Microcamtest

Лайфстайл портал

Кто такой социальный инженер и как он связан с манипуляциями?

История

Несмотря на то, что понятие «социальная инженерия» появилось относительно недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были люди, которые могли различными способами убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры. Умело используя ложь, лесть и выгодные аргументы, они нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за другое лицо, агенты КГБ и ЦРУ могли выведать секретные государственные тайны. В начале 70-х годов, в период расцвета фрикинга, некоторые телефонные хулиганы названивали операторам связи и пытались выведать конфиденциальную информацию у технического персонала компаний. После различных экспериментов с уловками, к концу 70-х фрикеры настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели. [3]

Видео

Смс-атаки

Ранее был очень популярен вид массового мошенничества типа: “отправь смс туда, получишь то…” и пр. Сейчас он преобразовался в более продуманную схему, в основе которой чаще всего лежит выше описанный механизм влияния — “давление на жалость” (управление эмоциями человека). Создается фейковый аккаунт в социальных сетях либо с левой симки регистрируется, к примеру, в Whatsapp. Далее начинает высылаться объявление: “Помогите на лечение ребенку, фотки и реквизиты”. Если это действительно реальные люди, то реквизиты легко проверяются и проблемы нет, но почему многие люди все равно ведутся на такое? Да потому что это чаще всего работает с определенной ЦА — люди 35+ и обычно девушки, у которых есть дети. Большинству кажется диким, что можно не проверить реквизиты и скинуть деньги просто так, но поверьте, и такие есть.

Приманки

В ходе таких атак преступники используют против своих жертв качества их характера, чаще всего — жадность и желание легкой наживы. Злоумышленник заманивает жертву в ловушку, обещая золотые горы, однако в итоге человек теряет контроль над своими учетными данными или система оказывается инфицированной вредоносным ПО.

Попасть в такую ловушку намного легче, чем кажется на первый взгляд. Приманки могут быть двух видов – физическая приманка и интернет-приманка. В первом случае преступник использует инфицированный флеш-накопитель, оставив его на видном месте. После того, как жертва подключает флешку к офисному или домашнему компьютеру, происходит автоматическая установка вредоносной программы, разрушающей компьютерную систему.

В случае с онлайн-вариантом пользователь загружает вредоносное ПО с интернет-сайта. Чтобы заставить вас загрузить файл, используются разные методы – сообщения электронной почты, фейковый интернет-сайт или рекламные объявления, направляющие на вредоносный сайт.

Методы социальной инженерии

Все реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке, а жертвы социальных хакеров, как правило, даже не подозревают, что по отношению к ним применяют какую-то технику, и тем более не знают, кто это делает.

Все методы социальной инженерии основываются на особенностях принятия людьми решений. Это так называемый когнитивный базис, согласно которому люди в социальной среде всегда склонны кому-то доверять. Среди главных методов социальной инженерии выделяются:

  • «Троянский конь»
  • Претекстинг
  • «Дорожное яблоко»
  • Фишинг
  • Кви про кво

Расскажем о них подробнее.

«Троянский конь»

При использовании «троянского коня» эксплуатируется любопытство человека и его желание получить выгоду. Социальные хакеры отправляют на E-Mail жертвы письмо, в котором есть некое интересное вложение, например, апгрейд для какой-то программы, скрин-сейвер эротического содержания, будоражащая новость и т.д. Метод используется, чтобы вынудить пользователя кликнуть по файлу, который может заразить компьютер вирусом. Часто в результате на экране появляются баннеры, закрыть которые можно только двумя способами: переустановив операционную систему или заплатив злоумышленникам определенную сумму.

Претекстинг

Под термином «претекстинг» подразумевается действие, которое пользователь совершает по предварительно подготовленному претексту, т.е. сценарию. Цель состоит в том, чтобы человек выдал конкретные сведения или совершил конкретное действие. В большинстве случаев претекстинг применяется при телефонных звонках, хотя есть примеры подобных атак по Skype, Viber, ICQ и другим мессенджерам. Но для реализации метода синжер или хакер должен не просто умело лгать, но и заранее провести исследование объекта – узнать его имя, дату рождения, место работы, сумму на счете и т.д. При помощи таких деталей синжер повышает к себе доверие жертвы.

«Дорожное яблоко»

Метод дорожного яблока состоит в адаптации «троянского коня» и требует обязательного применения какого-то физического носителя информации. Социальные хакеры могут подбрасывать загрузочные флешки или диски, подделанные под носители с интересным и/или уникальным контентом. Все, что нужно, – это незаметно подложить жертве «дорожное яблоко», например, в машину на парковке, в сумку в лифте и т.д. А можно просто оставить этот «фрукт» там, где жертва его с большой долей вероятности увидит и возьмет сама.

Фишинг

Фишинг

Фишинг является очень распространенным методом получения конфиденциальных сведений. В классическом варианте это «официальное» электронное письмо (от платежного сервиса, банка, частного лица высокого ранга и т.д.), снабженное подписями и печатями. От адресата требуется перейти по ссылке на фальшивый сайт (там тоже есть все, что говорит об «официальности и достоверности» ресурса) и ввести какую-то информацию, к примеру, ФИО, домашний адрес, номер телефона, адреса профилей в соцсетях, номер банковской карты (и даже CVV-код!). Доверившись сайту и введя данные, жертва отправляет их мошенникам, а что происходит дальше, догадаться несложно.

Кви про кво

Метод «Кви про кво» используют для внедрения вредоносного ПО в системы различных компаний. Социальные хакеры звонят в нужную (иногда – в любую) компанию, представляются сотрудниками техподдержки и опрашивают работников на наличие каких-либо техническим неисправностей в компьютерной системе. Если неисправности имеются, злоумышленники начинают их «устранять»: просят жертву ввести определенную команду, после чего появляется возможность запуска вирусного ПО.

Вышеназванные методы социальной инженерии встречаются на практике чаще всего, но есть и другие. Кроме того, есть еще и особенный вид социальной инженерии, который также призван повлиять на человека и его действия, но делается по совсем другому алгоритму.

Фишинг

Фишинг является одним из самых известных видов психологических атак. Преступник атакует жертву через сообщения электронной почты или фейковые интернет-сайты. Фишинговые схемы в большинстве случаев организуются от имени известных или знакомых жертве организаций.

Предположим, вы получили электронное письмо от известной вам компании, поэтому вам не приходит в голову проверить электронный адрес отправителя. Вы просто открываете письмо, читаете о том, что политика конфиденциальности компании изменилась, и вам необходимо пройти по предоставленной в сообщении ссылке и изменить свой пароль. Вы все делаете так, как сказано в письме и… поздравляем вас! Вы попались. Преступники продумали каждый ваш шаг, именно поэтому им удается заставлять людей делать то, что они хотят.

Эффект страуса

Мы жаждем получить как можно больше информации — когда она носит положительный характер. Но когда информация негативная — пусть даже и полезная, — люди часто предпочитают ее не знать. Как легко догадаться, эффект страуса проявляется тогда, когда мы отрицаем негативную информацию, пряча голову в песок, следуя принципу «если я этого не вижу, значит этого и не существует».

На что это похоже: классическое проявление эффекта страуса — нежелание просматривать распечатку расходов по банковской карте после отпуска или больших праздников вроде Рождества. Вы прекрасно понимаете, что эта информация вряд ли доставит вам много радости, вот и тянете и не смотрите на счета, пока совсем не подопрет. Вы избегаете неприятных ощущений, сознательно ограничивая для себя доступ к информации.

Методы работы социальных инженеров

Опытный социальный инженер редко использует одну технику сбора данных. Обычно методы социальной инженерии — это комплекс инструментов, которые применяются в зависимости от обстоятельств. Он:

  1. Представляется сотрудником сервисных служб, проверяющим или руководителем;
  2. Подглядывает из-за плеча, чтобы узнать логин и пароль;
  3. Отправляет фишинговые электронные письма и сообщения в мессенджеры;
  4. Тайно записывает нажатия клавиш, пока жертва работает за компьютером;
  5. Записывает голосовые сообщения, похожие на сообщения роботов;
  6. Просит о помощи, где жертва раскроет важны данные.

Профилирование

Если в предыдущем пункте речь шла больше о массовости, то такой инструмент, как профилирование (составление профиля человека — психологического портрета) — это чисто индивидуально-ориентированный инструмент. Это крайне сложная наука и требует большой квалификации и знаний. Мы с коллегами в профайлинге используем разные технологии профилирования, и я как-нибудь напишу отдельную статью об этом. Как показывает практика, большинство социальных инженеров, к счастью, не очень сильны в данной теме и ищут уязвимости людей другими способами, хотя с точки зрения индивидуального подхода — это самый мощный способ.

Теги