Что включает в себя социальная инженерия
Осторожно, это ловушка: что такое социальная инженерия
«Привет! Я оказался в сложной ситуации. Можешь занять 5000 рублей до понедельника», — получали такое сообщение в соцсетях от «друзей»? Значит вы уже сталкивались с социальной инженерией. Киберпреступники всё чаще используют такие методы для кражи ценных данных (в том числе и ваши финансы), ведь человеческий фактор по-прежнему остаётся слабым звеном в любой системе защиты.
Согласно статистике, количество атак с использованием социальной инженерии в 2020 году выросло на 147%. Рассказываем вам, какими бывают такие приёмы и как обезопасить себя.
Что такое социальная инженерия и как она появилась?
Социальная инженерия (social engineering) или «атака на человека» — это совокупность психологических и социологических приёмов, методов и технологий, которые позволяют получить конфиденциальную информацию.
Кибермошенников, которые используют эти приёмы на практике, называют социальными инженерами. Пытаясь найти доступ к системе или ценным данным, они используют самое уязвимое звено — человека. Самый простой пример — телефонный звонок, где злоумышленник выдаёт себя за кого-то другого, пытаясь узнать у абонента конфиденциальную информацию, играя на чувствах человека, обманывая или шантажируя его. К сожалению, многие люди продолжают клеватьна такие удочки и доверчиво рассказывают социальным хакерам всё, что им нужно. А в арсенале мошенников немало техник и приёмов. О них мы расскажем чуть позже.
Сейчас социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка.
Люди использовали социальную инженерию с древних времён. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных ораторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и работали на благо своего государства.
Спустя много лет, к началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой граждан просто ради шутки. Но кто-то сообразил, что так можно достаточно легко получать важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.
Когда же появились компьютеры, большинство инженеров сменило профиль, став социальными хакерами, а понятия «социальная инженерия» и «социальные хакеры» стали синонимичны.
Яркие примеры социальной инженерии
Иллюстрацию того, на что способен умелый социальный инженер можно найти в кинематографе. Возможно, вы смотрели фильм «Поймай меня, если сможешь», основанный на реальных событиях — на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 миллионов долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката.
Иногда достаточно просто попросить. Пример — кража у компании The Ubiquiti Networks 40 миллионов долларов в 2015 году. Никто не взламывал операционные системы и не крал данные — правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
А слышали как Виктор Люстиг не просто заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню? Дважды, кстати ;). Всё это стало возможным с помощью социальной инженерии.
Всё эти реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке. Играя на личных качествах человека или отсутствие профессиональных (недостаток знаний, игнорирование инструкций и так далее), киберпреступники буквально «взламывают» человека.
Самые популярные методы социальной инженерии
Атака на человека может производиться по многим сценариям, но существует несколько наиболее распространённых техник работы злоумышленников.
Фишинг
Чувство, на котором играют: невнимательность
Метод сбора пользовательских данных для авторизации — обычно это массовые рассылки спама по электронной почте. В классическом сценарии на почту жертвы приходит поддельное письмо от какой-то известной организации с просьбой перейти по ссылке и авторизоваться. Чтобы вызвать больше доверия, мошенники придумывают серьёзные причины для перехода по ссылке: например, просят жертву обновить пароль или ввести какую-то информацию (ФИО, номер телефона, банковской карты и даже CVV-код!).
И вроде бы, человек всё делает так, как сказано в письме но… он попался! Преступники продумали каждый его шаг, именно поэтому им удаётся заставлять людей делать то, что они хотят.
Подробнее о том, как распознать сайт-подделку и защититься от фишинга можете прочитать в этом посте.
Троян
Чувство, на котором играют: жадность
Вирус не зря получил своё название по принципу работы троянского коня из древнегреческого мифа. Только приманкой здесь становится email-сообщение, которое обещает быструю прибыль, выигрыш или другие «золотые горы» — но в результате человек получает вирус, с помощью которого злоумышленники крадут его данные. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке,скачали и запустили файл.
Кви про кво
Чувство, на котором играют: доверчивость
Или «услуга за услугу», от латинского «quid pro quo». Используя этот метод, злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей и, выполняя указания хакера, лично передаёт ему доступ к важной информации.
Претекстинг
Чувство, на котором играют: доверчивость
Ещё один приём, к которому прибегают киберпреступники, называется претекстинг (действие, отработанное по заранее составленному сценарию). Чтобы завладеть информацией, преступник выдаёт себя за известное вам лицо, которому якобы необходима ваша информация для выполнения важной задачи.
Социальные инженеры представляют сотрудниками банков, кредитных сервисов, техподдержки или вашим другом, членом семьи — человеком, которому вы по умолчанию доверяете. Для большей достоверности они сообщают потенциальной жертве какую-либо информацию о ней: имя, номер банковского счёта, реальную проблему, с которой она обращалась в эту службу ранее. Общеизвестный пример — чёрные «call-центры», когда заключённые под видом сотрудников крупных банков звонят гражданам и обманом заставляют перевести деньги. Самый яркий случай произошёл в «Матросской Тишине», где мошенники обманом получили 7 миллионов рублей.
Обратная социальная инженерия
Чувство, на котором играют: доверчивость, невнимательность
Методика направлена на то, чтобы жертва сама обратилась к социальному инженеру и выдала ему необходимые сведения. Это может достигаться несколькими путями:
Внедрение особого ПО
Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. А когда взлом обнаруживается, социальный инженер остаётся вне подозрения (он ведь наоборот помогал вам).
Реклама
Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
Как защититься?
Если вы не хотите стать очередной жертвой социальных инженеров, рекомендуем соблюдать следующие правила защиты:
Надеемся, что наш пост поможет вам защитить себя от мошенников. Мы всегда готовы поделиться полезным опытом!
И подписывайтесь на рассылку нашего блога — впереди много полезных статей!
Краткое введение в социальную инженерию
Intro
Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.
Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.
К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.
Техники социальной инженерии
Все техники социальной инженерии основаны на особенностях принятия решений людьми.
Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели. 
Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.
Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.
Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.
Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
Обратная социальная инженерия.
Целью обратной социальной инженерии является заставить цель саму обратиться к злоумышленнику за «помощью». С этой целью злоумышленник может применить следующие техники:
Диверсия: Создание обратимой неполадки на компьютере жертвы.
Реклама: Злоумышленник подсовывает жертве объявление вида «Если возникли неполадки с компьютером, позвоните по такому-то номеру» (это в большей степени касается сотрудников, которые находятся в командировке или отпуске).
Меры противодействия
Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения.
Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить.
Вот некоторые правила, которые будут полезны:
1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций).
Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании.
В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует.
2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение.
3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь.
Все описанные меры достаточно простые, однако большинство сотрудников забывают про эти меры и про тот уровень ответственности, который на них возложен при подписании обязательств о неразглашении коммерческой тайны. Компанией тратятся огромные финансовые средства на обеспечение информационной безопасности техническими методами, однако эти технические средства могут быть обойдены, если сотрудники не будут применять меры по противодействию социальным инженерам, а службы безопасности не будут периодически проверять бдительность персонала компании. Тем самым средства, направленные на обеспечение информационной безопасности, будут потрачены впустую.
Что такое социальная инженерия? Принцип работы и методы влияния
Само по себе понятие «социальная инженерия» существует крайне давно и активно применяется, как раньше, так и сейчас. Еще в 90-х годах, специалист в области взлома и защиты информации Кевин Митник помог популяризировать данный термин написав ряд книг посвященных теме социальной инженерии и методам воздействия на человека. В 2001 году была выпущена под его авторством книга «Искусство обмана» (англ. «The Art of Deception»), где он рассказывает о реальных историях, как с точки зрения мошенника, так и жертв. Объясняет, почему каждая атака имела свой успех и как ее можно было бы предотвратить.
Техники и методы социальной инженерии
Прежде, чем приступить к действиям, злоумышленник, проведет полную подготовку, которая может занять неделю и месяц, чтобы узнать, как организована работа в компании, или узнать, как живет человек и чем он предпочитает заниматься в свободное время. Подготовка может включать в себя множество факторов, в частности поиск списка телефонных номеров компании и сотрудников, сбор информации через интернет, что сейчас актуально, как никогда. Только после того, как будет собрано достаточное количество данных они смогут прийти и постучать в дверь или сделать телефонный звонок, или принять другие меры для достижения желаемого.
Давайте рассмотрим более подробно, в чем заключается и, что представляет собой каждый из методов.
Фишинг («Рыбная ловля»)
Данный вид воздействия наиболее из распространенных сегодня. Вы регулярно с ним встречаетесь. Главная цель: получить доступа к персональным данным пользователя (логину, паролю, имени, адресу, банковским данным). Чаще всего, атака подразумевает под собой отправку жертве электронного письма на почту, которое выглядит точно так же, как и письмо от официального представителя (игрового аккаунта, платежной системы, социальной сети, банка). Письмо будет содержать в себе элементы, которые будут воздействовать на эмоции человека и требовать решительных действий «здесь и сейчас». Сообщение может содержать в себе тему, например: «Ваш аккаунт пытались взломать, необходимо изменить пароль», «Поздравляем! Вам начислено 1000$ в честь дня Рождения проекта, остался 1 день, спешите» и т.п.
Подделку отличить от оригинала крайне сложно. Всегда стоит обращать внимание на такие детали, как:
Претекстинг
Еще одна форма социальной инженерии, где злоумышленник действует по заранее сфабрикованному сценарию, чтобы получить конфиденциальную информацию от своей жертвы. Атака совершается при предварительной подготовки и с базовыми знаниями (кода агента, номера паспорта, даты рождения, последних цифр банковской карты и т.п.). Преступник, например, может выдавать себя за внешнего ИТ-специалиста и манипулировать сотрудниками фирмы через мобильный телефон или же при физическом присутствии, чтобы получить доступ в желаемую комнату.
В отличие от фишинговых писем, использующих эмоции человека в своих интересах, здесь атаки основана на создании ложного чувства доверия с жертвой. Мошенник придумывает «достоверную» историю, которая не оставляет практически никакого места для сомнения жертве и таким образом получая желаемое.
Посмотрите короткий фрагмент видео из фильма «Кто Я», чтобы иметь более полное представления о том, как работает данная техника:
Претекстинг, в свою очередь имеет две категории:
Квид про кво («Услуга за услугу»)
Мошенник осуществляет подобный вид атаки социальной инженерии, например, путем звонка в компанию через внутренний телефон или пишет на электронную почту, где он выдает себя за сотрудника ИТ-отдела и говорит, что в системе были обнаружены критические сбои, которые необходимо срочно устранить. В свою очередь, ничего не подозревающий сотрудник компании начинает следовать «рекомендациям» специалиста, тем самым предоставляя мошеннику доступ к внутренней системы, а в последствие и к конфиденциальным сведениям.
Троянский конь («Дорожное яблоко»)
Помните историю про троянского коня, который был представлен в качестве подарка, а по факту оказался коварным замыслом? Данный техника атаки переставляет его адаптацию, поскольку жертва не получает «подарок», а находит его сама. Заключается метод в использование физического носителя (дискета, диск, флешка) содержащей на себе вредоносное программное обеспечение. Предварительно злоумышленник подготавливает одну или несколько копий носителя вирусного ПО, оформляет его в фирменном стиле компании или же помечает его каким либо текстом вызывающим интерес, например: «Список сотрудников под сокращение» и т.п. Разбрасывает носители на территории компании, там, где их будет легко найти, у входа в здание, коридорах, туалетах, столовых и ждет.Человек, который обнаружит «яблоко» вероятнее всего захочет удовлетворить свое любопытство и узнать, что на нем находится.
Фрикинг
Впервые о понятие фрикинга стало известно в начале 60-х годов в Америке. Компания Bell, покрывающая на тот период основную часть территорию ранее указанной страны, для своей сети использовала сигналы импульсные, а для передачи сигналов служебных применялся тоновый набор. Разумеется, находчивость людей не знает границ и были такие, которые использовали служебные команды для своих целей. Подавая тоновый сигнал в сеть, по определенному алгоритму можно было позвонить бесплатно, организовать конференцию между несколькими абонентами, получить доступ к управлению сетью, блокировать и перенаправлять звонки. Вскоре Bell сменила свою технологию осуществления звонков.
Обратная социальная инженерия
В данной технике, жертва ничего не подозревая, передает необходимую информацию мошеннику самостоятельно. Как такое может произойти? Примером такой ситуации может служить подобный сценарий. Жертва обращается в ИТ-службу компании с целью восстановить доступ к системе («Я что-то нажала и все пропало»), однако, телефон по которому она позвонила не принадлежит ИТ-отделу, т.к. за неделю до этого злоумышленник сменил контактные номера у сотрудника. Соответственно, жертва ничего не подозревая, думая о том, что разговаривает с подлинным специалистом, предоставляет ему удаленный доступ и сообщает все, что он будет запрашивать. Множество людей, для устранения ошибок или проблем, готовы, как можно скорее передать всю необходимую информацию, в том числе и конфиденциальную.
Сбор информации из открытых источников
В данном случае не требуется от социального хакера специальных навыков и знаний в области психологии или социологии, достаточно умения искать информацию о человеке в интернете. Данная техника стала актуальна с появлением интернета, сетей, форумов и прочих открытых источников, где пользователь самостоятельно загружает свои фотографии, информацию о себе, как общего характера, так и личного. При должном внимание к своей безопасности, можно избежать распространения важных факторов для потенциального преступника.
Серфинг через плечо
Данный метод, сложно организовать специально, тем не менее он имеет место быть. Заключается он в банальном и просто подглядывание за информацией отображаемой у человека на экране смартфона, планшета или ноутбука. Можно осуществить находясь в общественных местах (общественном транспорте, ВУЗах, кафе, парках, аэропортах).
Впритык
Противодействие методам социальной инженерии
Чтобы защитить себя и не стать жертвой атаки социальной инженерии:
Обрести практические и теоретические навыки
Тема является для Вас интересной и актуальной? Прочтите список весьма содержательных книг по социальной инженерии, которые Вы можете скачать на Ваш электронный гаджет или купить и, тем самым изучить тему еще больше:
Так как книги читать мало кто любит, есть небольшая подборка фильмов и сериалов про социальную инженерию, где можно увидеть, в той или иной мере, методы ее применения:
Фильмы:
Сериалы:
Быть уверенным в сегодняшнем и завтрашнем дне Вы можете только с безопасностью. Статья является ознакомительного характера и не призывает Вас к злоупотреблению техниками социальной инженерии. Здесь собраны сведения о том, какие существуют методы и как они работают, узнав их Вы сможете избежать влияния со стороны мошенника и не станете его жертвой, тем самым сохраните конфиденциальную информацию.