Интро

Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
 

Журнал ошибок

Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Например, в 1906 году в предместье Берлина безработный Вильгельм Фойгт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фойгт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.

Английские газеты долго вспоминали эту историю, указывая с сарказмом на заведенные в Германии столь странные порядки, что человек в форме обладает непререкаемым авторитетом. Однако суть этой и массы подобных афер лежит гораздо глубже. Они всегда работают на уровне психологии людей независимо от страны их проживания и актуальны по сей день. Именно из них выросла самая эффективная тактика сетевых атак — на нейросеть, уютно расположившуюся между монитором и спинкой офисного кресла.

 

Хакер во плоти

Сегодня социальная инженерия стала неотъемлемой частью тестов на проникновение. Их проведение заказывают частным фирмам крупные компании и государственные организации, каждый раз увеличивая число седых волос у руководителей подразделений. По их результатам устраивают тренинги для руководящего состава и увольняют наиболее провинившихся рядовых сотрудников. Однако ситуация от этого принципиально не меняется.

Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке.

Войдя в холл, он дождался момента, когда отлучится начальник отдела (спасибо за установку стеклянных перегородок!), после чего молча направился в служебную зону. Он беспрепятственно открыл дверь с табличкой «Только для персонала» и прошел к свободному компьютеру. Рядом были открытые кассы с наличными и много других интересных штук.

Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице. «Порядок! — ответил Джейсон. — Мне сказали проверить настройки подключения USB-устройств». Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело, и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нем, изображая скуку и смертную тоску, чем окончательно развеял опасения. Ленивый техник дурачится, что с него взять?

За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. В ней были имена и фамилии, адреса проживания, номера соцстрахования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало. Слишком легкие задачи его всегда немного расстраивали. «Похоже, этот компьютер сломан, — сказал он, вновь обращаясь к сотруднику банка. — Передай, что я забрал его в ремонт». Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке в кармане и системным блоком под мышкой.

Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей «хакер» — это красноглазый дядька в свитере на том конце сети, а не парень в соседнем кресле у тебя на работе.

 

Нейросеть как универсальный шлюз

Инспектировать подобным образом государственное учреждение Джейсону было сложнее, но только поначалу. Проблема заключалась в том, что серверная находилась на втором этаже, а на первом был установлен турникет со сканером чипованных пропусков и постоянно дежурили вооруженные охранники.

На этот раз Джейсон оделся посолиднее. Он подождал, когда закончится перерыв и в холле начнется столпотворение. Поравнявшись с одним из возвращавшихся сотрудников в трех метрах от турникета, он заговорил с ним как давний знакомый, чем дезориентировал охрану. Ей стало казаться, что Джейсон — новый парень, который успел подружиться с давно известным им сотрудником. Бывалый уже прошел по своему пропуску, а его новый компаньон замешкался и виновато попрощался перед турникетом.

«Кажется, я потерял этот гребаный пропуск, — посетовал Джейсон охраннику. — Мне теперь конкретно влетит». «О! Думаю, это не проблема, — ответил охранник, — сейчас мы выдадим вам временный, а потом вы либо найдете свой, либо получите новый, подав стандартное заявление». Сочувствие — великая сила. Она позволяет скучающему охраннику почувствовать себя мессией регионального масштаба и ощутить власть над судьбами людей.

Получив пропуск прямо из рук охранника, Джейсон поднялся на второй этаж и зашел в серверную. «Мне надо проверить компы», — сказал он и пошел к ближайшему, но администратор был настороже. «Кто вы и что делаете здесь?» — спросил он. На этот случай у Джейсона была припасена дурацкая отмазка — распечатка сфабрикованного email, в котором один из руководителей фирмы якобы поручает ему сделать внеплановый аудит на аутсорсинге, поскольку обеспокоен низкой компетентностью собственных сотрудников.

Это никогда не существовавшее в реальности письмо ударило прямо в самое уязвимое место админа — его профессиональную гордость. Он посмотрел пропуск Джейсона, стиснул зубы и сам проводил его по всем закрытым кабинетам, помогая установить на компьютеры в разных подсетях троян. Тот находился на флешке под видом утилиты для анализа сети, что было полуправдой — сеть он действительно анализировал, но немного по-своему.

В каждом случае хакера спасает невероятная убежденность в правомерности своих действий и детальное представление используемой легенды. Так считает Крис Хэднеги, ставший основателем компании с говорящим названием Social-Engineer Inc. Этой весной он проделал серию тестов на проникновение, в которых опробовал новую тактику. Задачей было выяснить у сотрудников крупной фирмы персональные данные, включая номера соцстрахования и сведения о внутренних учетных записях. Крис узнал номера телефонов из открытых источников, а затем просто обзвонил всех, представляясь новым ассистентом начальника отдела кадров. Он сказал, что в базе данных произошел сбой и теперь он, бедолага, все записи проверяет вручную. Поговорив с каждым по пять минут, он получил даже больше, чем требовалось.

 

Социализируй это!

Раньше для выполнения атаки с применением социальной инженерии приходилось подолгу собирать сведения о жертве. Покупать справочники, копаться в корпоративном мусоре в надежде обнаружить ценный документ, знакомиться с секретаршами и даже взламывать телефонные коммутаторы, как это описывает Кевин Митник в своей книге «Искусство обмана». Сегодня львиную долю грязной работы за хакера выполняют соцсети. Просто зайди в LinkedIn и узнаешь многое о компании и ее сотрудниках. Откуда они пришли, где учились, как долго и кем работают. Фейсбук расскажет все про их интересы и семьи. Twitter — о привычках и распорядке. Foursquare даже предоставит геолокацию и завершит образ потенциальной жертвы. Основная часть «кражи личности» теперь происходит еще до начала атаки.

INFO


Человек уязвим к методам социального инжиниринга из-за своих предубеждений. Люди склонны замечать только то, что ожидают или что боятся увидеть. Они домысливают пробелы в легенде и помогают хакеру.

Для основателя Global Digital Forensics Джо Карузо соцсети и социальный инжиниринг — просто идеальное сочетание. Представь, что ты нашел в Facebook страницу руководителя компании, который только что уехал в отпуск. Посмотрев список его френдов, легко найти подчиненных и отправить им письмо с невинным текстом вроде: «Здесь невероятно круто! Только взгляни на эти фото!» Далее следует фишинговая ссылка, по которой сотрудник точно перейдет, потому что это письмо пришло якобы от его босса, желающего поделиться с ним своей радостью.

 

Keep it simple!

Иногда кажется, что социальная инженерия — это всегда многоходовка, в которой велик риск проколоться на любом этапе. Джон Хаймел из компании Solutionary, напротив, считает, что самые простые схемы часто оказываются самыми эффективными.

Во время аудита одной компании ему достаточно было обзвонить телефоны сотрудников, чтобы найти зацепку. Он даже не знал прямых номеров, а просто перебирал их. Один из клерков отправился в отпуск и оставил уведомление на своем автоответчике: «Меня не будет до такого-то числа. Если возникнут проблемы — звоните в техподдержку по телефону XX». Джон позвонил по указанному телефону и притворился, что парень вернулся из отпуска раньше по причине болезни. Имитируя простуду, он пожаловался на прерванный отпуск, срочный пакет документов, который надо было сдать еще до отъезда, и забытый пароль к почте — беда не приходит одна.

Продолжение статьи доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все статьи на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта, включая эту статью. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи одну статью

Заинтересовала статья, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для статей, опубликованных более двух месяцев назад.


1 комментарий

Подпишитесь на ][, чтобы участвовать в обсуждении

Обсуждение этой статьи доступно только нашим подписчикам. Вы можете войти в свой аккаунт или зарегистрироваться и оплатить подписку, чтобы свободно участвовать в обсуждении.

Check Also

Tips’n’Tricks из арсенала андроидовода. Самые интересные, полезные и нестандартные трюки с Android

Многие годы мы рассказывали про самые разные способы оптимизировать, модифицировать и твик…