Одни техники атак приходят на смену другим, но кое-что остается неизменным: пока компьютерами пользуются люди, социальная инженерия будет оставаться в арсенале киберзлодеев. Чтобы успешно применять ее, не нужно даже быть технарем. Достаточно, чтобы душа лежала к ловкой импровизации.

В качестве наглядного курса для начинающих мы вспомнили семь примеров социальной инженерии, которые можно встретить в популярных фильмах.

 

Иллюзия обмана / Now You See Me (2013)

Это кино об иллюзионистах, которые совершают масштабные трюки и крадут миллионы. Сейчас снято две части этого фильма, скоро ожидается третья. Вот один из наиболее ярких эпизодов, связанных с социальной инженерией. «Чем внимательней смотришь, тем меньше видишь», — заявляет уличной толпе волшебник Дэнни Атлас. Публика внимательно смотрит на быстро пролистываемую колоду карт и по просьбе Атласа запоминает одну из них. Когда после этого он показывает всю колоду карт, никто не может найти там запомненную семерку бубен. Пока публика недоумевает, Атлас демонстративно бросает колоду и рисует эту карту зажженными окнами ближайшего небоскреба.


Стратегия атаки

Иллюзионисты используют отвлекающие маневры, чтобы создать видимость магии, при этом некоторые особенно ловкие еще и воруют деньги прямо под носом у незадачливого зрителя. Киберзлодеи тоже очень часто пользуются этим трюком. Например, проводят отвлекающую DDoS-атаку, чтобы, пока айтишники возятся с восстановлением, украсть деньги на другом конце сети. А иногда и вся атака может быть прикрытием — как, по слухам, произошло с лжешифровальщиком NotPetya.

 

Одиннадцать друзей Оушена / Ocean’s 11 (1960)

Дэнни Оушен (Фрэнк Синатра) возглавляет группу бывших армейских сослуживцев. Их цель — одновременно ограбить пять казино Лас-Вегаса. В одной из сцен Джош Говард (Сэмми Девис — младший), переодетый в мусорщика, вывозит деньги на мусоровозе. Служители правопорядка, которых после ограбления «подняли в ружье», брезгливо-торопливо пропускают этот мусоровоз через свое оцепление без досмотра. Водитель вносит дополнительный штришок: делает вид, будто рад, что его остановили, и увлеченно расспрашивает полицейских о том, что тут происходит. Остановивший его коп даже не успевает представиться.


Стратегия атаки

Воры используют прикрытие из чего-то обыденного и даже презираемого. Точно так же киберзлодеи могут, например, скрывать свои трофеи в мусорном дампе данных. Мало кто из безопасников решится засучить рукава и копаться в поисках чего-то необычного. К этому методу можно отнести и разные варианты стеганографии.

Перед просмотром этого фильма имей в виду, что та сцена, ради которой мы включили его в список, длится считаные минуты. А начинается он с довольно-таки нудного сбора команды будущих подельников. Длится этот сбор ни много ни мало — целый час. Но парочка трюков социальной инженерии, хоть и не таких эффектных, как с мусоровозом, в этом часе тоже присутствует.

 

Тринадцать друзей Оушена / Ocean’s 13 (2007)

Здесь Расти Райан (Брэд Питт) притворяется ученым, озабоченным потенциальной опасностью землетрясения. Ссылаясь на внушительные научные выкладки, он старается убедить владельца крупного отеля-казино, которое еще не успело открыться, закрыть заведение навсегда. Свои слова он подкрепляет презентацией, где при помощи компьютерной графики показано, что здание отеля при землетрясении окажется в его эпицентре.

«Если вы позволите моим специалистам на пару дней приехать с нашей техникой, я докажу, что в случае землетрясения со зданием будут большие проблемы». Естественно, владельца отеля такая перспектива не привлекает, и тот старается поскорее выдворить бдительного ученого. Разочаровавшись отказом, персонаж Брэда Питта делает жест доброй воли: оставляет владельцу казино сейсмограф (на самом деле это скрытая камера) под предлогом того, что он поможет оперативно засечь предварительные толчки.

Владелец казино выражает свое недовольство и не хочет, чтобы «эта штука стояла здесь». Но против последнего аргумента устоять не может: «Знаете, чего вы точно не хотите? Чтобы ваш отель оказался на обложке Times в виде груды искореженного металла, под которой лежали бы вы сами и ваши клиенты. А над фотографией надпись: „Кто виноват?“». Так сейсмограф и остается на столе.


Стратегия атаки

Существует масса примеров того, как киберзлодеи преуспевают, давя на пользователя авторитетом: подталкивают перейти по ссылке, чтобы прочитать «важное сообщение», присылают письма якобы от администрации какого-нибудь знакомого (и важного человеку) сервиса и даже шлют троянов под видом антивирусной проверки — один в один история с сейсмографом. Что до фильма, то он не намного интереснее версии 60-х годов, но по части социнженерии здесь стало больше полезных примеров.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    4 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии