев от моих денег, вообще перестала всем интересоваться, сидит только дома, обрюзгла вся… Тьфу, смотреть неприятно. Да еще служба безопасности докладывает, что вроде она с кем-то на стороне, с каким-то программистом молодым, которому женщины "в соку" нравятся. Черта с два, женщины ему нравятся. Видать жить не на что, вот и выманивает у моей дуры мои деньги. А может и эта, которая рядом, тоже из-за денег? А ну-ка мы ее сейчас спросим…"
— Марин, извиняюсь за нескромный вопрос, а ты чем занимаешься?
— Володь, я директор модельного агентства. Володь, если ты подозреваешь, что я специально подсела к тебе в машину для того, чтобы тебя соблазнить, то это решается просто. Останови машину, пожалуйста. Вот здесь, если не сложно.
— Да, что ты, Марина! Я просто ради интереса…
"Бог мой, она словно читает мои мысли", — подумал он. "Идиот. Тебе, Володя, уже не банком надо заведовать, а в Кащенку идти добровольно сдаваться, чтобы вылечили тебя там от твоей подозрительности. Я не могу ее просто так высадить. Чтобы она вот так просто ушла в никуда, и, возможно, мы больше никогда не увидимся. Нет, нельзя упускать такое счастье", — продолжал он думать, перестраиваясь в крайне правый ряд. "А как же дети?" — спросил строгий внутренний голос. — "Что ты скажешь детям, когда разрушишь семью?". "Дети уже выросли и вполне самостоятельны", — ответил он внутреннему голосу, — "детям уже тех денег, которые я им даю, не хватает для того, чтобы бегать за всеми "юбками", и они не должны быть на меня в обиде, я тоже имею право на любовь, а ведь для них я сделал не так уж и мало. Дети учатся в престижных вузах, три раза в год отдыхают за границей, я спонсирую их любовные похождения, наконец. А дети, к слову, ни разу не поинтересовались, как у папы дела".
— Марин, — наконец решился он, — а ты не против, если мы сегодня посидим в каком-нибудь уютном ресторанчике?
— Володь, если честно, то против.
— Почему?
— Нет, я не прочь провести с тобой вечер, мне первый раз встретился мужчина, который совмещает богатство с любовью к сонате до-минор. А я много общалась с людьми, которые намного богаче, чем я, и что-то от всех от них оставалось какое-то никудышное впечатление. А ты какой-то другой… И мне хочется, если честно, побыть с тобой хоть на чуть-чуть, но дольше, даже врать не буду. Но просто я не люблю рестораны…
— Марин, да если честно, я тоже их ненавижу! Давай тогда в мою вторую квартиру, в которой я люблю иногда наедине с самим собой побыть. А? Сейчас позвоню, привезут еды, вина, посидим вечерочек…
— Нет, давай я лучше чего-нибудь на скорую руку сама сготовлю. Я очень люблю готовить, но, увы, теперь не часто получается самой это делать, а тут такой случай.
— Я согласен, если ты, конечно, этого сама хочешь. А что ты будешь готовить, если не секрет?
— Секрет. Увидишь. Я сготовлю свое любимое блюдо. Сверим наши вкусы, как говорится.