sonyps4.ru

Инженерия человека. Социальная инженерия: ликбез про метод атаки, который никогда не устаревает

В век информационных технологий социальная инженерия приобрела прочную связь с киберпреступностью, но на самом деле это понятие появилось давно и изначально не имело выраженного негативного оттенка. Если вы думаете, что социальная инженерия – такая выдумка из книг-антиутопий или сомнительная психологическая практика, то эта статья изменит ваше мнение.

Что называют социальной инженерией?

Сам по себе термин – социологический и обозначает совокупность подходов к созданию таких условий, при которых возможно управлять человеческим поведением. В той или иной степени приемы социальной инженерии используются людьми с древнейших времен. В Древней Греции и Древнем Риме очень ценились ораторы, обладающие особым искусством убеждения, таких людей привлекали к участию в дипломатических переговорах. Деятельность спецслужб также во многом строится на приемах социальной инженерии, а XX век и вовсе изобилует примерами того, каких результатов можно достичь при умелом манипулировании человеческим сознанием и поведением. Пионерами социальной инженерии в том виде, в котором она существует сегодня, считаются телефонные мошенники, появившиеся в 70-е годы прошлого века, а в область информационных технологий эта наука пришла благодаря бывшему хакеру Кевину Митнику, который сейчас является консультантом по информационной безопасности и пишет книги о своем пути социального инженера.

В сфере киберпреступности социальной инженерией называют приемы и техники, которые злоумышленники используют для получения нужных данных или для побуждения жертвы к совершению нужных действий. Как говорил Кевин Митник, наиболее уязвимое место в любой системе безопасности – человек, и киберпреступники хорошо знают это. Социальные инженеры – хорошие психологи, они мастерски находят подход к конкретному человеку, легко втираются в доверие, идут на всяческие уловки и хитрости – и все это с целью получить конфиденциальную информацию.

Как работают социальные инженеры?

В фильме «Поймай меня, если сможешь», снятом по одноименной книге, рассказывается о событиях из жизни реального человека, Фрэнка Абигнейла. Сейчас он является экспертом по документарной безопасности, но в середине ХХ века Абигнейл подделывал чеки и в течение пяти лет виртуозно скрывался от полиции, легко перевоплощаясь в разных людей от пилота до врача. Такое поведение, уловки и тонкая психологическая игра – яркий пример социальной инженерии.

Если для достижения своих целей Фрэнку Абигнейлу приходилось лично контактировать с людьми, используя психологические уловки и актерское мастерство, то сегодня злоумышленники добывают информацию дистанционно, с помощью Интернета и сотовой связи. На уловки хакеров попадаются и обыкновенные компьютерные пользователи, и работники крупных компаний, хорошо разбирающиеся в вопросах информационной безопасности. Главная опасность состоит в том, что жертва сообщает необходимую информацию добровольно, даже не подозревая о том, что своими действиями помогает преступнику.

Манипулирование мыслями и действиями становится возможным из-за когнитивных искажений – отклонений в нашем восприятии, мышлении и поведении. Эти ошибки могут быть вызваны стереотипами, эмоциональным или моральным состоянием, влиянием социума, отклонениями в работе головного мозга. Под воздействием одного или нескольких факторов происходит сбой на этапе анализа полученной информации, в результате чего мы можем составить нелогичное суждение, неправильно интерпретировать события или предпринять иррациональные действия. Зная о таких особенностях работы человеческого мышления, социальные инженеры создают ситуации, в которых жертва наверняка совершит нужное действие, и, как показывает практика, когнитивные искажения оказываются сильнее нас.

Примеры социальной инженерии

Для достижения своих целей злоумышленники эксплуатируют человеческое любопытство, доброжелательность, вежливость, лень, наивность и другие самые разные качества. Атака на человека (так хакеры называют социальную инженерию) может производиться по многим сценариям, в зависимости от ситуации, но существует несколько наиболее распространенных техник работы злоумышленников.

Фишинг. Этот метод оказывается результативным из-за невнимательности пользователей. На электронную почту жертвы приходит письмо от какого-то известного сайта, организации или даже частного лица с просьбой совершить указанные действия, перейдя по ссылке. Чаще всего просят авторизоваться. Человек переходит на сайт и вводит свои логин и пароль, даже не посмотрев на отправителя сообщения и на адрес сайта, а мошенники таким образом получают необходимые для взлома данные, после чего совершают любые действия на странице жертвы.

Троян. Это вирус, получивший свое название по принципу работы, сходному с троянским конем из древнегреческого мифа. Пользователь скачивает программу или даже картинку, и под видом безобидного файла на компьютер жертвы попадает вирус, с помощью которого злоумышленники крадут данные. Иногда это скачивание производится автоматически, когда человек переходит по любопытной ссылке, открывает сомнительные сайты или подозрительные электронные письма. Почему этот вид кражи данных называют социальной инженерией? Потому что создатели вируса хорошо знают, как замаскировать вредоносную программу, чтобы вы наверняка кликнули по нужной ссылке или скачали файл.

Кви про кво. От латинского quid pro quo, что в переводе означает «то за это». Этот вид мошенничества работает по принципу «услуга за услугу». Злоумышленник представляется сотрудником службы технической поддержки и предлагает исправить возникшие неполадки в системе или на компьютере конкретного пользователя, хотя на самом деле проблем в работе ПО не возникало. Жертва верит в наличие неисправностей, о которых ей сообщил «специалист», и с радостью сообщает нужные данные или выполняет действия, которые диктует мошенник.

Обратная социальная инженерия

Так называется вид атаки, при котором жертва сама обращается к злоумышленнику и предоставляет ему нужные сведения. Это может достигаться несколькими путями:

  • Внедрение особого ПО. Поначалу программа или система работает исправно, но потом происходит сбой, требующий вмешательства специалиста. Конечно, ситуация подстроена таким образом, чтобы тем специалистом, к которому обратятся за помощью, оказался социальный хакер. Налаживая работу ПО, мошенник производит необходимые для взлома манипуляции. Иногда нужная информация добывается не непосредственной работой с компьютером, а через общение с пользователем, который ради скорейшей починки оборудования готов сообщить мастеру любую конфиденциальную информацию. В дальнейшем, когда взлом обнаруживается, социальный инженер за маской помощника может оставаться вне всякого подозрения, что делает социальную инженерию очень выгодным инструментом.
  • Реклама. Злоумышленники могут рекламировать свои услуги как компьютерных мастеров или других специалистов. Жертва обращается к взломщику сама, а преступник не только работает технически, но и выуживает информацию через общение со своим клиентом.
  • Помощь. Социальный инженер может умышленно оказаться в числе тех, к кому обратятся за помощью в случае сбоя, а иногда мошенник заранее производит какую-то манипуляцию, которая вынудит жертву искать помощника. В этом случае хакер предстает в положительной роли, а атакованный остается благодарным за оказанную услугу.

Как защититься?

В первую очередь защитой от социальной инженерии являются разумный скептицизм и бдительность. Всегда обращайте внимание на адресанта писем и адрес сайта, где собираетесь ввести какие-то личные данные. Жертвами киберпреступников становятся не только сотрудники компаний и известные лица, но и обыкновенные пользователи – мошеннику может потребоваться доступ к вашей страничке в социальной сети или электронному кошельку. Если вам звонит человек, представившийся сотрудником какой-то организации или сайта, помните, что для манипуляций с вашим аккаунтом, как правило, ему не требуется знать конфиденциальных данных – не разглашайте их сами. Просьба предоставить какую-либо личную информацию, например паспортные данные, должна вас насторожить – для идентификации личности чаще всего требуют назвать только последние цифры каких-то данных, а не все целиком.

Не работайте с важной информацией на глазах у посторонних людей. Мошенники могут использовать так называемый плечевой серфинг – вид социальной инженерии, когда кража информации происходит через плечо жертвы. Немалое количество важных данных было подсмотрено с экрана, пока ничего не подозревающая жертва работала за своим компьютером.

Не переходите на подозрительные сайты и не скачивайте сомнительные файлы, ведь одним из самых лучших помощников социальной инженерии является наше любопытство. В любой ситуации, когда вам звонят, пишут, предлагают услугу или, к примеру, подбрасывают флешку, спрашивайте себя, знаете ли вы, откуда, почему и зачем. Если нет, то посоветуйтесь с проверенным и знающим человеком, а в ином случае проигнорируйте эту ситуацию, но никогда не разглашайте важную информацию без веской причины.

В любой большой или даже маленькой организации есть в защите информации слабые места. Даже если на всех компьютерах компании стоит наилучшее программное обеспечение, пароли всех сотрудников являются наисложнейшими, а за всеми компьютерами следят самые умные администраторы — все равно можно найти слабое место. И одним, самым главным, “слабым местом” являются люди, которые работают в компании, имеют доступ к компьютерным системам и являются в большей или меньшей степени носителем информации об организации. Людям собирающимся украсть информацию или иными словами взломщикам, только на руку человеческий фактор. И именно на людях они пробуют различные способы влияния называющиеся социальным инжинирингом. О нем то я и попробую сегодня рассказать в статье и о том какую опасность он несет для для обычных пользователей, и для организаций.

Давайте для начала поймем, что такое социальный инжиниринг — это термин, который используют взломщики и хакеры, обозначающий несанкционированный доступ к информации, но совершенно противоположный взлому программного обозначения. Цель не взломать, а обхитрить людей так, что бы они сами дали пороли или иную информацию, которая в дальнейшем сможет помочь хакерам нарушить безопасность системы. Такое мошенничество включает в себя звонки по телефону в организацию и выявление тех сотрудников, которые владеют нужной информацией, а затем звонок выявленному администратору от несуществующего сотрудника, который якобы имеет проблемы доступа к системе.

Социальный инжиниринг напрямую связан с психологией, но развивается как отдельная его часть. В наше время подход инжиниринга используется очень часто, особенно для незаметной работы взломщика по краже документов. Этим способом обучают шпионов и тайных агентов, для тайного проникновения без оставления следов.

Человек способен думать, рассуждать, приходить к тому или иному выводу, но не всегда выводы могут оказаться настоящими, собственными, а не навязанные извне, такие какие они нужны кому то другому. Но самое интересное и главное помогающее мошенникам, что человек может не замечать, что его умозаключения ложные. Он до последнего момента может думать, что все он решил сам. Именно этой особенностью пользуются люди практикующие социальный инжиниринг.

Смысл социального инжиниринга является кража информации. Люди занимающиеся этим стараются без лишнего внимания украсть информацию, а потом распорядится ею по своему усмотрению: продать или шантажировать первичного владельца. По статистике очень часто оказывается, что подобные проделки происходят по заказу конкурирующей фирмы.

А теперь давайте рассмотрим способы социального инжиниринга.

Human denial of service (HDoS)

Суть этой атаки заключается в том, что бы незаметно заставить человека не реагировать на те или иные ситуации.

Например, отвлекающем маневром служит симуляция атаки на какой нибудь порт. Системный администратор отвлекается на ошибки, а в это время без проблем проникают на сервер и берут ту информацию, которая нужна. Но администратор может быть уверенным, что в этом порту ошибок быть не может и тогда проникновение хакера моментально будет замечено. Вся суть этого способа заключается в том, что взломщик должен знать психологию и уровень знаний системного администратора. Без этих знаний проникновение на сервер не возможен.

Способ “звонок”.

Под этим способом подразумевается телефонный звонок так называемой “жертве”. Мошенник звонит жертве и с помощью правильно поставленной речи и психологически правильно заданных вопросов вводит ее в заблуждение и выведывает всю нужную информацию.

Например: звонит мошенник и сообщает, что он по просьбе администратора проверяетт работоспособность системы безопасности. Затем он просит назвать пароль и имя пользователя, а после этого вся нужная ему информация у него в кармане.

Визуальный контакт.

Самый сложный способ. Справится с ней под силу только профессионально подготовленным людям. Смысл этого способа заключается в том, что обязательно надо найти подход к жертве. После того, как подход найден можно будет с его помощью понравится жертве, втереться ей в доверие. А уже после этого жертва сама выложит всю нужную информацию и ей будет казаться, что она ничего важного не рассказывает. Только вот делать такое может только профессионал.

Электронная почта.

Это самый распространенный у взломщиков способ вытягивания информации. В большинстве случаев взломщики отправляют письмо жертве от якобы знакомого ей человека. Самое сложное в этом способе — это скопировать манеру и стиль письма этого знакомого. Если жертва поверит в обман, то здесь уже можно вытягивать всю информацию, какая только может понадобится взломщику.

Методы социальной инженерии – именно об этом пойдет речь в этой статье, а так же обо всем, что связано с манипуляцией людьми, фишинге и воровстве клиентских баз и не только. Информацию нам любезно предоставил Андрей Сериков, автором которой он и является, за что ему огромное спасибо.

А.СЕРИКОВ

А.Б.БОРОВСКИЙ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СОЦИАЛЬНОГО ХАКЕРСТВА

Введение

Стремление человечества добиться совершенного выполнения поставленных задач послужило развитию современной компьютерной техники, а попытки удовлетворения противоречивых требований людей привели к развитию программных продуктов. Данные программные продукты не только поддерживают работоспособность аппаратного обеспечения, но также и управляют им.

Развитие знаний о человеке и компьютере привели к появлению принципиально нового типа систем- «человеко-машинных», где человека можно позиционировать как аппаратное средство, работающее под управлением стабильной, функциональной, многозадачной операционной системой, именуемой «психика».

Предметом работы является рассмотрение социального хакерства как ветви социального программирования, где с помощью человеческих слабостей, предрассудков и стереотипов в социальной инженерии манипулируют человеком.

Социальная инженерия и её методы

Методы манипулирования человеком известны достаточно давно, в основном они пришли в социальную инженерию из арсенала различных спецслужб.

Первый известный случай конкурентной разведки относится к VI веку до нашей эры и произошёл в Китае, когда китайцы лишились секрета изготовления шелка, который обманным путём выкрали римские шпионы.

Социальная инженерия - наука, которая определяется как набор методов манипулирования поведением человека, основанных на использовании слабостей человеческого фактора, без применения технических средств.

По мнению многих специалистов, самую большую угрозу информационной безопасности представляют именно методы социальной инженерии, хотя бы потому, что использование социального хакерства не требует значительных финансовых вложений и доскональных знаний компьютерных технологий, а также потому, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования.

И как бы не совершенствовались технические системы защиты, люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, с помощью которых и происходит управление. Настроить же человеческую «программу безопасности» - самое сложное и не всегда приводящее к гарантированным результатам дело, так как этот фильтр необходимо подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность - это процесс, а не результат»

Области применения социальной инженерии:

  1. общая дестабилизация работы организации с целью снижения её влияния и возможности последующего полного разрушения организации;
  2. финансовые махинации в организациях;
  3. фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным частных лиц;
  4. воровство клиентских баз данных;
  5. конкурентная разведка;
  6. общая информация об организации, о её сильных и слабых сторонах, с целью последующего уничтожения данной организации тем или инным способом (часто применяется для рейдерских атак);
  7. информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в свою организацию;

Социальное программирование и социальное хакерство

Социальное программирование можно назвать прикладной дисциплиной, которая занимается целенаправленным воздействием на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, социальный программист ставит перед собой цель: овладение искусством управления людьми. Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы.

Методы социального программирования привлекательны тем, что о них либо вообще никто никогда не узнает, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно, а также в ряде случаев можно «программировать» поведение людей, причем и одного человека, и большой группы. Данные возможности относятся к категории социального хакерства именно по той причине, что во всех из них люди выполняют чью-то чужую волю, как бы подчиняясь написанной социальным хакером «программе».

Социальное хакерство как возможность взлома человека и программирования его на совершение нужных действий исходит из социального программирования - прикладной дисциплины социальной инженерии, где специалисты этой сферы - социальные хакеры — используют приёмы психологического воздействия и актёрского мастерства, заимствованные из арсенала спецслужб.

Социальное хакерство применяется в большинстве случаев тогда, когда речь идёт об атаке на человека, который является частью компьютерной системы. Компьютерная система, которую взламывают, не существует сама по себе. Она содержит важную составляющую — человека. И чтобы получить информацию, социальному хакеру необходимо взломать человека, который работает с компьютером. В большинстве случаев проще сделать это, чем взломать компьютер жертвы, пытаясь таким образом узнать пароль.

Типовой алгоритм воздействия в социальном хакерстве:

Все атаки социальных хакеров укладывается в одну достаточно простую схему:

  1. формулируется цель воздействия на тот или инной объект;
  2. собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия;
  3. на основе собранной информации реализуется этап, который психологи называют аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) - это создание нужных условий для воздействия на объект;
  4. принуждение к нужному для социального хакера действию;

Принуждение достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия.

На основании собранной информации социальные хакеры достаточно точно прогнозируют психо- и социотип жертвы, выявляя не только потребности, в еде, сексе и прочее, но и потребность в любви, потребность в деньгах, потребность в комфорте и т. д и т. п.

И действительно, зачем пытаться проникать в ту или инную компанию, взламывать компьютеры, банкоматы, организовывать сложные комбинации, когда можно сделать все легче: влюбить в себя до беспамятства человека, который по своей доброй воле будет переводить деньги на указанный счет или каждый раз делиться необходимой информацией?

Основываясь на том, что поступки людей предсказуемы, а также подчиняются определенным законам, социальные хакеры и социальные программисты для выполнения поставленных задач используют как оригинальные многоходовки, так и простые положительные и отрицательные приемы, основанные на психологии человеческого сознания, программах поведения, колебаниях внутренних органов, логическом мышлении, воображении, памяти, внимании. К этим приёмам можно отнести:

генератор Вуда - генерирует колебания той же частоты, что и частота колебаний внутренних органов, после чего наблюдается эффект резонанса, в результате которого люди начинают ощущать сильный дискомфорт и паническое состояние;

воздействие на географию толпы - для мирного расформирования крайне опасных агрессивных, больших групп людей;

высоко частотные и низкочастотные звуки - для провоцирования паники и её обратного эффекта, а также других манипуляций;

программа социального подражания - человек определяет правильность поступков, выясняя, какие поступки считают правильными другие люди;

программа клакерства - (на основе социального подражания) организация необходимой реакции зрителей;

формирование очередей - (на основе социального подражания) простой, но действенный рекламный ход;

программа взаимопомощи - человек стремится отплатить добром тем людям, которые ему сделали какое-то добро. Стремление выполнить эту программу зачастую превышает все доводы рассудка;

Социальное хакерство в интернете

С появлением и развитием Интернета — виртуальной среды, состоящей из людей и и их взаимодействий, расширилась среда для манипулирования человеком, для получения нужной информации и совершения необходимых действий. В наши дни Интернет является средством общемирового вещания, средой для сотрудничества, общения и охватывает весь земной шар. Именно этим и пользуются социальные инженеры для достижения своих целей.

Способы манипулирование человеком через интернет:

В современном мире владельцы практически каждой компании уже осознали, что интернет – это очень эффективное и удобное средство для расширения бизнеса и основная его задача – это увеличение прибыли всей компании. Известно, что без информации направленной на привлечение внимания, к нужному объекту, формирования или поддержание интереса к нему и его продвижение на рынке используется реклама. Только, в связи с тем, что рекламный рынок уже давно поделен, большинство видов рекламы для большинства предпринимателей, впустую потраченные деньги. Интернет реклама это не просто одна из разновидностей рекламы в СМИ, это нечто большее, поскольку с помощью интернет рекламы на сайт организации приходят люди, заинтересованные в сотрудничестве.

Интернет реклама, в отличие от рекламы в СМИ, имеет намного больше возможностей и параметров управления рекламной компанией. Наиболее важным показателем интернет рекламы является то, что плата за интернет рекламу списывается только при переходе заинтересовавшегося пользователя по ссылке рекламы, что конечно делает рекламу в интернете более эффективной и менее затратной чем реклама в СМИ. Так подав рекламу на телевидении или в печатных изданиях, её оплачивают полностью и просто ждут потенциальных клиентов, но клиенты могут откликнуться на рекламу или нет — все зависит от качества изготовления и подачи рекламы на телевидении или газетах, однако бюджет на рекламу уже израсходован и в случае если реклама не по действовала — израсходован впустую. В отличие от такой рекламы в СМИ, реклама в интернете имеет возможности отслеживания отклика аудитории и управления интернет рекламой до того как ее бюджет израсходован, более того, рекламу в интернете можно приостановить — когда спрос на продукцию возрос и возобновить — когда спрос начинает падать.

Другим способом воздействия является так называемое «Убийство форумов» где, с помощью социального программирования создают антирекламу тому или иному проекту. Социальный программист в данном случае, с помощью явных провокаторских действий в одиночку, разрушает форум, пользуясь при этом несколькими псевдонимами (nickname ) для создания вокруг себя антилидерской группировки, и привлечения в нее постоянных посетителей проекта, недовольных поведением администрации. В конце подобных мероприятий не форуме становится невозможным проджинение товаров или идей. Для чего первоначально и разрабатывался форум.

К способам воздействия на человека через интернет в целях социальной инженерии:

Фишинг — вид интернет-мошенничества, с целью получение доступа к конфиденциальным данным пользователей - логинам и паролям. Данная операция достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (Rambler), банков или внутри социальных сетей (Facebook). В письме часто содержится ссылка на сайт, внешне неотличимый от настоящего. После того, как пользователь попадает на поддельную страницу, социальные инженеры различными приёмами побуждают пользователя ввести на странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет получить доступ к аккаунтам и банковским счетам.

Более опасным видом мошенничества, чем фишинг, является так называемый фарминг.

Фарминг — механизм скрытого перенаправления пользователей на фишинговые сайты. Социальный инженер распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения с необходимых сайтов на поддельные. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие социального инженера сайты.

Заключение

Социальная инженерия - наука, которая вышла из социологии и претендует на совокупность тех знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п.

Несмотря на то, что Социальная инженерия - относительно молодая наука, она наносит большой ущерб процессам которые происходят в обществе.

Простейшими методами защиты от воздействия этой разрушающей науки, можно назвать:

Привлечение внимания людей к вопросам безопасности.

Осознание пользователями всей серьёзности проблемы и принятие политики безопасности системы.

Литеретура

1. Р. Петерсен Linux: Полное руководство: пер. с англ. — 3 - изд. — К.: Издательская группа BHV, 2000. – 800 c.

2. С Гроднева Интернет в вашем доме. — М.: «РИПОЛ КЛАССИК», 2001. -480 с.

3. М. В. Кузнецов Социальная инженерия и социальное хакерство. Спб.: БХВ-Петербург, 2007. - 368 с.: ил.

Социальная инженерия — несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её.

Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:

В подарок на праздник... троянский конь

Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями.

В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта.

Выгодная скидка и вирус «в нагрузку»

Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит».

Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.

Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам.

Геймерский донат +300% к навыкам воровства

В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д.

И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.

Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под в игре».


Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются).

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

Осторожно иконки!

Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением.exe. И зловред «в тихую» проникает в ОС.

Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».

Страх подогревает доверие

  1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д.
  2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно.
  3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие.

  • Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов.
  • Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты.
  • И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом.

Подводя итоги

Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только пароли, храните их в местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.

Понятие «социальная инженерия»

Определение 1

Социальная инженерия сегодня является одним из распространенных понятий. Оно используется для обозначения метода получения необходимой информации, который опирается на особенности психологического состояния человека. Главная цель социальной инженерии – получить доступ к личной информации человека, о которой он не распространяется, считая ее конфиденциальной. К такой информации относятся паспортные данные, банковский данные и иные защищенные системы.

Термин «социальная инженерия» возник относительно недавно, но сам метод используется уже на протяжении более чем пятидесяти лет. Изначально он пользовался особой популярностью у сотрудников КГБ и ЦРУ для того, чтобы получить информацию о внутреннем государственном состоянии, а также о какой-либо государственной тайне. Не менее интересной для них представлялась информация о личной жизни какого-либо видного политического деятеля, депутата, и о жизни обычного гражданина, его доходах и расходах.

Сегодня социальная инженерия пользуется спросом не только у высокопоставленных лиц: мы сами не задумываемся, что используем этот метод, когда хоти заполучить какую-либо секретную информацию, которая изначально не предназначена для нас. Но важно осознавать, что социальная инженерия не всегда осуществляется как законный способ, а за получение конфиденциальной и личной информации о человеке, который пожелал скрыть ее, можно получить определенную меру наказания в соответствии с той, что предусмотрена законодательством страны, в которой человек совершил правовое нарушение.

Методы социальной инженерии

В качестве основных методов социальной инженерии принято выделять следующие. Во-первых, это претекстинг. Он представляет собой набор отработанных по заранее разработанному сценарию действий. В результате некоторых манипуляций жертва сама выдает всю необходимую мошеннику информацию или же совершает действие, которое от нее требует исполнитель. Наиболее часто данный вид атаки встречается в голосовых средствах. Например, шантаж или вымогательства через Skype, мобильный или стационарный телефон.

Второй метод социальной инженерии – фишинг. Это одна из наиболее распространенных тактик интернет-мошенничества, которая направлена на получение личной информации пользователей какой-либо систем. Сейчас наиболее популярен фишинг социальных сетей, где мошенники собирают личную информацию пользователей, а также имеют возможность проникнуть в систему личных сообщений, шантажировать друзей и родственников жертвы, вымогать деньги, притворяясь самим пользователем.

Замечание 1

Также одним из видов фишинговых атак является поддельное сообщение (письмо), которое рассылается жертвам в виде платежных чеков или как официальное письмо от банка с требованием ввода персональных данных (пин-кодов от кредитных карт, логина и пароля от личного кабинета в банковской системе).

Зачастую в качестве мотивации для человека служит некоторая степень психологического давления со стороны мошенника: ему грозят заблокировать аккаунт, сломать систему, взломать социальные сети и распространить личную информацию на всеобщее обозрение.

Методы социальной инженерии, основанные на психологических особенностях жертвы

Безусловно, социальная инженерия выбирает те методы, которые будут оказывать влияние на жертву. Один из видов такого влияние – психологический. Сюда входят такие методы, как:

  • Троянский конь – метод основан на таких чувствах, как любопытство, страх жертвы или иных негативных эмоциях. Злоумышленник отправляет жертве письмо, которое содержит некоторое послание. Например, «беспрецедентная акция», «бесплатное обновление антивируса», «денежный выигрыш» или угроза с компроматом на жертву. В письме содержится ссылка, нажимая на нее человек запускает на своем компьютере вирус, который будет использоваться для изменения данных в системе, а информация, собранная с личного аккаунта жертвы, будет затем использована с целью заполучить какую-либо выгоду (чаще всего, денежные средства с личных банковских карт и счетов жертвы);
  • Кви про кво (иными словами, услуга за услугу). Эта техника предполагает личное обращение мошенника к жертве посредством электронного сообщения или звонка на телефон. Мошенник может представиться сотрудником технической поддержки и информировать жертву о наличии в системе ее компьютера какой-либо серьезной технической проблемы. Затем жертве сообщается о необходимости устранения неполадок, при этом она получает команды, которые вовсе не устраняют нарушение, а наоборот приводят к установке программного обеспечения, которое взламывает личные аккаунты жертвы и ворует информацию с них;

Замечание 2

Существует еще один метод под названием "обратная социальная инженерия". Она предполагает, что не злоумышленник находит жертву, а наоборот – жертва попадает в такие обстоятельства, что сама обращается к злоумышленнику за так называемой «помощью». Например, жертва по электронной почте получает письмо с контактными данными «службы поддержки», которая может помочь решить человеку конкретную проблему. Пользователь в данном случае звонит или связывается со злоумышленниками самостоятельно, даже не подозревая, что может быть обманут.

Нередки случаи, когда злоумышленники и хакеры сами предлагают свои услуги за определенную денежную оплату. Например, мы можем видеть рекламу «Взломаю аккаунт в Вконтакте/Инстаграм/Твиттер/Фейсбук» или в иных популярных социальных сетях. Таким образом, человек оказывается обманут дважды: во-первых, он платит деньги и лишается их навсегда, а во-вторых услуга, за которую он внес плату, остается неисполненной. В этой ситуации, при обращении в полицию наказание может понести не только мошенник, но и сам человек, который обратился за данной услугой, так как он сознательно собирался посягнуть на личную информацию и пространство другого человека с целью заполучить



Загрузка...

Возможно вам будет интересно:

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров
Вопрос

Базовые элементы монтажа в Vegas Pro Вставка шаблонных титров

Всем привет! Сегодня мы перейдем с вами к видеомонтажу. И первым делом мне хотелось бы дать вам подробную инструкцию, как пользоваться сони вегас про 13, даже если вы начинающий пользователь. На сегодняшний день эта программа является одной из лучших. Ко

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны
Вопрос

Как создать, установить и поменять тему на андроид Как создать лаунчер на все телефоны

Для организации и взаимодействия с приложениями на Android используются лаунчеры. Которые обычно состоят из серии домашних экранов, где мы можем организовать ярлыки приложений, виджеты и так далее. Каждый телефон поставляется с лаунчером, но не все лаунче

Где и в каком виде хранится информация
Вопрос

Где и в каком виде хранится информация

Откройте окно с задачей "Мой компьютер ". Если значки в окне мелкие, то измените их на крупные. Конечно, с помощью Правила Внешнего вида!Окно задачи будет выглядеть приблизительно так, как на рисунке:В данном примере значки (C:), (D:) и (E:) обозначают ло

Реклама