Что же такое это СИ ?
Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность.
Сам термин "социальная инженерия" является социологическим и обозначает совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним.
1.История
В сфере информационной безопасности данный термин был популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по безопасности, Кевином Митником, который утверждал, что самое уязвимое место любой системы безопасности - человеческий фактор.
Методы социальной инженерии в смысле получения доступа к конфиденциальной информации либо мотивации к действию с помощью технических и не технических методов были известны задолго до популяризации термина Митником и вообще до компьютерной эры. Например, группа исследователей из врачей и медсестер трех больниц Среднего Запада проводила исследование, в котором психологи по телефону представлялись врачами и просили медсестер вколоть пациенту смертельную дозу лекарства. Несмотря на то, что медсестры знали, что делали, в 95% случаев они беспрекословно выполняли команду (разумеется, их останавливали ассистенты на входе в палату)
2.Техники
Первой техникой СИ является фишинг .
Фишинг - это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Эта схема используется и по сей день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию ,те самые данные - логин и пароль.
Распознать Фишинг атаку можно,чаще всего фишинговые сообщения содержат:
"Услуга за услугу"- Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.
Трояны - это вредоносная программа, используемая злоумышленником для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в своих целях. Данная техника зачастую эксплуатирует любопытство, либо другие эмоции цели. Чаще всего злоумышленник отправляет жертве электронное сообщение, содержащее «интересный» контент, обновление антивируса, или другую информацию, способную её заинтересовать. Открывая прикрепленный к письму файл, пользователь устанавливает себе на компьютер вредоносное программное обеспечение, позволяющее мошеннику получить доступ к конфиденциальной информации. Чаще всего такие программы криптуются.
Сбор информации из открытых источников - К примеру, такие сайты как "Одноклассники", "ВКонтакте", содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети[8].
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
Защита
Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования, captha. Но и их можно обойти.
Примеры социальной инженерии
Для того, что бы знать, от чего именно защищаться, приведу несколько примеров социальной инженерии. Хотя, фактически, их может придумать и использовать любой. Поэтому примеров немысленное количество, как и их авторов.
Звонок
«Добрый день! Вы Вася Пупкин? Вас беспокоят из прокуратуры Маскалянской области. Скажите, вы зарегистрированы в социальной сети вконтакте.ру под именем Васёк Пупкин? Да? Дело в том, что было обнаружено, что от вашего имени ведётся массовая рассылка материалов экстремистского характера. Вам об этом что-нибудь известно? Нет? В этом случае нам необходимо получить доступ к вашему аккаунту. Мы просто установим IP сканнер, что бы вычислить преступника. Вы можете сообщить пароль?»
Честный гражданин поступит, как сказано. Но вскоре разочаруется. Поэтому обращайте внимание на номер телефона, попросите представиться сотрудника, узнайте, есть ли такой на самом деле.
Сообщение в социальной сети
«Здравствуйте! В связи с недавними неполадками на сервере, была утеряна база данных логинов и паролей. Если вы и в дальнейшем собираетесь использовать нашу социальную сеть, вышлите пожалуйста ваши регистрационные данные на этот адрес в течении двух дней, так как произойдёт окончательная очистка кэша и вход будет невозможен. С уважением, Администрация супер-пупер социальной сети»
Должно быть и дураку понятно, что администрация никогда не будет у вас спрашивать ваши пароли.
Очень легко можно, например, «заставить сделать» компьютерную программу, которой не существует, но очень нужна.
Форум или подобный сайт
«Здравствуйте! Ищу программиста, зарплата 1000$ + полный соцпакет. Работа в престижной компании, возможно на дому. В качестве тестового задания, написать такую-то программу»
И программа в кармане. Как отличить такого обманщика? Достаточно сложно. Нужно обратить на его репутацию, отзывы о нём, и т. д. Тем более что проходит конкурс. Но всё же реально, однако нужен опыт.
Иногда можно встретить такой вид социальной инженерии, как тестовое проникновение, когда сам сотрудник компании (причём пока скрытый) по заданию руководства крадёт свою информацию для проверки компании на уязвимость. И затем предоставляет всю собранную информацию руководству. Особенно в этом деле отличился Айрэ Винклер, который умудрился украсть абсолютно все данные компании. После чего директор заявил: “Мы должны благодарить Бога, что вы не работаете на наших конкурентов”. Об этом можно почитать в книге Винклера «Промышленный шпионаж».
Вывод
Как видите, вариаций существует огромное количество. Каждый может придумать свою. И использовать их тоже можно по разному. Одними для интереса, другими – для уничтожения компании. Главное, уметь отличать. Но и для этого нужен опыт. Без него никуда.
Социальная инженерия — это метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора. Зачастую социальную инженерию рассматривают как незаконный метод получения информации, однако это не совсем так. Социальную инженерию можно также использовать и в законных целях — не только для получения информации, но и для совершения действий конкретным человеком. Сегодня социальную инженерию зачастую используют в интернете для получения закрытой информации, или информации, которая представляет большую ценность.
Сам термин "социальная инженерия" является социологическим и обозначает совокупность подходов прикладных социальных наук, которые ориентированы на целенаправленное изменение организационных структур, определяющих человеческое поведение и обеспечивающих контроль за ним.
1.История
В сфере информационной безопасности данный термин был популяризован в начале 21 века бывшим компьютерным преступником, ныне консультантом по безопасности, Кевином Митником, который утверждал, что самое уязвимое место любой системы безопасности - человеческий фактор.
Методы социальной инженерии в смысле получения доступа к конфиденциальной информации либо мотивации к действию с помощью технических и не технических методов были известны задолго до популяризации термина Митником и вообще до компьютерной эры. Например, группа исследователей из врачей и медсестер трех больниц Среднего Запада проводила исследование, в котором психологи по телефону представлялись врачами и просили медсестер вколоть пациенту смертельную дозу лекарства. Несмотря на то, что медсестры знали, что делали, в 95% случаев они беспрекословно выполняли команду (разумеется, их останавливали ассистенты на входе в палату)
2.Техники
Первой техникой СИ является фишинг .
Фишинг - это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей - логинам и паролям. Эта схема используется и по сей день. Ни одна крупная утечка персональных данных не обходится без волны фишинговых рассылок, предшествующих ей. Целью фишинга является незаконное получение конфиденциальной информации. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте, и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную, и содержащую форму, требующую ввести конфиденциальную информацию ,те самые данные - логин и пароль.
Распознать Фишинг атаку можно,чаще всего фишинговые сообщения содержат:
- сведения, вызывающие беспокойство, или угрозы, например, закрытия пользовательских банковских счетов;
- обещания огромного денежного приза с минимальными усилиями или вовсе без них;
- запросы о добровольных пожертвованиях от лица благотворительных организаций;
- непреднамеренные грамматические, пунктуационные и орфографические ошибки, выдающие подделку;
- умышленные грамматические, орфографические или фактологические ошибки в данных, касающихся пользователя и провоцирующие желание исправить их;
- имитацию повреждённого или неправильно перекодированного текста;
- адрес несуществующего почтового ящика, указанного в качестве адреса отправителя.
- Несуществующие ссылки - Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, Пожалуйста, войдите или зарегистрируйтесь, чтобы просмотреть ссылки. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.
- Мошенничество с использованием брендов известных корпораций - В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.
- Подложные лотереи - Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.
- Ложные антивирусы и программы для обеспечения безопасности - Подобное мошенническое программное обеспечение, также известное под названием "scareware", — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения
- Телефонный фишинг - Это один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим карточным счетом / платежной картой.Данная техника основана на использовании системы предварительно записанных голосовых сообщений, с целью воссоздать «официальные звонки» банковских и других систем .Обычно, жертва получает запрос связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя, посредством ввода PIN-кода или пароля.
"Услуга за услугу"- Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.
Трояны - это вредоносная программа, используемая злоумышленником для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в своих целях. Данная техника зачастую эксплуатирует любопытство, либо другие эмоции цели. Чаще всего злоумышленник отправляет жертве электронное сообщение, содержащее «интересный» контент, обновление антивируса, или другую информацию, способную её заинтересовать. Открывая прикрепленный к письму файл, пользователь устанавливает себе на компьютер вредоносное программное обеспечение, позволяющее мошеннику получить доступ к конфиденциальной информации. Чаще всего такие программы криптуются.
Сбор информации из открытых источников - К примеру, такие сайты как "Одноклассники", "ВКонтакте", содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети[8].
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
Защита
Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования, captha. Но и их можно обойти.
Примеры социальной инженерии
Для того, что бы знать, от чего именно защищаться, приведу несколько примеров социальной инженерии. Хотя, фактически, их может придумать и использовать любой. Поэтому примеров немысленное количество, как и их авторов.
Звонок
«Добрый день! Вы Вася Пупкин? Вас беспокоят из прокуратуры Маскалянской области. Скажите, вы зарегистрированы в социальной сети вконтакте.ру под именем Васёк Пупкин? Да? Дело в том, что было обнаружено, что от вашего имени ведётся массовая рассылка материалов экстремистского характера. Вам об этом что-нибудь известно? Нет? В этом случае нам необходимо получить доступ к вашему аккаунту. Мы просто установим IP сканнер, что бы вычислить преступника. Вы можете сообщить пароль?»
Честный гражданин поступит, как сказано. Но вскоре разочаруется. Поэтому обращайте внимание на номер телефона, попросите представиться сотрудника, узнайте, есть ли такой на самом деле.
Сообщение в социальной сети
«Здравствуйте! В связи с недавними неполадками на сервере, была утеряна база данных логинов и паролей. Если вы и в дальнейшем собираетесь использовать нашу социальную сеть, вышлите пожалуйста ваши регистрационные данные на этот адрес в течении двух дней, так как произойдёт окончательная очистка кэша и вход будет невозможен. С уважением, Администрация супер-пупер социальной сети»
Должно быть и дураку понятно, что администрация никогда не будет у вас спрашивать ваши пароли.
Очень легко можно, например, «заставить сделать» компьютерную программу, которой не существует, но очень нужна.
Форум или подобный сайт
«Здравствуйте! Ищу программиста, зарплата 1000$ + полный соцпакет. Работа в престижной компании, возможно на дому. В качестве тестового задания, написать такую-то программу»
И программа в кармане. Как отличить такого обманщика? Достаточно сложно. Нужно обратить на его репутацию, отзывы о нём, и т. д. Тем более что проходит конкурс. Но всё же реально, однако нужен опыт.
Иногда можно встретить такой вид социальной инженерии, как тестовое проникновение, когда сам сотрудник компании (причём пока скрытый) по заданию руководства крадёт свою информацию для проверки компании на уязвимость. И затем предоставляет всю собранную информацию руководству. Особенно в этом деле отличился Айрэ Винклер, который умудрился украсть абсолютно все данные компании. После чего директор заявил: “Мы должны благодарить Бога, что вы не работаете на наших конкурентов”. Об этом можно почитать в книге Винклера «Промышленный шпионаж».
Вывод
Как видите, вариаций существует огромное количество. Каждый может придумать свою. И использовать их тоже можно по разному. Одними для интереса, другими – для уничтожения компании. Главное, уметь отличать. Но и для этого нужен опыт. Без него никуда.
