Что означает социальная инженерия? Основы манипуляции⁠⁠

Социальная инженерия это наука, которая позволяет найти коммуникации с людьми и выяснить все что вам необходимо. В статье мы раскроем основы этой интересной науки.

Согласно статистике и практике взломов высокозащищённых ресурсов в большей мере уязвимость находится со стороны людей, которые в силу непрофессионализма, безответственности или недостатка знаний подвергли сервера атакам. Наибольшая проблема – это склонность людей к передаче всей информации и совершению нелогичных действий.

На память приходит история из книги «Психология влияния»: психологи по телефону передавали медсёстрам в больницах соответствующие указания, которые могли нанести ущерб здоровью и даже жизни. Достаточно было представиться врачом и 95% медсестёр следовали указанию «руководителя». Стоит учесть, что медперсонал знал последствия после манипуляции, но все равно следовали команде. Естественно, им не давали это выполнить, а возле палаты стаяли ассистенты. Исследуемые даже не попросили врача представиться. Причина, почему медсёстры так поступают, заключается в привычке следовать указаниям авторитетного лица.

Исходя из рассматриваемого примера можно сделать вывод, что за счёт социальной инженерии удалось поразить до 95% больниц.

Метод не устаревает

Технологический прогресс неуклонно набирает обороты, это приводит к увеличению функциональности и мощности оборудования и софта. Чтобы была возможность отражать атаки или их проводить, нужно всегда быть максимально осведомлённым и следить за нововведениями. Немаловажным фактором является осмотр новых разработок в первых рядах. Самая важная составляющая защиты – качественно, детально уметь анализировать IT-background темы.

Путь хакера начинается по тем же шагам. Современность приводит к необходимости использования всего пары специалистов по узкой направленности для решения отдельных, но важных задач. Центральная цель всей работы заключается в проникновении внутрь защищённой зоны.

Для достижения поставленной цели с большой долей вероятности будет необходимо использование социальной инженерии. Чаще необходимость появляется в течении первых нескольких проектов. Наибольшая ценность специалиста по социнженерии на стадии подготовки и сбора данных. Сверх полученных знаний будет необходимо наложить технологии, они уже требуют углублённых навыков и знаний.

Если компания достаточно большая и обладает специальным отделом безопасности, стоит заглянуть туда и обнаружить нескольких разработчиков с циническим и параноидальным подходом к делу. Они совершенно не доверяют людям и считают этот аспект самым уязвимым. Учитывая количество ценных данных и наработок на ПК сотрудников, такой подход вполне полезен для компании, но полной защиты не гарантирует. Основная задача команды заключается в разделении прав доступа, создании инструкций поведения при критических ситуациях и разработке способов решения проблемы.

При наличии таких кадров в штате можно повысить иммунитет компании, но система все равно останется уязвимой за счёт других сотрудников.

Основной недостаток социнжиринга для разработчиков ПО – это невозможность создать патч или специальную функцию. Для злоумышленников социальная инженерия популярна за счёт длительно периода влияния. Скорее всего механика будет сохранять эффективность всё время, в отдельных условиях могут изменяться небольшие аспекты, но чаще достигается предположительный результат.

Основная модель соц инженерии

Очевидно, что все сотрудники имеют различные уровни компетентности в отдельных вопросах обеспечения безопасности, соответственно, им выдаётся должный уровень допуска. Обычные сотрудники не должны иметь доступа к информации, которая может нанести ущерб для компании. Даже если человек окажется засланным агентом или просто обманутым, он не сможет получить особенно важную информацию – этот протокол безопасности используется во всех больших фирмах.

Все звенья цепи и персонал с различными уровнями доступа имеют линейную связь, то есть сотрудник может передать проблему на следующую ступень, там уже разбираются, уполномочены ли они решать ситуацию. Если ответ нет, вопрос передаётся дальше и т.д. Сотрудники могут по этой цепи передать всю необходимую информацию непосредственно к управляющему.

Уязвимость системы заключается в возможности представиться одним из людей высшего уровня. Здесь несколько развитий ситуации:

1. Можно поставить себя авторитетом, аналогично рассматриваемому примеру с врачами.
2. Задать несколько вопросов, которые на первый взгляд невинны и не причинят вреда, но это станет часть мозаики.
3. Получить контакт более высокопоставленного сотрудника, так как распространено понятие взаимной помощи в пределах одной команды.

Редко можно увидеть вопросы из разряда паранойи, когда сотрудник будет выяснять данные звонившего человека и строго следовать регламенту. Можно найти лазейки даже в строгой структуре, ведь эмоции – это неотъемлемая часть человеческой натуры

Проявляете скептицизм? Правильно, но для наглядности можно рассмотреть пример, при котором злоумышленник набирает девушку из call-центра каждую неделю по 2-3 раза на протяжении месяца. Он ничего особого не просит, а представляется сотрудником. Позитивные и активные разговоры позволяют уточнить любые незначительные мелочи. Пользу приносит просьба о небольшой помощи, которая придаёт доверие просившему.

В рассматриваемом примере нет необходимости чётко представляться, вместо этого присутствует факт частого общения. Может потребоваться 10, 20, 30 или 50 раз, до момента вхождения в норму жизни. Девушка будет думать, что звонивший в курсе структуры и мелочей работы компании, так как он звонит постоянно. В следующий раз злоумышленник просит о большей помощи, теперь оператору нужно передать потенциально важные и опасные данные. По необходимости придётся предоставить обоснование и опасность при отказе. Практически любой сотрудник пойдёт ему на встречу.

Вероятно, поселится мысль, что подобному обману подвержены исключительно низко компетентные сотрудники. Это не так, в качестве аргумента можно привести вступление из книги «Искусство обмана». Здесь рассказывается история о том, что Митник представился ведущим разработчиком проекта, он попросил системного администратора передать доступ со всеми привилегиями к системе. Специалист точно осознавал потенциальный ущерб для работы, но доверился авторитету и побоялся отказать.

Обратная социальная инженерия

Принципиальных отличий в атаках социальной инженерии не наблюдается, модель приблизительно одинаковая. В случае с обратной методикой также удаётся получить информацию, которая предназначается только пользователю. Отличием является указание нужных данных самим пользователем.

Методика разыгрывается в 3 хода и показывает высокую эффективность:

Нужно подстроить трудность или неприятность пользователю.

Создать контакт с человеком.

Проводится атака.

Для наглядности можно представить, что вы находитесь в охраняемой зоне, ваши полномочия – уборка территории. На стене с номером техподдержки нужно указать собственный контакт вместо правильного номера. Теперь нужно устроить небольшую проблему. Всего через 1 сутки вам поступит звонок от расстроенного пользователя, он готов передать буквально всю информацию, так как ожидает компетентность сотрудника и подразумевает, что всё это специалист и так знает. Проблемы авторизации можно исключить, так как пользователь сам идентифицирует вас как он хочет, остаётся только подыграть.

Одним из самых опасных вариаций обмана является IVR-фишинг. Нужно устроить небольшую атаку на пользователя и прислать письмо с номером центра поддержки. После непродолжительной беседы автоответчик просит указать данные от карты.

Ещё частные случаи

Фишинг может применяться на любых ресурсах, которые часто используются целью. Поместить на указанный внешний ресурс троянский конь или дезинформацию. Случаи с инфицированием машин компаний стали учащаться в последнее время.

Более муторный способ – передать интересный диск одному из сотрудников. Высока вероятность, что накопитель будет запущен, а софт оттуда запустят. Часто используются соцсети цели для сбора элементов мозаики и общения с отдельными сотрудниками. Выбор уязвимостей действительно огромный.

Резюме

Посредством социальной инженерии можно собрать данные, а затем их использовать для атаки. К примеру, «Привет! Я потерял/забыл номер Игоря из 4-го отдела, пожалуйста, напомни мне его». Можно получить даже конфиденциальную информацию: «Хорошо, спасибо. Кстати, у меня стойкое впечатление, что клиент подозрительный, смотри как он осматривал расположение камер в отделении. Подскажи номер карты, которой он пользовался только что».

Социальная инженерия позволяет обеспечить доступ к защищенной части системы: «Так, проговаривайте, что вы вводите сейчас. Подождите, давайте по буквам. Два-игрик-доллар-пэ-эс-эн большая…». Продвинутые «хакеры» могут получать конфиденциальные данные. Порой удаётся получить доступ к защищенному серверу, который отключен от сети.

Недавно проводился хакерский турнир, в рамках которого была интересная задача. Перед вами девушка, она всегда стоит на рецепшене, но вы попросили об услуге или устроили деверсию, чтобы она отлучилась. Есть всего 30 секунд, что за это время можно успеть сделать? Установить вирус или программу в систему? Ответ неверный, будет недостаточно либо времени, либо прав. Завладеть документами с рабочего стола или попытаться переадресовать письма себе? Идея рабочая, но вы раскроете свою личность. Даже просто занять её место – это опасное решение, так как высока вероятность скрытой камеры в офисе.

Лучшими решения являются ответы из сферы социального взаимодействия. Заменить стикер с номером техподдержки, после милого общения пригласить на свидание и т.д. За встречу с девушкой вне рабочей обстановки атакующего точно не осудят, но за время встречи можно получить массу полезных данных про иерархию и потенциальные уязвимости сотрудников, вплоть до данных для шантажа.

Защита компании – это основная задача отдела безопасности, но сотрудники не в силах исключить риски социальной инженерии. Чтобы обеспечить лучшую защиту стоит ознакомиться с книгой «Искусство обмана», некоторые диалоги точно зацепят вас. Полезна информация из книги «Секреты супер хакера», особенно в главе про соц. инженерию. Более углублённо можно почитать в «Психология влияния». Самое начало – это информация из Википедии, в которой указаны основные уязвимости и методы.

При отсутствии большого и продвинутого отдела безопасности стоит ознакомить руководителя компании с информацией, а затем провести собственный тест. С большой долей вероятности удастся узнать многое о доверчивости и склонностях человека говорить «Да».