Социальная инженерия
Сперва стоит обмолвиться, что статья по передовым меркам устаревшая и в ней находятся определенные недостатки. Делайте поправку на это событие.
Не так давно одна моя известная тетя 41 года от семейству сперла из магазина платье. Мы в ударе сообщаем ей, типа как ты это сделала? Там так как камеры.
Она ответила: “Подхожу к менеджерам и говорю, я кошелек утратила, дайте с камер наблюдения посмотрю.” Ей отвечают, что в супермаркете нет работающих камер и, что они все обычные муляжи. После этого она легко сперла платье и ушла.
Эта забавная зарисовка, полученная с просторов Российского интернета, крайне убедительно и просто демонстрирует всю сущность термина, о котором наверняка многие довольно часто знали, а, убежден, что абсолютное большинство не осознает подлинное его значение.
Данный пост начинает линейку статей о социальной инженерии, а в этом мы просто разберемся с самим термином, стандартными атаками и определенными способами.
“Социальная инженерия” (social engineering) — это набор разных психических методик и жульнических способов, задачей которых является получение секретной информации о человеке мошенническим методом.
Секретная информация — это логины/пароли, собственные интимные данные, компромат, номера банковских карт и все, что может доставить финансовые или репутационные издержки.
Само понятие пришло к нам из сферы хакинга. Взломщик — это человек, который ищет уязвимости в компьютерных системах, иначе говорят — «взламывает». Какое отношение, на первый взгляд, к данному имеет социальная инженерия? Все просто.
В один миг времени хакеры поняли, что главная уязвимость в любой системе — это человек, а не машина. Человек, в точности также, как и ПК, работает по некоторым законам.
Применяя скопленный населением земли опыт в психологии, манипуляциях и механизмах воздействия, хакеры стали «взламывать людей». Дам пример получения выгоды способом социальной инженерии (пример про компетентного социнженера).
Злодею надо получить от вас какую-то сумму денежных средств. Предположим, он обнаружил ваш смартфон и соцсеть. Проводя поиск по сети-интернет (об интернет-разведке декламируем свою статью здесь), он также нашел, что у вас есть брат.
Обнаружил его соцсеть и начал ее изучать, чтобы пробраться в вид его идей. Также он обнаружил его смартфон для страховки и открыл переписку, где обнаружил сведения с вами (несколько летназад это делалось достаточно легко). Он их исследовал и узнал различные собственные факты о вас, что улучшило его познания после просмотра ваших социальных сетей.
Дальше был создан план, который содержал следующее: мошенник названивает вам рано вечером и притворяется вашим братом, говорит, что ему протаранили голову и скинули где-то на улице, сперли телефон и все деньги с картами (так оправдывается, почему вам названивает чужой номер).
Важно, что направился он к вам не по имени, а по кличке, которое увидел в личной переписке — это крайне значительный момент. Дальше он для правдоподобности говорит, например, что находился с какими-то вашими всеобщими товарищами в месте, в которое вы довольно часто ходите — кафе-бар, клуб, не имеет значения (фото и геопривязки в помощь).
Дальше после такого повествования он говорит, что опекунам основное не говорить! У отца же сердце болезненное (из развороченного разговора узнал).
После этого необходимо что-нибудь типа: «Скинь мне 500р на такси до больницы» — и дает номер карты, говоря, что тут рядом проходила добродушная женщина, которая помогла ему, однако у нее нет денежных средств, но несмотря на это есть карта. В 8 случаях из 10 после такого компетентного подхода наша измышленная сестра деньги перебросит, а затем с ее счета гипотетически могут сняться все деньги.
Раскрою секрет, действительно, “эта сестра” не измышленная. Этот пример на самом деле случился с одной неимущей девушкой около 3-х лет тому назад.
С ее карты сняли 500р + еще 22 000р. Все, что на ней находилось, в целом. В этом образце может показаться немного необычным несколько вещей. Очень многие заявят, как она не узнала его голос? Представьте, как искривляется голос человека, когда человек говорит на чувствах, оглушительно, с чужими звуками и т.д.
Также сестра лежала, а спросонья узнать голос еще труднее. Иная особенность — почему она , не задумываясь, перебросила деньги и не позвонила товарищам вопрошать, куда девался ее брат, после того, как они разошлись? Установите себя на ее место: ночь, расступается звонок, тебе выдают факты, которые знаете лишь вы с братом + это Крайне Родной человек.
Зацепить чувства, которые выключают логику — просто, если правильно все донести, проделав заблаговременно солидную аналитическую работу.
Так вышло и в этом случае. Почему же тогда в 8 случаях из 10 такой план включится, а не в 10? Хакеру могло не повезти и брат, мог заметить, что его страницу разломали, а в этой истории роль сыграло время.
Он открыл его в ночь, из-за этого, брат ничего не нашел, а жене брата наша жертва позвонила после того, как перебросила деньги, в связи с тем что “брат” заявил ни при каких обстоятельствах не говорить ей про это.
Когда потерпевшая все-таки не перенесла и позвонила жене на чувствах, выяснилось, что настоящий брат умиротворенно лежал с ней рядом, и наша героиня все поняла. Так вот, давайте разберем по пунктам, что применял взломщик в этом случае:
1. Сделал легенду (брат) и заполнил ее настоящими прецедентами: место, где они прогуливали с товарищами (геопривязки); факт о том, что у отца болезненное сердце; обращение к потерпевшей по кличке, которое применялось в личной переписке и т.д.
2. Это было произнесено достаточно быстро и регулярно подгонялось. Основное правило любого мошенника— вынудить человека не размышлять, а регулярно что-нибудь делать. Этот душевный прием называется “контроль внимания”.
3. Применялся 1 крайне мощный механизм воздействия — “давление на жалость” (обращение к чувствам). В этом случае в силу того, что был раунд глубочайшей проработки психических портретов (профилей) жертвы и ее брата, это выдало замечательно и припустило еще от того, что это родной человек.
Другой любопытный пример — то, как можно легко получить ваш рабочий логин и пароль. Названивает вам «сисадмин» с работы в 8.00 утра в понедельник и говорит: «Слушай, у нас здесь технические работы, бла-бла-бла, груда разных слов сложных…не должен бы ты подъехать? Нужно открыть ваш компьютер». Вы про себя полагаете: «Приехать на работу в понедельник днем для 1 мин, чтобы ввести логин и пароль?!» И вопрошаете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль.
Данные образцы лишь капли в море из вероятных сценариев, по которым социальные техники могут добраться до наших страстей и пользоваться ими. В следующем разделе ознакомимся ближе с определенными из их способов.
Кардинг. Этот тип мошенничества включает в себя разные действия и манипуляции с картами, реквизитами и т.д. Раньше, в 90-х гг., этот тип мошенничества преуспевал. Применялись различные устройства, которые на банкоматах считывали реквизиты, пин-коды и пароли. В настоящее время, разумеется, защита терминалов абсолютно на другом уровне, а кардинг целиком не ушел.
Фишинг. Это тип мошенничества, который буквально с английского переводится как “рыбная ловля”. К чему такая параллель? Главная сущность этого метода — это овладение вашими логинами и паролями от значительных веб-сайтов, аккаунтов, счетов в банке и т.д. методом рассылок с вредными посланиями на e-mail, или направление вас на жульнические веб-сайты. Как вы видите, этот тип атаки глобальный, а не отдельный, поэтому “фишинг”. Ставится сеть и затем залезает доход. Разберем подробно данные образцы, чтобы вы осознавали, как это работает.
На примере с посланиями все достаточно легко. Вам наступает послание на вашу почту, предположим, от банка, где написано что-нибудь типа: “Уважаемый клиент, с вашим аккаунтом случился сбой, надо доказать вашу личность, пройдите по такой-то ссылке…” Главная цель подобных корреспонденций перевести вас по сноске. Советуем зайти на сайт https://versia.ru/socialnaya-inzheneriya-pomogla-severnoj-koree-stat-bogache-na-15-mlrd если нужно будет больше информацции по данной теме.
Когда вы надавите на нее, думайте, что ваши собственные данные в кармане у жулика. Другой пример — фишинговые веб-сайты. На них как правило также создают “проблему” или, как говорят продажники, “боль клиента”, и пишут, что вам надо заполнить форму (логин/пароль) и зарегистрироваться.
После этого ваша “проблема” определится. Выполнив это, вы своими руками посылаете все свое имя в карман жулику. Как вторая картинка: время от времени для скачивания какого-нибудь документа вас просят написать собственный номер мобильного телефона, чтобы доказать, что вы настоящий человек, будто бы. Сверху, как правило, идут комментарии вроде «Написал собственный номер и закачал, все очень хорошо, не развод!» Подобного рода комменты призваны поселить в вас доверие.
На данный момент ИБ (информационная безопасность) пришла крайне далеко вперед, как и разработчики поисковых машин, которыми вы пользуетесь. Из-за этого абсолютное большинство сервисов могут устанавливать фишинговые послания (они посылают их в мусор) и вредные веб-сайты.
Ну и затем, обычные антивирусные программы делают это еще лучше. А, пока или к великой радости, прогресс — всегда двусторонний процесс. Когда создаются новые системы защиты, мошенники также улучшают методы нападения. Из-за этого до настоящего времени фишинговые атаки популярны и, если послания/веб-сайты правильно составлены (психологически и зрительно), все равно есть шанс угодить на удочку.
Фарминг. Этот тип мошенничества более небезопасен, чем фишинг, впрочем и прямо сопряжен с ним. Это сокрытое пересылка клиента на неверный IP адрес.
Механизм достаточно простой: социальный инженер заводит в интернет особые вредные программы, которые в состоянии поддеть любой клиент на собственный PC, если тот не сильно предохранен. Функция этих программ перенаправлять людей с разных стандартных веб-сайтов на фишинговые. Метод крайне небезопасен тем, что клиент довольно часто не замечает замены.
Взлом соцсетей. Бывает и такое…специально выпачкал контакты данных “недалеких ребят”. Иллюстрация обнаружена на “Яндекс-картинках” и это бред!
Крайне популярный вид мошенничества в наши дни. Тут все очень просто. Убежден, что любого разбирающего этот пост по крайней мере 1 раз да “ломанули”. Очень многие заявят, что это ерунда — заменил пароли, установил двухфакторную аутентификацию и все, проблем нет. С этим я дам согласие, а как быть если разломали вашего известного, и он сообщает вам с какой-нибудь просьбой (как правило “скинь денежных средств на карту”)? Вычислить профана в этом деле легко, а отличного социального инженера значительно труднее.
Хороший злоумышленник отлично исследует переписку с собственной жертвой (если корреспонденция не удалена), чтобы знать манеру ведения разговора, факты, которые объединяют 2-ух людей и т.д.
Неприятность лишь в том, что как правило у него на то есть мало времени, в связи с тем что тот, кого он открыл, это осознает, поскольку не в состоянии зайти через собственный аккаунт к себе на страницу, плюс, ему может придти SMS. Если мошенник высококачественно выполнит заблаговременно данную работу, и при этом быстро, то шанс того, что все выйдет сильно растет.
Так и было с образцом из первой части про брата и сестру. Там, правда, взломщик открыл переписку лишь для получения информации, которую затем применял при телефонном диалоге и сделал это в ночь, когда времени у него было значительно больше.
Также шанс сильно понижается, если вы хорошо знаете манеру переписки человека, а злоумышленник знает ее плохо. У меня был курьез, когда у одной подружки взломали другую подружку и та ей начала писать и требовать выкинуть денежных средств на телефон. Подружка “спалила” что ту взломали, поскольку она установила 3 смайлика подряд, которые та никогда в жизни не применяла в их переписке.
Смс-атаки