Как СИ атакует компании/фирмы
Разговор о соц. инженерии можно продолжать бесконечно, но это не защитит от злоумышленников всех мастей. Среди них попадаются настолько талантливые парни, которые используют нестандартные и изощрённые методы. Типовых противодействий социоинженерам не существует. Каждая ситуация требует индивидуального подхода. Расхлябанность, халатность сотрудников и любительство попиздеть в соц.сетях с рабочей пекарни - главные дыры в системе безопасности фирмы/компании.
Многие компании думают, что проблема безопасности решается просто, аппаратными и програмными средствами. Да нихуя, не так все просто. Технологии защиты, которым привыкли доверять - фаерволлы, средства идентификации и шифрования, системы обнаружения атак и прочие, малоэффективны против хакеров, использующих СИ и ОСИ (социальная и обратная социальная инженерия). Современные тех. средства защиты достигли уровня, когда на взлом затрачивается очень много времени, либо цена защищаемой инфы, меньше расходов на её добывание.
Сейчас приведу несколько примеров, какими изощренными способами хакеры получают от фирм нужную им инфу, пользуясь глупостью и слабостями сотрудников. Имена сотрудникам я придумаю, чтоб не запутались.
1) Люду отловили в контактике. Разыгрался целый спектакль. Сначала к ней прицепился гадкий "тролль" который ходил следом и цеплялся ко всему. Затем, на сцену выступает "защитник", который виртуозно размазывает тролля и тот посрамлённый, исчезает с её поля зрения. Люда рассыпается спасителю в благодарностях и между ними завязывается непринуждённая переписка. Как и нужно по сценарию, у спасителя находятся общие интересы.
Женщина даёт свою почту, которая очень понадобится в дальнейшем. Выбирается момент, когда Люда заходит с рабочего компа, "друг" просит её достать через свою фирму комплект именно такого белья для жены, как на картинке, которую он скинул ей на почту. К ней прикручен приватный троян. Вуаля!
2) Трусливая и осторожная Юля. Нашлось с чем подкатится и к ней - шантаж. Эта овечка распиздела в привате, своей надёжной виртуальной подружке о своих гулянках от мужа. Опасаясь за распад семьи, она была согласна пойти на мелкое должностное преступление, которое вылилось в ощутимые убытки для фирмы.
Метод, рассказать всё об изменах ревнивым мужу/жене, один из распространённых. И не важно, было это на самом деле или нет. Для этого не обязательно устанавливать скрытые камеры или заниматься фотомонтажом, достаточно быть хорошим рассказчиком и суметь убедить собеседника.
У ревнивых людей, зачастую мозги отключаются напрочь, стоит только намекнуть об измене.
3) Охуевшая и хамовитая Надя... которой всё до пизды и до дверцы. Троллингом не прошибить, мужа она на хую видала. Зацепка и у неё нашлась - 14 летняя дочь, с которой у неё серьёзные конфликты. Шантажировали тем, что расскажут девочке, что она не родная - удочерённая. Вероятность того, что ребёнок поверит постороннему, далеко не нулевая, что нанесёт глубокую душевную травму. Додавили этим и женщина дала согласие сливать полезную инфу.
4) Как бы не был хорош начальник, всегда найдётся кто-то им недовольный. Назовём Светой. Не получилось у неё стать старшим менеджером, директор выдвинул другого сотрудника. Раз не получилось подняться на ступеньку выше, значит и зарплата осталась прежняя. Жадная Света, поколебавшись и поторговавшись, согласилась помогать "конкурентам".
5) А такой, как вороватый и недалёкий бухгалтер Миша, просто находка для взломщиков! Этот сотрудник пригодится, когда нужно украсть деньги фирмы, не только информацию. Которого попросят о мелкой услуге, пообещав приличную сумму, угонят все деньги, часть из них, положат ему на счёт и после сообщат директору фирмы/компании, у кого искать пропавшее. И ему будет чрезвычайно трудно доказать, что он не брал и не сможет объяснить, откуда у него взялась та крупная сумма, которая была переведена за услугу.
Так что, кругом останется виноват. Путь денег, кто перевёл, отследить трудно, но можно. Но, такие дела проворачиваются через подставные лица. Даже будучи пойманным, хакер заявит, что он не главарь, а всего лишь исполнитель, если он оставит себе меньшую часть сворованного, эта легенда будет звучать весьма убедительно. И загремит Мишаня по полной!
Теперь переходим к самому интересному...
ОБРАТНАЯ СИ. Это вид атаки, в которой атакующий создаёт ситуацию, где жертва сталкивается с проблемой и бежит к атакующему за помощью. Производится диверсия. К примеру, зависает жертва в рабочее время в своей любимой соц.сети и вдруг не может туда зайти или в почту. Атакующий уже знаком с ней заранее, общается и позиционирует себя, как компьютерный гуру. Не побежит же человек с этими траблами к своему админу, от которого может легко огрести пиздюлей, а попросит помочь виртуального знакомого. Он и поможет "добрыми советом", влезь туда-то, выполни команды такие-то и запустит с помощью жертвы троян или вирус в системе компании... Организация этого вида атаки, особенно привлекательна для атакующего.
Рассмотрим ещё несколько методов...
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Ж1 2018". Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство или просто добрый самаритянин отнесёт диск в компанию - вот, ваше валялось.
Если компания крупная, где все не знают друг друга или разные офисы в одном здании, хакер запросто может зайти в нужный кабинет с диском/флешкой и сказать - Вам передала МарьВанна или Пётр Иваныч, документы, софт, да что угодно.
Устроился хакер разносчиком обедов. Обслуживал компанию, которая интересовала и как бы мимоходом общался с женщинами. В разговорах проскакивало, жена похудела по супер методе - упражнения на видеоуроке записаны. Полные женщины очень заинтересовались, просили скопировать диск и пожелали купить. Вирус был внедрён, причем куплен за деньги. Толстожопым барышням не терпелось узреть волшебный видеоурок и поспешили зарядить диски в рабочие машины. Добро пожаловать!
Вот они подлые схемы социальной инженерии. С помощью них злоумышленники получают то, что им нужно и тем самым, избавляют компании от "слабых звеньев". Люди теряют работу, и все потому, что они стали жертвами СИ. Представляю, сколько людей кляли свою глупость. И жалко и не жалко их. Двойственное чувство.