- Регистрация
- Сообщения
- 736
- Реакции
- 36
Зловещее искусство убеждения
По мере совершенствования технологий кибербезопасности злоумышленники все чаще прибегают к «старой школе». Зачем бороться с непомерно защищенным корпоративным файрволом, когда можно обмануть служащего? Служащего, который снимет трубку и скажет пароль своего босса. Злоумышленники, прокладывающие путь в «защищенные-корпоративные системы, умеют манипулировать естественными человеческими склонностями. Вот почему я называю их социальными инженерами.
Социальная инженерия опирается на несколько фундаментальных аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, склонность следовать за большинством, склонность исполнять негласные публичные обязательства, склонность гнаться за дефицитными вещами и склонность доверять авторитету. Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера.
Основа для создания защиты от атак социальных инженеров — ясное понимание того, как именно происходит процесс убеждения. Расскажу об этом ниже.
Гипотетический случай
Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлогер на компьютер директора компании. Этот случай смоделирован на основе реальных событий.
В отделе кадров крупного издательства звонит телефон:
— Отдел кадров. Елена.
— Привет, Лен. Это Сергей с автостоянки, у нас возникли проблемы с картами доступа на парковке. Недавно устроившиеся к нам сотрудники жалуются, что карты не работают. Поэтому нам надо перепрограммировать карты новых сотрудников, которые устроились на работу в течение последних 30 дней. Как мне узнать всех новичков?
— Я могу помочь вам со списком новичков. Куда я могу перезвонить по этому вопросу?
— Отлично. Но я сейчас убегаю. Где-то минут через тридцать позвоню вам. Договорились?
— Буду ожидать.
Через указанный временной промежуток «Сергей» звонит Елене вновь, та передает ему имена и номера двух новых сотрудников. И она без каких-либо подозрений говорит, что один из них вице-президент, а другой, Евгений Михайлович, помощник по финансам. Бинго! Следующий звонок «Сергея» — около шести вечера — Евгению:
— Финансы. Евгений на проводе.
— Очень рад, что кто-то работает допоздна. Послушай, это Владимир Иванов. Я вице-президент книжного отдела. Нас не успели представить друг другу. Добро пожаловать в нашу компанию.
— Ой, спасибо.
— Евгений, я на конференции, и у меня форс-мажор. Знаю, что у тебя своих дел хватает, но помоги, пожалуйста. А я тебе персональную экскурсию по отделам устрою.
— Конечно, Чем могу помочь?
— Зайди ко мне в офис. Мне нужна рукопись. Тебе известно, где он находиться?
— Нет.
— Он расположен на углу пятнадцатого этажа. Офисное помещение № 1502. Через пару минут я позвоню тебе на телефон в том кабинете. Когда попадешь, нажми кнопку переадресации вызова на телефоне, чтобы мой звонок не был переадресован на автоответчик.
— Договорились, бегу.
Сработало!
Через пять минут Евгений был уже в офисе Владимира Иванова. Он отключил переадресацию вызовов Владимира и ожидает телефонного звонка. Наш социальный инженер, представившийся Владимиром, просит его включить Internet Explorer на компьютере Владимира, напечатать в строке браузера определенный адрес (который в итоге запустит вредоносный скрипт), затем нажать «ENTER». Появляется диалоговое окно, и наш социальный инженер просит Евгения нажать «ОТКРЫТЬ», вместо «СОХРАНИТЬ». Компьютер начинает загружать рукопись, но потом монитор гаснет. Когда Евгений сообщает, что что-то пошло не так, социальный инженер подыгрывает:
— О нет. Неужели опять. У меня уже были сложности с загрузкой с этого сайта, но я думал, что ошибку исправили. Ну да ладно. Не беспокойся. Я попозже найду другой способ скачать этот документ.
Далее социальный инженер просит Евгения перезагрузить компьютер чтобы «Владимир» мог быть уверенным, что компьютер работает нормально. Пока компьютер перезагружается. «Владимир» дружелюбно болтает с Евгением. Когда компьютер снова загружается и начинает работать правильно, «Владимир» сердечно благодарит Евгения и вешает. Трубку Евгений возвращается к своему рабочему столу, довольный тем, что наладил хороший контакт с вице-президентом.
Конечно же, Евгений и не подозревает, что его обманул ловкий социальный инженер, и он самолично установил для хакера шпионскую программу на компьютер вице-президента. Установленная программа будет фиксировать все нажимаемые Ивановым кнопки. В том числе электронную почту, пароли, посещаемые веб-сайты, а также делать снимки экрана и отправлять все это богатство по электронной почте на анонимный бесплатный почтовый ящик хакера из Чукотки.
Как и большинство подобных нарушений, такие действия требуют лишь минимальных технических навыков (маскировка шпионской программы под рукопись) и небольшой предварительной подготовки. Хакеру надо было предварительно получить некоторую информацию: офис Иванова, время его ухода и т.д. Однако подобного рода детали легко собираются при помощи тактики наподобие той, что была использована для получения списка новых сотрудников.
Неограниченные возможности
Используя подобные методы, социальные инженеры могут:
По мере совершенствования технологий кибербезопасности злоумышленники все чаще прибегают к «старой школе». Зачем бороться с непомерно защищенным корпоративным файрволом, когда можно обмануть служащего? Служащего, который снимет трубку и скажет пароль своего босса. Злоумышленники, прокладывающие путь в «защищенные-корпоративные системы, умеют манипулировать естественными человеческими склонностями. Вот почему я называю их социальными инженерами.
Социальная инженерия опирается на несколько фундаментальных аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, склонность следовать за большинством, склонность исполнять негласные публичные обязательства, склонность гнаться за дефицитными вещами и склонность доверять авторитету. Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера.
Основа для создания защиты от атак социальных инженеров — ясное понимание того, как именно происходит процесс убеждения. Расскажу об этом ниже.
Гипотетический случай
Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлогер на компьютер директора компании. Этот случай смоделирован на основе реальных событий.
В отделе кадров крупного издательства звонит телефон:
— Отдел кадров. Елена.
— Привет, Лен. Это Сергей с автостоянки, у нас возникли проблемы с картами доступа на парковке. Недавно устроившиеся к нам сотрудники жалуются, что карты не работают. Поэтому нам надо перепрограммировать карты новых сотрудников, которые устроились на работу в течение последних 30 дней. Как мне узнать всех новичков?
— Я могу помочь вам со списком новичков. Куда я могу перезвонить по этому вопросу?
— Отлично. Но я сейчас убегаю. Где-то минут через тридцать позвоню вам. Договорились?
— Буду ожидать.
Через указанный временной промежуток «Сергей» звонит Елене вновь, та передает ему имена и номера двух новых сотрудников. И она без каких-либо подозрений говорит, что один из них вице-президент, а другой, Евгений Михайлович, помощник по финансам. Бинго! Следующий звонок «Сергея» — около шести вечера — Евгению:
— Финансы. Евгений на проводе.
— Очень рад, что кто-то работает допоздна. Послушай, это Владимир Иванов. Я вице-президент книжного отдела. Нас не успели представить друг другу. Добро пожаловать в нашу компанию.
— Ой, спасибо.
— Евгений, я на конференции, и у меня форс-мажор. Знаю, что у тебя своих дел хватает, но помоги, пожалуйста. А я тебе персональную экскурсию по отделам устрою.
— Конечно, Чем могу помочь?
— Зайди ко мне в офис. Мне нужна рукопись. Тебе известно, где он находиться?
— Нет.
— Он расположен на углу пятнадцатого этажа. Офисное помещение № 1502. Через пару минут я позвоню тебе на телефон в том кабинете. Когда попадешь, нажми кнопку переадресации вызова на телефоне, чтобы мой звонок не был переадресован на автоответчик.
— Договорились, бегу.
Сработало!
Через пять минут Евгений был уже в офисе Владимира Иванова. Он отключил переадресацию вызовов Владимира и ожидает телефонного звонка. Наш социальный инженер, представившийся Владимиром, просит его включить Internet Explorer на компьютере Владимира, напечатать в строке браузера определенный адрес (который в итоге запустит вредоносный скрипт), затем нажать «ENTER». Появляется диалоговое окно, и наш социальный инженер просит Евгения нажать «ОТКРЫТЬ», вместо «СОХРАНИТЬ». Компьютер начинает загружать рукопись, но потом монитор гаснет. Когда Евгений сообщает, что что-то пошло не так, социальный инженер подыгрывает:
— О нет. Неужели опять. У меня уже были сложности с загрузкой с этого сайта, но я думал, что ошибку исправили. Ну да ладно. Не беспокойся. Я попозже найду другой способ скачать этот документ.
Далее социальный инженер просит Евгения перезагрузить компьютер чтобы «Владимир» мог быть уверенным, что компьютер работает нормально. Пока компьютер перезагружается. «Владимир» дружелюбно болтает с Евгением. Когда компьютер снова загружается и начинает работать правильно, «Владимир» сердечно благодарит Евгения и вешает. Трубку Евгений возвращается к своему рабочему столу, довольный тем, что наладил хороший контакт с вице-президентом.
Конечно же, Евгений и не подозревает, что его обманул ловкий социальный инженер, и он самолично установил для хакера шпионскую программу на компьютер вице-президента. Установленная программа будет фиксировать все нажимаемые Ивановым кнопки. В том числе электронную почту, пароли, посещаемые веб-сайты, а также делать снимки экрана и отправлять все это богатство по электронной почте на анонимный бесплатный почтовый ящик хакера из Чукотки.
Как и большинство подобных нарушений, такие действия требуют лишь минимальных технических навыков (маскировка шпионской программы под рукопись) и небольшой предварительной подготовки. Хакеру надо было предварительно получить некоторую информацию: офис Иванова, время его ухода и т.д. Однако подобного рода детали легко собираются при помощи тактики наподобие той, что была использована для получения списка новых сотрудников.
Неограниченные возможности
Используя подобные методы, социальные инженеры могут:
- Получить контроль над компьютерными и телефонными системами компании;
- Убедить охранников и других работников в том, что они являются сотрудниками;
- Захватить голосовую почту сотовых и домашних телефонов высокопоставленных руководителей и таким образом получить доступ к полному списку клиентов, финансовым отчетам и планам организационного развития.