В этой статье я решил рассмотреть аспекты социальной инженерии (СИ) в сфере интернет-мошенничества и компьютерных взломов.

Методики социальной инженерии, применяемые злоумышленниками, сводятся к манипулированию поведением и давлению на человека-оператора. Взломщик применяющий технологии СИ может не обладать огромными познаниями в сфере сетей и операционных систем, но тем не менее может успешно "взломать" систему.

Такие методики конечно же используются не только злоумышленниками, но и в сфере рекламы и в политических технологиях. Однако сейчас я буду рассматривать только сферу интернета.

Знание человеческой психологии в большой мере облегчает работу взломщикам и злоумышленникам. Например люди, непрофессионально работающие с ПК, не хотят затруднять себе жизнь запоминанием паролей. Самый распространенный способ сохранения пароля - стикеры с написанными паролями прилепленные к монитору или к другому, столь же удобному и доступному месту. Прочитать и запомнить такой пароль для любого человека оказавшегося поблизости не составляет никаких проблем, и, пожалуйста - уязвимость в системе найдена. Никакие меры по обеспечению безопасности и защиты от взлома не спасут от человека знающего настоящие логин и пароль в систему.

Если вы когда-либо смотрели фильм "Хакеры", и помните момент, когда главный герой и героиня роются в мусоре в поисках паролей, знайте - это не фантазия режиссера, это вполне объективная реальность. Совсем не редкость, когда пользователи выбрасывают ненужные бумажки в корзину, не придавая особенного значения том, что на них написано. Другой момент из того же фильма. Главный герой звонит в телевизионную компанию, представляется бухгалтером, у которого при работе на дому произошел сбой, и просит сердобольного охранника сообщить ему некоторые данные необходимые для подключения к системе. Все это - примеры использования хакерами человеческого фактора.

Это конечно же поверхностные примеры, но тем не менее отражающие идеологию СИ - самым уязвимым звеном системы является человек. Естественно, что СИ не стоит на месте и постоянно развивается. Все новые и новые подходы разрабатываются для манипуляции поведением человека. Один из самых заметных подходов на сегодняшний день - "сфабрикованный предлог". Использование этого метода нашло применение практически во всех сферах интернета, интересных для взломщиков. Это и заражение компьютеров троянскими программами, и пересылка электронных денег на счета мошенников, и недобросовестная реклама.

Предлогом в полученном вами сообщении может быть что угодно, например возможность получить пиратские программы, посмотреть видео сомнительного содержания, и так далее. Вероятность того, что при переходе по указанной ссылке вы заразите свой компьютер троянской программой очень велика. В самом лучшем случае все ограничится рекламными предложениями и незначительным вредом вашему ПК.

Также крайне распространены сообщения от мошенников представляющимися вашими знакомыми, попавшими в неприятную или безвыходную ситуацию, и просящими вас, если вы конечно хотите помочь, переслать некую сумму электронных денег на указанные счета. Это могут быть и сообщения о "заболевших родственниках" и о "покупке медикаментов" и о "дорогостоящей операции". Фантазия мошенников в этом случае стремится составить сообщение так, чтобы на него клюнуло максимальное количество людей.

Целью всех этих манипуляций является заставить вас совершить действие необходимое злоумышленнику, а тут, как говорится, все методы хороши. При этом вы полностью самостоятельно совершаете все действия и, фактически, являетесь пособником взломщика.

Взломщик, нацелившийся на конкретного человека, постарается узнать о своей цели максимально возможное количество информации. Это не секрет, но мало кто задумывается о том количестве информации, которое любой человек может подчерпнуть о вас воспользовавшись обычными поисковыми системами. Это и ваш e-mail, номер интернет-пейджера, сообщения на форумах и тому подобное. Все это в некоторой мере позволяет узнать о вас целый ряд данных. Взломщик может, не выдавая себя, побеседовать с вами на интересные вам темы, с целью завоевывания доверия, но вы, даже не подозревая об этом, уже являетесь целью или средством взлома.

Еще одной стороной использования методик СИ является вычисление пользовательских паролей. Очень часто человек, работающий в сети и пользующийся персональными сервисами, не затруждает себя придумыванием достаточно сложных паролей. В результате взломщик, зная о таком аспекте, применяет простейший подбор паролей по составленному словарю. Самые простейшие, но тем не менее распространенные, пароли бывают вида qwerty, 12345, никнэйм пользователя, дата рождения, клички домашних животных и тому подобные, вычислить которые зачастую достаточно просто.

Хакеры, применяющие технологии СИ, составляют целые словари распространенных паролей, с помощью которых потом ведется атака на поставленную цель.

Как правило, злоумышленник, успешно применяющий СИ, обладает довольно неплохим знанием психологии, достаточно образован и может обладать неплохими актерскими задатками. Знания этого взломщика могут быть не очень велики в сфере компьютеров, но вы и так самостоятельно проделаете за него половину работы. Взломщику нужно только умело воспользоваться плодами своей "атаки".

В средства, используемые взломщиками, попадает не только интернет, но и любое другое средство коммуникации - телефон, голосовой чат. Взломщик высокой квалификации должен очень быстро определить стиль и манеру общения со своей целью, иначе "взлом" провалится. Это же касается и стиля письма в электронных письмах или других сообщениях.

Конечно же методы и подходы СИ гораздо более широки и сложны в своей массе, и в данной статье рассмотрены всего некоторые аспекты применения СИ в интернете.

Главными целями использования СИ являются :

  • Сбор информации - один из важнейших аспектов взлома с помощью СИ.
  • Заставить пользователя ряд действий необходимых для злоумышленника, оперируя только психологией пользователя.
Результат всех этих действий может оказаться плачевным как для самого пользователя, так и для компании на которую он работает.

PS:

Кевин Митник - всемирно прославившийся хакер, отсидевший срок в тюрьме за взлом известных американских коммуникационных компаний, обладал сравнительно небольшими познаниями в технической сфере, но успешность его взломов определяло использование технологий социальной инженерии, психологии и манипуляции людьми.

© Prizrak, 2007.