Содержание статьи
- Иллюзия обмана / Now You See Me (2013)
- Одиннадцать друзей Оушена / Ocean’s 11 (1960)
- Тринадцать друзей Оушена / Ocean’s 13 (2007)
- Подозрительные лица / The Usual Suspects (1995)
- Поймай меня, если сможешь / Catch Me If You Can (2002)
- Кто я / Who am I (2014)
- Взлом / Takedown (2000)
- Бонус: эпизоды из других фильмов
В качестве наглядного курса для начинающих мы вспомнили семь примеров социальной инженерии, которые можно встретить в популярных фильмах.
Иллюзия обмана / Now You See Me (2013)
Это кино об иллюзионистах, которые совершают масштабные трюки и крадут миллионы. Сейчас снято две части этого фильма, скоро ожидается третья. Вот один из наиболее ярких эпизодов, связанных с социальной инженерией. «Чем внимательней смотришь, тем меньше видишь», — заявляет уличной толпе волшебник Дэнни Атлас. Публика внимательно смотрит на быстро пролистываемую колоду карт и по просьбе Атласа запоминает одну из них. Когда после этого он показывает всю колоду карт, никто не может найти там запомненную семерку бубен. Пока публика недоумевает, Атлас демонстративно бросает колоду и рисует эту карту зажженными окнами ближайшего небоскреба.
Стратегия атаки
Иллюзионисты используют отвлекающие маневры, чтобы создать видимость магии, при этом некоторые особенно ловкие еще и воруют деньги прямо под носом у незадачливого зрителя. Киберзлодеи тоже очень часто пользуются этим трюком. Например, проводят отвлекающую DDoS-атаку, чтобы, пока айтишники возятся с восстановлением, украсть деньги на другом конце сети. А иногда и вся атака может быть прикрытием — как, по слухам, произошло с лжешифровальщиком NotPetya.
Одиннадцать друзей Оушена / Ocean’s 11 (1960)
Дэнни Оушен (Фрэнк Синатра) возглавляет группу бывших армейских сослуживцев. Их цель — одновременно ограбить пять казино Лас-Вегаса. В одной из сцен Джош Говард (Сэмми Девис — младший), переодетый в мусорщика, вывозит деньги на мусоровозе. Служители правопорядка, которых после ограбления «подняли в ружье», брезгливо-торопливо пропускают этот мусоровоз через свое оцепление без досмотра. Водитель вносит дополнительный штришок: делает вид, будто рад, что его остановили, и увлеченно расспрашивает полицейских о том, что тут происходит. Остановивший его коп даже не успевает представиться.
Стратегия атаки
Воры используют прикрытие из чего-то обыденного и даже презираемого. Точно так же киберзлодеи могут, например, скрывать свои трофеи в мусорном дампе данных. Мало кто из безопасников решится засучить рукава и копаться в поисках чего-то необычного. К этому методу можно отнести и разные варианты стеганографии.
Перед просмотром этого фильма имей в виду, что та сцена, ради которой мы включили его в список, длится считаные минуты. А начинается он с довольно-таки нудного сбора команды будущих подельников. Длится этот сбор ни много ни мало — целый час. Но парочка трюков социальной инженерии, хоть и не таких эффектных, как с мусоровозом, в этом часе тоже присутствует.
Тринадцать друзей Оушена / Ocean’s 13 (2007)
Здесь Расти Райан (Брэд Питт) притворяется ученым, озабоченным потенциальной опасностью землетрясения. Ссылаясь на внушительные научные выкладки, он старается убедить владельца крупного отеля-казино, которое еще не успело открыться, закрыть заведение навсегда. Свои слова он подкрепляет презентацией, где при помощи компьютерной графики показано, что здание отеля при землетрясении окажется в его эпицентре.
«Если вы позволите моим специалистам на пару дней приехать с нашей техникой, я докажу, что в случае землетрясения со зданием будут большие проблемы». Естественно, владельца отеля такая перспектива не привлекает, и тот старается поскорее выдворить бдительного ученого. Разочаровавшись отказом, персонаж Брэда Питта делает жест доброй воли: оставляет владельцу казино сейсмограф (на самом деле это скрытая камера) под предлогом того, что он поможет оперативно засечь предварительные толчки.
Владелец казино выражает свое недовольство и не хочет, чтобы «эта штука стояла здесь». Но против последнего аргумента устоять не может: «Знаете, чего вы точно не хотите? Чтобы ваш отель оказался на обложке Times в виде груды искореженного металла, под которой лежали бы вы сами и ваши клиенты. А над фотографией надпись: „Кто виноват?“». Так сейсмограф и остается на столе.
Стратегия атаки
Существует масса примеров того, как киберзлодеи преуспевают, давя на пользователя авторитетом: подталкивают перейти по ссылке, чтобы прочитать «важное сообщение», присылают письма якобы от администрации какого-нибудь знакомого (и важного человеку) сервиса и даже шлют троянов под видом антивирусной проверки — один в один история с сейсмографом. Что до фильма, то он не намного интереснее версии 60-х годов, но по части социнженерии здесь стало больше полезных примеров.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»