Социальная инженерия. Как «взломать» человека

Просмотров: 681
Автор:
Редакция Global CIO

Социальная инженерия. В интернете понятие используют для обозначения психологических техник получения ценной информации. Зачастую — киберпреступниками, которые выманивают секретные данные или провоцируют на нужные им действия. За последние два года с помощью социальной инженерии похищено $2 миллиарда из ста банков.

Однако не все социальные инженеры — мошенники. Они могут вернуть доброе имя компании после атаки конкурентов или чёрного пиара. Психологические методы используют, например, чтобы получить данные анонимного комментатора и сподвигнуть его удалить нежелательный отзыв или клевету.

Социальные инженеры регистрируются на форумах, вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.

Много веков назад монах Шварц Бертольд изобрел «порошочек для забавы», который стал порохом — причиной глобальных войн. Так и инструменты социальной инженерии: они настолько мощные, что используются даже в крупнейших аферах киберпреступников.

Рассмотрим реальные примеры атак психологическими методами.

Кейс первый. Не в службу, а в дружбу

В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на $28 миллионов своим обаянием.

Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.

Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима. Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.

Кейс второй. Просто попроси

В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники.

Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт. Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству. 

Кейс третий. Фраза, которая потрясла Уолл-стрит

В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике. 

На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.

Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.

Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.

Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.

Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.

Никакие обычные средства защиты (антивирусы, файрволлы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.

Источник: cossa.ru

Комментарии (5)

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.

  • Скрыть ветвь
    Рейтинг7090

    Преподаватель

    Магистратура НИТУ МИСиС

    08.11.2017 13:57
    А я думаю, важно мозги воспитывать в нужном направлении. Пользователи, это, прежде всего, люди. Потом потребители, пользователи и т.п. Не научим их думать самостоятельно, так и будем дырки затыкать. А уж они потом сами разработают те самый системы, о которых здесь правильно написано. И сами не будут поддаваться на провокации, защищать свое и чужое, помогать слабым. Я вот все чаще вижу молодых людей, которые не только в транспорте, сидя и нагнув головы,не замечая пожилых людей, стоящих рядом с ними, утыкаются в девайсы, но и пытаются это делать на ходу. Вопрос: это - зомбирование или просто отсутствие мозгов? Ладно, меня пару раз сшибли на лестнице такие вот гении, скатившиеся вниз, так ведь сами разобьются, больно будет. Оглянитесь, нет ли их рядом с вами, в вашей семье, в вашем окружении? Это ли не благодатное поле для социальной инженерии?
    0
  • Скрыть ветвь
    Рейтинг230

    IT-директор

    Adamos Logistic

    08.11.2017 14:52
    Вы слишком упрощаете, эдак, посмотри вокруг и увидишь благодатное поле для любых злодеяний, например, наркоторговли. Люди вокруг не дураки, все (кто в Советском Союзе родился, по крайней мере) учились в школе и умеют отделять плохое от хорошего (для себя по крайней мере) не надо за людей думать что для них лучше, пусть естественный отбор работает. Вопрос защищённости данных необходимо закладывать при проектировании того или иного ПО: в соцсетях один уровень авторизации/безопасности, а в банковских айти-системах другой уровень, в оборонном секторе третий и т.д. А CIO, конечные пользователи сами сделают выбор соответствующего ПО на рынке под свои нужды.
    0
  • Скрыть ветвь
    Рейтинг1070

    Директор проектов

    ГК Luxms BI

    09.11.2017 13:59

    Ответ на « Вы слишком упрощаете, эдак, посмотри вокруг... »

    Сергей Александрович, так ведь какое ПО ни проектируй 100% защиты не получишь, хоть трёх, хоть пяти ступенчатую авторизацию внедряй!
    С одной стороны Вас пользователи проклянут за получасовую процедуру всяких проверок и идентификаций, а с другой начальство на суку вздёрнет, когда клиенты побегут, устав пробиваться через заборы к своим данным. А кроме того, это извечное соревнование "снаряд <=> броня"....
    Опять же уже давно известно, что в хорошо защищённых системах гораздо дешевле купить сотрудника, чем проламываться сквозь барьеры...
    А можно и не покупать, можно убедить, обработать идеологически и психологически и работник сам всё расскажет и принесёт на блюдечке!
    Так что роль человеческого фактора, в т.ч. как объекта воздействия социального инженера, по прежнему весьма велика!
    1
  • Скрыть ветвь
    Рейтинг230

    IT-директор

    Adamos Logistic

    10.11.2017 10:54
    Понятно что человека можно "обработать" психологически, "взломать", завербовать, подкупить. Но в среднем гораздо быстрее взломать ПО, т.к. ПО пишется по известным стандартам, на известных языках программирования.

    Вот интервью известного специалиста по кибербезопасности:
    https://habrahabr.ru/article/341396/TM&ref=inner

    Цитата из статьи: "...правда в том, что кибербезопасность — это не проблема пользователей, это проблема IT-подразделений. Почему бы не внедрять решения, не требующие действий пользователей?"
    0
  • Скрыть ветвь
    Рейтинг1070

    Директор проектов

    ГК Luxms BI

    12.11.2017 00:04
    Знаете, это просто детский сад какой-то, читать ответы этой "гуру" блондинки просто смешно!
    Что она такое говорит, да вот:"...а WannaCry использует уязвимости Windows. Многие организации признаются, что стали жертвой WannaCry, но по сути это значит одно: «Мы не обновляем свой софт». Прискорбный факт."
    Что за бред, в Винде столько дыр, что хоть ты каждый день скачивай обновления ничем ты себе не поможешь! Это полная чушь, что конторы, ЛЕГАЛЬНО купившие форточки вляпались в эту проблему потому, мол, что вовремя не обновили пакеты!
    Ага, щаз, будто бы мы не знаем как оная ОС начинает орать и писать на экранах, что пришли новые обновления. И где тот идиот сисадмин, который в конторе, купившей ОС за немалые деньги, не поставит обновления, о которых эта ОС верещит?! Этот человек что веревку себе на шею подготовил и мыло из дома принес, да?
    Дальше что она несёт? Ох мы в мелкомягком такие крутые, что аж: "..Наша команда создала более 200 инструментов для взлома, и ни один из них не определяется антивирусами. Все потому что мы сами изобретаем те паттерны поведения, которые используем — никто с ними раньше не встречался. Мы применяем эти инструменты для взлома при тестах на проникновение. Почему бы не сделать «прививку», проверив свою инфраструктуру и перекрыв уязвимости заранее?"
    А и правда, почему бы не сделать "прививку" от жадности и глупости, которые вынуждают мелкомягкого выпускать на рынок год за годом дырявые ОС? Не успели пропатчить 8.0, как выгнали 8.1, ну да кривовато, но ничего, как-то работает, только юзера пообвыкли, нет, давай теперь "на гора" 10-ку! А зачем? С точки зрения нормального пользователя, вообще говоря, достаточно было версии XP ну м.б. в варианте Professional с SP3....
    Но им же надо чтобы про тебя все всё знали! И 10-ка доблестно стучит в головную контору обо всех твоих действиях и ведь далеко не все пользователи знают как отключить это безобразие!
    Ну это, конечно, цветочки, эка невидаль, беды домашнего пользователя, да и черт с ним, ну там пара-тройка-пятёрка миллионов персональных данных улетит в американщину, нам пофигу, наше гос-во нас самих обует так как ни один мелкомягкий не додумается.... Ягодки-то в серверной ОС каждый новый релиз всё более и более "черный ящик" и не надо думать, что, мол, компетентные органы, настолько компетентны, что просекли все закладки и выдали соотв. сертификат безопасности реально безопасной системе, да точно выдали, но как говорили армяне " я дэнег дал и минэ всё сдэлали.."

    И в этом контексте, я категорически против "решений, не требующих действий пользователя", особенно, когда эти решения выходят от такого одиозного монстра как Microsoft!

    (Исправлено 12.11.2017 00:08, Коноваленко Вадим Викторович)

    0

Комментировать могут только авторизованные пользователи.
Предлагаем Вам в систему или зарегистрироваться.