Не потеряйте. Подпишитесь и получите ссылку на статью себе на почту.

С момента появления компьютеров и начала развития Интернета программисты всеми силами стремятся обеспечить компьютерную безопасность. Но даже сегодня добиться этого на 100% не удалось никому. Однако давайте представим, что этот результат все же достигнут благодаря мощнейшей криптографии, усиленным протоколам безопасности, надежному программному обеспечению и другим элементам защиты. В итоге мы получаем абсолютно безопасную сеть, и можем смело в ней работать.

«Прекрасно! – скажете вы, – дело в шляпе!», но окажетесь неправы, ведь этого недостаточно. Почему? Да потому что пользу от любой компьютерной системы можно получить лишь при участии пользователей, т.е. людей. И как раз это взаимодействие между компьютером и человеком несет в себе серьезную опасность, и человек зачастую оказывается наиболее слабым звеном в цепи мер безопасности. К тому же он сам и является причиной, по которой безопасность оказывается неэффективной.

В информационный век манипулировать людьми стало проще, ведь есть Интернет и мобильная связь, которые позволяют взаимодействовать без непосредственного контакта. Существуют даже специальные методы, помогающие злоумышленникам «оперировать» людьми так, как им хочется. Их комплекс называется социальной инженерией, и в этой статье мы попробуем выяснить, что же это такое.

Социальная инженерия: что это и как она появилась?

Несложно догадаться, что даже самая навороченная система безопасности уязвима, когда ей управляет человек, тем более, если этот человек доверчив, наивен и . И когда на машину (ПК) совершается атака, ее жертвой может выступать не только компьютер, но и человек, который за ним работает.

Именно такая атака на сленге социальных хакеров называется социальной инженерией. В традиционной форме она выглядит как телефонный звонок, где звонящий выдает себя за кого-то другого, желая выудить у абонента конфиденциальную информацию, чаще всего – пароли. Но в нашей статей мы рассмотрим явление социальной инженерии в более широком понимании, подразумевая под ним любые возможные методы психологических манипуляций, такие как шантаж, игра на чувствах, обман и т.п.

В этом понимании социальная инженерия является методом управления действиями людей без применения технических средств. Чаще всего он воспринимается как незаконный метод получения разных ценных сведений. Используется же он преимущественно в Интернете. Если вам интересны примеры социальной инженерии, то вот один из самых ярких:

ПРИМЕР: Злоумышленник хочет узнать пароль от личного кабинета Интернет-банка у человека. Он звонит жертве по телефону и представляется сотрудником банка, просит назвать пароль, ссылаясь на серьезные технические проблемы в системе организации. Для большей убедительности он называет вымышленное (или узнанное заранее реальное) имя сотрудника, его должность и полномочия (если потребуется). Чтобы заставить жертву поверить, социальный хакер может наполнить свою историю правдоподобными деталями, сыграть на чувствах самой жертвы. После того как злоумышленник получил сведения, он все также мастерски прощается со своим «клиентом», а затем использует пароль для входа в личный кабинет и кражи средств.

Как ни странно, но даже в наше время есть люди, которые клюют на такие удочки, и доверчиво рассказывают социальным хакерам, все, что им нужно. А в арсенале последних может быть немало техник и приемов. О них мы тоже расскажем, но чуть позже.

Социальная инженерия – наука (направление), появившаяся сравнительно недавно. Ее социологическое значение состоит в том, что она оперирует специфическими знаниями, направляющими, систематизирующими и оптимизирующими процесс создания, модернизации и применения новых социальных реальностей. В некотором смысле она дополняет социологическое знание, преобразуя научные знания в алгоритмы деятельности и поведения.

В определенной форме люди использовали социальную инженерию с древних времен. Например, в Древнем Риме и Древней Греции очень уважали специально подготовленных риторов, способных убедить собеседника в его «неправоте». Эти люди участвовали в дипломатических переговорах и решали государственные проблемы. Позже социальную инженерию взяли на вооружение спецслужбы, такие как ЦРУ и КГБ, агенты которых с успехом выдавали себя за кого угодно и выведывали государственные тайны.

К началу 1970-х годов стали появляться телефонные хулиганы, нарушавшие покой разных компаний ради шутки. Но со временем кто-то сообразил, что, если использовать техничный подход, можно достаточно легко получать разную важную информацию. И уже к концу 70-х бывшие телефонные хулиганы превратились в профессиональных социальных инженеров (их стали называть синжерами), способных мастерски манипулировать людьми, по одной лишь интонации определяя их комплексы и страхи.

Когда же появились компьютеры, большинство синжеров сменило профиль, став социальными хакерами. Теперь понятия «социальная инженерия» и «социальные хакеры» синонимичны. А с мощным развитием социальной инженерии стали появляться ее новые виды и расширился арсенал методик.

Посмотрите это небольшое видео, чтобы узнать, как социальные хакеры манипулируют людьми.

Методы социальной инженерии

Все реальные примеры социальной инженерии говорят о том, что она легко адаптируется к любым условиям и к любой обстановке, а жертвы социальных хакеров, как правило, даже не подозревают, что по отношению к ним применяют какую-то технику, и тем более не знают, кто это делает.

Все методы социальной инженерии основываются на . Это так называемый когнитивный базис, согласно которому люди в социальной среде всегда склонны кому-то доверять. Среди главных методов социальной инженерии выделяются:

  • «Троянский конь»
  • Претекстинг
  • «Дорожное яблоко»
  • Фишинг
  • Кви про кво

Расскажем о них подробнее.

«Троянский конь»

При использовании «троянского коня» эксплуатируется любопытство человека и его желание получить выгоду. Социальные хакеры отправляют на E-Mail жертвы письмо, в котором есть некое интересное вложение, например, апгрейд для какой-то программы, скрин-сейвер эротического содержания, будоражащая новость и т.д. Метод используется, чтобы вынудить пользователя кликнуть по файлу, который может заразить компьютер вирусом. Часто в результате на экране появляются баннеры, закрыть которые можно только двумя способами: переустановив операционную систему или заплатив злоумышленникам определенную сумму.

Претекстинг

Под термином «претекстинг» подразумевается действие, которое пользователь совершает по предварительно подготовленному претексту, т.е. сценарию. Цель состоит в том, чтобы человек выдал конкретные сведения или совершил конкретное действие. В большинстве случаев претекстинг применяется при телефонных звонках, хотя есть примеры подобных атак по Skype, Viber, ICQ и другим мессенджерам. Но для реализации метода синжер или хакер должен не просто , но и заранее провести исследование объекта – узнать его имя, дату рождения, место работы, сумму на счете и т.д. При помощи таких деталей синжер повышает к себе доверие жертвы.

«Дорожное яблоко»

Метод дорожного яблока состоит в адаптации «троянского коня» и требует обязательного применения какого-то физического носителя информации. Социальные хакеры могут подбрасывать загрузочные флешки или диски, подделанные под носители с интересным и/или уникальным контентом. Все, что нужно, – это незаметно подложить жертве «дорожное яблоко», например, в машину на парковке, в сумку в лифте и т.д. А можно просто оставить этот «фрукт» там, где жертва его с большой долей вероятности увидит и возьмет сама.

Фишинг

Фишинг является очень распространенным методом получения конфиденциальных сведений. В классическом варианте это «официальное» электронное письмо (от платежного сервиса, банка, частного лица высокого ранга и т.д.), снабженное подписями и печатями. От адресата требуется перейти по ссылке на фальшивый сайт (там тоже есть все, что говорит об «официальности и достоверности» ресурса) и ввести какую-то информацию, к примеру, ФИО, домашний адрес, номер телефона, адреса профилей в соцсетях, номер банковской карты (и даже CVV-код!). Доверившись сайту и введя данные, жертва отправляет их мошенникам, а что происходит дальше, догадаться несложно.

Кви про кво

Метод «Кви про кво» используют для внедрения вредоносного ПО в системы различных компаний. Социальные хакеры звонят в нужную (иногда – в любую) компанию, представляются сотрудниками техподдержки и опрашивают работников на наличие каких-либо техническим неисправностей в компьютерной системе. Если неисправности имеются, злоумышленники начинают их «устранять»: просят жертву ввести определенную команду, после чего появляется возможность запуска вирусного ПО.

Вышеназванные методы социальной инженерии встречаются на практике чаще всего, но есть и другие. Кроме того, есть еще и особенный вид социальной инженерии, который также призван повлиять на человека и его действия, но делается по совсем другому алгоритму.

Обратная социальная инженерия

Обратная социальная инженерия и социальные хакеры, специализирующиеся на ней, выстраивают свою деятельность в трех направлениях:

  • Создаются ситуации, вынуждающие людей обращаться за помощью
  • Рекламируются услуги по решению проблем (сюда же входит опережение помощи настоящими специалистами)
  • Оказывается «помощь» и воздействие

В случае с этим видом социальной инженерии злоумышленники изначально изучают человека или группу людей, на которых планируется оказать влияние. Исследуются их пристрастия, интересы, желания и потребности, и влияние оказывается именно через них с помощью программ и любых других методов электронного воздействия. Причем программы должны сначала работать без сбоев, чтобы не вызывать опасений, а уже потом переключаться на вредоносный режим.

Примеры обратной социальной инженерии – тоже не редкость, и вот один из них:

Социальные хакеры разрабатывают программу для конкретной компании, исходя из ее интересов. В программе заложен вирус замедленного действия – через три недели он активируется, а система начинает давать сбои. Руководство обращается к разработчикам, чтобы они помогли устранить проблему. Будучи готовыми к такому развитию событий, злоумышленники присылают своего «специалиста», который, «решая проблему», получает доступ к конфиденциальной информации. Цель достигнута.

В отличие от обычной социальной инженерии, обратная более трудоемка, требует особых знаний и навыков и используется для воздействия на более широкую аудиторию. Зато эффект от нее потрясающий – жертва без сопротивления, т.е. по своему собственному желанию раскрывает перед хакерами все карты.

Таким образом, любой вид социальной инженерии практически всегда используется со злым умыслом. Некоторые люди, конечно, говорят о ее пользе, указывая на то, что с ее помощью можно разрешать социальные проблемы, сохранять социальную активность и даже адаптировать социальные институты к меняющимся условиям. Но, несмотря на это, успешнее всего ее применяют для:

  • Обмана людей и получения конфиденциальной информации
  • Манипулирования и шантажа людей
  • Дестабилизации работы компаний для последующего их разрушения
  • Воровства баз данных
  • Финансовых махинаций
  • Конкурентной разведки

Естественно, это не могло остаться незамеченным, и появились методы противодействия социальной инженерии.

Защита от социальной инженерии

Сегодня в крупных компаниях систематически проводят всевозможные тесты на сопротивляемость социальной инженерии. Почти никогда действия людей, подпавших под атаку социальных хакеров, не носят умышленного характера. Но тем они и опасны, ведь если от внешней угрозы защититься сравнительно легко, то от внутренней – намного сложнее.

Чтобы повысить безопасность, руководство компаний проводит специализированные тренинги, контролирует уровень знаний своих сотрудников, а также само инициирует внутренние диверсии, что позволяет установить степень подготовленности людей к атакам социальных хакеров, их реакцию, добросовестность и честность. Так, на E-Mail могут присылать «зараженные» письма, вступать в контакт в Skype или соцсетях.

Сама же защита от социальной инженерии может быть как антропогенной, так и технической. В первом случае привлекается внимание людей к вопросам безопасности, доносится суть серьезности данной проблемы и принимаются меры по привитию политики безопасности, изучаются и внедряются методы и действия, повышающие защиту информационного обеспечения. Но у всего этого есть один недостаток – все эти способы пассивны, и многие люди просто пренебрегают предупреждениями.

Что же касается технической защиты, то сюда относятся средства, затрудняющие доступ к информации и ее использованию. Учитывая то, что самыми «популярными» атаками социальных хакеров в Интернете стали электронные письма и сообщения, программисты создают особое ПО, фильтрующее все поступающие данные, и это касается как частных почтовых ящиков, так и внутренней почты. Фильтры анализируют тексты входящих и исходящих сообщений. Но здесь есть трудность – такое программное обеспечение загружает серверы, что может тормозить и сбивать работу системы. К тому же невозможно предусмотреть все вариации написания потенциально опасных сообщений. Однако технологии совершенствуются.

А если говорить конкретно о средствах, препятствующих использованию полученных данных, они делятся на:

  • Блокирующие использование информации везде, кроме рабочего места пользователя (аутентификационные данные привязываются к электронным подписям и серийным номерам комплектующих ПК, физическим и IP-адресам)
  • Блокирующие автоматическое использование информации (сюда относится всем нам знакомая Captcha, где паролем служит картинка или ее искаженная часть)

Оба этих способа блокируют возможность автоматизации и смещают баланс между ценностью сведений и работой по их получению в сторону работы. Поэтому даже при наличии всех данных, выданных ничего не подозревающими пользователями, социальные хакеры сталкиваются с серьезными трудностями в их практическом применении.

А любому обычному человеку для защиты от социальной инженерии мы советуем просто сохранять бдительность. Получая на электронную почту письмо, обязательно внимательно читайте текст и ссылки, старайтесь понять, что находится в письме, от кого оно пришло и зачем. Не забывайте пользоваться антивирусами. Если же неизвестные звонят по телефону с незнакомого номера, никогда не называйте своих личных данных, тем более тех, которые касаются ваших финансов.

Кстати, в этом видео, пусть и коротко, но интересно рассказано о том, как защититься от социальной инженерии.

И, напоследок, мы хотим познакомить вас с некоторыми из книг по социальной инженерии, в том числе как области социологического знания, чтобы при желании вы могли познакомиться с темой подробнее.

В этих книгах есть множество практических рекомендаций о том, как овладеть распространенными манипулятивными техниками и приемами. Также вы узнаете о наиболее эффективных методах социальной инженерии и научитесь распознавать их и защищаться от атак.

Книги по социальной инженерии:

  • Кевин Митник «Призрак в сети»
  • Кевин Митник, Вильям Саймон «Искусство вторжения»
  • Кевин Митник, Вильям Саймон «Искусство обмана»
  • Крис Касперски «Секретное оружие социальной инженерии»

Помните, что овладеть искусством управления действиями окружающих способен каждый, но эти умения нужно использовать во благо людям. Иногда направлять человека и подталкивать его к выгодным нам решениям полезно и удобно. Но намного важнее уметь определять социальных хакеров и обманщиков, чтобы не стать их жертвой; намного важнее и самому не быть одним из них. Желаем вам мудрости и полезного жизненного опыта!

27 декабря 2009 в 16:38

Социальный хакинг в быту (защищаемся от глупостей)

  • Информационная безопасность

Я знаю, что все многие хабражители читали мемуары удалых хакеров, где очень ясно рассказывается о том, что самым слабым звеном в цепи информационной безопасности, как правило, является не протокол, программа или машина, а человек (админ, пользователь, а то и руководитель).

Читал и я, даже возмущался: «Нет, ну как же можно по телефону кому-то там сказать свой пароль». Но, увы, лучше всего запоминается удар граблей по собственному лбу. Так и вышло. За последние пару месяцев я стал свидетелем и даже участником нескольких ситуаций, о которых рассказывать стыдно, но социально полезно.

Аккуратная утилизация: не выбрасывайте и не теряйте информацию

Конечно, есть шредеры и комбайны для уничтожения оптических и даже жёстких дисков . Но место им на предприятии (где инструкции по безопасности надлежит не только сочинять и подписывать, но также внимательно читать и исполнять всем сотрудникам), а дома, как правило, приходится всё делать руками.

С оптическими дисками всё просто: они отлично царапаются уголком любого USB-штекера (ищите его на флешке или любом кабеле, да). Фотка в тизере иллюстрирует результат 10 секундных манипуляций. Хотя диск не читается уже после одно глубокой царапины по радиусу (проверил на приводе NEC модели семь тысяч какой-то). От греха подальше: сделайте много царапин. В комментариях и сомневаются в надёжности этого метода и рекомендуют диски ломать или глубоко царапать с обеих сторон (иначе заполируют и прочитают). Что ж, предлагаю исходить из реальной ценности информации и выбирать пропорциональную меру порчи носителя.

Жёсткому диску недостаточно сломать только контроллер, нужно испортить пластины, как и флешке недостаточно отломать только штекер (надо крушить микросхемы памяти). Либо, как разумно советует , форматируйте носитель, чтобы нельзя было оттуда что-то восстановить (быстрое форматирование, очищающее только структуру - разумеется не подойдёт). HDD и флешки конечно не часто выбрасываются, зато последние - часто теряются.

Бумагу (если лень рвать) можно залить водой или лучше каким-то моющим средством: даже на пачках в 20-30 листов всё очень лихо разъедается и расплывается.

Страшилка по теме: я недавно выкинул пачку DVD-болванок с бекапами сайтов за 2008 год. Паролей пользователей в дампах баз не было (были хеши с солью), но в конфигах CMS были пароли для доступа к БД. Да, я их сменил. Да, почти все хостеры запрещают по умолчанию соединение с БД с удалённого хоста. Но всё же.

Социальный фишинг: не сообщайте пароли анонимам или по открытым каналам

Если провайдер, хостер, платежная система или владельцы какого-то веб-сервиса просят у вас пароль, то не верьте им, это вообще не они, а злоумышленники.

Если кто-то посторонний должен иметь доступ к вашим паролям, то ознакомьте его со всеми потенциальными опасностями. Объясняйте так, чтобы вас поняли (например, жён убеждает опасность растраты семейного бюджета на счетах от провайдера).

Страшилка первая: знакомый работает у провайдера в сюппорте. Ему бывает лень лазить в биллинг, поэтому он спрашивает пароль у клиента по телефону, чтобы проверить правильно ли тот его ввёл. А у провайдера активно используется услуга callback. Если вовремя перезвонить, то ни о чём не подозревающий человек сам продиктует вам свои пароли. По крайней мере знакомому в этом ни разу не отказывали.

Страшилка вторая: однажды я, отправляя письмо хостеру, доверился автокомплиту почтового клиента. В итоге письмо ушло не тому адресату. Так быстро пароли я ещё никогда не менял. Кстати, теперь мой хостер тоже образумился: уже не просит (и даже, наверное, не рекомендует) указывать пароль при обращении, когда письмо отправляется с авторизованной в аккаунте почты.

Банальная криптостойкость: qwerty - это не пароль

Вообще, я не думаю, что аудитория Хабра столь безумна, чтобы паролями ставить даты рождения своих детей или вытворять что-то подобное. Но бывают более тонкие моменты. Пример - в страшилке.

Кроме того, по части паролей следует проконсультировать окружающих вас людей, если вас волнует их приватность (а ведь она может быть и вашей - например, некоторые семейные фотки бывают не предназначены для публичного просмотра).

Страшилка: пока проект разрабатывается охранять там особо нечего, верно? Поэтому обычно на время разработки паролем ставят как раз что-то в духе «abcd1234». Так вот я проверил: из 4 последних проектов запущенных в продакшн на одном мы дефолтный пароль админа - мы так и не сменили. Хорошо хоть, что дефолтный пароль у нас хоть и знают все, но придумывается он для каждого проекта отдельный.

Не записывайте пароли (по крайней мере, на тех бумажках, которые выкидываете или храните рядом с логинами)

Лучше везде, где можно, настройте авторизацию по ключу. А закрытый ключ храните на локальном сервере (и копию на флешке в сейфе). Для менее рабочих целей есть программы менджеры-паролей (в комментариях активнее всего советуют RoboForm или кросс-платформенный KeePas), мастер-пароль вы уж постарайтесь запомнить в голове и вообще нигде его не записывать. В простейшем случае сохраните пароли в текстовый файл и закриптуйте его паролем из головы.

Если сохраняете пароли в почтовом или FTP-клиенте, то побеспокойтесь о нормальной антивирусной защите, любой троян или бэкдур с удовольствием утащит файлик с вашими паролями.

Отдельный совет для тех, кто хранит пароль в браузере (от комментатора ): используйте мастер-пароль в тех браузерах, которые это поддерживают.

  • В Opera: Инструменты - Настройки - Дополнительно - Безопасность - Установить пароль.
  • В FF: Инструменты - Настройки - Защита - Использовать мастер-пароль.
Не используйте одинаковые пароли для разных систем и сервисов. В своём софте и сервисах не храните чужие пароли в открытом виде.

Страшилка первая: пожилые или просто далёкие от IT люди часто царапают свой PIN-код прямо на пластиковой карточке (это народный фольклор уже, но тем не менее).

Страшилка вторая: было дело, троян своровал пароль сохранённый в FTP-клиенте (кажется, это был не самый свежий Total Commander, но многие другие клиенты в этом плане не лучше) у админа с локального компьютера и навтыкал фреймов с заразой на живые сайты партнёров, куда ходили потенциальные клиенты (в итоге посетители или заражались, или получали вопли от антивируса). Кстати, сейчас сайты с троянами Яндекс особым образом помечает в выдаче - притом трояна вы можете убить сейчас, но пометка исчезнет только после очередной переиндексации, например, неделю спустя.

Могут украсть другие, можете потерять или отдать сами по ошибке

Не храните ничего важного на нетбуке или телефоне.

На нетбуках ставьте пароли (нормальные) и шифруйте файловую систему.

На флешках храните всё (или хотя бы всё важное) в зашифрованном виде (например, в RAR-архиве с нормальным паролем).

Если у вас несколько одинаковых с виду флешек, то наклейте на них какие-то ярлычки, чтобы вдруг не отдать в налоговую флешку с бэкапом всей чёрной бухгалтерии вашей конторы вместо квартального отчёта (налоговая-то будет рада, а вот руководитель - вряд ли).

Для кого и о чем эта книга

Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется «Человеческий фактор в программировании». Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: «Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)». Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.

Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют «социальной инженерией» , поэтому наша книга так и называется «Социальная инженерия и социальные хакеры».

Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.

Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования.

На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…

Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат принципы нейролингвистического программирования", что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.

Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из "недр компьютера" спрашивают именно с IT-специалистов. И именно им в первую очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании "человеческого фактора".

Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.

Благодарности

Часть I
Что такое социальная инженерия и кто такие социальные хакеры

В первой части обсуждаются основные концепции социальной инженерии и социального хакерства. Первая глава, как обычно, – это введение в обсуждаемый вопрос, а во второй главе приведены различные примеры использования методов социальной инженерии.

Глава 1.

Глава 2. Примеры взломов с помощью методов социальной инженерии

Глава 3. Примеры социального программирования

Глава 4. Построение социальных файрволов

Глава 5. Психологические аспекты подготовки социальных хакеров

Глава 1
Социальная инженерия – один из основных инструментов хакеров XXI века

…В начале февраля 2005 года многие специалисты по информационной безопасности нашей страны ждали выступления К. Митника, известного хакера, который должен был рассказать о том, какую опасность представляет собой социальная инженерия, и какими методами пользуются социальные инженеры (которых мы в дальнейшем будем называть социальными хакерами). Увы, ожидания не очень-то оправдались: Митник рассказал лишь об основных положениях социальной инженерии. И много говорил о том, что методы социальной инженерии используют преступники всего мира для получения самой различной засекреченной информации. По мнению многих участников встречи, слушать было интересно, т. к. человек действительно очень обаятельный, но никаких особых тайн раскрыто не было.

Примечание

Кевин Митник – известный хакер, которому противостояли лучшие эксперты по защите информации из ФБР, и осужденный в 90-х годах правосудием США за проникновение во многие правительственные и корпоративные секретные базы. По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. Зато он обладал искусством общения по телефону в целях получения нужной информации и того, что сейчас называют "социальной инженерией".

То же самое можно сказать и о его книгах – никаких особенных откровений там нет. Мы совершенно не исключаем, что Митник это все прекрасно знает, более того, мы даже в этом почти уверены, только, к сожалению, он ничего из того, что действительно знает, не рассказывает. Ни в своих выступлениях, ни в книгах.

Примечание

Что, наверное, в общем-то, и неудивительно, т. к. ФБР взялось тогда за него очень плотно, показав, кто в доме хозяин, и нервы ему подергали изрядно. Было и множество объяснений, и запрет на работу с ЭВМ в течение нескольких лет, и тюремное заключение. Не стоит удивляться тому, что после таких перипетий он стал весьма законопослушным человеком, и не будет не то какие-то секретные базы похищать, но даже и о не секретных вещах станет говорить с большой осторожностью.

В результате таких недоговорок социальная инженерия представляется этаким шаманством для избранных, что не так. Более того, есть еще один важный момент. Во многих описаниях атак пропускаются целые абзацы, если не страницы. Это мы вот к чему. Если взять конкретно схемы некоторых, наиболее интересных атак, и попытаться их воспроизвести согласно написанному, то, скорее всего, ничего не выйдет. Потому что многие схемы К. Митника напоминают примерно такой диалог.

– Вася, дай пароль, пожалуйста!

– Да на! Жалко мне, что ли для хорошего человека.

Разбор же этой "атаки" напоминает примерно следующее: "Вася дал социальному хакеру, потому что он с рождения не умел говорить "Нет!" незнакомым людям. Поэтому основной метод противодействия социальным инженерам – это научиться говорить "Нет"". …Может быть, эта рекомендация и подходит для Америки, но, боюсь, что не для России, где большинство скорее не умеют говорить "Да", а "Нет" у всех получается весьма неплохо. Действительно, есть тип людей, которые органически не могут отказать другому человеку, но, во-первых, таких людей немного, а всех остальных нужно к такому состоянию подводить. А о том, как подводить, не сказано ни слова.

Примечание

О психологической типологии и о том, как эти знания использовать в социальной инженерии, мы подробно поговорим в приложении 2.

Вот примерно это и имеется в виду, когда мы говорим, что у Митника нередко пропускаются целые абзацы. Можно допустить, что первая фраза могла иметь место в начале, а вторая – в конце разговора. Но между ними было еще очень многое и самое интересное. Потому что, чтобы все было так просто, нужно человека погрузить либо в глубокий гипноз, либо вколоть ему «сыворотку правды». Но даже если это так и было, то об этом тоже нужно писать.

В жизни же происходит, как правило, по-другому. И пароли говорят, и базы выносят, не потому что не просто "нет" ответить не могут, а потому что "нет" отвечать бывает, …очень не хочется. А для того, чтобы человеку, который владеет какой-то серьезной информацией, очень сложно было ответить "нет", нужно его подвести к такому состоянию. Проследив за ним, скажем, в течение недельки. Вдруг что интересное обнаружиться? Может он сам "засланный казачок" или по вечерам на конкурентов подрабатывает, а может дело то вообще серьезнее обстоит: по вечерам он подрабатывает не на конкурентов, а ходит в публичный дом …для людей с нетрадиционной сексуальной ориентацией, и, будучи для всех прочих примерным семьянином, очень не хочет, чтобы об этом кто-то узнал. Вот имея примерно такую информацию, к нему же можно смело подходить и говорить:

– Вася, а ну скажи-ка мне все пароли, которые знаешь. И доступ мне в свою сеть открой, чтобы я время попусту не терял.

И вот в этом случае уже очень многие Васи ответят:

– Да на, пожалуйста. И пароли дам и доступ открою. Жалко мне, что ли для хорошего человека…

На языке разведчиков это называется "вербовка". И если вдруг в вашей организации все куда-то исчезает, все пароли кому-то известны, подумайте о том, не сел ли кто "на хвост" кому-то из ваших сотрудников. Вычислить того, на кого сели, и тех, кто сел, обычно бывает не сложно. Умные сотрудники служб безопасности, кстати, прежде чем доверять людям ключевые посты, обычно очень сильно его проверяют на предмет, скажем так, слабых сторон кандидата на должность. И следят за ним, и тесты всякие умные устраивают, чтобы знать, что за человек работать пришел.

…Это вступление написано не для того, чтобы покритиковать К. Митника – каждого из нас есть за что покритиковать – а для того, чтобы показать, что в социальной инженерии не все так просто, как это иногда преподносится, и относиться к этому вопросу нужно серьезно и вдумчиво. Теперь, после этого вступления, как говорится, давайте начнем.

Компьютерная система, которую взламывает хакер, не существует сама по себе. Она всегда содержит в себе еще одну составляющую: человека. Образно выражаясь, компьютерную систему можно представить следующей простой схемой (рис. 1.1).

Рис. 1.1. Основные варианты взлома компьютерной системы (человек – с карикатуры Х. Бидструпа)


Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно два. Первый путь, когда «взламывается компьютер», мы назовем техническим. А социальной инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у человека. Многие говорят, если правильно спросить.

По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что "социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности". Солидарен с ним и Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример "о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse, но в поддельной версии представлена форма для заполнения заявления о приеме на работу. А за то, чтобы рассмотрели заявление, "банк" просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель – самые нуждающиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию", – говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, – это "проблемы вчерашнего дня", хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии.

Примечание

Подробно о фишинге – в главе 2.

Почему же многие исследователи считают, что социальная инженерия станет одним из основных инструментов хакеров XXI века? Ответ прост. Потому что технические системы защиты будут все больше и больше совершенствоваться, а люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, и будут самым слабым звеном в цепочке безопасности. Вы можете поставить самые совершенные системы защиты, и все равно бдительность нельзя терять ни на минуту, потому что в вашей схеме обеспечения безопасности есть одно очень ненадежное звено – человек. Настроить человеческий брандмауэр, иначе говоря файрвол (firewall), – это самое сложное и неблагодарное дело. К хорошо настроенной технике вы можете не подходить месяцами. Человеческий брандмауэр нужно подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность – это процесс, а не результат». Очень простой и часто встречающийся пример. Пусть вы директор, и у вас очень хороший сотрудник, который, по вашему мнению, ну уж никогда ничего никому не продаст и никого не продаст. В следующем месяце вы понизили ему зарплату, скажем, по тем или иным причинам. Пусть даже эти причины весьма объективны. И ситуация резко изменилась: теперь за ним глаз да глаз, потому что он места себе не находит от обиды, он уже вас убить готов, что уж тут говорить о каких-то внутрикорпоративных секретах.

Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в части настройки "человеческих файрволов", нужно обладать устойчивой нервной и психической системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую мы, вслед за Кевином Митником, не можем не повторить: "Можно быть уверенным только в двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет первой".

Все атаки социальных хакеров укладываются в одну достаточно простую схему (рис. 1.2).

Рис. 1.2. Основная схема воздействия в социальной инженерии


Примечание

Эта схема носит название схема Шейнова . В общем виде она приведена в книге белорусского психолога и социолога В.П. Шейнова, долгое время занимавшегося психологией мошенничества. В немного измененном нами виде эта схема подходит и для социальной инженерии.

Итак, сначала всегда формулируется цель воздействия на тот или иной объект.

Затем собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия . После этого наступает этап, который психологи называют аттракцией . Аттракция (от лат. attrahere – привлекать, притягивать) – это создание нужных условий для воздействия социоинженера на объект. Принуждение к нужному для социального хакера действию обычно достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия. Однако в ряде случаев этот этап приобретает самостоятельную значимость, к примеру, тогда, когда принуждение к действию выполняется путем введения в транс, психологического давления и т. д.

Недавно, проверяя одну из своих мыльниц, я наткнулся на трогательное письмо. Админ провайдера, услугами которого я пользуюсь, слезно жаловался, что хакеры разнесли к чертям всю контору, и от старой базы данных по клиентам остались рожки да ножки. «Мы пытаемся тут навести порядок, поэтому, дружище, не мог бы ты прислать мне свои логин и пароль», - робко предлагал собеседник. На дворе активно смеркалось.

Несмотря на то, что понятие «социальная инженерия» появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были пиплы, которые могли навешать на уши любую лапшу и убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры, а подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны. А насколько профессионально нас инженерят политики и кандидаты в депутаты (мэры, президенты) - вообще любо-дорого посмотреть. Хотя, по правде сказать, и я, и ты, и все мы от них не отстаем. Ты ведь не будешь отрицать, что когда-нибудь да пытался хитрожопой уловкой настроить чела на нужную тебе волну. Например, когда просил родителей купить мороженое, обещая пятерку в четверти по математике. Приемы социальной инженерии мы часто используем, даже не осознавая этого. В отличие от тех же агентов, депутатов и… хакеров.

В начале 70-х годов, в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где сбрехать, можно заставить техперсонал не просто оправдываться, а выдавать под влиянием эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все что хотели.

Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (синжеры) всегда действовали экспромтом, полагаясь на свое чутье. С помощью наводящих вопросов, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка - фрикер намекал на возможные неприятности с боссом, если это был самоуверенный тюфяк - достаточно было представиться наивным юзверем из фирмы, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии назовут заветное слово.

Три кита социальной инженерии

Все методики социальной инженерии можно разделить на три категории в зависимости от того, где они используются: по телефону, в инете или риаллайфе. В каждой своя специфика, и совсем не факт, что человек, имеющий навыки СИ по инету, сможет так же эффективно юзать их face2face.

Многие считают, что после мозгов, телефон - главное оружие синжера. Благодаря ему, можно оставаться анонимным и в то же время иметь с жертвой прямую связь. Последнее важно потому, что непосредственный контакт не дает собеседнику времени обдумать положение и взвесить все за и против. Решать нужно немедленно, причем под натиском гнущего свою линию синжера. Так как в телефонном разговоре мы обмениваемся только звуковой информацией, большую роль в принятии решений играет интонация и голос собеседника. На первых порах, пытаясь обмануть кого-то по телефону, новички могут растеряться и быстро сдать позиции. Чтобы этого не произошло - нужно наработать практику, прозванивая по рандомным номерам и, заговаривая с незнакомыми людьми, пытаться обмануть их. Например, ты можешь выдумать какую-то идиотскую новость (американцы высадились на Солнце) и предложить неизвестному собеседнику ее вместе обсудить. Твоя задача - научиться запутывать людей и внушать им любую глупость. Можешь поиграть с ролями, представляясь оператором АТС или директором морга. Чем больше у тебя будет опыта в телефонных пранках, тем увереннее ты себя будешь чувствовать при разговоре с намеченной жертвой.

Старайся при разговоре ходить. Научно доказано, что когда человек двигается, у него быстрее работает мозг. Если решил провернуть что-то серьезное - не звони из дома, пользуйся таксофоном. Потому что при большом желании проследить через АТС твой звонок не составит проблем.

На фирмах, где серьезно подходят к проблеме безопасности, советуют в начале разговора требовать обратный телефон и перезванивать незнакомцу. Это еще одна причина, почему лучше звонить с таксофона. Но если ты звонишь из дома и слышишь: «Оставьте, пожалуйста, ваш номер - я перезвоню», продиктуй один из тех телефонных номеров, которые вечно заняты. В каждом городе такие есть, узнать о них можно, например, у операторов (опять же, используя СИ). Объяснить короткие гудки все же проще, чем похмельный голос левого мужика.

В некоторых случаях Сеть может стать более удобной альтернативой телефону. Например, если жертва находится в другой стране и между вами имеется языковой барьер. Или если нужно провернуть что-то глобальное (разослать кучу мессаг). В первую очередь интернет хорош тем, что в нем можно себя выдать за кого угодно. Он, в отличие от телефона, не держит в рамках возраста и пола. К тому же, ты можешь использовать для инжиниринга кучу разных персонажей, создавая второстепенными героями иллюзию нужного качества у основного. Например, если ты зайдешь на www-чат и крикнешь: «Я крутой писатель!» - тебя хрен кто заметит. Но если с разных окон под проксями заведешь себе на том же чате толпу виртуалов, наперебой расхваливающих твои писательские таланты, остальной народ сразу заинтересуется и начнет расспрашивать, чего ты там пишешь.

Вообще, так как в сетевой социальной инженерии виртуалы используются повсеместно, ты должен хорошо позаботиться о том, чтобы они выглядели реалистично. Биография, характер, стиль письма, подписи, координаты в Сети (мыло, сайт) - ты должен продумать все, чтобы любой неверующий Фома смог сколько угодно раз убедиться в реальности твоего виртуала.

При проведении серьезных диверсий старайся избегать отсылки мессаг с халявных почтовых ящиков - они сразу вызывают подозрение у мало-мальски грамотных людей. Впрочем, если мыло малоизвестно (находится в другой стране), можно выдать его за фирменное, указав в конце письма «полное название конторы». Например, наше халявное bk.ru можно выдать за мыло от BlackKobra corporation или Brothers Killers inc.

Риаллайф

Способ довольно опасен, так как уже не приходится рассчитывать на анонимность, и тебя впоследствии могут опознать. Но опасно только в особо экстремальных случаях, например, когда ты решил кинуть фирму на большие деньги. На практике риаллайф - самый распространенный способ, поскольку общаемся мы в основном в реале, а где общаемся, там и врем, а где вранье, там и наш топик. Риаллайфовая СИ напрямую связана с НЛП, поэтому если хочешь узнать больше о том, как изменять модель поведения людей - читай FAQ по NLP, там есть много чего интересного.

Если ты подходишь к делу основательно и готов пожертвовать временем в угоду эффективности, хорошим методом для тебя может оказаться обратная социальная инженерия. Так называют метод, когда синжер вынуждает человека обратиться к нему за помощью и, предлагая ее, получает то, что ему нужно. Проходит все примерно по следующему сценарию - хакер сначала зарекомендовывает себя в фирме как компетентный специалист (см. предыдущий раздел), затем каким-то образом выводит из строя один из компьютеров (достаточно запустить программку, отключающую один из параметров в реестре). Сотрудник компании вызывает «специалиста», и тот просит предоставить конфиденциальную информацию (или сам находит ее на компьютере), мотивируя тем, что это нужно для устранения неполадки.

Искусство перевоплощения

Занимаясь, СИ тебе придется не раз надевать маски других людей. Понятное дело, левому пацану с улицы никто свои тайны выдавать не будет, а вот кому-то, кто на это имеет право - волей-неволей придется. Уверенно врать дано не каждому. Сказываются нравоучения наших предков, которые с детства вбивали в нас вредный комплекс - врать нехорошо. Но можно обмануть свои комплексы, если искренне поверить в правоту своих лживых слов. Ты ни секунды не должен сомневаться, что, к примеру, являешься сотрудником фирмы, забывшим пароль, что нуждаешься в помощи и имеешь на нее полное право. Ведь когда ты идешь в конце месяца получать зарплату, ты же не испытываешь от этого дискомфорта, не скулишь жалобно, пытаясь вытянуть лишнюю копейку? Ты получаешь то, что заслужил, что твое по праву. Того же принципа нужно придерживаться и в социальной инженерии. Если ты сумеешь убедить человека в своих правах, то обретешь требуемое, даже если на самом деле никаких прав на него не имеешь. Лучшего результата можно добиться, если не играть чью-то роль, а стать этим кем-то. В мыслях, поступках и во всем остальном. Для этого, конечно, нужно разбираться в психологии людей разных категорий и иметь кое-какие актерские способности. Дам тебе навскидку несколько распространенных среди хакеров шаблонов, возможно, они помогут тебе выбрать линию поведения в той или иной ситуации.

Начальник. Человек, привыкший отдавать команды, ценящий свое время, добивающийся поставленных целей. Манера разговора жесткая, нетерпеливая. Непробиваемая уверенность в себе и легкое (или полное) пренебрежение к рядовым служащим. Всем своим видом показывает, что проблема, с которой обратился - мелкая неувязка, которую нужно решить как можно скорее. Никаких просьб - только суровые вопросы в стиле «какого черта». В ответ на недоверчивые или проверяющие реплики - негодование и запугивание.

Секретарь. Обычно девушка с приятным голосом. Задача - выполнить конкретное поручение шефа, не отвлекаясь на условности. Осведомлена о начальнике и некоторых его делах, как бы между прочим роняет достоверные факты (или недостоверные, которые нельзя проверить). Характер разговора - мягкий, с легким эротическим подтекстом (если собеседник - мужчина). Реакция на нежелание сотрудничать - бурное огорчение, жалоба, что начальство накажет.

Техслужащий. Снисходительное, но дружелюбное отношение к клиентам. Цель проста - устранить неполадку и избавить обе стороны от головной боли. Подчеркнутая специфическими терминами компетентность. На отказ сотрудничать - реакция удивления, так как сотрудничество в первую очередь выгодно для клиента. Никаких уговоров - просто дать понять, что без твоего участия проблема только усугубится. Можно описать страшные последствия.

Юзверь: работник, выполняющий свои обязанности и напуганный неожиданной проблемой. Четко выраженный мотив поскорее решить все проблемы и вернуться к своей рутиной работенке. Отсутствие представления о характере проблемы, заинтересованность только в ее устранении. Характер общения: «Ой, а у меня курсор завис. Это вирус, да?» Показать всю безнадежность своего положения и готовность отдаться в руки специалиста.

Моделей поведения много, какой пользоваться - зависит от ситуации и человека, которого нужно обработать. Большое значение тут имеет предварительный сбор информации о будущей жертве, потому что только так ты сможешь составить наиболее эффективный сценарий и подготовиться ко всяким неожиданностям. Раньше любимым способом сбора инфы у хакеров было ковыряние по ночам в мусорных баках конторы. С появлением интернета все упростилось. Во-первых, существуют специализированные справочники по крупным компаниям, где можно найти имена, должности и контакты представителей. Во-вторых, можно опять же воспользоваться социальной инженерией и втесаться в доверие к неосторожному работнику. Например, многие в служебное время злоупотребляют аськой. Представившись многообещающей мадамой, можно закрутить с челом бурный виртуальный роман, и под предлогом «хочу побольше узнать о тебе», потихоньку расспрашивать о фирме и начальстве. Тебе, наверное, интересно, что именно нужно узнавать? Не знаю, дружище, одно лишь сто пудов - чем больше ты соберешь информации, чем разнообразнее (от любимого цвета носков шефа до среднегодовых доходов фирмы) она будет, тем легче тебе будет выполнить свою задачу. Особое внимание обрати на имена, характер и обязанности ключевых фигур в конторе, так как именно эти сведения ты с большой вероятностью будешь использовать в дальнейшем. Приступай к основной фазе инжиниринга, только когда почувствуешь, что знаешь свою жертву. Знаешь, чем она живет, о чем думает, как себя поведет в той или иной ситуации, какие психокомплексы роятся у нее внутри.

Тараканы, живущие в нашей голове

Сколь бы настороженным или наученным жизнью человек ни был, он никогда не избавится от всех багов в своей голове. Наш разум уязвимее, чем самая дырявая винда. Причем нередко уязвимыми становятся те качества, которые мы ценим в людях - отзывчивость, преданность и любознательность. Я уже не говорю о всякого рода психокомплексах, присущих всем нам. Вся социальная инженерия на том и построена, чтобы использовать человеческие слабости для изменения модели поведения. Ниже мы на примерах рассмотрим несколько основных психокомплексов, чаще всего подверженных СИ.

Доверчивость

Это качество заложено в каждом человеке. Мы слушаем рассказы о людях, которых кинули как полных лохов, удивляемся их наивности, пребываем в полной уверенности, что никогда бы сами не вляпались в подобное… и со временем сами занимаем их место. Доверчивость напрямую связана с нашей врожденной ленью. Согласись, легче поверить человеку на слово, чем утруждать себя проверками правдивости его слов.

К тому же некоторые, в силу робости или хорошего воспитания, просто не решаются открыто заявить, что собеседник врет, и предпочитают рискнуть, надеясь на его честность. Большую роль в вопросе доверия играют детали, о которых мы сознательно не задумываемся, но которые определяют нашу реакцию - верить человеку или нет.

Пожалуй, главный фактор доверия - уверенность в себе. Если кто-то говорит авторитетным тоном знатока, не допускающим возражений - люди могут поверить в любую чушь. Конечно, речь не идет о всем известных истинах (хотя опытный софист сможет тебе вполне убедительно доказать, что на Солнце минусовая температура, а белое - это на самом деле черное), но в вещах, о которых человек не знает или в которых хотя бы сомневается - можно легко склонить его мнение в нужную сторону. Хороший способ создать иллюзию своей правдивости - сделать несколько заявлений, которые, как известно собеседнику, на сто процентов правдивы, и в то же время подмешать в них несколько лживых доводов. Человек, видя, что ты говоришь правду, автоматически воспримет как правду и твою ложь. Своеобразный аналог теста на знание виновного, переделанный под нужды СИ.

Если ты в предварительной подготовке досконально не изучил жертву - что она знает, а что нет, старайся избегать прямой лжи. Например, если ты представишься работником шестого отдела Васей Чайкиным, то вполне вероятно услышишь: «Я знаю всех в шестом отделе - с такой фамилией там никого нет». Но если вместо конкретного Васи Чайкина из конкретного отдела ты станешь неопределенным Петей, только поступившим на службу - у тебя всегда останется место для отступления. Вообще, до начала диверсии постарайся продумать все так, чтобы тебя не прижали к стенке, найдя явные несоответствия. Всегда выбирай такой сценарий, который максимально достоверно подходит к ситуации. Чтобы проиллюстрировать этот психокомплекс, расскажу, как однажды я прошел в комнату студенческой общаги через злую бабку-вахтершу, «никого никоим образом не пущавшую».

Здравствуйте, бабушка. Мне в 90, к Самодину.

Никого не пускаем. Жди здесь. Будет кто спускаться - позовут.

Бабушка, я из деканата - ректор срочно его вызывает. Колю на олимпиаду от института отправляют, нужно заявление принести. Сейчас надо, сегодня - последний день. Я ему быстренько скажу и тут же вернусь. Хорошо?

Ладно. Только давай быстрее.

Я мигом. Спасибо!

У каждого из нас свои страхи. Не обязательно это боязнь темноты или, к примеру, пауков. Можно испытывать страх показаться нелепым в какой-то ситуации, страх за последствия невыполненного поручения, страх перед чем-то неизвестным. Существуют миллионы маленьких и больших страхов, которые заставят человека пойти на самые необдуманные поступки, чтобы от них избавиться. Использовать этот психокомплекс легко - достаточно всего лишь вызвать у собеседника один из страхов и сыграть роль «освободителя». Хорошим примером является случай, описанный в статье Алексея Лукацкого, когда хакер в течение всего пары минут получает пароль к аккаунту работника банка.

В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку и слышит мужской голос:

С вами говорит администратор сети, Иван. Как вас зовут?

Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?

А мне говорили, что чужим нельзя называть свой пароль.

Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе, и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?

Да, согласна.

Тогда назови свой пароль, и все будет ОК.

Мой пароль olja.

ОК. Спасибо за помощь.

Здесь синжер вызвал у юной особы сразу два страха - задержаться в конторе дольше положенного и вызвать гнев начальства. Последний - особенно эффективен, так как большинство людей все-таки дорожат своей работой и постараются сделать все возможное, чтобы избежать неприятностей.

Страх, кстати, является хорошим стимулом доверия - это естественная защитная реакция нашего организма. Напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что страх может оказаться результатом блефа. Каждый из нас подвержен тем или иным страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это угроза жизни, страх потерять близкого человека (животное), боязнь одиночества, страх перед болью, боязнь не осуществить поставленные цели и т.п.

Жадность

Второе качество человека после лени - жадность - является любимым психокомплексом аферюг всех мастей. Желание людей быстро обогатиться настолько велико, что часто затмевает все разумные мысли, и пиплы ведутся на очевидное кидалово. Использовать жадность в своих корыстных целях просто, нужно всего лишь пообещать человеку что-то, что ему необходимо. Не обязательно деньги - рекламу, информацию, предмет для коллекции, секс… да что угодно. Просто узнай побольше о том, что ценно для жертвы, и обещай это. Обещать ведь по закону не запрещено. Твоя задача - выставить свой «товар» в максимально привлекательном свете, но не злоупотребляй эпитетами. Прогресс не стоит на месте, и люди уже не верят «доброжелателям», обещающим 10 миллионов баксов за неделю. Но на 100 баксов в месяц «ни за шо» клюнут легко. Отличным примером СИ на почве жадности является эпизод, описанный в книге Сидни Шелдона «Интриганка». Аферистка зашла в ювелирную лавку и, всем своим видом выдавая себя за жену расточительного миллиардера, купила не глядя крупный бриллиант за $150000. Через пару дней вернулась и, взахлеб нахваливая покупку, поинтересовалась, нет ли в продаже еще одного столь же крупного экземпляра. Когда продавец заверил, что продал ей очень редкий бриллиант и отыскать подобный во всей стране сложно - мадам заверила, что ее мужу будет не жалко отвалить 400 килобаксов, если только найдется еще один, такой же. После долгих и безрезультатных поисков мужик уже было отчаялся, но тут по объявлению позвонила безутешная вдова, у которой - о чудо - оказался очень похожий камушек. «После смерти Джона у меня остались долги - 300 тысяч зеленых, а еще вот этот бабушкин бриллиант. Я согласна его продать, но только за 300 тысяч. Мне нужна именно эта сумма, чтобы погасить долг». Прикинув, что он все равно выигрывает 100 тысяч, ювелир купил камень. Стоит ли говорить, что бриллиант был тот самый, который он продал за пару недель до этого, и что богатой мадамы разведенный чел больше не видел.

Отзывчивость

Когда я использую в СИ этот психокомплекс, то не испытываю угрызений совести. По той простой причине, что, обманывая, дарю людям возможность лишний раз почувствовать себя людьми, насладиться радостью от помощи ближнему. Крупицы сострадания есть в душе даже самого угрюмого зека. Порешив 15 человек, он нет-нет, да и кинет озябшему воробью крошку хлеба.

Манипулировать отзывчивостью не так просто, как кажется. Хоть и есть она в разных дозах у всех, но воспользоваться ей не всегда возможно. Попробуй на досуге зайти на DALnet’овский #xakep и попросить у тамошнего народа денег на подарок маме. Тебе сразу во всем великолепии русского языка объяснят, что такое сострадание. Но если ты попросишь что-то, с чем человеку расстаться не сильно напряжно, и в то же время убедишь в большой ценности этого для тебя - эффективность использования психокомплекса весьма высока. В одном из выпусков Спеца, посвященном веб-мошенничеству, я рассказывал, как мне удалось достать книгу, обитающую только на Amazon’e за 20 баксов. Достаточно было связаться с автором - обеспеченной женщиной из Америки, и под видом маленькой девочки, мечтающей стать журналисткой (книга была о freelance writing), слезно попросить прислать книжку. «Thanks so much, Masha! I appreciate your kind words», - ответила женщина на мои слова благодарности - на том и расстались. Слабый (или все-таки прекрасный?) пол вообще очень уязвим для этой методики, особенно если будет считать, что в помощи нуждается ребенок. Согласен, играть на материнских чувствах - эгоистично, но СИ - наука сама по себе эгоистичная, и если ты хочешь добиться успеха, то должен забыть свои моральные устои, думая о цели. По отношению к мужикам не менее эффективным будет манипулирование с эротическим подтекстом. Как ты понимаешь, любой молчел намного охотнее поможет красивой девушке, чем патлатому коллеге по полу. Это потому, что на подсознательном уровне мы часто надеемся получить от них ответную благодарность сам знаешь какого плана. Если у тебя есть подружка с ангельским голосом, умеющая разговаривать с парнями многообещающим тоном - она может стать хорошим союзником в процессе обработки заработавшегося юзверя. Чем сильнее ей удастся заинтересовать «клиента», тем меньше он захочет потерять потенциальную герлфренду и тем вероятнее выполнит ее просьбу.

Превосходство

Конечно, всем нам хочется быть примером для подражания, разбираться в чем-то лучше других. Превосходство - это состояние, в которое периодически погружает нас наше подсознание, чтобы дать возможность испытать столь приятное чувство победителя.

Но если в такой момент кто-то со стороны попытается навязать мысль, что ты вовсе не виннер, естественной защитной реакцией будет доказать засранцу - именно ты зе бест.

Хитрость в том, что, намеренно ущемив чью-то гордость, синжер может в качестве доказательств виннерства потребовать того, чего в другой ситуации ему никто бы не дал. И жертве, чтобы избавиться от клейма лузера, волей-неволей придется пойти у него на поводу. Методика превосходства сложна тем, что манипулировать ей нужно очень тонко. Грубое «слабо?» действует далеко не на всех - по большей мере на крутых самоуверенных специалистов, которые болезненно относятся к критике своих способностей. Но в мире есть куча людей, которым глубоко плевать, что ты сомневаешься в их некомпетентности, им проще тебя послать, чем что-то доказывать. Это не значит, что тактика против них бесполезна. В таком случае психокомплекс нужно использовать неявно, в общем контексте (между делом).

Другой вариант - юзать обратную методику. То есть ты не принижаешь способности чела, а наоборот, возвышаешь их до небес. Вспомни, когда последний раз ты что-то делал, и тебя искренне хвалили - какой, мол, молодец. Вероятно, тебе тогда хотелось превзойти самого себя, чтобы услышать еще большую похвалу, и ты продолжал пахать с удвоенным рвением. Благодарность - это признание наших способностей, что очень важно для каждого человека. Играя на людском самолюбии, можно легко заставить человека что-то для тебя сделать. Например, я когда-то таким образом отремонтировал на халяву часы - намекнул часовщику, что у его мастерской авторитет лучшей в городе, что о его профессионализме ходят легенды, а друзья мои считают его очень порядочным человеком. После чего растроганный хозяин богом забытого ларька отказался от денег и, подмигнув, сказал: «Да ладно, пустяки». Так же один мой знакомый взял у соседа-скупердяя машину на сутки - достаточно было расхвалить на все лады его таратайку.

Я кратко описал только 5 наших уязвимостей, на самом деле их намного больше. Имхо любое доступное людям чувство можно использовать в социальной инженерии. Любопытство и зависть, любовь и ненависть, веселье и грусть. Человек всю жизнь испытывает калейдоскоп эмоций, делающих его жизнь ярче, и в то же время подвергающих его опасности стать жертвой синжеров.

Почему-то многие считают СИ исключительно хакерским занятием. Нарыть паролей на халявный анлим, получить доступ к внутренней сети компании… все это действительно решается с помощью СИ, но вне компьютерных рамок лежит бескрайнее море возможностей. Научившись использовать человеческие слабости, ты сможешь выходить победителем из многих сложных ситуаций, добиваться успеха там, где другие только разведут руками. Поэтому учись, практикуйся, дерзай - эта наука не раз тебе пригодится.


Максим Кузнецов, Игорь Симдянов

Социальная инженерия и социальные хакеры

Введение

Для кого и о чем эта книга

Предметом книги является рассмотрение основных методов социальной инженерии - по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется "Человеческий фактор в программировании". Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: "Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги - не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.

Информация тоже защищается людьми, и основные носители информации - тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют "социальной инженерией" , поэтому наша книга так и называется "Социальная инженерия и социальные хакеры".

Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, - ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.

Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой - через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого - человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75 % сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…

Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так - никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат принципы нейролингвистического программирования", что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся - надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, - раскусит. Но когда к нему приходит настоящий, - он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.