Наша цель – взлом системы

 

 

ВНИМАНИЕ! Области применения социальной инженерии:

1. Конкурентная разведка
2. Дестабилизация компании
3. Финансовые махинации

Начнем. Представим на минутку, что мы с вами не добропорядочные граждане, а группа подпольных талантливых хакеров. Мы именуем себя непонятным названием на английском языке, типа «An Anonymous Group Of Villains With No Chance For Ordinary People», коротко – AAGOVWNCFOP. Наша база – подвал в частном доме, куда подведен мощный канал интернет, где куча новейшего оборудования и программного обеспечения. Нас до сих пор не вычислили, но ищут. Мы – крутые, на наших черных мониторах повсюду английский текст зелеными буквами, на стене нарисован Билл Гейтс с копьем в глазу, а напротив – Линус Торвальдс с сияющим нимбом в белых одеждах. На входе красуется надпись «Осторожно, TP-LINK», надпись заплёвана, а каждый, кто проходит мимо нее – всем своим видом выражает презрение.

Представили? Хорошо, теперь представьте, что Главарь нашей группировки с ником Bastyk_2019, с надписью на футболке «Cisco and MikroTik» поставил нам следующую задачу:

«... Необходимо взломать сеть супермаркетов «Розовый фламинго» с целью кражи баз данных, личных паролей администрации, а также максимально затруднить им работу. За это их конкуренты, сеть супермаркетов «Невзрачный дрозд» заплатят нам 1 000 000 долларов ...»

Все, задача нам понятна, мы делимся на две группы. Группа No1 занимается исключительно техническим взломом. Руководит ею мрачный Oleg88_Moriarti, очень крутой программист, на его счету тысячи успешных проникновений. Ребята с его группы тоже крутые специалисты, но поменьше ростом, бледноватые, с красными глазами.

Группа No2 смотрится гораздо симпатичнее. Возглавляет ее некий Вячеслав, красивый, высокий, образованный парень, спортивного телосложения с волевым подбородком и необычайно проницательными глазами (поймал себя на мысли, что сам себя описал). Также в группу входит Виктория – длинноногая блондинка, с четвертым размером груди, в общем – девушка невероятной красоты. Она способна обольстить кого угодно, даже сам Oleg88_Moriarti с удовольствием бы отдал ей свои пароли, просто Виктории его пароли не нужны. Также там есть Алексей – с виду обычный парень-работяга, не запоминающаяся личность, и талантливый актер – Юрий, способный перевоплощаться в кого угодно.

После того, как задание было получено, Oleg88_Moriarti, бросая скромные взгляды в сторону Виктории, кратко вводит в курс дела группу No2, говорит им, какие данные нужны в первую очередь, выдает предварительно настроенное оборудование, после чего мрачно удаляется в Зал Взломов вместе со своей командой. А команда под руководством Вячеслава с шутками и прибаутками готовится к заданию. С этого момента нас интересует только эта группа, поскольку именно они – социальные инженеры.

ПОДЫТОЖИМ: социальные инженеры – прекрасные психологи, великолепные актеры, к тому же обладают неплохими техническими знаниями. Эти люди — приятны, с ними хочется поддерживать отношения, им неудобно отказать, притом, что вы о них совсем ничего не знаете. Они посещают психологические курсы и курсы актерского мастерства, обладают природным обаянием, способны растопить лед даже в сердце самого черствого человека. НО, ПОМНИТЕ, ИХ ЗАДАЧА – КРАЖА ВАШИХ ДАННЫХ!

ЕЩЕ ВАЖНЫЙ МОМЕНТ: любая компьютерная система состоит из двух звеньев: сама система и человек, который с ней работает. Для доступа к системе достаточно взломать любое из них: человека взломать гораздо легче. Причем В ЛЮБОЙ ДАЖЕ САМОЙ ЗАЩИЩЕННОЙ СИСТЕМЕ — ЧЕЛОВЕК НАИБОЛЕЕ СЛАБОЕ ЗВЕНО!

 

Этап 2: подготовка к атаке

 

 

И так: для начала познакомимся со схемой атаки социального инженера:

1. Определение цели
2. Сбор информации
3. Выявление слабых мест
4. Обработка объекта
5. Получение доступа к информации

Теперь снова погрузимся в наши фантазии. Вячеслав, Виктория, Алексей и Юрий определяются с целью, а целью социального инженера могут стать:

1. Упрямые работники
2. Недобросовестные работники
3. Работники, испытывающие финансовые проблемы
4. Работники, нуждающиеся в тепле и любви
5. Незаменимые работники
6. Бывшие сотрудники

На самом деле объектом применения социальной инженерии может быть любой человек, просто вышеупомянутые группы людей наиболее проще обработать. В данном случае группа No2 совместно с группой No1 собирали информацию о сотрудниках компании, после чего Вячеслав и его ребята выделили следующих:

Сергей – главный менеджер, упрям до безобразия, считает себя выше других.

Анатолий – заместитель генерального директора, очень пьющий человек, падок на женщин.

Оксана – кассир, вся в кредитах, зарплаты мало, она уже устала от безденежья.

Людмила Николаевна – главный бухгалтер, одинокая женщина, пятидесяти лет, мечтающая о мужчине, который будет её любить, с которым она сможет почувствовать себя женщиной.

Александр – начальник IT-отдела, считает себя незаменимым, поскольку уверил свое начальство в своей незаменимости, также снисходительно относится к другим айтишникам, поскольку почти все они обладают гораздо меньшими знаниями.

Георгий Навуходоносорович – бывший начальник службы безопасности сети супермаркетов «Розовый Фламинго», уволенный за то, что поругался с директором.

Вот мы и определились с объектами нашего воздействия, собрали о них информацию, выявили слабые места каждого, теперь можно приступать к обработке объектов.

 

Этап 3: обработка объектов

 

 

Для начала ознакомимся с вариантами воздействия на объект. Их много, все они индивидуальны, хотя, пожалуй, несколько вариантов выделим отдельно:

1. Любовь (крутим любовь с человеком, имеющим доступ к информации)
2. Дружба (завоевание доверия с целью хищения информации)
3. Интервью (игра на чувстве собственной значимости)
4. Игра на пороках (страсть человека к чему-либо)
5. Шантаж (если есть порочащие факты)
6. Подкуп (жадность никто не отменял)
7. Трудоустройство на работу в нужную компанию (эффективный способ)
8. Проникновение под видом приглашенного специалиста (электрик, доставщик пиццы)

Снова возвращаемся к нашей команде социальных инженеров. Невзрачный Алексей успешно проходит собеседование на должность уборщика, и начинает собирать информацию. Порванные договора с мусорки, случайно воткнутые флэшки во время уборки и многое другое – его заслуга. Он работает потихоньку пока не получит команду «отбой».

Остальные занимаются нашими объектами-людьми. Первой целью у нас стоит Сергей, упрямый главный менеджер. Крутить любовь с таким человеком – долго и бессмысленно, подружиться с ним можно, если только все время восхищаться им и говорить, какой он крутой. И тут мы узнаем, что наш упрямый Сергей – тайный поклонник Нилетто, он очень не хочет, чтоб об этом узнали в компании, вот вам и метод воздействия – шантаж!

Наш актер Юрий перевоплощается в агента разведки, вызванивает Сергея, назначает ему встречу. Они встречаются в парке на скамейке, где Юрий показывает ему компрометирующие фотографии, на которых Сергей вешает плакат с Нилетто над кроватью, а также – целует постеры с изображением последнего. Сергей теряет дар речи и обреченно соглашается сотрудничать.

Что мы получим от Сергея, который главный менеджер? Во-первых, – базу клиентов, во-вторых: человек, который поддался на шантаж —  настоящий кладезь информации. Мы допрашиваем его абсолютно о каждой мелочи, а потом отправляем всю собранную информацию группе No1 вместе с базой клиентов.

Вторая наша цель – Анатолий, заместитель генерального директора, пьющий человек, ведущий аморальный образ жизни. Тут все просто: в игру вступает Виктория. Она подлавливает Анатолия в клубе, дальше писать не буду, но по итогу Виктория получает все пароли и логины Анатолия, доступы к его учетным записям, его личной переписке, а также настраивает постоянный доступ к его телефону и компьютеру. На этом успокаивается и тихо исчезает, также как появилась.

Дальше по плану у нас идет обработка кассира Оксаны, которая по уши увязла в долгах. Тут тоже несложно: ей мы предлагаем деньги, которых хватит на безбедную жизнь (помним, что нам предложили столько, что можно давать взятки не скупясь). Также мы гарантируем ей, что о ее причастности никто никогда не узнает. Оксана соглашается и под контролем Oleg88_Moriarti производит нужные манипуляции над своим рабочим компьютером. Вуаля, мы уже трижды проникли в сеть разными способами!

Эх, Людмила Николаевна, если бы вы только знали, насколько подлыми бывают люди... На сцену выходит Вячеслав, тяжелая артиллерия нашей группы социальных инженеров. Они случайно сталкиваются в парке на прогулке. После беседы, где Людмила Николаевна приходит в восторг от своего собеседника, они идут пить кофе. За разговором оба рассказывают друг другу свою историю – историю одинокого человека. Вячеслав дает понять Людмиле Николаевне, что она ему интересна и обещает позвонить. Наша главбух всю ночь ворочается в сладких фантазиях, на следующий день работает спустя рукава и все время поглядывает на телефон. Но он не звонит. Опечаленная, понуро опустив голову, она выходит с работы и тут Вячеслав с цветами. Просто стоит и смотрит, и так смотрит, что Людмила Николаевна чувствует любовь и свет от его взгляда. И вот они уже под руку бесцельно идут: она рассказывает ему всю свою жизнь, а он внимательно слушает, и понимает наша Людмила Николаевна, что вот он – мужчина ее мечты. И незаметно летит время, и вот уже она жить не может без него, а еще спустя какое-то время – он начинает ее использовать, при этом ставит дело так, что она, не задумываясь, все делает ради него. И вот у нас есть база 1С с доступами главного бухгалтера.

Пока Вячеслав окучивает Людмилу Николаевну, Виктория находит начальника IT-отдела Александра и предлагает ему интервью. В качестве оппонента выступает Юрий. Александр соглашается, потому что он точно знает, что человечество давно нуждается в его интервью, и вообще он удивлен, что журналисты не пришли к нему раньше. Начинается интервью, Александр сыпет умными словами, а его оппонент начинает задавать вопросы, которые ставят под сомнение компетентность Александра. Александр возмущен, он теряет голову, произносит блистательную речь, в которой незаметно для себя выдает столько информации, что из нашего бункера доносится злодейский смех Oleg88_Moriarti, который тут же перестает смеяться и мрачно начинает действовать. Честолюбие, надменность, гордыня – вот что погубило Александра, и плевать что он хороший специалист, именно он выдал кучу информации, желая похвастаться своими знаниями.

Напоследок нас ждет Георгий Навуходоносорович, человек несправедливо уволенный. С такими просто: Юрий поджидает его в баре, они вместе пропускают рюмку-другую, и вот уже Жора возмущенно рассказывает о своей бывшей работе, а Юрий внимательно слушает. И естественно, что они становятся лучшими друзьями.

Надо сказать, что все эти действия производятся практически одновременно: социальные инженеры всегда заходят с нескольких фронтов, не делая ставку на конкретные вещи. Вы видите, что у нас все получилось: мы внутри сети, наши люди внутри компании, базы данных и доступы уже у нас. Переходим к следующему этапу.

 

Этап 4: Финал

 

 

Группа No2 возвращается в бункер. Вся информация уже обработана, все сделано, сеть супермаркетов «Невзрачный Дрозд» на основе этой информации начинает устранять своего конкурента и им это удается. Наши хакеры получают свое вознаграждение, все едут на Гоа, кроме Oleg88_Moriarti, который мрачно закапывает свой гонорар под яблоней, поскольку точно знает, что все цифровые системы – уязвимы.

 

Послесловие

 

В настоящее время социальная инженерия здорово набрала обороты, так как технический взлом заметно усложнился. Поэтому всем, кто работает с защитой информации, следует быть внимательным и изучать методы работы социальных инженеров, чтобы суметь опознать их применение. Полностью обезопасить систему нельзя: ни технически, ни социально. Но, создание комплекса мер, направленных на предотвращение таких ситуаций, существенно затруднит потенциальному взломщику жизнь. Чем дольше взломщик будет ковыряться в системе, тем больше шансов его выследить.

Еще небольшое замечание. Как вы видите, социальная инженерия – весьма подлая штука. Они играют на доверии, на самом светлом чувстве человека. Но, не надо впадать в крайности и вообще никому не доверять. Лучше все же доверяйте, но с умом.

 

---

 

Если у Вас возникли вопросы , либо же Вам есть что рассказать из собственного опыта - заполните форму ниже, с Вами свяжутся специалисты