В этой статье я решил рассмотреть аспекты социальной инженерии (СИ) в сфере интернет-мошенничества и компьютерных взломов.
Методики социальной инженерии, применяемые злоумышленниками, сводятся к манипулированию поведением и давлению на человека-оператора. Взломщик применяющий технологии СИ может не обладать огромными познаниями в сфере сетей и операционных систем, но тем не менее может успешно "взломать" систему.
Такие методики конечно же используются не только злоумышленниками, но и в сфере рекламы и в политических технологиях. Однако сейчас я буду рассматривать только сферу интернета.
Знание человеческой психологии в большой мере облегчает работу взломщикам и злоумышленникам. Например люди, непрофессионально работающие с ПК, не хотят затруднять себе жизнь запоминанием паролей. Самый распространенный способ сохранения пароля - стикеры с написанными паролями прилепленные к монитору или к другому, столь же удобному и доступному месту. Прочитать и запомнить такой пароль для любого человека оказавшегося поблизости не составляет никаких проблем, и, пожалуйста - уязвимость в системе найдена. Никакие меры по обеспечению безопасности и защиты от взлома не спасут от человека знающего настоящие логин и пароль в систему.
Если вы когда-либо смотрели фильм "Хакеры", и помните момент, когда главный герой и героиня роются в мусоре в поисках паролей, знайте - это не фантазия режиссера, это вполне объективная реальность. Совсем не редкость, когда пользователи выбрасывают ненужные бумажки в корзину, не придавая особенного значения том, что на них написано. Другой момент из того же фильма. Главный герой звонит в телевизионную компанию, представляется бухгалтером, у которого при работе на дому произошел сбой, и просит сердобольного охранника сообщить ему некоторые данные необходимые для подключения к системе. Все это - примеры использования хакерами человеческого фактора.
Это конечно же поверхностные примеры, но тем не менее отражающие идеологию СИ - самым уязвимым звеном системы является человек. Естественно, что СИ не стоит на месте и постоянно развивается. Все новые и новые подходы разрабатываются для манипуляции поведением человека. Один из самых заметных подходов на сегодняшний день - "сфабрикованный предлог". Использование этого метода нашло применение практически во всех сферах интернета, интересных для взломщиков. Это и заражение компьютеров троянскими программами, и пересылка электронных денег на счета мошенников, и недобросовестная реклама.
Предлогом в полученном вами сообщении может быть что угодно, например возможность получить пиратские программы, посмотреть видео сомнительного содержания, и так далее. Вероятность того, что при переходе по указанной ссылке вы заразите свой компьютер троянской программой очень велика. В самом лучшем случае все ограничится рекламными предложениями и незначительным вредом вашему ПК.
Также крайне распространены сообщения от мошенников представляющимися вашими знакомыми, попавшими в неприятную или безвыходную ситуацию, и просящими вас, если вы конечно хотите помочь, переслать некую сумму электронных денег на указанные счета. Это могут быть и сообщения о "заболевших родственниках" и о "покупке медикаментов" и о "дорогостоящей операции". Фантазия мошенников в этом случае стремится составить сообщение так, чтобы на него клюнуло максимальное количество людей.
Целью всех этих манипуляций является заставить вас совершить действие необходимое злоумышленнику, а тут, как говорится, все методы хороши. При этом вы полностью самостоятельно совершаете все действия и, фактически, являетесь пособником взломщика.
Взломщик, нацелившийся на конкретного человека, постарается узнать о своей цели максимально возможное количество информации. Это не секрет, но мало кто задумывается о том количестве информации, которое любой человек может подчерпнуть о вас воспользовавшись обычными поисковыми системами. Это и ваш e-mail, номер интернет-пейджера, сообщения на форумах и тому подобное. Все это в некоторой мере позволяет узнать о вас целый ряд данных. Взломщик может, не выдавая себя, побеседовать с вами на интересные вам темы, с целью завоевывания доверия, но вы, даже не подозревая об этом, уже являетесь целью или средством взлома.
Еще одной стороной использования методик СИ является вычисление пользовательских паролей. Очень часто человек, работающий в сети и пользующийся персональными сервисами, не затруждает себя придумыванием достаточно сложных паролей. В результате взломщик, зная о таком аспекте, применяет простейший подбор паролей по составленному словарю. Самые простейшие, но тем не менее распространенные, пароли бывают вида qwerty, 12345, никнэйм пользователя, дата рождения, клички домашних животных и тому подобные, вычислить которые зачастую достаточно просто.
Хакеры, применяющие технологии СИ, составляют целые словари распространенных паролей, с помощью которых потом ведется атака на поставленную цель.
Как правило, злоумышленник, успешно применяющий СИ, обладает довольно неплохим знанием психологии, достаточно образован и может обладать неплохими актерскими задатками. Знания этого взломщика могут быть не очень велики в сфере компьютеров, но вы и так самостоятельно проделаете за него половину работы. Взломщику нужно только умело воспользоваться плодами своей "атаки".
В средства, используемые взломщиками, попадает не только интернет, но и любое другое средство коммуникации - телефон, голосовой чат. Взломщик высокой квалификации должен очень быстро определить стиль и манеру общения со своей целью, иначе "взлом" провалится. Это же касается и стиля письма в электронных письмах или других сообщениях.
Конечно же методы и подходы СИ гораздо более широки и сложны в своей массе, и в данной статье рассмотрены всего некоторые аспекты применения СИ в интернете.
Главными целями использования СИ являются :
- Сбор информации - один из важнейших аспектов взлома с помощью СИ.
- Заставить пользователя ряд действий необходимых для злоумышленника, оперируя только психологией пользователя.
PS:
Кевин Митник - всемирно прославившийся хакер, отсидевший срок в тюрьме за взлом известных американских коммуникационных компаний, обладал сравнительно небольшими познаниями в технической сфере, но успешность его взломов определяло использование технологий социальной инженерии, психологии и манипуляции людьми.
© Prizrak, 2007.