SMM-агентство SMMashing Media
27 октября 2017, 13:50
9557
7

Социальная инженерия. Как «взломать» человека

Виктор Люстиг заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню. Дважды. Всё это с помощью социальной инженерии.

Социальная инженерия. Как «взломать» человека

Социальная инженерия. В интернете понятие используют для обозначения психологических техник получения ценной информации. Зачастую — киберпреступниками, которые выманивают секретные данные или провоцируют на нужные им действия. За последние два года с помощью социальной инженерии похищено 2 миллиарда $ из ста банков.

Однако не все социальные инженеры — мошенники. Они могут вернуть доброе имя компании после атаки конкурентов или чёрного пиара. Психологические методы используют, например, чтобы получить данные анонимного комментатора и сподвигнуть его удалить нежелательный отзыв или клевету.

Социальные инженеры регистрируются на форумах, вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.

Много веков назад монах Шварц Бертольд изобрел «порошочек для забавы», который стал порохом — причиной глобальных войн. Так и инструменты социальной инженерии: они настолько мощные, что используются даже в крупнейших аферах киберпреступников.

В этой статье рассмотрим реальные примеры атак психологическими методами.

Кейс первый. Не в службу, а в дружбу

В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.

Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.

Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.

Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.

Кейс второй. Просто попроси

В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники.

Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.

Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству.

Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.

Кейс третий. Фраза, которая потрясла Уолл-стрит

В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.

Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»

На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.

Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.

Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.

Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.

Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.

Никакие обычные средства защиты (антивирусы, файрволлы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Комментарии:

- 0 +
All Sem #
01.11.2017 15:17
Чет какая то лажа
Ответить
- 0 +
Егор Санинов #
05.02.2018 16:49
Вот первый пример с кражей алмазов - не относится ли это, когда жертвы сами предоставляют злоумышленникам информацию, к методам обратной социальной инженерии? Может быть это связано с претекстингом? Данная техника также подразумевает перевоплощение в образ другого человека. Однако реализуется такая техника с помощью телефонных звонков или посредством рассылки писем на электронную почту жертв. Второй пример с компанией The Ubiquiti Networks подходит под это описание, так как тут не было личного контакта, а все действия проводились с помощью телефона.
Ответить
Так тут же нигде не говорится, к какой конкретной технике относится  случай. The Associated Press это самый обычный фишинг)) А вот телефонный фишинг делают с помощью предварительно записанных голосовух. Записывается ключевая фраза, а затем у людей требуют данные. Эти методы активно применяются даже школотой и для их реализации не надо быть хакером из «Сирийской электронной армии»)))
Ответить
Автор просто хотел указать, что применение данных методов основывается на когнитивных искажениях) Люди ошибаются, а социальные инженеры этим пользуются для проведения "атак")  Ну а методы телефонного фишинга, очень напоминают технику квид про кво - это когда жертва не ведает, что творит и просто выполняет команды))
Ответить
- 0 +
Мне кажется случай с The Associated Press нельзя назвать кибератакой. Это же обычный фишинг имхо. И этого сотрудника развели как лоха)
Ответить
Тут вспомнила фильм с Лео "Поймай меня если сможешь". Вот это же яркий пример соц инженерии) Вообще мне кажется, если какой-то сотрудник выдаёт свои личные данные из-за собственной доверчивости, это еще не делает мошенника хакером)) так что это звание надо заслужить))
Ответить
- 0 +
Даже если будет тройная защита, ничего не поможет, если есть человеческий фактор. И главное никто на застрахован. В той же книге Митника сколько описано случаев, когда он получал необходимую информацию от спецов высокого класса. Защититься можно только одним способом - проводить обучение.
Ответить
Ответить?
Реклама

Самые интересные статьи, обзоры и размышления —
в рассылке!

Email *


Подпишись!


Вход на cossa.ru

Уже есть аккаунт?
Выбирай любой вариант входа:
Facebook Twitter Vkontakte

Используйте свой аккаунт в социальной сети Facebook или Twitter, чтобы пользоваться сайтом

Не забудьте написать email на странице своего профиля для управления рассылкой