• Sociální inženýrství: koncept, zakladatel, metody a příklady

    Sociálně inženýrští kyberzločinci v posledních letech přijali pokročilejší techniky, díky nimž je pravděpodobnější, že k nim získají přístup nezbytné informace s využitím moderní psychologie zaměstnanců podniků a lidí obecně. Prvním krokem v boji proti těmto typům triků je pochopit taktiku samotných útočníků. Podívejme se na osm hlavních přístupů k sociálnímu inženýrství.

    Úvod

    V 90. letech zavedl pojem „sociální inženýrství“ Kevin Mitnick, ikonická postava v oboru informační bezpečnost, bývalý seriózní hacker. Útočníci však takové metody používali dávno předtím, než se objevil samotný termín. Odborníci jsou přesvědčeni, že taktika moderních kyberzločinců je svázána se sledováním dvou cílů: krádeže hesel, instalace malwaru.

    Útočníci se snaží uplatnit sociální inženýrství pomocí telefonu, e-mailu a webu. Pojďme se seznámit s hlavními metodami, které pomáhají zločincům získat důvěrné informace, které potřebují.

    Taktika 1. Teorie deseti podání ruky

    Hlavním cílem útočníka, který používá telefon pro sociální inženýrství, je přesvědčit svou oběť o jedné ze dvou věcí:

    1. Oběť přijme hovor od zaměstnance společnosti;
    2. Volá zástupce oprávněného orgánu (například strážce zákona nebo auditor).

    Pokud si zločinec dá za úkol sbírat data o konkrétním zaměstnanci, může nejprve kontaktovat své kolegy a všemi možnými způsoby se snažit získat data, která potřebuje.

    Pamatujete si na starou teorii šesti podání rukou? Bezpečnostní experti tedy říkají, že mezi kyberzločincem a jeho obětí může být pouze deset „potřesení rukou“. Odborníci tomu věří moderní podmínky vždy musíte mít trochu paranoiu, protože nevíte, co po vás ten či onen zaměstnanec chce.

    Útočníci obvykle kontaktují sekretářku (nebo někoho v podobné pozici), aby získali informace o lidech výše v hierarchii. Odborníci poznamenávají, že přátelský tón podvodníkům hodně pomáhá. Klíč k vám pomalu, ale jistě vyzvednou zločinci, což brzy vede k tomu, že sdílíte informace, které byste nikdy předtím nezjistili.

    Taktika 2. Naučte se firemní jazyk

    Jak víte, každé odvětví má své vlastní specifické formulace. Úkol útočníka, který se snaží získat nezbytné informace, - studovat rysy takového jazyka, aby bylo možné obratněji používat techniky sociálního inženýrství.

    Všechna specifika spočívají ve studiu podnikového jazyka, jeho termínů a vlastností. Pokud kyberzločinec mluví pro své účely známým, známým a srozumitelným jazykem, snáze získá sebevědomí a bude schopen rychle získat informace, které potřebuje.

    Taktika 3: Půjčte si hudbu na počkání během hovorů

    K provedení úspěšného útoku potřebují podvodníci tři složky: čas, vytrvalost a trpělivost. Často jsou kybernetické útoky pomocí sociálního inženýrství prováděny pomalu a metodicky – nejen data na správných lidí ale také tzv. „sociální signály“. To se provádí za účelem získání důvěry a kroužení cíle kolem prstu. Útočníci mohou například přesvědčit osobu, se kterou komunikují, že jsou kolegové.

    Jednou z funkcí tohoto přístupu je nahrávání hudby, kterou společnost používá během hovorů, v době, kdy volající čeká na odpověď. Zločinec si na takovou hudbu nejprve počká, pak ji nahraje a následně ji využije ve svůj prospěch.

    Když tedy dochází k přímému dialogu s obětí, útočníci v určitém okamžiku řeknou: "Počkejte chvíli, na druhé lince je hovor." Oběť pak uslyší známou hudbu a není ponechána na pochybách, že volající zastupuje určitou společnost. V podstatě jde jen o kompetentní psychologický trik.

    Taktika 4. Spoofing (záměna) telefonního čísla

    Zločinci často používají spoofing telefonní čísla, která jim pomáhá změnit číslo volajícího. Útočník může například sedět ve svém bytě a volat zájmové osobě, ale na ID volajícího se zobrazí číslo vlastněné společností, což vytvoří iluzi, že podvodník volá pomocí firemního čísla.

    Nic netušící zaměstnanci samozřejmě ve většině případů volajícímu předají citlivé informace včetně hesel, pokud ID volajícího patří jejich firmě. Tento přístup také pomáhá zločincům vyhnout se sledování, protože pokud na toto číslo zavoláte zpět, budete přesměrováni na interní linku společnosti.

    Taktika 5: Využití zpráv proti vám

    Ať už jsou titulky aktuálních zpráv jakékoli, útočníci využívají tyto informace jako návnadu pro spam, phishing a další podvodné aktivity. Není divu, že odborníci v poslední době zaznamenali nárůst počtu spamových e-mailů, jejichž témata se týkají prezidentských kampaní a ekonomických krizí.

    Mezi příklady patří phishingový útok na banku. E-mail říká něco takového:

    „Vaši banku [název banky] získává jiná banka [název banky]. Klikněte na tento odkaz, abyste se ujistili, že vaše bankovní údaje jsou aktuální před uzavřením obchodu.“

    Přirozeně se jedná o pokus získat informace, pomocí kterých mohou podvodníci vstoupit na váš účet, ukrást vaše peníze nebo prodat vaše informace třetí straně.

    Taktika 6: Využijte důvěru v sociální platformy

    Není žádným tajemstvím, že Facebook, Myspace a LinkedIn jsou nesmírně populární sociální sítě. Podle odborných výzkumů mají lidé tendenci takovým platformám důvěřovat. Nedávný spear-phishing incident zaměřený na uživatele LinkedIn tuto teorii podporuje.

    Mnoho uživatelů tedy bude věřit e-mailu, pokud tvrdí, že pochází z Facebooku. Častým trikem je tvrzení, že na sociální síti probíhá údržba, pro aktualizaci informací musíte „kliknout sem“. Odborníci proto doporučují, aby zaměstnanci podniků zadávali webové adresy ručně, aby se vyhnuli phishingovým odkazům.

    Je také třeba mít na paměti, že stránky ve velmi vzácných případech zasílají uživatelům žádost o změnu hesla nebo aktualizaci účet.

    Taktika 7. Typesquatting

    Tato zákeřná technika je pozoruhodná tím, že útočníci využívají lidský faktor, konkrétně chyby při zadávání URL adresy adresní řádek. Tím, že udělá chybu v pouhém jednom písmenu, se uživatel může dostat na stránky vytvořené speciálně pro tento účel útočníky.

    Kyberzločinci pečlivě připravují půdu pro typequatting, takže jejich stránky budou jako dva hrášky v lusku podobné tomu legitimnímu, který jste původně chtěli navštívit. Tím, že uděláte chybu v psaní webové adresy, skončíte na kopii legitimního webu, jehož účelem je buď něco prodat, nebo ukrást data nebo distribuovat malware.

    Taktika 8: Použití FUD k ovlivnění akciového trhu

    FUD je taktika psychologické manipulace používaná v marketingu a propagandě obecně, která spočívá v prezentování informací o něčem (zejména o produktu nebo organizaci) takovým způsobem, aby v publiku zasévala nejistotu a pochybnosti o jeho kvalitách a tím vyvolala strach. toho.

    Podle nejnovějšího výzkumu společnosti Avert může bezpečnost a zranitelnost produktů a dokonce celých společností ovlivnit akciový trh. Výzkumníci například studovali dopad událostí, jako je „Microsoft Patch Tuesday“ na akcie společnosti, a zjistili, že každý měsíc po zveřejnění zranitelnosti dochází k výraznému kolísání.

    Můžete si také připomenout, jak útočníci v roce 2008 šířili nepravdivé informace o zdraví Steva Jobse, což vedlo k prudkému poklesu akcií Jablko. Toto je nejtypičtější příklad použití FUD pro škodlivé účely.

    Kromě toho stojí za zmínku použití e-mailu k implementaci techniky „pump-and-dump“ (schéma manipulace s kurzem na akciovém trhu nebo na trhu kryptoměn s následným kolapsem). V tomto případě mohou útočníci rozesílat e-maily popisující úžasný potenciál akcií, které předem nakoupili.

    Mnozí se tak budou snažit tyto akcie co nejdříve koupit a zdraží.

    závěry

    Kyberzločinci jsou často velmi kreativní v používání sociálního inženýrství. Když jsme se seznámili s jejich metodami, můžeme dojít k závěru, že různé psychologické triky útočníkům velmi pomáhají k dosažení jejich cílů. Na základě toho stojí za to věnovat pozornost jakékoli maličkosti, která může neúmyslně prozradit podvodníka, zkontrolovat a znovu zkontrolovat informace o lidech, kteří vás kontaktují, zejména pokud se jedná o důvěrné informace.

    V době informačních technologií získalo sociální inženýrství silné spojení s kyberzločinem, ale ve skutečnosti se tento pojem objevil již dávno a zpočátku neměl výraznější negativní konotace. Pokud si myslíte, že sociální inženýrství je dystopická fikce nebo pochybná psychologická praxe, pak tento článek změní váš názor.

    Co se nazývá sociální inženýrství?

    Samotný termín je sociologický a označuje soubor přístupů k vytváření takových podmínek, za kterých je možné ovládat lidské chování. Techniky sociálního inženýrství v té či oné míře používají lidé již od starověku. ve starověkém Řecku a Starověký Římřečníci se zvláštním uměním přesvědčování byli vysoce ceněni, takové lidi lákalo k účasti na diplomatických jednáních. Činnost speciálních služeb je také z velké části založena na metodách sociálního inženýrství a 20. století je zcela prosyceno příklady, jakých výsledků lze dosáhnout obratnou manipulací s lidským vědomím a chováním. Za průkopníky sociálního inženýrství v podobě, v jaké dnes existuje, jsou považováni telefonní podvodníci, kteří se objevili v 70. letech minulého století a tato věda se do oblasti informačních technologií dostala díky bývalému hackerovi Kevinu Mitnickovi, který je dnes informačním bezpečnostní konzultant a píše knihy o své cestě sociálního inženýra.

    V oblasti kybernetické kriminality se sociálním inženýrstvím rozumí metody a techniky, které útočníci používají k získání potřebných dat nebo k tomu, aby přiměli oběť ke spáchání nezbytné akce. Jak řekl Kevin Mitnick, nejzranitelnějším místem v každém bezpečnostním systému je člověk a kyberzločinci si toho jsou dobře vědomi. Sociální inženýři jsou dobří psychologové, mistrně přistupují konkrétní osoba, snadno se vtírá do důvěry, chodí na nejrůznější triky a triky – a to vše za účelem získání důvěrných informací.

    Jak pracují sociální inženýři?

    Film „Chyť mě, když to dokážeš“, natočený podle stejnojmenné knihy, vypráví o událostech ze života skutečná osoba, Frank Abagnale. Nyní je odborníkem na dokumentární bezpečnost, ale v polovině 20. století Abagnale padělal šeky a mistrovsky se pět let skrýval před policií a snadno se proměnil v různé lidi z pilota na lékaře. Toto chování, triky a jemné psychologická hra je ukázkovým příkladem sociálního inženýrství.

    Jestliže Frank Abagnale musel k dosažení svých cílů osobně kontaktovat lidi pomocí psychologických triků a hereckých dovedností, dnes útočníci získávají informace na dálku, pomocí internetu a mobilní komunikace. Na triky hackerů narazíte i obyčejní uživatelé počítačů a zaměstnanci velkých společností, kteří se dobře orientují v otázkách bezpečnosti informací. Hlavním nebezpečím je, že oběť poskytne potřebné informace dobrovolně, aniž by tušila, že svým jednáním zločinci pomáhá.

    Manipulace s myšlenkami a činy je možná díky kognitivním zkreslením – odchylkám v našem vnímání, myšlení a chování. Tyto chyby mohou být způsobeny stereotypy, emočním nebo morálním stavem, vlivem společnosti, odchylkami v mozku. Pod vlivem jednoho nebo více faktorů dochází ve fázi analýzy přijatých informací k selhání, v důsledku čehož můžeme učinit nelogický úsudek, dezinterpretovat události nebo podniknout iracionální kroky. Vědí o takových rysech práce lidského myšlení, sociální inženýři vytvářejí situace, ve kterých oběť s největší pravděpodobností vykoná požadovanou akci, a jak ukazuje praxe, kognitivní deformace jsou silnější než my.

    Příklady sociálního inženýrství

    K dosažení svých cílů útočníci využívají lidskou zvědavost, benevolenci, zdvořilost, lenost, naivitu a další. různé kvality. Útok na osobu (jak hackeři nazývají sociální inženýrství) lze provést podle mnoha scénářů v závislosti na situaci, ale existuje několik nejběžnějších technik používaných útočníky.

    Phishing. Tato metoda je účinná kvůli nepozornosti uživatelů. Oběť obdrží e-mail od některé známé webové stránky, organizace nebo dokonce jednotlivce s žádostí o provedení uvedených akcí kliknutím na odkaz. Nejčastěji vás žádají o přihlášení. Osoba přejde na stránku a zadá své uživatelské jméno a heslo, aniž by se podívala na odesílatele zprávy a na adresu webu, a podvodníci tak získají údaje potřebné k hacknutí, po kterém provedou jakékoli akce na stránce oběti.

    Trojský. Jedná se o virus, který dostal své jméno podle principu fungování, podobně jako trojský kůň ze starořeckých mýtů. Uživatel si stáhne program nebo dokonce obrázek a pod rouškou neškodného souboru se do počítače oběti dostane virus, s jehož pomocí útočníci kradou data. Někdy k tomuto stahování dochází automaticky, když uživatel klikne na zajímavý odkaz, otevře podezřelé webové stránky nebo podezřelé e-maily. Proč se tomuto typu krádeže dat říká sociální inženýrství? Protože tvůrci viru moc dobře vědí, jak malware zamaskovat, abyste si byli jisti, že kliknete na správný odkaz nebo stáhnete soubor.

    Qui pro quo. Z latinského quid pro quo, což znamená „toto za to“. Tento typ podvodu funguje na principu quid pro quo. Útočník se vydává za servisního pracovníka technická podpora a nabízí řešení problémů, které se vyskytly v systému nebo v počítači konkrétního uživatele, ačkoli ve skutečnosti nebyly žádné problémy s provozem softwaru. Oběť věří v přítomnost poruch, které jí nahlásil „specialista“, a ochotně poskytne potřebná data nebo provede úkony nadiktované podvodníkem.

    Reverzní sociální inženýrství

    Tak se nazývá typ útoku, při kterém se oběť sama obrací na útočníka a poskytuje mu potřebné informace. Toho lze dosáhnout několika způsoby:

    • Implementace speciálního softwaru. Nejprve program nebo systém funguje správně, ale pak selže, což vyžaduje zásah specialisty. Situace je samozřejmě nastavena tak, že ze specialisty, na kterého se obrátí o pomoc, se vyklube sociální hacker. Úpravou práce softwaru podvodník provádí manipulace nezbytné pro hackování. Někdy se informace, které potřebujete, nedostanou přímou práci s počítačem, ale prostřednictvím komunikace s uživatelem, který je v zájmu rychlé opravy zařízení připraven poskytnout veliteli jakékoli důvěrné informace. Později, když je odhalen hack, může sociální inženýr za maskou asistenta zůstat mimo veškeré podezření, což dělá ze sociálního inženýrství velmi výnosný nástroj.
    • Reklamní. Útočníci mohou inzerovat své služby jako počítačoví mistři nebo jiní odborníci. Oběť se na crackera obrátí sama a zločinec funguje nejen technicky, ale informace vyloví i komunikací se svým klientem.
    • Pomoc. Sociální inženýr může být záměrně mezi těmi, na které se v případě neúspěchu obrátí o pomoc, a někdy podvodník předem provede nějakou manipulaci, která oběť donutí vyhledat asistenta. V tomto případě se hacker objeví v pozitivní roli a napadený zůstává vděčný za poskytnutou službu.

    Jak se chránit?

    První obranou proti sociálnímu inženýrství je rozumná skepse a ostražitost. Vždy věnujte pozornost adresátovi dopisů a adrese webu, kam se chystáte zadávat nějaké osobní údaje. Obětí kyberzločinců se stávají nejen zaměstnanci společnosti a slavní lidé, ale i běžní uživatelé – podvodník může potřebovat přístup na vaši stránku na sociální síti popř. elektronická peněženka. Pokud vám zavolá osoba, která tvrdí, že je zaměstnancem nějaké organizace nebo webové stránky, pamatujte, že aby mohl manipulovat s vaším účtem, zpravidla nepotřebuje znát důvěrné údaje – sami je nesdělujte. Požadavek na poskytnutí jakýchkoli osobních údajů, jako jsou údaje z pasu, by vás měl upozornit - pro identifikaci jednotlivce nejčastěji vyžadují pouze poslední číslice některých údajů, nikoli celé.

    Nepracujte s důležitými informacemi dopředu cizinci. Podvodníci mohou využít takzvané rameno surfování, typ sociálního inženýrství, kdy jsou informace odcizeny přes rameno oběti. Když nic netušící oběť pracovala na svém počítači, bylo na obrazovce odpovězeno značné množství důležitých dat.

    Nechoďte na podezřelé stránky a nestahujte pochybné soubory, protože jeden z nejvíce nejlepší pomocníci sociální inženýrství je naší zvědavostí. V každé situaci, když vám zavolají, napíšou, nabídnou službu nebo třeba hodí flashku, zeptejte se sami sebe, jestli víte kde, proč a proč. Pokud ne, poraďte se s důvěryhodným a znalý člověk, jinak tuto situaci ignorujte, ale nikdy neprozrazujte důležité informace bez dobrého důvodu.

    sociální inženýrství – způsob, jak získat přístup k důvěrným informacím, heslům, bankovním a dalším chráněným datům a systémům.
    Kyberzločinci využívají sociální inženýrství k provádění cílených útoků (útoky na infrastrukturu firem nebo vládních úřadů). Prostředky ochrany této organizace si předem pečlivě prostudují.

    Zveřejnění tohoto článku na portálu www.

    sociální inženýrství

    Předpokládá se, že sociální inženýrství je nejnebezpečnějším a nejničivějším typem útoku na organizace. Ale bohužel na konferencích o informační bezpečnosti se této problematice prakticky nevěnuje pozornost.

    Většina případů v ruskojazyčném segmentu internetu je přitom citována ze zahraničních zdrojů a knih. Neříkám, že takových případů je na Runetu málo, ale z nějakého důvodu se o nich prostě nemluví. Rozhodl jsem se přijít na to, jak nebezpečné je sociální inženýrství ve skutečnosti, a zjistit, jaké důsledky může mít jeho masivní používání.

    Sociální inženýrství v informační bezpečnosti a penetračním testování je obvykle spojeno s cíleným útokem na konkrétní organizaci. V tomto výběru případů chci zvážit několik příkladů využití sociálního inženýrství, kdy byly „útoky“ prováděny masivně (nediskriminačně) nebo masově cílené (na organizace v určité oblasti).

    Definujme si pojmy, aby bylo každému jasné, co mám na mysli. V článku budu používat termín „sociální inženýrství“ v následujícím smyslu: „soubor metod k dosažení cíle, založený na využití lidských slabostí“. Ne vždy se jedná o něco kriminálního, ale rozhodně to má negativní konotaci a je spojeno s podvody, manipulacemi a podobně. Ale všemožné psychologické triky na vyklepání slev v obchodě nejsou sociálním inženýrstvím.

    V této oblasti budu působit pouze jako výzkumník, nevytvářel jsem žádné škodlivé stránky a soubory. Pokud ode mě někdo dostal dopis s odkazem na stránky, pak byly tyto stránky bezpečné. Nejhorší, co by se tam mohlo stát, je sledování uživatele počítadlem Yandex.Metrica.

    Příklady sociálního inženýrství

    Určitě jste už slyšeli o spamu s „certifikáty o provedené práci“ nebo smlouvami, ve kterých jsou trojské koně zakomponovány. Takovou korespondencí už účetní nepřekvapíte. Nebo vyskakovací okna s „doporučeními“ ke stažení zásuvného modulu pro sledování videí – to už je nuda. Vyvinul jsem několik méně zřejmých scénářů a předkládám je zde jako podnět k zamyšlení. Doufám, že se nestanou návodem k akci, ale naopak pomohou učinit Runet bezpečnější.

    Ověřený odesílatel

    Někdy z důvodu nedopatření administrátoři stránek nepovolí filtrování pole „Jméno“ v registračním formuláři (například při přihlášení k odběru newsletteru nebo při odesílání přihlášky). Místo názvu můžete vložit text (někdy kilobajty textu) a odkaz na škodlivý web. Do pole e-mail zadejte adresu oběti. Po registraci obdrží tato osoba od služby dopis: "Dobrý den, drahá ..." a poté - náš text a odkaz. Zpráva od služby bude úplně dole.

    Jak z něj udělat zbraň hromadného ničení?

    Základní. Zde je jeden příklad z mé praxe. V prosinci 2017 jeden z vyhledávačů objevil možnost zasílání zpráv formou vazby náhradního emailu. Než jsem odeslal bug bounty report, bylo možné poslat 150 000 zpráv denně – stačilo jen trochu automatizovat vyplňování formuláře.

    Tento trik vám umožňuje odesílat podvodné e-maily ze skutečné adresy podpory webu se všemi digitálními podpisy, šifrováním a tak dále. Ale ukáže se, že celou horní část napsal útočník. I takové dopisy jsem dostal, a to nejen od velkých společností jako booking.com nebo paypal.com, ale i od méně známých stránek.

    A zde je „trend“ dubna 2018.

    E-maily z Google Analytics

    Povím vám o zcela novém případu - pro duben 2018. S Google mail Na několik mých adres začal přicházet analytický spam. Když jsem se trochu prohrabal, našel jsem způsob odesílání.


    Příklady sociálního inženýrství. Metoda "Ověřený odesílatel".

    "Jak to aplikovat?" Myslel jsem. A to mě napadlo: podvodník může udělat třeba takový text.


    Příklady sociálního inženýrství. Metoda "Ověřený odesílatel".
    Příklady sociálního inženýrství. Metoda "Ověřený odesílatel".

    Takový sběr hesel lze provádět nejen cíleně, ale také hromadně, stačí proces shromažďování domén trochu zautomatizovat pomocí Google Analytics a analýzu e-mailů z těchto stránek.

    Zvědavost

    Tento způsob, jak přimět člověka kliknout na odkaz, vyžaduje určitou přípravu. Vytvoří se falešný firemní web s jedinečným názvem, který okamžitě upoutá pozornost. No, například LLC "ZagibaliVygibali". Čeká se, až to vyhledávače zaindexují.


    Nyní přicházíme s nějakým důvodem, proč poslat blahopřání jménem této společnosti. Příjemci jej okamžitě začnou googlit a najdou naše stránky. Samotnou gratulaci je samozřejmě lepší udělat nezvyklou, aby si adresáti dopis nezametli do složky se spamem. S malým testem jsem se snadno dostal přes tisíc kliknutí.

    Falešné předplatné newsletteru

    A co je tam napsáno?

    Chcete-li nalákat lidi z nějakého fóra nebo webu otevřenými komentáři, nemusíte vymýšlet lákavé texty – stačí zveřejnit obrázek. Stačí vybrat něco atraktivnějšího (nějaký meme) a zmáčknout tak, aby nebylo možné rozeznat text. Zvědavost vždy nutí uživatele kliknout na obrázek. Ve svém výzkumu jsem provedl experiment a obdržel jsem asi 10 000 přechodů tak primitivním způsobem. Trojské koně byly kdysi doručovány prostřednictvím LJ (livejournal) stejným způsobem.


    Jak se jmenuješ?

    Přimět uživatele, aby otevřel soubor nebo dokonce dokument pomocí makra, není tak obtížné, i když mnozí slyšeli o číhajícím nebezpečí. Při hromadném rozesílání i pouhá znalost jména osoby vážně zvyšuje šance na úspěch.

    Můžeme například poslat e-mail s textem "Je tento e-mail stále aktivní?" nebo "Napište prosím adresu svého webu." V odpovědi minimálně v 10-20% případů přijde jméno odesílatele (to je častější u velkých společností). A po chvíli píšeme „Aleno, ahoj. Co je s vašimi stránkami (přiložená fotografie)?“ Nebo „Borisi, dobré odpoledne. Vůbec si nevím rady s cenou. Potřebuji 24. pozici. přikládám cenu. No, v ceníku - banální fráze "Chcete-li zobrazit obsah, povolte makra ...", se všemi z toho vyplývajícími důsledky.

    Obecně platí, že osobně adresované zprávy se otevírají a zpracovávají řádově častěji.

    Masová inteligence

    Tento scénář není ani tak útokem, jako spíše přípravou na něj. Řekněme, že chceme znát jméno nějaké důležité osoby, jako je účetní nebo šéf bezpečnosti. To lze snadno provést, pokud jednomu ze zaměstnanců, kteří mohou mít tyto informace, zašlete dopis s následujícím obsahem: „Sdělte mi prosím druhé jméno ředitele a rozvrh kanceláře. Musíme poslat kurýra."

    Ptáme se na čas práce, abychom si rozmazali oči, a požádat o patronymii je trik, který nám umožňuje neprozradit, že neznáme jméno a příjmení. Obojí bude s největší pravděpodobností obsaženo v odpovědi oběti: celé jméno je nejčastěji napsáno celé. V průběhu studia se mi takto podařilo shromáždit jména více než dvou tisíc režisérů.

    Pokud potřebujete zjistit poštu úřadů, můžete bezpečně napsat sekretářce: „Dobrý den. Dlouho jste s Andrejem Borisovičem nemluvili, funguje jeho adresa stále? A nedostal jsem od něj odpověď. Roman Gennadievič. Sekretářka vidí e-mail vytvořený na základě skutečného jména ředitele a obsahující webové stránky společnosti a uvádí skutečnou adresu Andreje Borisoviče.

    V tomto článku se zaměříme na pojem „sociální inženýrství“. Zde bude uvažováno o generálovi a také se dozvíme o tom, kdo byl zakladatelem tohoto konceptu. Promluvme si samostatně o hlavních metodách sociálního inženýrství, které útočníci používají.

    Úvod

    Metody, které umožňují korigovat lidské chování a řídit jeho aktivity bez použití technické sady nástrojů, tvoří obecný koncept sociálního inženýrství. Všechny metody jsou založeny na tvrzení, že lidský faktor je nejničivější slabinou každého systému. Často tento koncept posuzováno v rovině protiprávní činnosti, jejímž prostřednictvím se pachatel dopouští jednání směřujícího k získání informací od subjektu-oběti nepoctivým způsobem. Může to být například nějaká manipulace. Sociální inženýrství však využívají i lidé v legitimních činnostech. Dnes se nejčastěji používá pro přístup ke zdrojům s citlivými nebo citlivými informacemi.

    Zakladatel

    Zakladatelem sociálního inženýrství je Kevin Mitnick. Samotný pojem k nám však přišel ze sociologie. Označuje obecný soubor přístupů používaných aplikovanou sociální. vědy zaměřené na změnu organizační struktury, která může určovat lidské chování a vykonávat nad ním kontrolu. Kevin Mitnick může být považován za zakladatele této vědy, protože to byl on, kdo popularizoval sociální. strojírenství v prvním desetiletí 21. století. Kevin sám byl dříve hackerem, který se zabýval širokou škálou databází. Tvrdil, že lidský faktor je nejzranitelnějším bodem systému jakékoli úrovně složitosti a organizace.

    Pokud mluvíme o metodách sociálního inženýrství jako o způsobu, jak získat práva (často nelegální) na používání důvěrných dat, pak můžeme říci, že jsou známy již velmi dlouho. Byl to však K. Mitnick, kdo dokázal zprostředkovat plnou důležitost jejich významu a zvláštnosti jejich aplikace.

    Phishing a neexistující odkazy

    Jakákoli technika sociálního inženýrství je založena na přítomnosti kognitivních zkreslení. Chyby v chování se stávají „nástrojem“ v rukou šikovného inženýra, který v budoucnu dokáže vytvořit útok zaměřený na získání důležitých dat. Mezi metodami sociálního inženýrství se rozlišuje phishing a neexistující odkazy.

    Phishing je online podvod určený k získání osobních údajů, jako je uživatelské jméno a heslo.

    Neexistující odkaz – použití odkazu, který bude příjemce lákat na určité výhody, které lze získat kliknutím na něj a návštěvou konkrétní stránky. Nejčastěji se používají názvy velkých společností, které se jemně upravují. Oběť kliknutím na odkaz „dobrovolně“ předá své osobní údaje útočníkovi.

    Metody využívající značky, vadné antiviry a falešnou loterii

    Sociální inženýrství také využívá podvody se značkami, vadné antiviry a falešné loterie.

    „Podvody a značky“ je metoda klamání, která také patří do sekce phishing. To zahrnuje e-maily a webové stránky, které obsahují jméno velké a/nebo „propagované“ společnosti. Z jejich stránek jsou odesílány zprávy s upozorněním na vítězství v určité soutěži. Dále musíte zadat důležité informace o účtu a ukrást je. Taky daný formulář podvodu lze provést po telefonu.

    Falešná loterie – metoda, kdy je oběti zaslána zpráva s textem, že (a) vyhrál (a) v loterii. Nejčastěji je upozornění maskováno pomocí jmen velkých korporací.

    Falešné antiviry jsou softwarové podvody. Používá programy, které vypadají jako antiviry. Ve skutečnosti však vedou ke generování falešných upozornění na konkrétní hrozbu. Snaží se také nalákat uživatele do sféry transakcí.

    Vishing, phreaking a pretexting

    Když už mluvíme o sociálním inženýrství pro začátečníky, měli bychom zmínit také vishing, phreaking a pretexting.

    Vishing je forma klamu, která využívá telefonní sítě. Tady, předem nahrané hlasové zprávy, jehož účelem je znovu vytvořit „oficiální hovor“ bankovní struktury nebo jakéhokoli jiného IVR systému. Nejčastěji jsou požádáni o zadání uživatelského jména a / nebo hesla za účelem potvrzení jakýchkoli informací. Jinými slovy, systém vyžaduje autentizaci uživatele pomocí PIN nebo hesel.

    Phreaking je další forma telefonního podvodu. Jedná se o hackerský systém využívající manipulaci se zvukem a tónovou volbu.

    Pretexting je útok pomocí předem vytvořeného plánu, jehož podstatou je reprezentovat jiný subjekt. Extrémně obtížný způsob podvádění, protože vyžaduje pečlivou přípravu.

    Quid Pro Quo a metoda Road Apple

    Teorie sociálního inženýrství je mnohostranná databáze, která zahrnuje jak metody klamání a manipulace, tak způsoby, jak se s nimi vypořádat. Hlavním úkolem vetřelců je zpravidla vylovit cenné informace.

    Mezi další typy podvodů patří: quid pro quo, metoda road apple, surfování přes rameno, používání open source a reverzní sociální média. inženýrství.

    Quid-pro-quo (z lat. - „pro toto“) - pokus získat informace od společnosti nebo firmy. To se děje tak, že ji kontaktujete telefonicky nebo zasláním zpráv na e-mailem. Nejčastěji se útočníci vydávají za jejich zaměstnance. podpory, které hlásí přítomnost konkrétního problému na pracovišti zaměstnance. Ti pak navrhují způsoby, jak to odstranit, například založením software. Software se ukáže jako vadný a propaguje zločin.

    „Road apple“ je metoda útoku, která je založena na myšlence trojského koně. Jeho podstatou je použití fyzický nosič a měnící se informace. Mohou například poskytnout paměťovou kartu s určitým „dobrem“, které přitáhne pozornost oběti, způsobí touhu otevřít a použít soubor nebo sledovat odkazy uvedené v dokumentech flash disku. Objekt "silničního jablka" je vhozen do společenská místa a počkejte, až nějaký subjekt implementuje útočníkův plán.

    Shromažďování a vyhledávání informací z otevřených zdrojů je podvod, ve kterém je získávání dat založeno na metodách psychologie, schopnosti všímat si maličkostí a analýze dostupných dat, například stránek ze sociální sítě. Tohle stačí nová cesta sociální inženýrství.

    Ramenní surfování a reverzní sociální. inženýrství

    Pojem „shoulder surfing“ se definuje jako pozorování subjektu naživo v doslovném smyslu. S tímto typem lovu dat se útočník dostane na veřejná místa, jako je kavárna, letiště, vlakové nádraží, a sleduje lidi.

    Nemělo by se to podceňovat tato metoda, neboť mnohé průzkumy a studie ukazují, že pozorný člověk může dostat hodně důvěrná informace jen být pozorný.

    Sociální inženýrství (jako úroveň sociologických znalostí) je prostředkem pro „zachytávání“ dat. Existují způsoby, jak získat data, kdy oběť sama nabídne útočníkovi potřebné informace. Může však sloužit i ku prospěchu společnosti.

    Reverzní sociální inženýrství je další metodou této vědy. Použití tohoto termínu se stává vhodným v případě, který jsme uvedli výše: oběť sama nabídne útočníkovi potřebné informace. Toto tvrzení by nemělo být považováno za absurdní. Faktem je, že subjekty s pravomocí v určitých oblastech činnosti získávají přístup k identifikačním údajům často na základě vlastního rozhodnutí subjektu. Důvěra je zde základem.

    Důležité si pamatovat! Zaměstnanci podpory nikdy nepožádají uživatele například o heslo.

    Informace a ochrana

    Výcvik sociálního inženýrství může jednotlivec provádět jak na základě osobní iniciativy, tak na základě benefitů, které jsou využívány ve speciálních vzdělávacích programech.

    Zločinci mohou používat širokou škálu typů podvodů, od manipulace po lenost, důvěřivost, zdvořilost uživatele atd. Je velmi obtížné se před tímto typem útoku chránit, což je způsobeno nedostatečným vědomím oběti, že (ona) byla podvedena. Různé firmy a společnosti na ochranu svých dat na této úrovni nebezpečí se často zabývají vyhodnocováním obecných informací. Dále jsou nezbytná ochranná opatření integrována do bezpečnostní politiky.

    Příklady

    Příkladem sociálního inženýrství (jeho činu) v oblasti globálních phishingových mailingů je událost, ke které došlo v roce 2003. Během tohoto podvodu byly e-maily odeslány uživatelům eBay na adrese emailová adresa. Tvrdili, že účty, které jim patří, byly zablokovány. Pro zrušení blokace bylo nutné znovu zadat údaje o účtu. Dopisy však byly falešné. Přeložili na stránku identickou s oficiální, ale falešnou. Podle odborných odhadů nebyla ztráta příliš výrazná (necelý milion dolarů).

    Definice odpovědnosti

    Použití sociálního inženýrství může být v některých případech trestné. V řadě zemí, například ve Spojených státech, je pretexting (klamání vydáváním se za jinou osobu) přirovnáván k invazi osobní život. To však může být postižitelné zákonem, pokud informace získané během pretextingu byly z hlediska subjektu nebo organizace důvěrné. Záznam telefonní rozhovor(jako metoda sociálního inženýrství) je také stanovena zákonem a vyžaduje pokutu ve výši 250 000 $ nebo odnětí svobody až na deset let pro jednotlivce. osob. Právnické osoby jsou povinny zaplatit 500 000 USD; období zůstává stejné.

    Metody sociálního inženýrství – o tom bude pojednávat tento článek, stejně jako o všem, co souvisí s manipulací s lidmi, phishingem a krádežemi zákaznických základen a dalšími. Informaci nám laskavě poskytl Andrey Serikov, jejímž je autorem, za což mu patří velký dík.

    A.SERIKOV

    A.B.BOROVSKÝ

    INFORMAČNÍ TECHNOLOGIE SOCIÁLNÍHO HACKINGU

    Úvod

    Touha lidstva dosáhnout dokonalého splnění stanovených úkolů vedla k rozvoji moderní výpočetní techniky a pokusy vyhovět protichůdným požadavkům lidí vedly k vývoji softwarových produktů. Data softwarových produktů hardware nejen udržovat v chodu, ale také jej spravovat.

    Rozvoj znalostí o člověku a počítači vedl ke vzniku zásadně nového typu systémů – „člověk-stroj“, kde může být člověk umístěn jako Hardware běžící stabilní, funkční, multi-tasking operační systém nazývané „psychika“.

    Předmětem práce je úvaha o sociálním hackingu jako odvětví sociálního programování, kde jsou lidské bytosti manipulovány pomocí lidských slabostí, předsudků a stereotypů v sociálním inženýrství.

    Sociální inženýrství a jeho metody

    Metody manipulace s člověkem jsou známy již dlouho, do sociálního inženýrství se dostaly především z arzenálu různých speciálních služeb.

    První známý případ konkurenčního zpravodajství pochází z 6. století př. n. l. a došlo k němu v Číně, kdy Číňané ztratili tajemství výroby hedvábí, které bylo podvodně ukradeno římskými špiony.

    Sociální inženýrství je věda, která je definována jako soubor metod manipulace s lidským chováním, založených na využití slabin lidského faktoru, bez použití technických prostředků.

    Podle mnoha odborníků jsou největší hrozbou pro informační bezpečnost právě metody sociálního inženýrství, už proto, že využití sociálního hackingu nevyžaduje výrazné finanční investice a důkladné znalosti. počítačová technologie a také proto, že lidé mají určité sklony k chování, které lze využít k opatrné manipulaci.

    A bez ohledu na to, jak se zlepšil technické systémy ochrany, lidé zůstanou lidmi se svými slabostmi, předsudky, stereotypy, s jejichž pomocí probíhá řízení. Nastavení lidského „bezpečnostního programu“ je nejobtížnější a ne vždy zaručený výsledek, protože tento filtr je nutné neustále upravovat. Zde více než kdy jindy zní relevantní hlavní motto všech bezpečnostních expertů: „Bezpečnost je proces, nikoli výsledek“

    Oblasti použití sociálního inženýrství:

    1. celková destabilizace práce organizace za účelem snížení jejího vlivu a možnosti následné úplné destrukce organizace;
    2. finanční podvody v organizacích;
    3. phishing a další způsoby krádeže hesel za účelem přístupu k osobním bankovním údajům jednotlivců;
    4. krádeže klientských databází;
    5. soutěžní inteligence;
    6. obecné informace o organizaci, jejích silných stránkách a slabé stránky, s cílem následného zničení této organizace tak či onak (často používané pro útoky nájezdníků);
    7. informace o nejslibnějších zaměstnancích, aby je dále „zatáhli“ do své organizace;

    Sociální programování a sociální hacking

    Sociální programování lze nazvat aplikovanou disciplínou, která se zabývá cílevědomým ovlivňováním člověka nebo skupiny lidí s cílem změnit nebo udržet jejich chování správným směrem. Sociální programátor si tedy klade za cíl ovládnout umění řídit lidi. Hlavním konceptem sociálního programování je, že mnohé z jednání lidí a jejich reakcí na ten či onen vnější vliv jsou v mnoha případech předvídatelné.

    Metody sociálního programování jsou přitažlivé, protože se o nich buď nikdo nikdy nedozví, nebo i když někdo něco uhodne, je velmi těžké pohnat takové číslo k odpovědnosti a v některých případech je možné chování lidí „naprogramovat“. osoba a velká skupina. Tyto příležitosti patří do kategorie sociálního hackingu právě z toho důvodu, že ve všech lidé plní vůli někoho jiného, ​​jako by se podřídili „programu“ napsanému sociálním hackerem.

    Sociální hacking jako příležitost hacknout člověka a naprogramovat ho k provádění nezbytných akcí pochází ze sociálního programování - aplikované disciplíny sociálního inženýrství, kde specialisté v této oblasti - sociální hackeři - používají techniky psychologického vlivu a herecké dovednosti vypůjčené z arzenálu speciálních služeb.

    Sociální hacking se používá ve většině případů, pokud jde o útok na osobu, která je součástí počítačového systému. počítačový systém, který je hacknutý, sám o sobě neexistuje. Obsahuje důležitou složku – osobu. A aby sociální hacker mohl získat informace, potřebuje se nabourat do člověka, který pracuje s počítačem. Ve většině případů je to jednodušší, než se nabourat do počítače oběti a pokusit se tímto způsobem zjistit heslo.

    Typický algoritmus vlivu v sociálním hackingu:

    Všechny útoky sociálních hackerů zapadají do jednoho poměrně jednoduchého schématu:

    1. je formulován účel dopadu na konkrétní předmět;
    2. informace o objektu se shromažďují za účelem nalezení nejvhodnějších cílů pro expozici;
    3. na základě shromážděné informace realizuje se fáze, kterou psychologové nazývají přitažlivost. Přitažlivost (z lat. Attrahere - přitahovat, přitahovat) je vytvoření nezbytných podmínek pro ovlivňování předmětu;
    4. donucení k akci nezbytné pro sociálního hackera;

    Nátlaku je dosaženo provedením předchozích fází, tj. po dosažení přitažlivosti oběť sama provede úkony potřebné pro sociálního inženýra.

    Na základě shromážděných informací sociální hackeři přesně předpovídají psycho- a sociotyp oběti, přičemž identifikují nejen potřeby jídla, sexu atd., ale také potřebu lásky, potřebu peněz, potřebu pohodlí atd. ., atd.

    A opravdu, proč se snažit proniknout do té či oné společnosti, hackovat počítače, bankomaty, organizovat složité kombinace, když si můžete vše usnadnit: zamilovat se do sebe do bezvědomí člověka, který ze své vůle převede peníze do konkrétní účet nebo pokaždé sdílet potřebné informace?

    Na základě skutečnosti, že jednání lidí je předvídatelné a také podléhá určitým zákonitostem, sociální hackeři a sociální programátoři používají jak originální vícekrokové, tak jednoduché pozitivní a negativní triky vycházející z psychologie lidského vědomí, programů chování, vibrací vnitřních orgánů, logických myšlení, představivost, paměť, pozornost. Tyto přístupy zahrnují:

    Dřevo generátor - generuje oscilace stejné frekvence jako frekvence oscilací vnitřních orgánů, po kterých je pozorován rezonanční efekt, v důsledku čehož lidé začínají pociťovat vážné nepohodlí a panický stav;

    dopad na geografii davu - pro mírové rozpuštění extrémně nebezpečných agresivních, velké skupiny lidí;

    vysokofrekvenční a nízkofrekvenční zvuky - k vyvolání paniky a její obrácený efekt, stejně jako další manipulace;

    program sociální imitace - člověk určuje správnost jednání, zjišťuje, jaké jednání ostatní lidé považují za správné;

    program klapání - (založený na sociálním napodobování) organizace nezbytné reakce publika;

    queuing - (založený na sociálním napodobování) jednoduchý, ale účinný reklamní trik;

    program vzájemné pomoci - člověk se snaží splatit dobro těm lidem, kteří mu udělali nějaké dobro. Touha splnit tento program často převyšuje všechny argumenty rozumu;

    sociální hackování na internetu

    S nástupem a rozvojem internetu – virtuálního prostředí skládajícího se z lidí a jejich interakcí se prostředí pro manipulaci s člověkem rozšířilo o získávání potřebných informací a provádění potřebných úkonů. Dnes je internet celosvětovým vysílacím médiem, médiem pro spolupráci, komunikaci a pokrývá celek Země. To je to, co sociální inženýři používají k dosažení svých cílů.

    Způsoby, jak manipulovat s osobou přes internet:

    V moderním světě si již majitelé téměř každé společnosti uvědomili, že internet je velmi efektivní a pohodlný nástroj pro rozšíření podnikání a jeho hlavním úkolem je zvyšovat zisky celé společnosti. Je známo, že reklama se používá bez informací, jejichž cílem je přitáhnout pozornost k požadovanému předmětu, vytvořit nebo udržet o něj zájem a prosadit jej na trhu. Jen díky tomu, že reklamní trh je dlouhodobě rozdělený, jsou většina typů reklamy pro většinu podnikatelů vyhozené peníze. Internetová reklama není jen jeden z typů reklamy v médiích, je to něco víc, protože pomocí internetové reklamy přicházejí na web organizace zájemci o spolupráci.

    Internetová reklama má na rozdíl od reklamy v médiích mnohem více možností a parametrů pro řízení reklamní společnosti. Většina důležitý ukazatel to je internetová reklama Poplatek za internetovou reklamu se odečítá pouze při přechodu zainteresovaný uživatel na reklamním odkazu, což samozřejmě činí reklamu na internetu efektivnější a méně nákladnou než reklama v médiích. Po inzerci v televizi nebo v tištěných médiích ji tedy zaplatí v plné výši a jen čekají na potenciální zákazníky, ale zákazníci mohou na reklamu reagovat nebo ne - vše závisí na kvalitě výroby a prezentace reklamy v televizi nebo novinách, rozpočet na reklamu však již byl vyčerpán v případě, že reklama nefungovala, byla promarněna. Na rozdíl od takové mediální reklamy má online reklama schopnost sledovat odezvu publika a řídit online reklamu před vyčerpáním jejího rozpočtu, navíc lze online reklamu pozastavit, když se poptávka po produktech zvýší, a obnovit, když poptávka začne klesat.

    Dalším způsobem ovlivnění je tzv. „Forum Killing“, kdy pomocí sociálního programování vytvářejí antireklamu na konkrétní projekt. Sociální programátor ve společnosti tento případ, pouze pomocí zjevných provokativních akcí, ničí fórum, přičemž používá několik pseudonymů ( přezdívka) vytvořit kolem sebe anti-leaderskou skupinu a přilákat do projektu pravidelné návštěvníky, kteří nejsou spokojeni s chováním administrativy. Na konci takových akcí na fóru je nemožné propagovat zboží nebo nápady. Proč bylo fórum původně vytvořeno?

    K metodám ovlivňování člověka prostřednictvím internetu pro účely sociálního inženýrství:

    Phishing je druh internetového podvodu s cílem získat přístup k důvěrným uživatelským datům – přihlašovacím údajům a heslům. Tato operace dosaženo prostřednictvím hromadné zásilky e-maily jménem populárních značek, stejně jako soukromé zprávy uvnitř různé služby(Rambler), banky nebo uvnitř sociální sítě(Facebook). Dopis často obsahuje odkaz na web, který je navenek k nerozeznání od skutečného. Poté, co se uživatel dostane na falešnou stránku, sociální inženýři používají různé techniky, aby vyzvali uživatele, aby na stránce zadal své uživatelské jméno a heslo, které používá pro přístup na konkrétní stránku, což jim umožňuje přístup k účtům a bankovním účtům.

    Více nebezpečný pohled podvod než phishing, je tzv. pharming.

    Pharming je mechanismus pro skryté přesměrování uživatelů na phishingové stránky. Sociální inženýr distribuuje do počítačů uživatelů speciální malware, které po spuštění na počítači přesměrovávají požadavky z potřebných stránek na falešné. Je tak zajištěno vysoké utajení útoku a minimalizována účast uživatele – stačí počkat, až se uživatel rozhodne navštívit stránky, které sociálního inženýra zajímají.

    Závěr

    Sociální inženýrství je věda, která vzešla ze sociologie a tvrdí, že je souhrnem znalostí, které řídí, uspořádávají a optimalizují proces vytváření, modernizace a reprodukce nových („umělých“) sociálních realit. Určitým způsobem „dokončuje“ sociologickou vědu, završuje ji ve fázi transformace vědeckých poznatků do modelů, projektů a konstrukcí společenských institucí, hodnot, norem, algoritmů činnosti, vztahů, chování atd.

    Navzdory tomu, že sociální inženýrství je relativně mladá věda, působí velké škody na procesech, které ve společnosti probíhají.

    Nejjednodušší metody ochrany před dopadem této destruktivní vědy lze nazvat:

    Přitáhnout pozornost lidí k bezpečnostním otázkám.

    Povědomí uživatelů o závažnosti problému a přijetí bezpečnostní politiky systému.

    Literatura

    1. R. Petersen Linux: Kompletní průvodce: za z angličtiny. - 3 - vyd. - K .: BHV Publishing Group, 2000. - 800 s.

    2. Z internetu Grodnev u vás doma. - M .: "RIPOL CLASSIC", 2001. -480 s.

    3. M. V. Kuzněcov Sociální inženýrství a sociální hacking. SPb.: BHV-Petersburg, 2007. - 368 s.: ill.

    Přečtěte si více: