Социальная инженерия – это набор специальных техник, позволяющих злоумышленникам получать персональные данные, деньги или определенные услуги. Эти техники широко используются в работе спецслужб, журналистике и преступном мире. Разбираемся, какими бывают такие приемы и как уберечься от их воздействия.
Как работает социальная инженерия
В целом, человеческое поведение можно назвать шаблонным. Именно этим пользуются манипуляторы, намеренно создающие ситуации, в которых жертва поведет себя так как нужно им, не отдавая себе в этом отчета. Консультант в сфере информационной безопасности, бывший хакер, автор книг «Искусство обмана», «Искусство вторжения», «Призрак в сети» Кевин Митник пишет, что социальная инженерия (далее СИ) опирается на несколько аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, следовать за большинством, исполнять негласные публичные обязательства, гнаться за дефицитными вещами и доверять авторитету. К тому же, большинство людей инстинктивно доверяют другим, редко подвергая полученную информацию сомнению.
Есть результаты очень показательного опыта: в 1966 году группа исследователей под руководством Чарльза Хофлинга проводила эксперимент, в ходе которого Хофлинг звонил в различные больницы, и, притворяясь врачом, приказывал вколоть заранее выбранному пациенту смертельную дозу лекарства. На другом конце провода медсестра, которая услышала голос незнакомого, но все же врача, слепо следовала указаниям, зная о потенциальном убийстве пациента. Из двадцати двух медсестёр двадцать одна выполнила приказ. Конечно, не до конца — на входе в палату медсестер встречали ассистенты экспериментатора.
Люди издавна использовали социальную инженерию. Даже в Древней Греции ораторы, умевшие разубедить оппонента в его точке зрения и навязать свою, имели особый авторитет и вес в обществе. В работе спецслужб СИ всегда была главным оружием. Умело «прощупывая» человека и атакуя его слабые точки, агенты могут получить доступ к секретной информации, составляющей государственную тайну.
СИ также используется в рекламе, приемом из этой области можно считать повторение информации о товаре. Таким образом, вне зависимости от содержания рекламного ролика или текста, нужная информация «вдалбливается» в голову потребителю, и вероятность того, что в следующий раз он выберет именно этот товар, возрастает в разы. Также используются ссылки на авторитетное мнение («эксперты рекомендуют», «специалисты доверяют», «Николай Басков выбирает»), эксплуатация стереотипов (образ счастливой семьи, с удовольствием уплетающей колбасу Останкинского мясокомбината или некоего успешного бизнесмена средних лет, который рассказывает о преимуществах своего банка) — классические, действенные до сих пор методы.
СМИ очень широко используют СИ в пропагандистских целях, и вот лишь немногие из их уловок:
- Навешивание ярлыков, применение к идеологическому противнику слов, по умолчанию несущих негативный оттенок. Примеры: бандеровцы, хунта, исламисты, фашисты.
- Манипуляции общепринятыми в обществе ценностями: моралью, свободой, демократией, духовностью, патриотизмом.
- Так называемый «туз в рукаве», когда на одних фактах делается акцент, другие же сознательно замалчиваются или преуменьшаются в глазах аудитории.
- Апелляция к стадному инстинкту. Известно, что человек склонен делать выбор в пользу большинства, даже если это противоречит его собственному мнению или даже банальной логике и здравому смыслу. Меньшинство же объявляется отщепенцами и маргиналами.
- Перенос мнения отдельно взятого человека или организации на структуры гораздо большего масштаба. Таким образом никому не известная газетенка США в устах российской прессы превращается в “западные СМИ”.
Все эти приемы закрепляются уже упомянутым выше «вдалбливанием», многократным повторением.
Социальная инженерия в преступном мире
Знание техник социальной инженерии даёт огромный простор для разного рода преступных действий. Самый известный пример — так называемый «цыганский гипноз». Кто из нас не слышал истории о том, как люди добровольно отдавали злоумышленникам деньги, прочие ценности, а иногда и переписывали на них свои квартиры и автомобили. Непосредственно гипнотические техники используются преступниками лишь как вспомогательное средство, основу криминального гипноза составляет атака на человеческие эмоции. Умелое использование этих техник позволяет совершать преступления поистине впечатляющих масштабов.
В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Злоумышленник забрал из бельгийского банка ABN AMRO алмазов суммой на 28 миллионов долларов, пользуясь лишь своим обаянием. Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Он выдавал себя за бизнесмена, делал подарки, налаживал коммуникацию. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.
В 2015 году у компании The Ubiquiti Networks украли 40 миллионов долларов. Никто не взламывал операционные системы и не крал данные, правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании и просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.
Яркой иллюстрацией того, на что способен умелый социальный инженер (или синжер), является фильм «Поймай меня, если сможешь». Он основан на реальных событиях, а именно на истории легендарного мошенника Фрэнка Уильяма Абигнейла-младшего. Обладая особым талантом и склонностью к мошенничеству, он в возрасте 16 лет начинал подделывать чеки и обналичивать в разных странах. За пять лет преступной деятельности его фальшивые чеки на общую сумму 2,5 млн долларов оказались в обращении 26 стран мира. Скрываясь от уголовного преследования, Абигнейл проявил удивительные способности в перевоплощении, выдавая себя за пилота авиалиний, профессора социологии, врача и адвоката. Поймать мошенника смогли лишь в 1969 году во Франции.
С приходом цифровой эры возможности для мошенничества значительно расширились. Информация, добровольно выкладываемая людьми в интернет, в том числе и в социальные сети, может быть использована злоумышленниками. Как правило, пользователи оставляют вопросы безопасности без внимания, значительно упрощая им задачу.
Например, 19 апреля 2011 года был похищен 20-летний Иван Касперский, сын владельца и главы «Лаборатории Касперского» Евгения Касперского. Похитители требовали выкуп размером в 3 миллиона евро. Через пять дней злоумышленники были арестованы при получении выкупа, а Иван освобожден. Следствие показало, что злоумышленники, планируя похищение, взяли информацию о расписании жертвы с его страницы в социальной сети.
Социальная инженерия в сети
Схем использования техник СИ в целях мошенничества в сети бесчисленное множество. Остановимся на основных и наиболее часто используемых:
Фишинг
Жертву заставляют пройти на некую страницу и ввести свои личные данные. Как пример: жертве приходит электронное письмо от сервиса Яндекс Деньги, в котором говорится о том, что требуется «реактивация счета». Письмо содержит ссылку на поддельную страницу, в точности копирующую оригинальную, где пользователю предлагается ввести данные своей банковской карты. Причины могут называться самые разные — утеря данных, сбой системы; в эту же категорию попадают подложные лотереи.
Телефонный фишинг или IVR
Мошенник использует телефонную коммуникацию, представляясь сотрудником сервиса и побуждая «клиента» выдать конфиденциальную информацию или совершить некие платежные операции.
«Троянский конь»
Трояны — это вредоносные программы, распространяющиеся под видом легального и функционального ПО. Зачастую неосведомленный пользователь добровольно скачивает программу на свой компьютер, думая, к примеру, что обновляет медиапроигрыватель. Трояны могут осуществлять несанкционированный пользователем сбор и передачу данных третьим лицам, предоставлять хакеру доступ к управлению компьютером, некоторые из них наносят компьютерной системе ущерб. Все программы следует скачивать только из официальных или проверенных источников.
«Дорожное яблоко»
Похожая схема, только здесь роль трояна играет физический носитель — диск, флешка, съемный жесткий диск. Жертва подключает носитель к своему компьютеру, где находит файл, скажем, «взлом интернет магазина». Любопытство играет свою роль, и открывая программу, пользователь устанавливает на свой компьютер вредоносное ПО. «Яблоки», как правило, оставляют в местах общего пользования, либо, если целью является конкретный человек, могут подложить в его личные вещи или оставить на рабочем месте.
Претекстинг
Злоумышленник выдает себя за другого человека и выясняет конфиденциальную информацию. Этот способ требует предварительной подготовки: небходимо знать дату рождения, ИНН, номер паспорта, последние цифры счета, чтобы не вызвать подозрений у жертвы. При этом имеют значение даже мелкие, на первый взгляд незначительные детали. Разговор происходит по четко продуманному сценарию, где мошенник склоняет клиента к необходимым ему ответам и реакциям.
Кви про кво
«Кви про кво» в переводе с латинского языка означает «то за это». Мошенник звонит пользователю или компании, представляясь сотрудником техподдержки и опрашивает на предмет технических неполадок. Если они есть, то хакер начитает их «исправлять»: жертву просят ввести определенную команду, после чего становится возможным установка вредоносного ПО.
Также существует понятие обратной социальной инженерии, когда злоумышленниками заранее создается такая ситуация, в которой жертва сама вынуждена обращаться к ним за «помощью». Самый классический пример: в офисе компании-жертвы вешается объявление о том, что номер телефона службы техподдержки изменился, указывается номер мошенника; затем создаются искусственные обратимые технические неполадки. Сотрудник, общающийся за помощью, готов передать любую информацию, чтобы всё вновь заработало.
Не попасться на удочку мошенников можно только одним способом: внимательно изучить все эти уловки, быть бдительным, при любых обстоятельствах сохранять спокойствие и здравый смысл, не доверять незнакомым людям и организациям. Осторожность — это не паранойя.
Автор: Иван Суворов
Оригинал: https://hydraweb.ru/social_engineering/
