Социальная инженерия - один из нескольких сочных плодов, что щедро отдала нам на
растерзание и совершенствование эра 80-х, время духовного подъема хакеров, пора
энтузиастов и единомышленников. Этим методом с умением и проворством
пользовались только в самых сложных случаях, когда не оставалось надежды
пробиться через сплошную стену защиты намеченной цели, тогдашние хакеры брали
телефон в руки и начинали оттачивать мастерство запудривания мозгов рядовому
служащему компании, на которую были нацелены пылающие от усталости глаза
хакеров. Именно то учение, которые многие из вас постигали в студенческие годы,
общаясь с доцентами, хакеры использовали в своих грандиозных целях.
Вдруг внезапно среди пустынного вечернего офиса раздавался звонок, за столом
рядом с телефоном мирно свесившись на стуле сидел клерк, клепая и переделывая
очередной отчет. Лениво подняв трубку, клерк принимался узнавать кто же звонил, а
звонил оказывается такой же как и он с соседнего отдела, но вот незадача у парня
на телефоне сломался компьютер, а именно не пускал ни за что в систему, конечно
наш милый клерк, не задумываясь о бытие и смысле жизни, предоставлял свой
логин и пароль на доступ к системе, дабы помочь другу по несчастью доработать
очередной отчет. Как вы могли догадаться, никакого товарища на проводе не было, а
был наш герой хакер. Бывали, по рассказам ветеранов, случаи, когда приходилось
лично являться в нужный отдел за информацией.
Но то время прошло, нынче метод социальной инженерии никуда не делся. Одев
современные джинсы, модный свитерок, он остался по сути тем же. Хотя, если
верить заявлениям товарища Митника, сидевшего в свое время по известным
причинам, метод в оригинале 80-х до сих пор существует и успешно культивирует в
средах промышленного шпионажа и в рядах крупных компаний Аля ГАЗПРОМ и т.д. О
чем он с пеной у рта и интересом в глазах рассказывал недавно в Москве в
гостинице Редиссон-славянкая главам этих самых компаний и просто
интересующимся.
Одним из проявлений современной социальной инженерии можно назвать хотя бы
фишинг - новый способ обуть цель, только теперь это желанное запретное яблоко не
какая-то конкретная организация, а ты милый и смышленый пользователь
Интернета. Иными словами, нынешняя социальная инженерия занимается этим
самым социум в глобальном масштабе более подробно и надо сказать не менее
успешно. Phishing - звучит как fishing от английского - рыбалка. Весь метод состоит в
том, что организуется поддельный сайт известной организации, который не отличишь
от оригинала. Затем посылается предложение пользователю сией большой системы
пойти на поддельный сайт и, например, перерегистрироваться или просто
воспользоваться своим доступом системы. После чего полученный логин и пароль
аккуратно складируется в нужный файл, посылаемый вашему доброжелателю -
Фишеру или по-русски Рыбаку.
Существуют различные варианты фишинга, например, вместо поддельного сайта
мастерится страничка, содержащая в себе хитрый код, позволяющих через
последние баги в системе добиться от вас всего, что угодно - вам лишь надо всего
лишь кликнуть по ссылки и дело сделано. Место соц. Инженерии в этой схеме
занимает процесс заманивания вас на нужный сайт. Эта же схема позволяет
набрать себе зомбированных компьютеров на порядок эффективнее, чем все иные
методы.
С фишигом нынче активно борются и так же безрезультатно, как и со спамом,
например, намедни, четыре великие компании Microsoft, eBay, PayPal и Visa
объединились, чтобы раз и навсегда выловить всех рыбаков со своего пруда.
Возглавляет этот список антифишингого альянса компания WholeSecurity, которая
обещалась создать базу данный адресов всех сайтов, где был замечен факт
фишинга. Очевидно, что такой метод сильно смахивает на один из основных методов
отлавливания спама - черный список, но как показывает практика такой метод будет
несколько неэффективен из-за наличия той же проблемы: адрес у поддельного сайта
может быть любой и отловить всех все равно не получиться, - но другого метода не
видно на горизонте, так что пока и этот не плох.
Другим проявлением соц. Инженерии является, ставшая нынче классической схема
с почтовым сообщением, содержащие в себе просьбу или приказ открыть
приложение к письму, в котором содержится Троян или вирус. И как показывают
разные независимые исследования, такие счастливчики находятся, и их хватит на
небольшую армию или революцию, случись им дружно собраться в нужном месте и с
нужными лозунгами.
Любые приложения к письму настоятельно рекомендую вам открывать только тогда,
когда вы на 101% уверены в их невинности. Забавный казус или скандал недавно
проявил свои подробности, целый отдел ФБР нынче занят поисками людей, которые
от имени этой организации рассылали рядовым пользователем почтовые
сообщения, в которых объяснялось, что бедный юзер, получивший сообщение, взят
на разработку в ФБР из-за своих увлечений сайтами стремного содержания. В
сообщении намечалась прозрачная просьба открыть приложение к письму и
ответить на пару вопросов. Что действительно интересно, так это то, что сообщение
подделывалось качественно, точно так же, как если бы к вам обратилось реальная
ФБР. Причем в самой ФБР действительно существует подобный отдел, но, конечно,
не рассылающий подобные сообщения всем подряд.
Способов обмана рядовых пользователей Интернета сейчас много - будьте на чеку,
эра применения соц. Инженерии только с целями интересных взломов давно прошла.
Введение в заблуждение (обман)

Введение в заблуждение - основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.
Отъем денег

Это только в американских боевиках одетые в маски грабители вламываются в какой-нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отношение к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда обнаружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь, что ты за северный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать "до свидания", уходишь.

Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом городе или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, но телефону, а еще лучше - выплачивать гонорар только после заключения договора. (Договор же можно переслать обычной почтой или, на худой конец, по факсу). Кстати, встречаются и недобросовестные авторы, которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы получил кто-то другой, выдавший себя за них.
Бесплатное приобретение программных продуктов

Хищение денег - это достаточно рискованный способ мошенничества и, в случае неудачи, он может обернуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а их материальное воплощение.

Предположим, злоумышленнику требуется некоторый программный пакет и/или техническая консультация. Взломать демо-версию или атаковать локальную сеть фирмы-разработчика? Чревато! Лучше, представившись журналистом, попросить один экземпляр программы в обмен на обещание разрекламировать ее в некотором популярном журнале. Какая фирма не клюнет на такую заманчивую перспективу? К тому же вместе с продуктом злоумышленник получит и квалифицированную техническую поддержку непосредственно от самих разработчиков, а не девушек-операторов, обслуживающих рядовых клиентов.

Если вы хотите избежать обмана - пересылайте продукт не напрямую, а через издателя. Он-то наверняка знает своих журналистов! Впрочем, вполне "всамомделешний" журналист может продукт взять, а статью не написать. Или написать, но по независящим от него причинам не суметь ее опубликовать...

Злоумышленнику придется сложнее, если требуемый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка "под ключ" обычно стоит дорого, очень дорого, но если проявить чуточку смекали… Вот на сайте аля www.jobs.ru появляется объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, происходит на конкурсной основе и каждому кандидату дается тестовое задание, по результатам выполнения которого и судят о его, кандидата, профессионализме. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто - с готовым продуктом. Самое печальное, что предъявлять злоумышленнику гражданский иск бессмысленно, поскольку состав преступления отсутствует.

Защитить себя от подобных обманов очень трудно, поскольку, аналогичная схема набора сотрудников широко используется и легальными фирмами. Напротив, очень немногие работодатели готовы оплачивать работу "котов в мешке". Поиск хорошей работы - это вообще рулетка и без разочарований здесь не обойтись.
Несанкционированный доступ
Приемы хищения паролей

Вероятно, самый известный прием похищения пароля - это звонок жертве от имени администратора системы или, напротив, администратору - от имени некоторого пользователя. Просьба в обоих случаях одна, - под каким бы то ни было предлогом сообщить пароль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась - все-таки жизнь чему-то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая.

Лучший способ выведать пароль - не спрашивать его. Напротив, строго-настрого запретить говорить! Это может выглядеть, например, так: "Ало, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяснительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" можно понимать двояко - какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).

А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы - выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу. Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозрений жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы!

Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому-то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает). Помните, низко квалифицированный оператор - все равно, что обезьяна с гранатой!

Кстати, постоянная смена паролей - это худший выход из ситуации, создающий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем. А теперь вообразите, что некий "доброжелатель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или запьете ее молоком, но есть ненулевая вероятность того, что кто-то избавится от изобличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реальной ситуации, а не теоретических измышлений. Люди - не компьютеры!
Непрямая атака

Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: «Строго конфиденциально. Заработная плата сотрудников за 2005 год». Самая естественная человеческая реакция – взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске – файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: «ошибка, файл поврежден». В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это «троянец», отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте – вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?

Это типичный пример социальной инженерии – нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство – только один из мотивов, которые можно использовать.

Почему злоумышленники прибегают к социальной инженерии?

* Это проще, чем взломать техническую систему безопасности.
* Такие атаки не вычислить с помощью технических средств защиты информации.
* Это недорого.
* Риск – чисто номинальный.
* Работает для любой операционной системы.
* Эффективно практически на 100%.


База для социоинженера

Первый этап любой атаки – исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах... Словом, все, что только можно.

Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.

Ошибка резидента (пример из фильма «Дневной дозор»): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: «Привет, Витек!» - ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике – чужой.

Самые распространенные методы атак:

* Выяснение, передача или несанкционированная смена паролей
* Создание учетных записей (с правами пользователя или администратора)
* Запуск вредоносного программного обеспечения (например, «троянца»)
* Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе
* Фишинг (электронное мошенничество)
* Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы
* Передача или распространение конфиденциальной информации.


Прямая атака

В «доэлектронную эру» социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное – выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной мини-АТС помогает замести следы – усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.

Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!

С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит «письмо от начальства»: «Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта». Он, конечно же, направит – и прости-прощай секретные данные. Или «письмо от системного администратора»: «Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль – во вложенном файле». На самом же деле вложение содержит вирус, выводящий из строя операционную систему. Последнее – реальный пример из недавней практики московской компании «Тауэр».

Бреши в информационной системе – сотрудники обычно:

* считают, что корпоративная система безопасности непогрешима, и теряют бдительность
* легко верят полученной информации, независимо от ее источника
* считают соблюдение корпоративной политики безопасности пустой тратой времени и сил
* недооценивают значимость информации, которой владеют
* искренне хотят помочь каждому, кто об этом просит
* не осознают пагубных последствий своих действий.


Ключик к каждому

В различных странах люди по-разному подвержены социоинженерному воздействию. Россияне – не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает «норма взаимности»: если человеку сделать что-то приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром. В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.

Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.

Возможно, вас атакуют, если ваш собеседник:

* проявляет к вам повышенный интерес, преувеличенное внимание и заботу
* отказывается дать вам свои координаты
* обращается к вам со странной или необычной просьбой
* пытается втереться к вам в доверие или льстит вам
* говорит с вами подчеркнуто начальственным тоном.

Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха – обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.