Strong-stuff.ru

Образование Онлайн
1 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Уроки социальной инженерии

Что означает социальная инженерия? Основы манипуляции

Что означает социальная инженерия? Основы манипуляции.

Социальная инженерия это наука, которая позволяет найти коммуникации с людьми и выяснить все что вам необходимо. В статье мы раскроем основы этой интересной науки.

Согласно статистике и практике взломов высокозащищённых ресурсов в большей мере уязвимость находится со стороны людей , которые в силу непрофессионализма, безответственности или недостатка знаний подвергли сервера атакам. Наибольшая проблема – это склонность людей к передаче всей информации и совершению нелогичных действий.

На память приходит история из книги «Психология влияния» : психологи по телефону передавали медсёстрам в больницах соответствующие указания, которые могли нанести ущерб здоровью и даже жизни. Достаточно было представиться врачом и 95% медсестёр следовали указанию «руководителя» .

Стоит учесть, что медперсонал знал последствия после манипуляции, но все равно следовали команде. Естественно, им не давали это выполнить, а возле палаты стаяли ассистенты. Исследуемые даже не попросили врача представиться. Причина, почему медсёстры так поступают, заключается в привычке следовать указаниям авторитетного лица.

Исходя из рассматриваемого примера можно сделать вывод, что за счёт социальной инженерии удалось поразить до 95% больниц.

Метод не устаревает.

Технологический прогресс неуклонно набирает обороты, это приводит к увеличению функциональности и мощности оборудования и софта. Чтобы была возможность отражать атаки или их проводить, нужно всегда быть максимально осведомлённым и следить за нововведениями. Немаловажным фактором является осмотр новых разработок в первых рядах. Самая важная составляющая защиты – качественно, детально уметь анализировать IT-background темы.

Путь хакера начинается по тем же шагам. Современность приводит к необходимости использования всего пары специалистов по узкой направленности для решения отдельных, но важных задач. Центральная цель всей работы заключается в проникновении внутрь защищённой зоны.

Для достижения поставленной цели с большой долей вероятности будет необходимо использование социальной инженерии. Чаще необходимость появляется в течении первых нескольких проектов. Наибольшая ценность специалиста по социнженерии на стадии подготовки и сбора данных. Сверх полученных знаний будет необходимо наложить технологии, они уже требуют углублённых навыков и знаний.

Если компания достаточно большая и обладает специальным отделом безопасности, стоит заглянуть туда и обнаружить нескольких разработчиков с циническим и параноидальным подходом к делу. Они совершенно не доверяют людям и считают этот аспект самым уязвимым. Учитывая количество ценных данных и наработок на ПК сотрудников , такой подход вполне полезен для компании, но полной защиты не гарантирует. Основная задача команды заключается в разделении прав доступа, создании инструкций поведения при критических ситуациях и разработке способов решения проблемы.

При наличии таких кадров в штате можно повысить иммунитет компании, но система все равно останется уязвимой за счёт других сотрудников.

Основной недостаток социнжиринга для разработчиков ПО – это невозможность создать патч или специальную функцию. Для злоумышленников социальная инженерия популярна за счёт длительно периода влияния. Скорее всего механика будет сохранять эффективность всё время, в отдельных условиях могут изменяться небольшие аспекты, но чаще достигается предположительный результат.

Основная модель соц.инженерии.

Очевидно, что все сотрудники имеют различные уровни компетентности в отдельных вопросах обеспечения безопасности, соответственно, им выдаётся должный уровень допуска. Обычные сотрудники не должны иметь доступа к информации, которая может нанести ущерб для компании. Даже если человек окажется засланным агентом или просто обманутым, он не сможет получить особенно важную информацию – этот протокол безопасности используется во всех больших фирмах.

Все звенья цепи и персонал с различными уровнями доступа имеют линейную связь, то есть сотрудник может передать проблему на следующую ступень, там уже разбираются, уполномочены ли они решать ситуацию. Если ответ нет, вопрос передаётся дальше и т.д. Сотрудники могут по этой цепи передать всю необходимую информацию непосредственно к управляющему.

Уязвимость системы заключается в возможности представиться одним из людей высшего уровня. Здесь несколько развитий ситуации:

  • Можно поставить себя авторитетом, аналогично рассматриваемому примеру с врачами.
  • Задать несколько вопросов, которые на первый взгляд невинны и не причинят вреда, но это станет часть мозаики.
  • Получить контакт более высокопоставленного сотрудника, так как распространено понятие взаимной помощи в пределах одной команды.

Редко можно увидеть вопросы из разряда паранойи, когда сотрудник будет выяснять данные звонившего человека и строго следовать регламенту. Можно найти лазейки даже в строгой структуре, ведь эмоции – это неотъемлемая часть человеческой натуры

Проявляете скептицизм? Правильно, но для наглядности можно рассмотреть пример, при котором злоумышленник набирает девушку из call-центра каждую неделю по 2-3 раза на протяжении месяца. Он ничего особого не просит, а представляется сотрудником. Позитивные и активные разговоры позволяют уточнить любые незначительные мелочи. Пользу приносит просьба о небольшой помощи, которая придаёт доверие просившему.

В рассматриваемом примере нет необходимости чётко представляться, вместо этого присутствует факт частого общения. Может потребоваться 10, 20, 30 или 50 раз , до момента вхождения в норму жизни. Девушка будет думать, что звонивший в курсе структуры и мелочей работы компании, так как он звонит постоянно. В следующий раз злоумышленник просит о большей помощи, теперь оператору нужно передать потенциально важные и опасные данные. По необходимости придётся предоставить обоснование и опасность при отказе. Практически любой сотрудник пойдёт ему на встречу.

Вероятно, поселится мысль, что подобному обману подвержены исключительно низко компетентные сотрудники. Это не так, в качестве аргумента можно привести вступление из книги «Искусство обмана» . Здесь рассказывается история о том, что Митник представился ведущим разработчиком проекта, он попросил системного администратора передать доступ со всеми привилегиями к системе. Специалист точно осознавал потенциальный ущерб для работы, но доверился авторитету и побоялся отказать.

Обратная социальная инженерия.

Принципиальных отличий в атаках социальной инженерии не наблюдается, модель приблизительно одинаковая. В случае с обратной методикой также удаётся получить информацию, которая предназначается только пользователю. Отличием является указание нужных данных самим пользователем.

Методика разыгрывается в 3 хода и показывает высокую эффективность:

  • Нужно подстроить трудность или неприятность пользователю.
  • Создать контакт с человеком.
  • Проводится атака.

Для наглядности можно представить, что вы находитесь в охраняемой зоне, ваши полномочия – уборка территории. На стене с номером техподдержки нужно указать собственный контакт вместо правильного номера. Теперь нужно устроить небольшую проблему. Всего через 1 сутки вам поступит звонок от расстроенного пользователя, он готов передать буквально всю информацию, так как ожидает компетентность сотрудника и подразумевает, что всё это специалист и так знает. Проблемы авторизации можно исключить, так как пользователь сам идентифицирует вас как он хочет, остаётся только подыграть.

Одним из самых опасных вариаций обмана является IVR-фишинг. Нужно устроить небольшую атаку на пользователя и прислать письмо с номером центра поддержки. После непродолжительной беседы автоответчик просит указать данные от карты.

Ещё частные случаи.

Фишинг может применяться на любых ресурсах, которые часто используются целью. Поместить на указанный внешний ресурс троянский конь или дезинформацию. Случаи с инфицированием машин компаний стали учащаться в последнее время.

Более муторный способ – передать интересный диск одному из сотрудников. Высока вероятность, что накопитель будет запущен, а софт оттуда запустят. Часто используются соцсети цели для сбора элементов мозаики и общения с отдельными сотрудниками. Выбор уязвимостей действительно огромный.

Резюме.

Посредством социальной инженерии можно собрать данные, а затем их использовать для атаки. К примеру, «Привет! Я потерял/забыл номер Игоря из 4-го отдела, пожалуйста, напомни мне его» . Можно получить даже конфиденциальную информацию: «Хорошо, спасибо. Кстати, у меня стойкое впечатление, что клиент подозрительный, смотри как он осматривал расположение камер в отделении. Подскажи номер карты, которой он пользовался только что» .

Социальная инженерия позволяет обеспечить доступ к защищенной части системы: «Так, проговаривайте, что вы вводите сейчас. Подождите, давайте по буквам. Два-игрик-доллар-пэ-эс-эн большая…» . Продвинутые «хакеры»могут получать конфиденциальные данные. Порой удаётся получить доступ к защищенному серверу, который отключен от сети.

Недавно проводился хакерский турнир, в рамках которого была интересная задача. Перед вами девушка, она всегда стоит на рецепшене, но вы попросили об услуге или устроили деверсию, чтобы она отлучилась. Есть всего 30 секунд, что за это время можно успеть сделать? Установить вирус или программу в систему? Ответ неверный, будет недостаточно либо времени, либо прав. Завладеть документами с рабочего стола или попытаться переадресовать письма себе? Идея рабочая, но вы раскроете свою личность. Даже просто занять её место – это опасное решение, так как высока вероятность скрытой камеры в офисе.

Лучшими решения являются ответы из сферы социального взаимодействия. Заменить стикер с номером техподдержки, после милого общения пригласить на свидание и т.д. За встречу с девушкой вне рабочей обстановки атакующего точно не осудят, но за время встречи можно получить массу полезных данных про иерархию и потенциальные уязвимости сотрудников, вплоть до данных для шантажа.

Защита компании – это основная задача отдела безопасности, но сотрудники не в силах исключить риски социальной инженерии. Чтобы обеспечить лучшую защиту стоит ознакомиться с книгой «Искусство обмана» , некоторые диалоги точно зацепят вас. Полезна информация из книги «Секреты супер хакера» , особенно в главе про социнженерию. Более углублённо можно почитать в «Психология влияния».

При отсутствии большого и продвинутого отдела безопасности стоит ознакомить руководителя компании с информацией, а затем провести собственный тест. С большой долей вероятности удастся узнать многое о доверчивости и склонностях человека говорить «Да» .

Турнир Cyber Readiness Challenge и социальная инженерия.

Кроме технических методов предотвращения социальных угроз (таких как введение общей платформы для обмена сообщениями внутри компании, обязательной аутентификации новых контактов и так далее) необходимо объяснять пользователям, что именно происходит при таких атаках. Правда, это бесполезно, если не совмещать теорию с практикой, а именно — время от времени действовать самому как злоумышленник и пробовать проникнуть в свои же системы. После пары «учебных тревог» и разборов сотрудники, по крайней мере, будут думать, не проверяют ли их при звонках.

Разумеется, для противостояния угрозе нужно «залезть в голову» атакующему вас злоумышленнику и научиться думать как он. В рамках оффлайного турнира Cyber Readiness Challenge, изначально создававшегося как симулятор для обучения специалистов по безопасности, мы не могли пройти мимо этого класса угроз.

Если вы разбираетесь в серверном и системном администрировании, инфраструктуре сетей и других технических вещах, но не учитываете такой прекрасный человеческий фактор, турнир даст вам пару интересных идей.

Социальная инженерия — как не попасться на удочку мошенникам?

В век технологий и интернета управлять людьми стало проще и этому можно научиться. Существуют методы, которые существовали и успешно использовали на заре человечества, которые полностью основываются на психологии и поведении людей в критических ситуациях. Они помогают направлять оппонента в то русло, которое необходимо манипулятору.

Что такое социальная инженерия?

Под термином социальная инженерия (СИ) подразумеваются сразу несколько понятий. Первое относится к социологии и обозначает совокупность методов, изменяющих человеческое поведение, обеспечивающих контроль над окружающими, их действиями. Эти подходы ориентированы на изменение организационных структур, так как самым уязвимым местом любой системы является человеческий фактор.

Читать еще:  Петров испанский 11 урок

В каком-то роде социальная инженерия – это наука, а в сфере информационной безопасности под термином подразумевается незаконный метод получения информации. На сегодняшний день известными приемами пользуются мошенники, пытаясь добраться до «лакомого куска» – конфиденциальной или ценной информации. В начале 21 века понятие было популяризировано, хотя методы для сбора фактов и манипуляции людьми были известны задолго до века компьютерной эры.

Чем занимается социальная инженерия?

Методология управленческой деятельности может быть использована не только в корыстных целях (для мошенничества и хакерства). Социальная инженерия в жизни применяется для решения проблем на производстве, в сфере общественного взаимодействия. Конструируя различные ситуации, специалисты в этой области предугадывают возможные ошибки и варианты поведения людей. Деятельность включает в себя такие процедуры, как:

  • анализ объекта деятельности;
  • оценка его состояния в настоящем и будущем;
  • разработка проекта нового состояния объекта;
  • прогнозирование вариантов развития внутренней и внешней среды;
  • реализация плана.

Как наука, социнженерия развивается по нескольким направлениям: занимается строительством социальных институтов (здравоохранения, образования и пр.), формированием региональных и местных сообществ, целевых групп и команд, строительство организаций. Социальную действительность можно изменить, пользуясь методами предвидения и прогнозирования, планирования и программирования.

Социальная инженерия — психология

Методики и техники СИ заимствуются из практической психологии. Если говорить об использовании науки в обманных целях, очень важно понимать людям, которых затронула социальная инженерия, что это направление неотделимо от психологии и НЛП. Жертва может быть гораздо умнее и образованнее атакующего, но это не поможет ей избежать обмана. Приемы всегда направлены на рефлекторное и шаблонное поведение; они действуют в обход разума, интеллекта и осуществляются на уровне эмоций и подавлении внимания.

Методы социальной инженерии

Техники и приемы социальной инженерии основаны на ошибках и отклонениях поведения, мышления и восприятия. В основном они перешли в пользование манипуляторов из богатого арсенала спецслужб. Хитрость, игра на слабостях и психологии – все это и многое другое используется для получения от человека необходимой информации. Можно назвать базовые методы социнженерии «на все времена»:

  • спешка, создание дефицита времени, чтобы лишить оппонента времени на размышление и проверку данных;
  • провоцирование и ирония (с то же целью);
  • подозрительность и безразличие (чтобы у оппонента появилось желание оправдываться).

Мошенники, использующие методы СИ, постоянно их совершенствуют. Самая популярная схема обмана на сегодня носит имя фишинг (от англ. «рыбная ловля»). Это практика отправления электронных сообщений с целью выудить необходимые данные. Другие известные техники, которые применяет социальная инженерия: троянский конь (когда эксплуатируются алчность и любопытство объекта), перевоплощение или кви про кво (обманщик выдает себя за другого человека), претекстинг (разговор по подготовленному сценарию).

Виды социальной инженерии

В зависимости от способа воздействия на объект обмана СИ делится на два основных вида: прямая и обратная социальная инженерия. Приемы первой были описаны выше, а во втором случае жертва сама обращается за помощью к атакующему. К этому человека вынуждают такие действия злоумышленников, как диверсия (создание обратимой неполадки), вовремя предложенная реклама услуг и оказание помощи. Главная цель обманщиков: вынудить объект поделиться своими данными, предоставить необходимую информацию, но для этого нужно быть немножко психологом.

Социальная инженерия для начинающих

В последнее время социальная инженерия как наука динамично развивается, позволяя регулировать человеческое поведение и осуществлять контроль, но гораздо дольше она существует как методология атак. Профессионалы в этой области успешно обманывали людей на протяжении нескольких десятилетий, и всегда ставка делалась на человеческий фактор: любопытство, лень, страх. Чтобы не попасться в ловушку мошенников, нужно уметь распознавать основные приемы хакеров и понимать, что сведения, которые появляются в открытом доступе, могут быть использованы против тех, кто ими поделился.

Социальная инженерия в социальных сетях

С повышением роли социальных сетей в жизни людей в них успешно применяются методы СИ. На личных страничках люди добровольно сообщают факты о себе и своих близких, охотно вступают в контакт даже с посторонними людьми, особенно если те представляются не тем, кем являются на самом деле. Мошенникам легко создать поддельную страницу любой влиятельной организации или известной фирмы и расставлять там свои «капканы». В открытом доступе все на виду, но ничего нельзя проверить.

Социальная инженерия и фейки с целью наживы и обмана распространены в социальных сетях. Здесь работают и другие приемы, основанные на любопытстве (желание зайти на интересную страницу, попытаться узнать больше о другом пользователе) и страхе (мошенники представляются сотрудниками органов и требуют доступ к аккаунту или просто предлагают установить антивирус). Атака социальной инженерии успешна, если мошенник действует смело и дерзко.

Социальная инженерия и НЛП

Нейролингвистическое программирование (НЛП) представляет собой способ использования знаний, полученных из различных областей: лингвистики, нейрологии и психологии – с целью склонить оппонента к принятию «нужного» решения. Управление нервными процессами происходит с помощью языковых средств. Принципы социальной инженерии, базовые техники и убеждения взяты из НЛП. На жертву воздействуют «в реальном времени», требуя немедленного принятия решения, обращаются к подсознательным установкам индивида.

Социальная инженерия — заработок

Использование техник приносит результат, и на манипуляции другими людьми можно неплохо подзаработать, но эти способы будут нелегальными, связанными с обманом граждан, несанкционированным получением информации и доступа к чужому кошельку. Социальная инженерия профессия – имеет место быть, но как разновидность социологии. «Продвинутые» инженеры нужны в бизнесе, органах управления и правопорядка, сферах общественной и хозяйственной жизни. Их задачи: оптимизировать управление, взаимодействие, решать возникающие проблемы.

Социальная инженерия — книги

В наши дни социальная инженерия вызывает большой интерес в обществе. Цели могут быть разными, но интерес к методологии управления постоянно подогревается. Чтобы научиться манипулятивным приемам и техникам, можно прочесть книги про социальную инженерию, написанные Кевином Митником, бывшим хакером, который взломал информационные системы крупнейших мировых компаний. Это такие издания, как:

  1. «Искусство обмана» — сборник историй, раскрывающих секреты социальной инженерии.
  2. «Искусство вторжения» — вторая книга серии об атаке через компьютеры.
  3. «Призрак в сети». Мемуары величайшего хакера» — невыдуманная история, демонстрирующая опыт Митника.

Каждый может научиться управлять действиями других людей и использовать свои знания в добрых целях. Направлять собеседника в «правильное» русло – безусловно, удобно и выгодно, иногда для обеих сторон, но важно различать других потенциальных хакеров, манипуляторов, обманщиков и не попасться на их удочку. Многолетний опыт СИ должен быть использован на благо общества.

Социальная инженерия – технология «взлома» человека

Рубрика #profiling #hackandsecure

Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.

Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.

Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.

“Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.

Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Я ещё это называю “brain hack”. Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).

Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами. Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета снимутся все деньги, а не только 500р. Для технически грамотного хакера это совсем не проблема.

Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Друзья, представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Все просто — поставьте себя на ее место. Ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.

Читать еще:  Полиглот английский за 16 часов урок 14

Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:

1. Создал личность прикрытия (брат) и хорошую легенду, которую наполнил реальными фактами, которые доказывали, что это именно он. Место, где они гуляли с друзьями (геопривязки Инстаграмма); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.

2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого афериста — заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.

3. Использовался один очень сильный механизм влияния — давление на жалость (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.

Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния –принцип контраста, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.

Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.

Статья Социальная инженерия в примерах

denez

Well-known member

Социальная инженерия — это своеобразное искусство. И овладевание им означает профит для злоумышленника и потерю денег, личной информации, и много чего ещё для жертвы социального инженера.

Обычно, соц инженерия используется вместе с техническими средствами. Однако, как доказал Кевин Митник, это не всегда так. Кто не слышал про Кевина Митника, тот, видимо, живёт на луне, и для того я объясню. Кевин Дэвид Митник — знаковая фигура в сфере информационной безопасности. Консультант по компьютерной безопасности, писатель, бывший компьютерный хакер. В конце XX века был признан виновным в различных компьютерных и коммуникационных преступлениях. В 12 лет Кевин от одноклассника узнал множество способов мошенничества с телефоном, в частности, о том, что, действуя от имени другого человека, можно выпытать нужную информацию. Кевин научился перенаправлять сигнал домашнего телефона на таксофон, веселясь от того, что владельцев домашних телефонов перед разговором просили опустить 10 центов. Он совершал огромное количество взломов просто по телефону. Разумеется, одним телефоном он не ограничивался, в 17 лет он совершил свой первый взлом, он взломал школьную локальную сеть, но эта статья не о Кевине,поэтому про него закончим

Где-то год назад можно было зайти на любой вопрос на сервисе ответов mail ru и увидеть там около 2-3 ответов с текстом — “ответ здесь” и ссылкой на якобы запись на стене в вк. Приложил бы скрин, да видимо всех горе социальных инженеров забанили и эти ответы удалили.

Приёмы социальной инженерии

  1. Провоцирование
  2. Влюблённость
  3. Безразличие
  4. Спешка
  5. Откровенность

Теперь подробнее…

Провоцирование, оно же троллинг, это способ, при котором жертву выводят из себя, и в порыве гнева она не способна сдерживать информацию, соответственно, получить необходимую информацию тогда гораздо проще.

Ну это, как в сказке иван царевич и серый волк. Главный злодей был разозлён и из-за этого совершил грубейшую ошибку, сказал, что будет делать всё назло заложникам. Далее ему сказали, что-то вроде я буду очень зол если ты меня развяжешь. Пример грубоват, зато понятен будет всем.

Влюблённость, это способ когда социальный инженер влюбляет в себя свою жертву, после чего аккуратно выуживает из неё всю информацию, а в особо “тяжёлых” случаях спрашивает напрямую.

Нечто подобное было описано в видео overbafer1, там он показывал, как создал страницу от имени девушки, нашёл потенциальную жертву, начал с ней переписку и через несколько аудиозаписей (ясно какого содержания) и некоторое время переписки, он уже мог получить очень многое, будь то 50 рублей на телефон или практически любую частную информацию.

Приём, при котором атакующий симулирует безразличие к какой либо теме, важной для жертвы. Нужно понимать, что не всегда человек будет переубеждать вас, а если вы скажете, что вам это не важно, а потом проявите интерес, это будет как минимум странно. Поэтому важно, чтобы жертва сама захотела вас переубедить!

У главы охранной компании банка есть подруга, и однажды этот глава разговорился с ней о своей работе, но она этот разговор прекратила, сказав, что ей неинтересна его работа, он же, любя и уважая свю работу, начал её переубеждать. Там как повезёт, либо он будет доказывать только на словах, либо и в банк проведёт, и коды от системы безопасности ей покажет.

В этом способе манипулятор изображает, якобы нужно сделать всё быстро , тем самым отнимает у жертвы последнее время на раздумья. И она под гнётом спешки делает то, что нужно манипулятору.

Такое случается очень часто. Приходит СМС с текстом — “Мам, срочно, нужно 1000 рублей на этот номер”. Разумеется, если вы мужчина, вы не можете быть чьей либо матерью, вы посмеётесь и закроете сообщение. Но если вы мать, так ещё и немолодая, то вы , не раздумывая, отправите, скорее всего. А свою ошибку вы осознаете позже.

Здесь, всё проще некуда. Согласитесь, если вы долгое время (2-3 месяца) общаетесь с человеком, и знаете о нём всё, как вам кажется, вы доверяете ему. Если он у вас что-либо попросит вы, конечно, спросите, зачем ему это, однако в итоге скорее всего отправите ему то, что от вас требуется, будь то деньги (в адекватных пределах) или какая-либо информация.

У вас есть знакомый, с которым вы общаетесь около полугода, знаете где он живёт, как его зовут, его номер, говорили с ним по телефону, знаете его голос, даже видели несколько его фото, и тут он пишет, что ему нужно 1000 рублей, вам не сложно, но возникает вопрос — зачем? Ответ получен — нехватает на оплату кредита, притом он ранее говорил, что он взял кредит. Всё сходится, ему действительно нужны деньги — отправлю! Деньги отправлены, ровно также, как и вы в чёрный список. Конечно, не думаю, что злоумышленник за свои полгода времени потребует всего 1000 рублей, но смысл ясен.

Думаю, ясно, что не нужно доверять людям без какой либо проверки, даже если вы общаетесь с ним несколько месяцев. Также не стоит злится из-за каждого тролля в сети.

Доверяй, но проверяй

Что ж, за сим я откланяюсь, а вам желаю хорошего дня, железных нервов и головы на плечах.

праведник

denez

Well-known member

grayuser

denez

Well-known member

вчерашний праведник

ghostphisher

гарант codeby

denez

Well-known member

SearcherSlava

Здрав будь, друже! Камо грядеши? Ты, как всегда, прав, все дело в точке приложения сил и нашем восприятии, сформированном многими факторами с самого детства, откуда все мы родом, те, кто хочет быть обманутыми, будут обманутыми, те, кто хочет обмануть обманутых, их обманут, помимо МММ, сколько было разводил пожиже типа гербалайфа, орифлейма и т.д, и сейчас на манеже все те же только под другими вывесками, самое грустное во всем этом то, что постоянная константа таких дел была, есть и будет есть, потому что в любой выборке людей найдутся те, кто «захочет и поверит», и тут же будут обработаны теми, кто профессионально разбирается во всех тонкостях и делает на этом свой гешефт, не заморачиваясь моральной стороной вопроса, возможно, со временем, на основании причинно-следственных связей, и этих разводил разведут пожиже, но это уже совсем другая история, а что касаемо учащихся на своих и чужих ошибках, то, как гласит народная мудрость, скупой платит дважды, глупый трижды, а кто-то всю жизнь.

Valkiria

Нет, он не прав !
Он в своём сообщении играет краплёной колодой.
Он зачем-то приводит в пример Анжелину Джоли и как-то связывает её жизнь с социальной инженерией.
Тут не только нет правды, тут логики нет.
Комментари излишни.

Такими вещами, как социальная инженерия, нейро-лингвистическое программирование, нужно играть осторожно.
Далеко не каждый человек умеет управлять своими чувствами, не то что контролировать чувства посторонних.
Нужно представлять, что делаешь и к каким последствиям могут привести итоги инженерии.
Физическая травма заживает быстро. Человек привыкает и приспосабливается к жизни, какой-бы тяжёлой она не была.
Психологические травмы — могут иметь намного более тяжёлые последствия.
Они заживают дольше. Порою — всю жизнь.

Если мои слова кому-то не доходят, я постараюсь растолковать на более понятном языке.

SearcherSlava

Нет, он не прав !
Он в своём сообщении играет краплёной колодой.
Он зачем-то приводит в пример Анжелину Доли и как-то связывает её жизнь с социальной инженерией.
Тут не только нет правды, тут логики нет.
Комментари излишни.

Читать еще:  Уроки компас 3d 17 v

Такими вещами, как социальная инженерия, нейро-лингвистическое программирование, нужно играть осторожно.
Далеко не каждый человек умеет управлять своими чувствами, не то что контролировать чувства посторонних.
Нужно представлять, что делаешь и к каким последствиям могут привести итоги инженерии.
Физическая травма заживает быстро. Человек привыкает и пориспосабливается к жизни. какой-бы тяжёлой она не была.
Психологические травмы — могут иметь намного более тяжёлые последствия.
Они заживают дольше. Порою — всю жизнь.

Если мои слова кому-то не доходят, я постараюсь растолковать на более понятном языке.

Здрава будь! Давай сменим гнев на милость и разрешим Глюку быть неправым на этот раз, а там, глядишь, и нам зачтется по жизни.
Он зачем-то приводит в пример Анжелину Джоли — предположительно, тут два момента, первый — она кому-то тайно или явно нравится и по этому поводу у каждого из этих граждан свои половые перверсии, опять же на основании сформированных стереотипов кем-то извне и тд и т.п, о стереотипах сознания блестяще изложено у У.Липпмана, так сказать, классика жанра, второй момент — аватарка, это образ, который растиражирован и показываем в миру для формирования стандартов и общественного мнения в какой-то мере, а вот что, а точнее, кто стоит за всем этим стоит и что там происходит и для чего, зачем, для каких целей и какими средствами все это делается, об этом стараются не упоминать и не распространяться на эту тему, и, если что, то это обычно подается как «это его проблемы».

СИ и НЛП в большинстве своем изучают и применяют только лишь для извлечения собственной выгоды, до неофитов и еже с ними никому нет никакого дела, у многих людей, скажем так, от природы, не заполнен один из секторов на жестком диске, и, когда они приходят сами, по своему любопытству, или их кто-то приводит, как клиент клиента для своего %, то опытные товарищи на семинарах заполняют этот сектор и далее работают уже с локальной группой, дело очень быстро сводится к жесточайшей дисциплине и подчинению, управлению сознанием, далее возможны различные варианты, на усмотрение старших товарищей, самое печальное, что это можно показать на любой выборке, независимо от социального положения, пола, возраста, и т.д, многовариантные возможности.

Психологические травмы — могут иметь намного более тяжёлые последствия. Они заживают дольше. Порою — всю жизнь.
Очевидно, много пережила и повидала, если так пишешь, тема очень глубокая и у каждого своя.

Если мои слова кому-то не доходят, я постараюсь растолковать на более понятном языке. Есть ньюанс, заключающийся в том, что если потерпевший — жирный котик, то расследованием будут заниматься, а если это обычный человек, то шансы найти правду равны нулю и стремяться к максимальной бесконечности, скажут, не выдержал жизненных невзгод и самостоятельно перешел на другую частоту, хотя и в том и другом случае могут просто найти идеального кандидата на позицию виновного, в зависимости от чьих-то интересов.

Социальная инженерия – технология «взлома» человека

Рубрика #profiling #hackandsecure

Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.

Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.

Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.

“Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.

Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Я ещё это называю “brain hack”. Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).

Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами. Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета снимутся все деньги, а не только 500р. Для технически грамотного хакера это совсем не проблема.

Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Друзья, представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Все просто — поставьте себя на ее место. Ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.

Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:

1. Создал личность прикрытия (брат) и хорошую легенду, которую наполнил реальными фактами, которые доказывали, что это именно он. Место, где они гуляли с друзьями (геопривязки Инстаграмма); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.

2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого афериста — заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.

3. Использовался один очень сильный механизм влияния — давление на жалость (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.

Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния –принцип контраста, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.

Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.

Ссылка на основную публикацию
Adblock
detector