Для человеческой глупости нет патча. - Кевин Митник.(Эксперт по компьютерной безопасности)
Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у хакеров - это атака на человека. Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб целой компании.
Фишинг – (от англ. ловля рыбы) метод, основанный получение информации из-за невнимательности человека. Например, жертве присылают электронное письмо от имени известного бренда или сайта с просьбой авторизоваться из-за технических проблем. Дизайн, стиль письма – всё как полагается, ничего не вызовет сомнений. И человек сделает всё, как написано. И конечно, не обратит внимание ни на адрес отправителя, ни на адрес сайта для авторизации. Всё похоже? В чём могут быть проблемы? А в результате злоумышленник может получить «ключик» не только, например, к электронной почте, но и к электронному кошельку.
Троянский конь, или троян – техника, которая использует любопытство, алчность жертвы. Само название говорит за себя. Человек получает посылку с одним названием, но абсолютно другим содержанием. Самый распространённый вариант, адаптированный к социальным сетям: человек ищет программу для взлома странички социальной сети, качает её, но эта волшебная программа представляет собой обычный вирус.
Дорожное яблоко – техника, которая эксплуатирует любопытство жертвы, и является слегка переделанным троянским конём. Единственное отличие – человек не получает «посылку», а сам её находит. Например, объект «случайно» находит в лифте диск с названием “Информация о сотрудника 2011, только для служебного пользования”. Прежде чем этот честный гражданин отнесёт диск начальству (а может и не отнесёт), он обязательно глянет на содержимое, и тоже подцепит вирус. А тем более, если и отнесёт этот диск, есть вероятность заразить и начальство, и всю компанию. Яркий пример вы могли видеть здесь. Сюда же можно отнести письмо, якобы «не по адресу», но с любопытной ссылкой.
Кви-про-кво – метод, использующий неопытность жертвы. Например, человек звонит в офис «из отдела техподдержки», и тоже сообщает, что в компьютере либо уязвимость, либо просто интересуется о наличии ошибок. А далее просто командует, что нужно делать, причём присутствие самого синжера необязательно, сам сотрудник сам себе навредит.
Обратная социальная инженерия (ОСИ)
Кстати, кроме обычной социальной инженерии используется и обратная социальная инженерия, причём возможно, вместе с любой из вышеперечисленных техник. Её смысл в том, что жертва сама находит синжера. Например, диверсия – жертве могут просто создать обратимую проблему с компьютером. А если ещё и подкинуть рекламу себя в качестве того, кто ремонтирует компьютеры, то можно заполучить сразу всю систему.
Защита
Единственным надёжным средством защиты является антропогенная защита, то есть защиты самого человека. К этому может относиться, например, повышение квалификации персонала в области безопасности или хоть маленькие руководства, как поступать в таких-то ситуациях, даже просто «ЦУ». Но, в конечном счёте, всё зависит от конкретного человека, независимо от того, работает он в компании, или он обычный пользователь социальной сети. При любой «посылке», будь то по телефону, под дверь, или на e-mail, человеку всегда необходимо осознавать «что, от кого, кому, зачем и почему». Если не знаешь, лучше не трогать и проигнорировать. Если не уверен, посоветуйся с другими. Так же имеет место и техническая защита, в частности, фильтрация от спама, дополнительные системы шифрования. Но и их можно обойти.
Примеры социальной инженерии
Для того, что бы знать, от чего именно защищаться, приведу несколько примеров социальной инженерии. Хотя, фактически, их может придумать и использовать любой. Поэтому примеров немыслимое количество, как и их авторов:
Звонок
«Добрый день! Вы Вася Пупкин? Вас беспокоят из прокуратуры Маскалянской области. Скажите, вы зарегистрированы в социальной сети вконтакте.ру под именем Васёк Пупкин? Да? Дело в том, что было обнаружено, что от вашего имени ведётся массовая рассылка материалов экстремистского характера. Вам об этом что-нибудь известно? Нет? В этом случае нам необходимо получить доступ к вашему аккаунту. Мы просто установим IP сканнер, что бы вычислить преступника. Вы можете сообщить пароль?»
Честный гражданин поступит, как сказано. Но вскоре разочаруется. Поэтому обращайте внимание на номер телефона, попросите представиться сотрудника, узнайте, есть ли такой на самом деле. Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у хакеров - это атака на человека. Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб целой компании.
