Skip to main content

Социальная инженерия: тормозить не вредно.

В рубрике
6 votes

 

Привет!

Заканчивается январь, Новый год наступил по всем фронтам, жизнь продолжается, а,значит, продолжаются и мошеннические махинации, к сожалению.. За последнее время что-то мне они часто стали встречаться, вот я и решила поговорить о социальной инженерии, что это, зачем это, как с этим себя вести.

 

Начну с того, что социнженерия-это не опасный и вредный факт, а полезная штука, которую, как любой инструмент, можно использовать в разных целях, сегодня я пишу именно о том, как её используют мошенники, но молчу о том, как она служит во благо.

 

Социальная инженерия-звучит громко и того заслуживает, СИ даёт большие возможности тому, кто её использует, потому что опирается она фактически на главное, что есть у всех людей-на чувства и эмоции. Наверняка, большинство из вас слышали об этом явлении, но кто-то, может, и не слышал.

 

Просто говоря, социальная инженерия-это комплекс методов управления людьми без использования технических средств, основанный на действии "человеческого фактора". Все ведь слышали про этот пресловутый фактор? На него можно что угодно свалить, потому что он может сработать у любого из нас и привести к неожиданным результатам, но это чаще касается чрезвычайных ситуаций, а вот в повседневной жизни, чтобы избежать неприятностей, надо уметь вовремя тормозить, потому что приёмы социальной инженерии обожают использовать мошенники во главе с небезызвестным Кевином Митником, который на данный момент выглядит как светлый.

 

Социальная инженерия в деле.

 

Звонок в дверь

пожилая женщина: "Кто пришёл?"

некто за дверью: "Доктор из поликлиники, я вас осмотрю и выпишу бесплатные лекарства"

Чаще всего, мошенники пользуются такими человеческими качествами как доверчивость- как в случае с бабушкой и "врачом", страх ("ваш компьютер заражён и умрёт", "ваш Виндовс заблокирован, потому что вы преступник, и вас посадят в тюрьму"), отзывчивость ("Девочка,-говорит усатый дядька,- я в машине котёнка потерял, помоги его найти!") и жадность (примеры придумайте сами)).

 

Существует бесчисленное множество техник социальной инженерии и вот самые распространённые из них:

1) Претекстинг

Работа по заранее запланированной схеме, часто требует дополнительного сбора информации о каждой жертве в отдельности.

Пример: злоумышленник звонит и представляется менеджером банка, держателем карты которого является жертва. Называя номер карты, реквизиты бванка, другие данные, он вызывает доверие и может получить доступ к другим персональным данным, например, пин-коду карты.

 

2) Фишинг

«Рыбалка» - метод похищения информации посредством подделки веб-страниц, содержащих формы для ввода персональных данных, будь то пароль от ВКонтакте или номер банковской карты.

Пример:  Поддельные страницы сайта интернет-банка PayPal от самых некачественных до практически неотличимых от настоящей.

3) Троянский конь

В отличие от первых двух методик, опирается не на доверие жертвы, а на её любопытство. Распространяются ссылки/файлы с интригующим описанием, жертва «клюёт» на удочку и получает программу-шпиона в свою систему, вуаля.

Пример: сообщение от друга в ICQ: «Смотри на своё лицо в старости "ссылка"  мы тут смеёмся уже полчаса)))». Жертва огорчена/задета/заинтересована и переходит по ссылке, к слову, ссылка обычно сокращена, что так же может насторожить. Или может быть так:

4) "Дорожное яблоко"

Распространение инфекции через внешние носители : злоумышленники подсовывают заражённые носители информации, снабжая их интригующим описанием.

5) Кви про кво ( одно вместо другого, путаница).

Злоумышленник через самого пользователя получает доступ к компьютеру и устанавливает вредоносное ПО на него. В связи с развитием этого вида атак, у многих людей стало вызывать сомнение функционирование пунктов бесплатной он-лайновой компьютерной помощи, так как мастер/хэлпер теоретически может заразить систему вредоносным ПО, а это, я считаю, вообще безобразие и дискриминация.

 

6) Другие способы.

Получить информацию можно миллионами различных способов хотя бы потому, что мошенники не стеснены техническими возможностями своих утилит, а возможности фантазии безграничны.

 

Существует понятие «Обратная социальная инженерия», означающее вынуждение жертвы выдать информацию самостоятельно, здесь может использоваться приём отвлечения внимания.

 

Как защищаться?

 

Технические средства защиты направлены на:

1) предупреждение атак

2) затруднение использования информации/доступа к ней.

К первым отнесём антивирусные программы, почтовые фильтры и т.п.,а ко вторым- всевозможные привязки доступа к месту/времени/человеку/компьютеру/

другому признаку, трудноавтоматизируемые способы доступа, например. Графические пароли и Captcha. 

Так как социальная инженерия основана на человеческом факторе, то антропогенные (человеческие) средства защиты выходят на первый план: к ним я бы отнесла ответственность, внимательность, знания и опыт. Зная, как работают мошенники, можно предотвратить опасность.

Обучите людей, далёких от основ ИБ, обращаться за советом  в случае подозрений к вам, объясните опасность мошеннических схем, приведите примеры, будьте в безопасности и обеспечьте безопасность окружающих.

Аватар пользователя Шевченко Станислав

Спасибо

Интресная, я бы сказал обобщающая, многогранная статья. Однако, ты пишешь, что есть и другая сторона СИ - и это светлая сторона, очень интересно посмотреть примеры применения СИ для пользы и во имя добра.

Аватар пользователя linkins_

Социальную инженерию используют в медицине, когда из пациента надо выудить как можно больше информации, кроме той, которую он определил как важную для диагноза (тут опираемся на желание поговорить, на чувство собственной важности, используем методику подъезда издалека и наводящих вопросов-точно ту, которую мошенники применяют, выведывая, в какое время, например, хозяев квартиры не бывает дома).

В бизнесе, когда очень важно настроить оппонента/кредитора/мало ли кого ещё на правильную волну доверия или порушить его аргументацию (в этом случае можно усыплять спокойствие, играя роль слабого оппонента, выжидать, когда у того подключится осознание силы, чувство превосходства *ещё немного и шах и мат*, а тосле этого резко менять тактику)

Демпинг в экономике-тоже своего рода социальная инженерия (цена упала-клиенты пошли), но нынче он запрещён, потому что экономику рушит и вредит конкуренции, а  покупателям тем временем, очень даже удобненько бывает. (Но тут как в фильме: "Сделал одной женщине хорошо, а другой-плохо. А ты вообще всё делал для третьей")

У больных в клиниках вообще можно воздействовать на чувства и эмоции многими способами, а целью таких манипуляций будет его, больного, выздоровление. Мне эта тема близка, но я не стала приводить много примеров отсюда, попыталась найти их в других сферах.

В широком смысле СИ принимают как инструмент управления и создания крупных социальных институтов и тут-то вообще вырисовывается наука, без которой нам не жить, но это слишком глобальное понимание, на нём я не стану останавливаться.

Аватар пользователя Бакина Маргарита

Алина, спасибо за систематизированную информацию по важной теме.

Вот ведь несправедливость: чем добрее, любопытнее, "человечнее" человек, тем проще злоумышленникам поймать его "на крючок".
Получается, что добродетель становится уязвимостью.
Странно да?
Думаете, это характеристика нашей с вами современной жизни?
Уверена, так было всегда.
Просто сегодня увеличилось количество пространств, в которых мы существуем.
А значит, количество "дверей", через которые к нам могут прийти незванные гости.
Важно быть информированным. И не только по поводу того, что нужно смотреть в "глазок", прежде чем открыть замок на двери в квартиру, но и по поводу того, о чем подумать, прежде чем ответить виртуальному собеседнику, стучащемуся в двери вашего виртуального дома.
Мир-то виртуальный, а деньги-то в нем - настоящие.

Желаю нам всем, друзья, быть добрыми и неуязвимыми Smile

Аватар пользователя WTH

самое интересное это обратная инжерения. жаль ничего про нее не написали. а мне вот вообще не нравится такое деление СИ..  оно как-то не отражает сути.