64

Что означает социальная инженерия? Основы манипуляции

Социальная инженерия это наука, которая позволяет найти коммуникации с людьми и выяснить все что вам необходимо. В статье мы раскроем основы этой интересной науки.


Согласно статистике и практике взломов высокозащищённых ресурсов в большей мере уязвимость находится со стороны людей, которые в силу непрофессионализма, безответственности или недостатка знаний подвергли сервера атакам. Наибольшая проблема – это склонность людей к передаче всей информации и совершению нелогичных действий.


На память приходит история из книги «Психология влияния»: психологи по телефону передавали медсёстрам в больницах соответствующие указания, которые могли нанести ущерб здоровью и даже жизни. Достаточно было представиться врачом и 95% медсестёр следовали указанию «руководителя». Стоит учесть, что медперсонал знал последствия после манипуляции, но все равно следовали команде. Естественно, им не давали это выполнить, а возле палаты стаяли ассистенты. Исследуемые даже не попросили врача представиться. Причина, почему медсёстры так поступают, заключается в привычке следовать указаниям авторитетного лица.


Исходя из рассматриваемого примера можно сделать вывод, что за счёт социальной инженерии удалось поразить до 95% больниц.


Метод не устаревает

Технологический прогресс неуклонно набирает обороты, это приводит к увеличению функциональности и мощности оборудования и софта. Чтобы была возможность отражать атаки или их проводить, нужно всегда быть максимально осведомлённым и следить за нововведениями. Немаловажным фактором является осмотр новых разработок в первых рядах. Самая важная составляющая защиты – качественно, детально уметь анализировать IT-background темы.


Путь хакера начинается по тем же шагам. Современность приводит к необходимости использования всего пары специалистов по узкой направленности для решения отдельных, но важных задач. Центральная цель всей работы заключается в проникновении внутрь защищённой зоны.


Для достижения поставленной цели с большой долей вероятности будет необходимо использование социальной инженерии. Чаще необходимость появляется в течении первых нескольких проектов. Наибольшая ценность специалиста по социнженерии на стадии подготовки и сбора данных. Сверх полученных знаний будет необходимо наложить технологии, они уже требуют углублённых навыков и знаний.


Если компания достаточно большая и обладает специальным отделом безопасности, стоит заглянуть туда и обнаружить нескольких разработчиков с циническим и параноидальным подходом к делу. Они совершенно не доверяют людям и считают этот аспект самым уязвимым. Учитывая количество ценных данных и наработок на ПК сотрудников, такой подход вполне полезен для компании, но полной защиты не гарантирует. Основная задача команды заключается в разделении прав доступа, создании инструкций поведения при критических ситуациях и разработке способов решения проблемы.


При наличии таких кадров в штате можно повысить иммунитет компании, но система все равно останется уязвимой за счёт других сотрудников.


Основной недостаток социнжиринга для разработчиков ПО – это невозможность создать патч или специальную функцию. Для злоумышленников социальная инженерия популярна за счёт длительно периода влияния. Скорее всего механика будет сохранять эффективность всё время, в отдельных условиях могут изменяться небольшие аспекты, но чаще достигается предположительный результат.


Основная модель соц инженерии

Очевидно, что все сотрудники имеют различные уровни компетентности в отдельных вопросах обеспечения безопасности, соответственно, им выдаётся должный уровень допуска. Обычные сотрудники не должны иметь доступа к информации, которая может нанести ущерб для компании. Даже если человек окажется засланным агентом или просто обманутым, он не сможет получить особенно важную информацию – этот протокол безопасности используется во всех больших фирмах.


Все звенья цепи и персонал с различными уровнями доступа имеют линейную связь, то есть сотрудник может передать проблему на следующую ступень, там уже разбираются, уполномочены ли они решать ситуацию. Если ответ нет, вопрос передаётся дальше и т.д. Сотрудники могут по этой цепи передать всю необходимую информацию непосредственно к управляющему.


Уязвимость системы заключается в возможности представиться одним из людей высшего уровня. Здесь несколько развитий ситуации:


1. Можно поставить себя авторитетом, аналогично рассматриваемому примеру с врачами.
2. Задать несколько вопросов, которые на первый взгляд невинны и не причинят вреда, но это станет часть мозаики.
3. Получить контакт более высокопоставленного сотрудника, так как распространено понятие взаимной помощи в пределах одной команды.

Редко можно увидеть вопросы из разряда паранойи, когда сотрудник будет выяснять данные звонившего человека и строго следовать регламенту. Можно найти лазейки даже в строгой структуре, ведь эмоции – это неотъемлемая часть человеческой натуры


Проявляете скептицизм? Правильно, но для наглядности можно рассмотреть пример, при котором злоумышленник набирает девушку из call-центра каждую неделю по 2-3 раза на протяжении месяца. Он ничего особого не просит, а представляется сотрудником. Позитивные и активные разговоры позволяют уточнить любые незначительные мелочи. Пользу приносит просьба о небольшой помощи, которая придаёт доверие просившему.


В рассматриваемом примере нет необходимости чётко представляться, вместо этого присутствует факт частого общения. Может потребоваться 10, 20, 30 или 50 раз, до момента вхождения в норму жизни. Девушка будет думать, что звонивший в курсе структуры и мелочей работы компании, так как он звонит постоянно. В следующий раз злоумышленник просит о большей помощи, теперь оператору нужно передать потенциально важные и опасные данные. По необходимости придётся предоставить обоснование и опасность при отказе. Практически любой сотрудник пойдёт ему на встречу.


Вероятно, поселится мысль, что подобному обману подвержены исключительно низко компетентные сотрудники. Это не так, в качестве аргумента можно привести вступление из книги «Искусство обмана». Здесь рассказывается история о том, что Митник представился ведущим разработчиком проекта, он попросил системного администратора передать доступ со всеми привилегиями к системе. Специалист точно осознавал потенциальный ущерб для работы, но доверился авторитету и побоялся отказать.


Обратная социальная инженерия

Принципиальных отличий в атаках социальной инженерии не наблюдается, модель приблизительно одинаковая. В случае с обратной методикой также удаётся получить информацию, которая предназначается только пользователю. Отличием является указание нужных данных самим пользователем.


Методика разыгрывается в 3 хода и показывает высокую эффективность:


Нужно подстроить трудность или неприятность пользователю.

Создать контакт с человеком.

Проводится атака.

Для наглядности можно представить, что вы находитесь в охраняемой зоне, ваши полномочия – уборка территории. На стене с номером техподдержки нужно указать собственный контакт вместо правильного номера. Теперь нужно устроить небольшую проблему. Всего через 1 сутки вам поступит звонок от расстроенного пользователя, он готов передать буквально всю информацию, так как ожидает компетентность сотрудника и подразумевает, что всё это специалист и так знает. Проблемы авторизации можно исключить, так как пользователь сам идентифицирует вас как он хочет, остаётся только подыграть.


Одним из самых опасных вариаций обмана является IVR-фишинг. Нужно устроить небольшую атаку на пользователя и прислать письмо с номером центра поддержки. После непродолжительной беседы автоответчик просит указать данные от карты.


Ещё частные случаи

Фишинг может применяться на любых ресурсах, которые часто используются целью. Поместить на указанный внешний ресурс троянский конь или дезинформацию. Случаи с инфицированием машин компаний стали учащаться в последнее время.


Более муторный способ – передать интересный диск одному из сотрудников. Высока вероятность, что накопитель будет запущен, а софт оттуда запустят. Часто используются соцсети цели для сбора элементов мозаики и общения с отдельными сотрудниками. Выбор уязвимостей действительно огромный.


Резюме

Посредством социальной инженерии можно собрать данные, а затем их использовать для атаки. К примеру, «Привет! Я потерял/забыл номер Игоря из 4-го отдела, пожалуйста, напомни мне его». Можно получить даже конфиденциальную информацию: «Хорошо, спасибо. Кстати, у меня стойкое впечатление, что клиент подозрительный, смотри как он осматривал расположение камер в отделении. Подскажи номер карты, которой он пользовался только что».


Социальная инженерия позволяет обеспечить доступ к защищенной части системы: «Так, проговаривайте, что вы вводите сейчас. Подождите, давайте по буквам. Два-игрик-доллар-пэ-эс-эн большая…». Продвинутые «хакеры» могут получать конфиденциальные данные. Порой удаётся получить доступ к защищенному серверу, который отключен от сети.


Недавно проводился хакерский турнир, в рамках которого была интересная задача. Перед вами девушка, она всегда стоит на рецепшене, но вы попросили об услуге или устроили деверсию, чтобы она отлучилась. Есть всего 30 секунд, что за это время можно успеть сделать? Установить вирус или программу в систему? Ответ неверный, будет недостаточно либо времени, либо прав. Завладеть документами с рабочего стола или попытаться переадресовать письма себе? Идея рабочая, но вы раскроете свою личность. Даже просто занять её место – это опасное решение, так как высока вероятность скрытой камеры в офисе.


Лучшими решения являются ответы из сферы социального взаимодействия. Заменить стикер с номером техподдержки, после милого общения пригласить на свидание и т.д. За встречу с девушкой вне рабочей обстановки атакующего точно не осудят, но за время встречи можно получить массу полезных данных про иерархию и потенциальные уязвимости сотрудников, вплоть до данных для шантажа.


Защита компании – это основная задача отдела безопасности, но сотрудники не в силах исключить риски социальной инженерии. Чтобы обеспечить лучшую защиту стоит ознакомиться с книгой «Искусство обмана», некоторые диалоги точно зацепят вас. Полезна информация из книги «Секреты супер хакера», особенно в главе про соц. инженерию. Более углублённо можно почитать в «Психология влияния». Самое начало – это информация из Википедии, в которой указаны основные уязвимости и методы.


При отсутствии большого и продвинутого отдела безопасности стоит ознакомить руководителя компании с информацией, а затем провести собственный тест. С большой долей вероятности удастся узнать многое о доверчивости и склонностях человека говорить «Да».

Дубликаты не найдены

Отредактировала DELETED 3 года назад

Информационная безопасность

1.2K постов22.7K подписчиков

Добавить пост

Правила сообщества

Обязательно к прочтению для авторов:

1. Если вы добавляете пост, утверждающий об утечке данных или наличии дыр в системе, предоставьте ссылку на источники или технически подкованное расследование. Посты из разряда "Какой-то банк слил данные, потому что мне звонили мошенники" будут выноситься в общую ленту.
2. Все вопросы "Как обезопасить сервер\приложение\устройство" - в лигу "Компьютер это просто".

Обязательно к прочтению для всех:

Добавление ссылки разрешено если она не содержит описание коммерческих (платных) продуктов и/или идентификаторов для отслеживания перехода и для доступа не нужен пароль или оплата в т.ч. интернет-ресурсы, каналы (от 3-х тематических видео), блоги, группы, сообщества, СМИ и т.д.


Запрещены политические holy wars.

По решению модератора или администратора сообщества пользователь будет забанен за:

1. Флуд и оскорбление пользователя, в т.ч. провокация спора, флуда, холивара (высказывание без аргументации о конкретной применимости конкретного решения в конкретной ситуации), требование уже данного ответа, распространение сведений порочащих честь и репутацию, принижающих квалификацию оппонента, переходы на личности.

2. Публикацию поста/комментария не соответствующего тематике сообщества, в том числе обсуждение администраторов и модераторов сообщества, для этого есть специальное сообщество.

3. За обвинение в киберпреступной деятельности.

4. За нарушение прочих Правил Пикабу.

Подробнее
Лучшие посты за сегодня
7821

Принимайте и меня

7149

Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» 

Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Продолжение поста «История о том, как из-за одной модели пострадали 10 фотографов, агенство и журнал» Модели, Жизнь, Instagram, Негатив, Мат, Без рейтинга, Анастасия Берс, Ответ на пост, Длиннопост, Криминал, Избиение
Показать полностью 6
6160

Аминь

Аминь
6030

Реклама врёт

Реклама врёт
4692

Кто-то: "Ты такой хороший собеседник"

Кто-то: "Ты такой хороший собеседник" Кристофер Нолан, Фильмы, Довод, Tenet, Диалог, Видео
Показать полностью
4612

Даёшь Пикабу правительство в массы!

Даёшь Пикабу правительство в массы!
4545

Ничего не исчезает

4191

Вся правда жизни в двух четверостишиях

Вся правда жизни в двух четверостишиях Комментарии на Пикабу, Скриншот, Мат, Дуализм, Общество
4179

Подарок от Киану Ривза

Подарок от Киану Ривза Киану Ривз, Актеры и актрисы, Знаменитости, Подарки, Часы, Ролекс, Джон Уик 4, Каскадер, Потрясающий, Картинка с текстом, Из сети
Показать полностью 1
3783

Праздничная открытка с Лео

Праздничная открытка с Лео Леонардо ди Каприо, Открытка, Гифка
Праздничная открытка с Лео Леонардо ди Каприо, Открытка, Гифка
3619

Один раз

Один раз Оружие, Юмор, Картинка с текстом, Грабители, Многостволка, Мушкет
Показать полностью 1
3493

Она не вспомнит

3187

Ой, все...

Ой, все... Петрович, Секс, Комментарии на Пикабу, Измена, Собака
3158

Ответ на пост «Прозвище. Когда немного темнеет...» 

2971

Перевод с думского

Перевод с думского Комментарии, Комментарии на Пикабу, Скриншот, Политика
Показать полностью 1
2970

Думаете мошенник?

Думаете мошенник? Мошенничество, Взлом вк, Длиннопост
Показать полностью 1
2823

Германия! Что ты творишь?

2776

Школа Отчисления за лайки Останкино

Школа Отчисления за лайки Останкино Останкино, Лайк, Негатив, Скриншот
2606

Как совершать не мужские поступки

2577

Когда девушка пришла в гости к холостяку!НЕОЖИДАННО!!!!!

Когда девушка пришла в гости к холостяку!НЕОЖИДАННО!!!!! Юмор, Неожиданно, Отношения, Холостяк, Длиннопост
Когда девушка пришла в гости к холостяку!НЕОЖИДАННО!!!!! Юмор, Неожиданно, Отношения, Холостяк, Длиннопост
Когда девушка пришла в гости к холостяку!НЕОЖИДАННО!!!!! Юмор, Неожиданно, Отношения, Холостяк, Длиннопост
Показать полностью 3
Похожие посты закончились. Возможно, вас заинтересуют другие посты по тегам: