социальная инженерия

 

ПРОСТО О СЛОЖНОМ

СИ означает «социальная инженерия». Другими словами это «взлом человека». Есть два пути, по которому может пойти так называемый «хакер»: взломать ваш компьютер и взломать непосредственно вас. Второй вариант, кстати, гораздо проще, нежели первый

ВВЕДЕНИЕ

Можно сломать любую систему, это факт. Сломать человека, чтобы получить доступ к его конфиденциальным данным – гораздо проще, чем взломать его компьютер или телефон. Сегодня мы поговорим о том, какими методами пользуются социальные инженеры, разберем схемы атаки социальных инженеров, области применения социальной инженерии. Прежде всего, нужно сказать, что все рейдерские захваты стопроцентно используют социальную инженерию, кроме этого, кража баз данных в 80% случаев осуществляется с помощью социальной инженерии

Что вы узнаете:
  • Кто такие социальные инженеры
  • Области применения социальной инженерии
  • Кто находится в группе риска

 

Наша цель – взлом системы

 

 

ВНИМАНИЕ! Области применения социальной инженерии:

  1. Конкурентная разведка
  2. Дестабилизация компании
  3. Финансовые махинации

Начнем. Представим на минутку, что мы с вами не добропорядочные граждане, а группа подпольных талантливых хакеров. Мы именуем себя непонятным названием на английском языке, типа «An Anonymous Group Of Villains With No Chance For Ordinary People», коротко – AAGOVWNCFOP. Наша база – подвал в частном доме, куда подведен мощный канал интернет, где куча новейшего оборудования и программного обеспечения. Нас до сих пор не вычислили, но ищут. Мы – крутые, на наших черных мониторах повсюду английский текст зелеными буквами, на стене нарисован Билл Гейтс с копьем в глазу, а напротив – Линус Торвальдс с сияющим нимбом в белых одеждах. На входе красуется надпись «Осторожно, TP-LINK», надпись заплёвана, а каждый, кто проходит мимо нее – всем своим видом выражает презрение.

Представили? Хорошо, теперь представьте, что Главарь нашей группировки с ником Bastyk_2019, с надписью на футболке «Cisco and MikroTik» поставил нам следующую задачу:

«... Необходимо взломать сеть супермаркетов «Розовый фламинго» с целью кражи баз данных, личных паролей администрации, а также максимально затруднить им работу. За это их конкуренты, сеть супермаркетов «Невзрачный дрозд» заплатят нам 1 000 000 долларов ...»

Все, задача нам понятна, мы делимся на две группы. Группа No1 занимается исключительно техническим взломом. Руководит ею мрачный Oleg88_Moriarti, очень крутой программист, на его счету тысячи успешных проникновений. Ребята с его группы тоже крутые специалисты, но поменьше ростом, бледноватые, с красными глазами.

Группа No2 смотрится гораздо симпатичнее. Возглавляет ее некий Вячеслав, красивый, высокий, образованный парень, спортивного телосложения с волевым подбородком и необычайно проницательными глазами (поймал себя на мысли, что сам себя описал). Также в группу входит Виктория – длинноногая блондинка, с четвертым размером груди, в общем – девушка невероятной красоты. Она способна обольстить кого угодно, даже сам Oleg88_Moriarti с удовольствием бы отдал ей свои пароли, просто Виктории его пароли не нужны. Также там есть Алексей – с виду обычный парень-работяга, не запоминающаяся личность, и талантливый актер – Юрий, способный перевоплощаться в кого угодно.

После того, как задание было получено, Oleg88_Moriarti, бросая скромные взгляды в сторону Виктории, кратко вводит в курс дела группу No2, говорит им, какие данные нужны в первую очередь, выдает предварительно настроенное оборудование, после чего мрачно удаляется в Зал Взломов вместе со своей командой. А команда под руководством Вячеслава с шутками и прибаутками готовится к заданию. С этого момента нас интересует только эта группа, поскольку именно они – социальные инженеры.

ПОДЫТОЖИМ: социальные инженеры – прекрасные психологи, великолепные актеры, к тому же обладают неплохими техническими знаниями. Эти люди — приятны, с ними хочется поддерживать отношения, им неудобно отказать, притом, что вы о них совсем ничего не знаете. Они посещают психологические курсы и курсы актерского мастерства, обладают природным обаянием, способны растопить лед даже в сердце самого черствого человека. НО, ПОМНИТЕ, ИХ ЗАДАЧА – КРАЖА ВАШИХ ДАННЫХ!

ЕЩЕ ВАЖНЫЙ МОМЕНТ: любая компьютерная система состоит из двух звеньев: сама система и человек, который с ней работает. Для доступа к системе достаточно взломать любое из них: человека взломать гораздо легче. Причем В ЛЮБОЙ ДАЖЕ САМОЙ ЗАЩИЩЕННОЙ СИСТЕМЕ — ЧЕЛОВЕК НАИБОЛЕЕ СЛАБОЕ ЗВЕНО!

 

Этап 2: подготовка к атаке

 

 

И так: для начала познакомимся со схемой атаки социального инженера:

  1. Определение цели
  2. Сбор информации
  3. Выявление слабых мест
  4. Обработка объекта
  5. Получение доступа к информации

Теперь снова погрузимся в наши фантазии. Вячеслав, Виктория, Алексей и Юрий определяются с целью, а целью социального инженера могут стать:

  1. Упрямые работники
  2. Недобросовестные работники
  3. Работники, испытывающие финансовые проблемы
  4. Работники, нуждающиеся в тепле и любви
  5. Незаменимые работники
  6. Бывшие сотрудники

На самом деле объектом применения социальной инженерии может быть любой человек, просто вышеупомянутые группы людей наиболее проще обработать. В данном случае группа No2 совместно с группой No1 собирали информацию о сотрудниках компании, после чего Вячеслав и его ребята выделили следующих:

Сергей – главный менеджер, упрям до безобразия, считает себя выше других.

Анатолий – заместитель генерального директора, очень пьющий человек, падок на женщин.

Оксана – кассир, вся в кредитах, зарплаты мало, она уже устала от безденежья.

Людмила Николаевна – главный бухгалтер, одинокая женщина, пятидесяти лет, мечтающая о мужчине, который будет её любить, с которым она сможет почувствовать себя женщиной.

Александр – начальник IT-отдела, считает себя незаменимым, поскольку уверил свое начальство в своей незаменимости, также снисходительно относится к другим айтишникам, поскольку почти все они обладают гораздо меньшими знаниями.

Георгий Навуходоносорович – бывший начальник службы безопасности сети супермаркетов «Розовый Фламинго», уволенный за то, что поругался с директором.

Вот мы и определились с объектами нашего воздействия, собрали о них информацию, выявили слабые места каждого, теперь можно приступать к обработке объектов.

 

Этап 3: обработка объектов

 

 

Для начала ознакомимся с вариантами воздействия на объект. Их много, все они индивидуальны, хотя, пожалуй, несколько вариантов выделим отдельно:

  1. Любовь (крутим любовь с человеком, имеющим доступ к информации)
  2. Дружба (завоевание доверия с целью хищения информации)
  3. Интервью (игра на чувстве собственной значимости)
  4. Игра на пороках (страсть человека к чему-либо)
  5. Шантаж (если есть порочащие факты)
  6. Подкуп (жадность никто не отменял)
  7. Трудоустройство на работу в нужную компанию (эффективный способ)
  8. Проникновение под видом приглашенного специалиста (электрик, доставщик пиццы)

Снова возвращаемся к нашей команде социальных инженеров. Невзрачный Алексей успешно проходит собеседование на должность уборщика, и начинает собирать информацию. Порванные договора с мусорки, случайно воткнутые флэшки во время уборки и многое другое – его заслуга. Он работает потихоньку пока не получит команду «отбой».

Остальные занимаются нашими объектами-людьми. Первой целью у нас стоит Сергей, упрямый главный менеджер. Крутить любовь с таким человеком – долго и бессмысленно, подружиться с ним можно, если только все время восхищаться им и говорить, какой он крутой. И тут мы узнаем, что наш упрямый Сергей – тайный поклонник Нилетто, он очень не хочет, чтоб об этом узнали в компании, вот вам и метод воздействия – шантаж!

Наш актер Юрий перевоплощается в агента разведки, вызванивает Сергея, назначает ему встречу. Они встречаются в парке на скамейке, где Юрий показывает ему компрометирующие фотографии, на которых Сергей вешает плакат с Нилетто над кроватью, а также – целует постеры с изображением последнего. Сергей теряет дар речи и обреченно соглашается сотрудничать.

Что мы получим от Сергея, который главный менеджер? Во-первых, – базу клиентов, во-вторых: человек, который поддался на шантаж —  настоящий кладезь информации. Мы допрашиваем его абсолютно о каждой мелочи, а потом отправляем всю собранную информацию группе No1 вместе с базой клиентов.

Вторая наша цель – Анатолий, заместитель генерального директора, пьющий человек, ведущий аморальный образ жизни. Тут все просто: в игру вступает Виктория. Она подлавливает Анатолия в клубе, дальше писать не буду, но по итогу Виктория получает все пароли и логины Анатолия, доступы к его учетным записям, его личной переписке, а также настраивает постоянный доступ к его телефону и компьютеру. На этом успокаивается и тихо исчезает, также как появилась.

Дальше по плану у нас идет обработка кассира Оксаны, которая по уши увязла в долгах. Тут тоже несложно: ей мы предлагаем деньги, которых хватит на безбедную жизнь (помним, что нам предложили столько, что можно давать взятки не скупясь). Также мы гарантируем ей, что о ее причастности никто никогда не узнает. Оксана соглашается и под контролем Oleg88_Moriarti производит нужные манипуляции над своим рабочим компьютером. Вуаля, мы уже трижды проникли в сеть разными способами!

Эх, Людмила Николаевна, если бы вы только знали, насколько подлыми бывают люди... На сцену выходит Вячеслав, тяжелая артиллерия нашей группы социальных инженеров. Они случайно сталкиваются в парке на прогулке. После беседы, где Людмила Николаевна приходит в восторг от своего собеседника, они идут пить кофе. За разговором оба рассказывают друг другу свою историю – историю одинокого человека. Вячеслав дает понять Людмиле Николаевне, что она ему интересна и обещает позвонить. Наша главбух всю ночь ворочается в сладких фантазиях, на следующий день работает спустя рукава и все время поглядывает на телефон. Но он не звонит. Опечаленная, понуро опустив голову, она выходит с работы и тут Вячеслав с цветами. Просто стоит и смотрит, и так смотрит, что Людмила Николаевна чувствует любовь и свет от его взгляда. И вот они уже под руку бесцельно идут: она рассказывает ему всю свою жизнь, а он внимательно слушает, и понимает наша Людмила Николаевна, что вот он – мужчина ее мечты. И незаметно летит время, и вот уже она жить не может без него, а еще спустя какое-то время – он начинает ее использовать, при этом ставит дело так, что она, не задумываясь, все делает ради него. И вот у нас есть база 1С с доступами главного бухгалтера.

Пока Вячеслав окучивает Людмилу Николаевну, Виктория находит начальника IT-отдела Александра и предлагает ему интервью. В качестве оппонента выступает Юрий. Александр соглашается, потому что он точно знает, что человечество давно нуждается в его интервью, и вообще он удивлен, что журналисты не пришли к нему раньше. Начинается интервью, Александр сыпет умными словами, а его оппонент начинает задавать вопросы, которые ставят под сомнение компетентность Александра. Александр возмущен, он теряет голову, произносит блистательную речь, в которой незаметно для себя выдает столько информации, что из нашего бункера доносится злодейский смех Oleg88_Moriarti, который тут же перестает смеяться и мрачно начинает действовать. Честолюбие, надменность, гордыня – вот что погубило Александра, и плевать что он хороший специалист, именно он выдал кучу информации, желая похвастаться своими знаниями.

Напоследок нас ждет Георгий Навуходоносорович, человек несправедливо уволенный. С такими просто: Юрий поджидает его в баре, они вместе пропускают рюмку-другую, и вот уже Жора возмущенно рассказывает о своей бывшей работе, а Юрий внимательно слушает. И естественно, что они становятся лучшими друзьями.

Надо сказать, что все эти действия производятся практически одновременно: социальные инженеры всегда заходят с нескольких фронтов, не делая ставку на конкретные вещи. Вы видите, что у нас все получилось: мы внутри сети, наши люди внутри компании, базы данных и доступы уже у нас. Переходим к следующему этапу.

 

Этап 4: Финал

 

 

Группа No2 возвращается в бункер. Вся информация уже обработана, все сделано, сеть супермаркетов «Невзрачный Дрозд» на основе этой информации начинает устранять своего конкурента и им это удается. Наши хакеры получают свое вознаграждение, все едут на Гоа, кроме Oleg88_Moriarti, который мрачно закапывает свой гонорар под яблоней, поскольку точно знает, что все цифровые системы – уязвимы.

 

Послесловие

 

В настоящее время социальная инженерия здорово набрала обороты, так как технический взлом заметно усложнился. Поэтому всем, кто работает с защитой информации, следует быть внимательным и изучать методы работы социальных инженеров, чтобы суметь опознать их применение. Полностью обезопасить систему нельзя: ни технически, ни социально. Но, создание комплекса мер, направленных на предотвращение таких ситуаций, существенно затруднит потенциальному взломщику жизнь. Чем дольше взломщик будет ковыряться в системе, тем больше шансов его выследить.

Еще небольшое замечание. Как вы видите, социальная инженерия – весьма подлая штука. Они играют на доверии, на самом светлом чувстве человека. Но, не надо впадать в крайности и вообще никому не доверять. Лучше все же доверяйте, но с умом.

 


 

Если у Вас возникли вопросы , либо же Вам есть что рассказать из собственного опыта - заполните форму ниже, с Вами свяжутся специалисты