Доброго времени суток, форумчане. Сегодня подготовил материал по теме социальной инженерии. Из-за большого количества информации - разобью статью на несколько, чтобы Вам было не скучно читать сиё творение.
Сразу позволю сделать себе небольшую ремарку - ВЫ НЕ НАУЧИТЕСЬ ИСКУССТВУ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ ПРОЧИТАВ ЭТУ СТАТЬЮ.
Это очень долгий, кропотливый процесс. Для изучения этого нужно перелопатить тонну литературы, понимать основы психологии и социальной коммуникации и миллион подобных факторов. При должном количестве потраченного времени, сил и нервов, возможно у Вас все получится!
Моя деятельность носит - просветительский характер. НО! Ни в коем случае автор (то есть я) - не призываю использовать эту информацию в корыстных целях!
Для тех кто зашел и увидел заголовок СИ у меня для Вас плохие новости - я не буду тут рассказывать о том, как "стать сотрудником сбербанка". Информацию для этой статьи я черпал из книг Кевина Митника и Пола Экмана. Приятного чтения.
1.1 Социальная инженерия, как наука.
Давайте для начала разберем само понятие:
Социальная инженерия это - метод получения необходимого доступа к информации, основанный на особенностях и слабостях психологии людей.
Основоположником СИ принято считать Кевина Митника. Несмотря на это само понятие пришло из социологии. Митника можно считать родоначальником данной науки, т.к. именно он первый начал популяризацию в первом десятилетии XXI века. Сам же Кевин был хакером, который взламывал базы данных.
Если говорить простыми словами то, в СИ все строится вокруг слабостей человека. С одной стороны, это личностные качества:
1.2 Техники социальной инженерии.
Все методы СИ основываются на особенностях принятия так называемых "жертв" решений. Иными словами есть некий "когнитивный базис", который гласит о том, что люди в социуме всегда склонны кому-либо доверять.
Ниже рассмотрим основные типы социальной инженерии и методы защиты от них:
1.2.1 Кви про кво (услуга за услугу)
Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
1.2.2 Троянский конь
Техника основывается на эмпирическом восприятии "жертвы", т.е. на эмоциях. Исполнитель отправляет письмо жертве посредством электронной почты, во вложении которого находится промокод для получения джекпота, компромат на коллегу/друга и т.д. На самом же деле во вложении находится "троян", который запустится после того, как пользователь запустит ее на своем компьютере и будет использоваться для сбора данных или других функций исполнителем.
1.2.3 Фишинг
Техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо например от банка. В данном письме содержится форма для ввода персональных данных (login, password, pin-code, CVV/CVC) или ссылка на web-страницу, где располагается такая форма. Основные причины, по которым жертва начинает доверять подобным страницам разнообразны: от блокировки аккаунта до утери данных и прочих.
1.2.4 Дорожное яблоко
Этот метод атаки представляет собой так называемую адаптацию "троянского коня" и состоит в использовании физических носителей. Исполнитель подбрасывает жертве диск/карту памяти/жесткий диск в проходимом месте (лифт, парковка, лестничный пролёт), иными словами там, где его будет проще всего найти. Этот "троянский конь" подделывается под официальный или оригинальный, чтобы вызвать чрезмерное любопытство у жертвы.
Как пример - Исполнитель оставляет флешку на которой красуется надпись - зарплатная ведомость сотрудников ОВД первомайского района. Флешка может быть оставлена в лифте. Жертва по своему любопытству/незнанию, подберет носитель и воткнет его в компьютер. Дело сделано.
1.2.5 Претекстинг
Это набор определенных/заготовленных/клешированных действий, который применяется по заранее обговоренному сценарию. В конечном счёте жертва должна выполнить действие, которое Вам нужно. Зачастую в этом способе прибегают к "голосовой атаке", т.е. с применением средств связи. Для удачного результата, исполнителю рекомендуется обладать какой-либо информацией о предполагаемой "жертве" (имя, место работы, дату рождения и т.п.). Самая главная цель исполнителя - войти в доверие и получить необходимую ему информацию. Самый наглядный пример претекстинга - "чифирные звоночки сотрудников сбербанка".
1.2.6 Плечевой серфинг
Попросту "подглядывание", наблюдение за "жертвой" вживую. Таким способом достаточно легко получить логины/пароли/явки в местах общественного пользования (парк, ресторан, вокзалы, аэропорты и т.д.)
1.2.7 Обратная социальная инженерия
Еще один из методов данной науки. Суть данного действия заключается в том, чтобы "жертва" сама рассказала исполнителю всю необходимую для него информацию. Не стоит смеяться и воспринимать это как сюрреализм. Некоторые люди, наделенные определенным авторитетом в каких-то сферах деятельности, зачастую получают доступ к нужным им данным по собственному решению "жертвы". Основной аспект этого метода - доверие.
Как пример - размещаете свое объявление в котором представляетесь, как "компьютерный гений Евгений", приходите к "жертве" и делаете то за чем собственно пришли.
На методах я пожалуй закончу статью, потому что не хочу нагружать Вас сразу миллионом знаков. В следующей статье, я подробно напишу про методы противодействия, защиты и выводы. А пока - спасибо, что прочитали и дали мне фидбек! Всего Вам доброго.
Сразу позволю сделать себе небольшую ремарку - ВЫ НЕ НАУЧИТЕСЬ ИСКУССТВУ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ ПРОЧИТАВ ЭТУ СТАТЬЮ.
Это очень долгий, кропотливый процесс. Для изучения этого нужно перелопатить тонну литературы, понимать основы психологии и социальной коммуникации и миллион подобных факторов. При должном количестве потраченного времени, сил и нервов, возможно у Вас все получится!
Моя деятельность носит - просветительский характер. НО! Ни в коем случае автор (то есть я) - не призываю использовать эту информацию в корыстных целях!
Для тех кто зашел и увидел заголовок СИ у меня для Вас плохие новости - я не буду тут рассказывать о том, как "стать сотрудником сбербанка". Информацию для этой статьи я черпал из книг Кевина Митника и Пола Экмана. Приятного чтения.
1.1 Социальная инженерия, как наука.
Давайте для начала разберем само понятие:
Социальная инженерия это - метод получения необходимого доступа к информации, основанный на особенностях и слабостях психологии людей.
Основоположником СИ принято считать Кевина Митника. Несмотря на это само понятие пришло из социологии. Митника можно считать родоначальником данной науки, т.к. именно он первый начал популяризацию в первом десятилетии XXI века. Сам же Кевин был хакером, который взламывал базы данных.
Если говорить простыми словами то, в СИ все строится вокруг слабостей человека. С одной стороны, это личностные качества:
С другой — качества профессиональные:Чрезмерная наивность;
Безосновательная доверчивость к незнакомым людям;
Лояльное отношение к чужим слабостям;
Обостренное чувство страха;
Cопереживание к проблемам других людей.
Поэтому социальную инженерию часто называют «взломом» человека. На практике каждый взлом может иметь сокрушительные последствия, как для человека, так и для компании.Игнорирование инструкций;
Отсутствие банальных знаний;
Отсутствие навыка применения их на практике.
Для человеческой глупости - нет патча - Кевин Митник.
1.2 Техники социальной инженерии.
Все методы СИ основываются на особенностях принятия так называемых "жертв" решений. Иными словами есть некий "когнитивный базис", который гласит о том, что люди в социуме всегда склонны кому-либо доверять.
Ниже рассмотрим основные типы социальной инженерии и методы защиты от них:
1.2.1 Кви про кво (услуга за услугу)
Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.
Против кого применять: сотрудники крупных компаний, банки.
Психологический портрет:
Мужчина/женщина от 25-40 лет;
Тип темперамента - Сангвиник;
Характер - экстраверт, эмоционально стабильный, уживчивый, слабый уровень самоконтроля.
1.2.2 Троянский конь
Техника основывается на эмпирическом восприятии "жертвы", т.е. на эмоциях. Исполнитель отправляет письмо жертве посредством электронной почты, во вложении которого находится промокод для получения джекпота, компромат на коллегу/друга и т.д. На самом же деле во вложении находится "троян", который запустится после того, как пользователь запустит ее на своем компьютере и будет использоваться для сбора данных или других функций исполнителем.
Против кого применять: против "простофиль".
Психологический портрет:
Мужчина/женщина от 18 до 60 лет;
Тип темперамента - Холерик/Сангвиник;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.
1.2.3 Фишинг
Техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо например от банка. В данном письме содержится форма для ввода персональных данных (login, password, pin-code, CVV/CVC) или ссылка на web-страницу, где располагается такая форма. Основные причины, по которым жертва начинает доверять подобным страницам разнообразны: от блокировки аккаунта до утери данных и прочих.
Против кого применять: против сотрудников крупных компаний.
Психологический портрет:
Мужчина/женщина от 25-40 лет;
Тип темперамента - Сангвиник;
Характер - экстраверт, эмоционально стабильный, уживчивый, слабый уровень самоконтроля.
1.2.4 Дорожное яблоко
Этот метод атаки представляет собой так называемую адаптацию "троянского коня" и состоит в использовании физических носителей. Исполнитель подбрасывает жертве диск/карту памяти/жесткий диск в проходимом месте (лифт, парковка, лестничный пролёт), иными словами там, где его будет проще всего найти. Этот "троянский конь" подделывается под официальный или оригинальный, чтобы вызвать чрезмерное любопытство у жертвы.
Как пример - Исполнитель оставляет флешку на которой красуется надпись - зарплатная ведомость сотрудников ОВД первомайского района. Флешка может быть оставлена в лифте. Жертва по своему любопытству/незнанию, подберет носитель и воткнет его в компьютер. Дело сделано.
Против кого применять: против "любопытных Варвар"
Психологический портрет:
Мужчина/женщина от 18-45 лет;
Тип темперамента - Сангвиник/Холерик;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.
1.2.5 Претекстинг
Это набор определенных/заготовленных/клешированных действий, который применяется по заранее обговоренному сценарию. В конечном счёте жертва должна выполнить действие, которое Вам нужно. Зачастую в этом способе прибегают к "голосовой атаке", т.е. с применением средств связи. Для удачного результата, исполнителю рекомендуется обладать какой-либо информацией о предполагаемой "жертве" (имя, место работы, дату рождения и т.п.). Самая главная цель исполнителя - войти в доверие и получить необходимую ему информацию. Самый наглядный пример претекстинга - "чифирные звоночки сотрудников сбербанка".
Против кого применять: против всех.
Психологический портрет:
Мужчина/женщина от 18-65 лет;
Тип темперамента - Сангвиник/Холерик;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.
1.2.6 Плечевой серфинг
Попросту "подглядывание", наблюдение за "жертвой" вживую. Таким способом достаточно легко получить логины/пароли/явки в местах общественного пользования (парк, ресторан, вокзалы, аэропорты и т.д.)
Против кого применять: против всех.
Психологический портрет:
Мужчина/женщина от 18-65 лет;
Тип темперамента - Сангвиник/Холерик/Меланхолик
Характер - экстраверт/интроверт, эмоционально неустойчивый/устойчивый, уживчивый, слабый уровень самоконтроля/самоконтроль на должном уровне.
1.2.7 Обратная социальная инженерия
Еще один из методов данной науки. Суть данного действия заключается в том, чтобы "жертва" сама рассказала исполнителю всю необходимую для него информацию. Не стоит смеяться и воспринимать это как сюрреализм. Некоторые люди, наделенные определенным авторитетом в каких-то сферах деятельности, зачастую получают доступ к нужным им данным по собственному решению "жертвы". Основной аспект этого метода - доверие.
Как пример - размещаете свое объявление в котором представляетесь, как "компьютерный гений Евгений", приходите к "жертве" и делаете то за чем собственно пришли.
Против кого применять: против наивных людей, домохозяек.
Психологический портрет:
Мужчина/женщина от 30-50 лет;
Тип темперамента - Сангвиник
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.
На методах я пожалуй закончу статью, потому что не хочу нагружать Вас сразу миллионом знаков. В следующей статье, я подробно напишу про методы противодействия, защиты и выводы. А пока - спасибо, что прочитали и дали мне фидбек! Всего Вам доброго.
Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании – обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть - Кевин Митник.