Тема 2. 8. Социальный инжиниринг, как способ получения доступа к защищённой системе

 

Существует масса способов обманом получить необходимую конфиденциальную информацию другого человека, группы лиц, предприятия, компании и других возможных образований. При этом совсем не обязательно владеть навыками взлома компьютерных систем, иметь программы для подбора паролей или выведения из строя защитного ПО. Любую информацию можно получить посредством воздействия на самого пользователя или сотрудника, вводя его в состояние, при котором он сам выдаст всю необходимую информацию. Такой метод получения информации называется социальным инжинирингом

Социальная инженерия как способ НСД — метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего.

2 Принципы и техники социальной инженерии

Существует несколько распространенных техник и видов атак, которыми пользуются социальные инженеры. Все эти техники основаны на особенностях принятия людьми решений, известных как когнитивные предубеждения - склонности людей искать или интерпретировать информацию таким образом, чтобы подтверждать свои предубеждения. Эти предрассудки используются в различных комбинациях, с целью создания наиболее подходящей стратегии обмана в каждом конкретном случае. Но общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные цели обмана так же могут быть весьма разнообразными.

Техники социальной инженерии:

¾ Претекстинг - это набор действий, проведенный по определенному, заранее готовому сценарию (претексту). Данная техника предполагает использование голосовых средств, таких как телефон, Skype и т.п. для получения нужной информации. Как правило, представляясь третьим лицом или притворяясь, что кто-то нуждается в помощи, злоумышленник просит жертву сообщить пароль или авторизоваться на фишинговой веб-странице, тем самым заставляя совершить необходимое действие или предоставить определенную информацию. В большинстве случаев данная техника требует каких-либо изначальных данных о объекте атаки (например, персональных данных: даты рождения, номера телефона, номеров счетов и др.)

¾ Фишинг - пожалуй, это самая популярная схема социальной инженерии на сегодняшний день. Наиболее ярким примером фишинговой атаки может служить сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Причины могут называться самые различные. Это может быть утеря данных, поломка в системе и прочее.

¾ Квид про кво – «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере «жертвы»

¾ Троянский конь - вредоносная программа, используемая злоумышленником для сбора, разрушения или модификации информации, нарушения работоспособности компьютера или использования ресурсов пользователя в своих целях. Данная техника зачастую эксплуатирует любопытство, либо другие эмоции цели.

¾ Сбор информации из открытых источников – относительно новый способ получения информации, при котором информацию собирают из любых открытых источников, чаще всего – социальных сетей. Такие сайты содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

¾ «Дорожное яблоко» - метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство.

Обратная социальная инженерия – случай, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

Киллбуллинг как средство социального инжиниринга

Киллбуллинг – техника социальной инженерии, при которой оказывается значительное давление на психическое состояние «жертвы». Чаще всего желаемый для злоумышленника результат достигается с помощью угроз, насмешек, оскорблений и других действий, которые являются обидными или неприятными для человека. Этот способ почти не требует от злоумышленника наличия каких-либо знаний об объекте атаки, например, персональных данных, месте работы, круге интересов и т.д. Необходимо наличие максимально возможного количества способов связи с объектом, таких как адреса в социальных сетях, номера телефонов, личный контакт и т.д.

Весь процесс использования Киллбуллинга можно условно разделить на два этапа:

¾ Преследование объекта атаки и оказание отрицательного воздействия на его психоэмоциональное состояние.

¾ Убеждение объекта в совершении какого-либо действия, выгодного для злоумышленника.

При этом чем большее количество человек занимается киллбуллингом в отношении одной «жертвы» одновременно, тем выше оказываемое на нее воздействие и тем быстрее объект будет в состоянии добровольно совершить практически любое действие, требуемое нарушителями.

Стоит отметить, что киллбуллинг – довольно протяженное занятие и в среднем результат можно получить только по прошествии некоторого времени от начала использования этого средства.

Разрушительное воздействие киллбуллинга на состояние человека

При использовании этой техники социальной инженерии следует учитывать, что давление на психическое здоровье человека влечет за собой повреждение психики этого человека, и чем сильнее давление, тем значительнее разрушения. Особенно серьезно это сказывается на людях с неустойчивой психикой, наличием психических заболеваний или отклонений. Применение киллбуллинга может вызывать целый спектр вариантов негативной реакции объекта, начиная от подавленного состояния и заканчивая психическими расстройствами, появлением заболеваний или усугублением уже имеющихся. Не следует забывать, что в некоторых случаях, когда давление на психику крайне велико и человек постоянно находится в состоянии подавленности, взволнованности или подобных депрессивных состояниях, может возникнуть большое депрессивное расстройство, в некоторых особо тяжелых случаях приводящее к самоповреждению или суициду.

В качестве примера данного развития событий можно привести отрывок из книги Олега Дивова «Другие Действия»:

«Ни Крутой, ни Мурзик не могли там (в чате) носу показать, чтобы их не облили помоями. "Ты моральный урод, ты моральный урод, ты моральный урод, ты моральный урод..." - читал Крутой по десять раз на дню. Он менял ники - это не помогало. Он переместился на другие сайты – его загадочным образом находили там и долбили, долбили, долбили. Он метался по Сети, но нигде не мог нормально просуществовать и часа. Иногда он просто читал молча, но вдруг к нему обращались по настоящему имени. "Ты моральный урод, ты моральный урод, ты моральный урод..." Это была первая фаза Других Действий - давление на психику. Просто_Вася как раз собирался объявить вторую фазу - убеждение морального урода исправиться и загладить вину, - когда моральный урод прыгнул в окно. Крутой жил на четвертом этаже. Он не разбился насмерть, но получил такую страшную травму позвоночника, что превратился в овощ».

Как видно из приведенного примера, чрезмерное использование киллбуллинга привело к усугублению психического здоровья человека и последующей попытке суицида. Использование киллбуллинга должно быть максимально контролируемым и продуманным во избежание особо серьезных последствий.

Способы защиты от социальной инженерии

Для проведения своих атак, злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компании-жертвы. Для защиты от таких атак, нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.