Мошенничество и социальная инженерия: как не стать жертвой?
Социальная инженерия – это метод получения необходимого доступа к информации, основанный на особенностях психологии людей.
Самое слабое звено в системе обеспечения безопасности – человек.
Почему люди уязвимы для атак?
1. Теряют бдительность.
2. Легко верят полученной информации, независимо от ее источника.
3. Считают соблюдение политики информационной безопасности пустой тратой времени и сил.
4. Недооценивают значимость информации, которой владеют.
5. Искренне хотят помочь каждому, кто об этом просит.
6. Не осознают пагубных последствий своих действий.
Приемы, применяемые злоумышленниками наиболее часто и успешно в попытках манипулировать людьми:
1. Авторитетность
Людям свойственно желание услужить человеку с авторитетом (властью). Злоумышленник получит нужный ответ, если человек уверен, что спрашивающий имеет власть или право задавать этот вопрос.
Пример:
Злоумышленник пытается выдать себя за авторитетное лицо одного из подразделений организации (например, руководителя IT-подразделения) или должностное лицо, выполняющее задание организации.
2. Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека или человека со сходными интересами, мнением, взглядами, либо бедами и проблемами.
Пример:
В разговоре злоумышленник пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Злоумышленник может даже подражать жертве, чтобы создать сходство, видимую общность.
3. Взаимность
Когда кто-то делает что-то для нас, мы чувствуем желание отплатить взаимностью. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его.
Пример:
Злоумышленник звонит по случайному номеру в организации и представляется работником Службы техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» работник отвечает на многочисленные вопросы злоумышленника, зачастую, не задумываясь сообщая злоумышленнику конфиденциальную информацию (например, пароли, учетные записи), вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.
4. Ответственность
Люди имеют привычку исполнять обещанное. Пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия.
Пример:
Злоумышленник связывается с подходящим новым работником организации, выдает себя за работника подразделения и предлагает придумать сложный пароль для доступа к информации. Мошенник пытается давать рекомендации по выбору пароля и в целом довольно ответственно (в глазах сотрудника) подходит к своим обязанностям. Когда сотрудник говорит свой пароль, то мошенник утверждает, что пароль правильный и предлагает его сохранить. Сотрудник следует его указанием, так как чувствует, что согласился с человеком и не хочет его подвести.
5. Социальная принадлежность
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения.
Пример: мошенники приезжает в подразделение с проверкой и называют друг друга по имени. Человек верит им, так как это реальные имена сотрудников компании.
6. Ограниченное количество «бесплатного сыра»
Одна из потенциально опасных для безопасности информации человеческих черт – вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.
Пример:
Злоумышленник рассылает электронные письма, сообщающие, что первые 300 зарегистрировавшихся на новом сайте выиграют 3 билета на премьеру фильма. Когда ничего не подозревающий человек регистрируется на сайте, его просят ввести адрес электронной почты и пароль. Многие люди, даже не задумываясь, введут запрашиваемые данные.
Методы социальной инженерии
1. Претекстинг (Pretexting) - это набор действий, проведенный по определенному, заранее подготовленному сценарию (претексту), в результате которого жертва может выдать какую- либо информацию или совершить определенное действие. Претекстинг предполагает использование голосовых средств связи (телефон, Skype и т.д.).
Пример:
Мошенник звонит человеку и представляется работником Банка. Под каким-либо предлогом он просит сообщить личные данные или данные банковских карт.
Возможно, Вас атакуют, если Ваш собеседник:
проявляет к Вам повышенный интерес;
преувеличенное внимание и заботу;
отказывается дать Вам свои координаты;
обращается к Вам со странной или необычной просьбой;
пытается втереться к Вам в доверие или льстит Вам;
говорит с Вами подчеркнуто начальственным тоном.
2. Фишинг (password harvesting fishing – «ловля паролей») - получение необходимой информации напрямую от владельца без технических мероприятий по взлому и без финансовых затрат при помощи электронной почты, сервисов мгновенных сообщений или SMS-сообщений.
Классическая схема фишинг-атаки:
Вам пришло электронное письмо или SMS-сообщение с просьбой перейти по указанной ссылке.
При переходе по ссылке открывается сайт-подделка.
Вам предлагают ввести Ваш логин и пароль.
Не задумываясь, Вы вводите данные, и готово – злоумышленник уже получил доступ к ранее защищенной информации на настоящем сайте.
Да и без ввода данных, просто после открытия сайта-двойника на Ваш компьютер вполне может попасть некий «троян» непредсказуемого назначения.
3. «Троянский конь» - вредоносная программа, которая используется для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в чужих целях.
Ссылки на зараженные сайты могут быть отправлены по электронной почте, через социальные сети, системы мгновенного обмена сообщениями.
Мобильные вирусы часто доставляются SMS-сообщениями.
Пример:
Многие пользователи Facebook столкнулись c «трояном» Facebook.310, который «перекочевывал» на компьютер пользователя Facebook после того, как он «щелкал» на фальшивый видеоролик с сообщением о необходимости обновления видеоплеера.
Вместо обновления устанавливался «троян» Facebook.310, который действовал в Facebook от имени пользователя: устраивал рассылки, ставил «лайки», писал комментарии, открывал доступ к фотоальбому, вступал в группы и т.д.
Вместе с ним устанавливался второй троян-backdoor IRC.Bot.2344, который обеспечивал злоумышленникам внешнее управление компьютером пользователя Facebook, делая зараженный компьютер частью бот-сети, осуществляющей сетевые атаки на сайты коммерческих компаний и государственных структур, платежные системы.
4. «Кви про кво» (от латинского Quid pro quo – «услуга за услугу») - метод социальной инженерии, заключающийся в обращении злоумышленника к жертве по электронной почте или телефону с целью получения интересующей информации взамен на оказанную «помощь».
Пример:
Человек получает звонок отзлоумышленника, который называет себя интернет-провайдером. Звонящий рассказывает, что некоторые компьютеры заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере.
Злоумышленник делится информацией, как решить проблему. Затем он просит выполнить некоторые действия.
Человеку неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса. Он готов отплатить, сделав что-нибудь для «доброго человека». Например, ответить на пару вопросов…
5. "Дорожное яблоко" - - это разновидность «троянского коня», только вместо письма или SMS-рассылки Вам подкидывают носитель информации, содержащий вредоносное программное обеспечение (флеш-носитель, CD/DVD, переносной жесткий диск и т.д.).
6. Самое тривиальное, но тем не менее опаснейший метод социальной инженерии:
"Подсматривание через плечо" - метод, который включает в себя наблюдение личной информации жертвы через ее плечо.
Обратная социальная инженерия
Обратная социальная инженерия - жертва сама предлагает злоумышленнику нужную ему информацию.
Цель обратной социальной инженерии - заставить жертву саму обратиться к злоумышленнику за «помощью».
«Как такое может произойти? Бред!» – подумаете Вы.
На самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы, пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности.
Пример:
Злоумышленник, работающий вместе с жертвой, изменяет на ее компьютере имя файла или перемещает его в другой каталог.
Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить.
Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы.
Теперь уже жертва просит злоумышленника войти в систему под ее именем, чтобы попытаться восстановить файл. Злоумышленник «неохотно» соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы.
З.Ы. не моё, текст написан по многочисленным статьям в интернете.
В статье собраны пара схем, но они мало показывают картину и механику в целом. Кого данная тема хоть немного заинтересовала очень советую прочитать книгу Кевина Митника "Призрак в сети" - эта книга, его биография где он в очень увлекательной форме показывает мощь социальной инженерии и как она ему помогала просто в житейских ситуациях а так же во взломе лидеров индустрии и оставаться безнаказанным очень долгое время.
Ну и в общем-то нет смысла всему вышесказанному, если у пользователя один универсальный пароль или он хранит свои пароли на бумажке под клавиатурой)