Социальная инженерия

Социальная инженерия

Социальная инженерия в этой статье рассматривается с тонки зрения того, как руководителю добиваться от своих подопечных желаемого образа мыслей и поведения, как завоевывать доверие и оказывать влияние. Статья подготовлена в формате кейс-стади. Социальная инженерия здесь рассматривается с позиции четырех ее наиболее активных пользователей: хакеров, продажников, бизнес-тренеров, армейского спецназа

В этой статье описывается, как социальной инженерией пользуются плохие парни (врага нужно знать в лицо) и как от них защищаться. В частности описываются социальные и психологические особенности человека, которые делают его восприимчивым к социальной инженерии. Содержание статьи:

  1. Социальные хакеры;
  2. Зловещее искусство убеждения;
  3. Гипотетический случай;
  4. Неограниченные возможности;
  5. Защитные меры;
  6. Иллюзия неуязвимости;
  7. Психологическая зависимость от собственных решений;
  8. Аффективное обязательство;
  9. Привлекательность и доверие;
  10. «Тимуровское» воспитание;
  11. Стремление быть полезным;
  12. Стремление быть послушным;
  13. Стремление избегать чувства вины;
  14. Стремление подчиняться авторитету;
  15. Руководитель всегда прав;
  16. Психологическая зависимость от негласных обязательств.

Социальные хакеры

Мастер-класс по социальной инженерии, подготовленный совместными усилиями Гарвардской школы бизнеса и Кевина Митника (родоначальника социальной инженерии).

В мастер-классе собраны самые сливки всего того, о чем Митник говорит на своих консультациях по информационной безопасности.

Вводные замечания от Кевина Митника. Тема кибербезоласности сегодня весьма злободневна. Существует множество высокотехнологичных решений, призванных защищать корпоративные информационные системы. Однако самое слабое звено любой информационной системы - это ее пользователи, которые, став жертвой злоумышленника, сами того не подозревая, отдают ему ключи от сокровищницы.

Я знаю это не понаслышке, поскольку сам был хакером. Я открыл для себя, насколько легко обмануть сотрудников, чтобы убедить их отдать мне любую конфиденциальную информацию об их компании: имена пользователей, пароли, номера учетных записей и коды удаленного доступа. И насколько легко использовать эту информацию для взлома самого сердца их сетей. Моя ловкость в этом вопросе сыграла со мной злую шутку, и мне пришлось отсидеть пять лет в федеральной тюрьме. Однако, выйдя в 2000-м из тюрьмы, я стал консультировать бизнесменов и правительство по вопросам кибербезопасности. В этой статье я представлю все то, о чем говорю на своих консультациях.

Зловещее искусство убеждения

Самое большое заблуждение в кибербезопасности - это то, что самый опасный инструмент хакера - это компьютер. Вовсе нет. Самый опасный инструмент хакера - это телефон. По мере совершенствования технологий кибербезопасности злоумышленники все чаще прибегают к «старой школе». Зачем бороться с непомерно защищенным корпоративным файрволом, когда можно обмануть служащего? Служащего, который снимет трубку и скажет пароль своего босса. Злоумышленники, прокладывающие путь в «защищенные-корпоративные системы, умеют манипулировать естественными человеческими склонностями. Вот почему я называю их социальными инженерами.

Социальная инженерия опирается на несколько фундаментальных аспектов человеческой природы: желание быть хорошим, склонность отвечать взаимностью, склонность следовать за большинством, склонность исполнять негласные публичные обязательства, склонность гнаться за дефицитными вещами и склонность доверять авторитету. Кроме того, большинство людей самопроизвольно доверяют тому, что им говорят другие, редко подвергая сказанное сомнению. Совокупность этих аспектов человеческой природы представляет собой рабочий арсенал социального инженера.

Основа для создания защиты от атак социальных инженеров - ясное понимание того, как именно происходит процесс убеждения. Расскажу об этом ниже. Социальная инженерия

Гипотетический случай

Но сначала рассмотрим гипотетический случай работы социального инженера, который устанавливает кейлогер на компьютер директора компании. Этот случай смоделирован на основе реальных событий.

В отделе кадров крупного издательства звонит телефон:

- Отдел кадров. Елена.

- Привет, Лен. Это Сергей с автостоянки, у нас возникли проблемы с картами доступа на парковке. Недавно устроившиеся к нам сотрудники жалуются, что карты не работают. Поэтому нам надо перепрограммировать карты новых сотрудников, которые устроились на работу в течение последних 30 дней. Как мне узнать всех новичков?

- Я могу помочь вам со списком новичков. Куда я могу перезвонить по этому вопросу?

- Отлично. Но я сейчас убегаю. Где-то минут через тридцать позвоню вам. Договорились?

- Буду ожидать.

Через указанный временной промежуток «Сергей» звонит Елене вновь, та передает ему имена и номера двух новых сотрудников. И она без каких-либо подозрений говорит, что один из них вице-президент, а другой, Евгений Михайлович, помощник по финансам. Бинго! Следующий звонок «Сергея» - около шести вечера - Евгению:

- Финансы. Евгений на проводе.

- Очень рад, что кто-то работает допоздна. Послушай, это Владимир Иванов. Я вице-президент книжного отдела. Нас не успели представить друг другу. Добро пожаловать в нашу компанию.

- Ой, спасибо.

- Евгений, я на конференции, и у меня форс-мажор. Знаю, что у тебя своих дел хватает, но помоги, пожалуйста. А я тебе персональную экскурсию по отделам устрою.

- Конечно, Чем могу помочь?

- Зайди ко мне в офис. Мне нужна рукопись. Тебе известно, где он находиться?

- Нет.

- Он расположен на углу пятнадцатого этажа. Офисное помещение № 1502. Через пару минут я позвоню тебе на телефон в том кабинете. Когда попадешь, нажми кнопку переадресации вызова на телефоне, чтобы мой звонок не был переадресован на автоответчик.

- Договорились, бегу.

Сработало!

Через пять минут Евгений был уже в офисе Владимира Иванова. Он отключил переадресацию вызовов Владимира и ожидает телефонного звонка. Наш социальный инженер, представившийся Владимиром, просит его включить Internet Explorer на компьютере Владимира, напечатать в строке браузера определенный адрес (который в итоге запустит вредоносный скрипт), затем нажать «ENTER». Появляется диалоговое окно, и наш социальный инженер просит Евгения нажать «ОТКРЫТЬ», вместо «СОХРАНИТЬ». Компьютер начинает загружать рукопись, но потом монитор гаснет. Когда Евгений сообщает, что что-то пошло не так, социальный инженер подыгрывает:

- О нет. Неужели опять. У меня уже были сложности с загрузкой с этого сайта, но я думал, что ошибку исправили. Ну да ладно. Не беспокойся. Я попозже найду другой способ скачать этот документ.

Далее социальный инженер просит Евгения перезагрузить компьютер чтобы «Владимир» мог быть уверенным, что компьютер работает нормально. Пока компьютер перезагружается. «Владимир» дружелюбно болтает с Евгением. Когда компьютер снова загружается и начинает работать правильно, «Владимир» сердечно благодарит Евгения и вешает. Трубку Евгений возвращается к своему рабочему столу, довольный тем, что наладил хороший контакт с вице-президентом.

Конечно же, Евгений и не подозревает, что его обманул ловкий социальный инженер, и он самолично установил для хакера шпионскую программу на компьютер вице-президента. Установленная программа будет фиксировать все нажимаемые Ивановым кнопки. В том числе электронную почту, пароли, посещаемые веб-сайты, а также делать снимки экрана и отправлять все это богатство по электронной почте на анонимный бесплатный почтовый ящик хакера из Чукотки.

Как и большинство подобных нарушений, такие действия требуют лишь минимальных технических навыков (маскировка шпионской программы под рукопись) и небольшой предварительной подготовки. Хакеру надо было предварительно получить некоторую информацию: офис Иванова, время его ухода и т.д. Однако подобного рода детали легко собираются при помощи тактики наподобие той, что была использована для получения списка новых сотрудников.

Социальная инженерия
Социальная инженерия

Неограниченные возможности

Используя подобные методы, социальные инженеры могут:

  • Получить контроль над компьютерными и телефонными системами компании;
  • Убедить охранников и других работников в том, что они являются сотрудниками;
  • Захватить голосовую почту сотовых и домашних телефонов высокопоставленных руководителей и таким образом получить доступ к полному списку клиентов, финансовым отчетам и планам организационного развития.

И это только начало. При этом у большинства компаний практически нет защиты от социальных инженеров.

Защитные меры

Я представлю несколько простых шагов, которые помогут устранить это досадное упущение и смягчить воздействие социальных инженеров:

  • Основное послание заключается в том, что каждый сотрудник уязвим для социальной инженерии и каждый сотрудник является частью команды кибербезопасности. Кибербезопасность - это не та работа, которую можно свалить на «парней-безопасников», или которую ИТ-отдел может делать в одиночку. Прежде всего сотрудники должны понимать, что социальные инженеры могут причинить ущерб как непосредственно им самым, так и организации, в которой они работают. Значительная часть подходов к обеспечению защиты от социальной инженерии сводится к здравому смыслу. Однако далеко не каждая уязвимость очевидна;
  • Крайне важно предупреждать всех сотрудников на всех уровнях о характере угрозы социальной инженерии и о последствиях взлома. Если у вас нет политики безопасности, которая учитывает возможные вторжения социального инженера, разработайте ее. Она должна включать в себя правила, регламентирующие работу с паролями с голосовой почтой, правила обработки подозрительных звонков, правила взаимодействия с неопознанными посетителями и т. д.; Какую бы форму политика безопасности не приняла, ваша образовательная система должна усиливать и поддерживать осведомленность сотрудников, мотивировать их заботиться об информационной безопасности. Для оказания большего эффекта эта политика должна быть зафиксирована письменно;
  • Кроме того, поскольку людям уже приелись стандартные инструкции, нужно находить новые способы, чтобы донести до них это важное послание. Образовательные подходы могут включать в себя ролевые игры, напоминания по электронной и голосовой почте, а также колонки по безопасности в корпоративной газете и интрасети.

А еще

  • Вы также можете отмечать уровень осведомленности сотрудников об информационной безопасности в отчетах производительности сотрудников и в ежегодных обзорах. Вы даже можете попробовать что-то вроде «печенья с предсказаниями» в столовой, размещая в них советы по безопасности. В последнем случае судьба, например, может посоветовать:

«Никогда не используй в качестве пароля дату рождения своего ребенка».

  • Наконец, никакие тренинги и политики не будут работать, если каждый сотрудник не возьмет ответственность за проблему кибербезопасности лично на себя. Ключ к пробуждению личной заинтересованности сотрудников заключается в том, чтобы связать важность решения этой проблемы с их личными интересами. Очевидный, но не самый эффективный способ для этого - премии за надлежащую кибергигиену и штрафы за игнорирование политики кибербезопасности. Природа человека и общие социальные тенденции.
Социальный инженер

Иллюзия неуязвимости

Люди действуют изо дня в день, основываясь на личных предположениях и предубеждениях. Руководствуясь ими, люди ставят цели, планируют деятельность и дисциплинируют себя. Все это становится их мировосприятием, которое обеспечивает им зону комфорта, позволяет возлагать ожидания на окружающую среду и обеспечивает понимание, что желаемое будет достигнуто. При этом, хотя они действуют на основе этой концептуальной схемы, люди, как правило, не осознают своих центральных постулатов.

Среди таких неосознанных постулатов обычно присутствует вера в личную неуязвимость. Например, люди могут признавать, что преступления нередки, но при этом быть убежденными, что «меня-то они точно стороной обойдут».

Таким образом люди действуют на основе «иллюзии неуязвимости». Так они поддерживают свою потребность воспринимать мир как упорядоченный, стабильный, значимый. Тем самым они недооценивают вероятность своих несчастий. С другой стороны, люди, как правило, переоценивают вероятность несчастий для других. Короче говоря, иллюзия неуязвимости - это оборонительная уловка нашего ума, уберегающая нас от страха, стресса и тревоги, связанных с воспринимаемой угрозой несчастья. Однако, таки став жертвой, мы уже повторно легче себя отождествляем с соответствующей ситуацией.

Психологическая зависимость от собственных решений

Люди склонны попадать в психологическую зависимость от своих собственных решений Эта зависимость выражается в потребности поддерживать соответствующее этому решению поведение.

Например, люди могут сделать вывод, что «такой-то способ заработка эффективен», и они будут продолжать следовать ему, несмотря на поступление свежих доказательств того, что этот способ неэффективен, даже если этот способ заработка деньги будет только отнимать. Некоторые люди склонны думать, что - настойчивые усилия, в конце концов, принесут свои плоды. Таким образом, люди готовы вкладываться в то, что они ценят.

При этом важно понимать, что оценки выгод и затрат принципиально субъективны: принимая решения, люди прежде всего личными интересами руководствуются, а не какими-то объективными факторами Люди формируют свои собственные модели самоопределения, обычно основываясь на собственных отношениях с определенными социальными кругами или на членстве в определенных обществах. Это приводит к эмоциональной приверженности к тем людям, с которыми им нравится себя отождествлять.

Аффективное обязательство

Это форма привязанности, которая заставляет людей прилагать усилия и совершать действия в обмен на удовлетворенность от эмоциональной связи с брендом, человеком, группой или организацией.

Так, например, люди могут вживаться в какую-нибудь ролевую модель и принимать соответствующие ценности только лишь для того, чтобы чувствовать себя связанными с определенным человеком или группой. Многие маркетинговые кампании используют эту склонность, убеждая людей совершать действия (т. е. покупать) для подтверждения своей связи с определенной модной группой или человеком.

Социальная инженерия
Социальная инженерия

Привлекательность и доверие

Человек естественным образом доверяет собеседнику, пока тот не доказал, что не заслуживает доверия. Поэтому, если кто-то говорит нам, что он такой-то человек, мы обычно верим его словам.

У людей есть тенденция полагать, что другие, говоря о своих чувствах и нуждах, выражают свое истинное отношение. Если нет убедительных доказательств обратного, люди будут считать, что собеседник говорит правду. Эта тенденция верить другим основана прежде всего на их собственной честности и на собственном честном выражении чувств. Здесь также уместно отметить, что «люди доверяют тем, кого любят, и любят тех, кому доверяют».

Кроме того, люди доверяют тем, кого они считают надежными. Надежность они оценивают по наличию у человека специального опыта или способностей. Даже если эти опыт и способности не имеют непосредственного отношения к интересующей этого человека области, в рамках которой доверие оказывается. То есть оценивается сам факт наличия каких-либо серьезных компетенций.

Поэтому, например, профессиональный баскетболист или знаменитый актер, который нравится человеку, может убедить его купить батарейки или кукурузные хлопья.

«Тимуровское» воспитание

Социальная инженерия работает в значительной степени потому, что в детстве детей учили быть «тимуровцами»: надежными, лояльными, полезными, приветливыми, вежливыми, добрыми, послушными, веселыми, бережливыми, смелыми, чистыми, удачливыми.

Стремление большинства людей из цивилизованной прослойки общества быть полезными, заслуживающими доверия и доверять другим, в значительной степени обусловлено как раз этим «тимуровским» воспитанием. Большинство людей, особенно те, которые работают в клиентском обслуживании, службе поддержки или на таких должностях, как бизнес-помощник, секретарь, уже по долгу своей службы вынуждены доверять, помогать и быть полезными. Подразумевается, что задача этих людей - помогать другим на протяжении всего дня. Поэтому они в сравнении с остальными сотрудниками более всего расположены к тому, чтобы доверять словам собеседника.

Стремление быть полезным

Большинство людей считают, что быть полезным - это беспроигрышный вариант: помочь другому в нужное время и нужном месте. Кроме того, такой образ действий для человека привлекателен еще и тем, что помогает ему чувствовать себя хорошим человеком.

Склонность быть полезными укоренилась в нас с тех самых пор, когда «папа просил нас помочь с работой во дворе», «помочь маме донести сумку». Эта наша склонность продолжает укрепляться и на работе, поскольку там сотрудникам постоянно напоминают о том, что «нужно заботиться о том, чтобы клиент был доволен».

Стремление быть послушным

Многие люди инстинктивно стремятся быть послушными, потому что их в детстве этому учили. Ведь каждый родитель борется с естественной склонностью ребенка делать только то, «что хочу, и только тогда, когда хочу».

Интересно, что, когда злонамеренный социальный инженер обращается к сотруднику компании за конфиденциальной информацией, тот может предоставить ему эту информацию без зазрения совести. Он при этом себя чувствует хорошим лояльным работником, а не предателем. Будьте бдительны

Стремление избегать чувства вины

Большинство людей старается избегать чувства вины. Бывает так, что кто-то подходит к ним и плачется:

«Я напортачил. Если не исправлю, у меня будут огромные проблемы, меня уволят. Пожалуйста, помоги».

Такие люди, понимая, что проигнорировав просьбу, могут тем самим послужить причиной увольнения коллеги, склонны помогать нуждающемуся. Хотя бы только ради того, чтобы избежать чувства вины.

Стремление подчиняться авторитету

Люди склонны подчиняться влиянию авторитета, даже если авторитет побуждает их делать сомнительные вещи.

Одно из последних исследований наглядно демонстрирует эту тенденцию. Социальный инженер обзвонил медсестер 20 медицинских центров, называя себя именем врача, который этим медсестрам был неизвестен. Он распорядился, чтобы медсестры ввели своим пациентам препарат, который обычно только по рецепту отпускается. Более того, он также распорядился, чтобы медсестры ввели двойную дозу этого препарата.

Несмотря на то, что оба распоряжения входили в прямое противоречие с нормами установленными главврачом, 95% медсестер, подчинившись самопровозглашенному неизвестному врачу, отправились исполнять распоряжение. Ассистенты упомянутого социального инженера вовремя перехватили медсестер, и пациенты не пострадали. Весьма опасная социальная инженерия, не правда ли?

Таким образом, люди готовы делать многое для кого-то, кого они считают авторитетом. Представьте себе, какое влитые может оказать самозваный директор или вице-президент на сотрудника, который не был подготовлен для такого воздействия. В особенности если принять во внимание тот факт, что для рядового служащего проверить подлинность личности, которая провозглашает себя руководителем, не всегда представляется возможным.

Социальная инженерия: Руководитель всегда прав

Люди склонны выполнять распоряжения руководителей, даже если эти распоряжения весьма сомнительные. Причем эта склонность настолько сильна, что человек может выполнять сомнительное распоряжение, даже когда это распоряжение было дано не ему лично, а его коллеге (например, если этот коллега попросит его помочь в работе).

Психологическая зависимость от негласных обязательств

Люди склонны придерживаться негласных обязательств: отвечать услугой на услугу, уступкой на уступку, благосклонностью на благосклонность. Не делая такого ответного шага, люди склонны испытывать «социальную неловкость». При этом «ответный шаг» может быть непропорционально более ценным.

Другой момент, если кто-то дает человеку важное для него обещание, то этот человек сразу же начинает чувствовать себя обязанным. Даже несмотря на то, что обещание еще не выполнено. Или если два человека имеют какое-то разногласие, и кто-то из них идет на уступку, то вне зависимости от величины этой уступки (даже если уступка совершенно не значительная) второй чувствует себя обязанных тоже пойти на уступку.

Социальная инженерия – весьма интересная тема. Вполне возможно, что данная статья в скором времени будет дополнена иной полезной информацией. ⓂⒷ

Очень плохоПлохоНормальноХорошоОтлично (1 оценок, среднее: 5,00 из 5)
Загрузка...
Понравилась статья? Поделиться с друзьями:
Комментариев: 9
  1. apa itu wap

    Помните в сериале "Я - робот", кажись, в самом первом сезоне, провернули доблестные хакеры нечто подобное.

  2. Валера

    Раньше этих телефонных террористов назвали бы простыми мошенниками, а сейчас - социальный инженер. Прямо гордо как звучит. Тьфу!

  3. Saree

    Спасибо большое! Тема про социальную инженерию меня давно интересовала. Теперь хотя бы основы но поняла.

  4. Veron

    Кстати, такого, так называемого инженера, часто еще называют социальным хакером.

  5. sbobet 4d

    Спасибо, теперь стали ясны некоторые подходы и методы социальной инженерии

  6. daftar

    Где-то читал, что есть даже институт социальной инженерии. Есть у кого информация? гугл выдает какие-то платные курсы. Не то вроде.

  7. 222

    Кто там интересовался обучением? Про это ничего сказать не могу, но советую загуглить по социальной инженерии Кузнецова, а также Митника.

  8. banda

    Классный материал! Спасибо!

  9. Дядя Вадя

    Социальная инженерия - страшная штука! Во как нашего брата разводят гады!

Добавить комментарий

;-) :| :x :twisted: :smile: :shock: :sad: :roll: :razz: :oops: :o :mrgreen: :lol: :idea: :grin: :evil: :cry: :cool: :arrow: :???: :?: :!: