Одни техники атак приходят на смену другим, но кое-что остается неизменным: пока компьютерами пользуются люди, социальная инженерия будет оставаться в арсенале киберзлодеев. Чтобы успешно применять ее, не нужно даже быть технарем. Достаточно, чтобы душа лежала к ловкой импровизации.

В качестве наглядного курса для начинающих мы вспомнили семь примеров социальной инженерии, которые можно встретить в популярных фильмах.

 

Иллюзия обмана / Now You See Me (2013)

Это кино об иллюзионистах, которые совершают масштабные трюки и крадут миллионы. Сейчас снято две части этого фильма, скоро ожидается третья. Вот один из наиболее ярких эпизодов, связанных с социальной инженерией. «Чем внимательней смотришь, тем меньше видишь», — заявляет уличной толпе волшебник Дэнни Атлас. Публика внимательно смотрит на быстро пролистываемую колоду карт и по просьбе Атласа запоминает одну из них. Когда после этого он показывает всю колоду карт, никто не может найти там запомненную семерку бубен. Пока публика недоумевает, Атлас демонстративно бросает колоду и рисует эту карту зажженными окнами ближайшего небоскреба.


Стратегия атаки

Иллюзионисты используют отвлекающие маневры, чтобы создать видимость магии, при этом некоторые особенно ловкие еще и воруют деньги прямо под носом у незадачливого зрителя. Киберзлодеи тоже очень часто пользуются этим трюком. Например, проводят отвлекающую DDoS-атаку, чтобы, пока айтишники возятся с восстановлением, украсть деньги на другом конце сети. А иногда и вся атака может быть прикрытием — как, по слухам, произошло с лжешифровальщиком NotPetya.

 

Одиннадцать друзей Оушена / Ocean’s 11 (1960)

Дэнни Оушен (Фрэнк Синатра) возглавляет группу бывших армейских сослуживцев. Их цель — одновременно ограбить пять казино Лас-Вегаса. В одной из сцен Джош Говард (Сэмми Девис — младший), переодетый в мусорщика, вывозит деньги на мусоровозе. Служители правопорядка, которых после ограбления «подняли в ружье», брезгливо-торопливо пропускают этот мусоровоз через свое оцепление без досмотра. Водитель вносит дополнительный штришок: делает вид, будто рад, что его остановили, и увлеченно расспрашивает полицейских о том, что тут происходит. Остановивший его коп даже не успевает представиться.


Стратегия атаки

Воры используют прикрытие из чего-то обыденного и даже презираемого. Точно так же киберзлодеи могут, например, скрывать свои трофеи в мусорном дампе данных. Мало кто из безопасников решится засучить рукава и копаться в поисках чего-то необычного. К этому методу можно отнести и разные варианты стеганографии.

Перед просмотром этого фильма имей в виду, что та сцена, ради которой мы включили его в список, длится считаные минуты. А начинается он с довольно-таки нудного сбора команды будущих подельников. Длится этот сбор ни много ни мало — целый час. Но парочка трюков социальной инженерии, хоть и не таких эффектных, как с мусоровозом, в этом часе тоже присутствует.

 

Тринадцать друзей Оушена / Ocean’s 13 (2007)

Здесь Расти Райан (Брэд Питт) притворяется ученым, озабоченным потенциальной опасностью землетрясения. Ссылаясь на внушительные научные выкладки, он старается убедить владельца крупного отеля-казино, которое еще не успело открыться, закрыть заведение навсегда. Свои слова он подкрепляет презентацией, где при помощи компьютерной графики показано, что здание отеля при землетрясении окажется в его эпицентре.

«Если вы позволите моим специалистам на пару дней приехать с нашей техникой, я докажу, что в случае землетрясения со зданием будут большие проблемы». Естественно, владельца отеля такая перспектива не привлекает, и тот старается поскорее выдворить бдительного ученого. Разочаровавшись отказом, персонаж Брэда Питта делает жест доброй воли: оставляет владельцу казино сейсмограф (на самом деле это скрытая камера) под предлогом того, что он поможет оперативно засечь предварительные толчки.

Владелец казино выражает свое недовольство и не хочет, чтобы «эта штука стояла здесь». Но против последнего аргумента устоять не может: «Знаете, чего вы точно не хотите? Чтобы ваш отель оказался на обложке Times в виде груды искореженного металла, под которой лежали бы вы сами и ваши клиенты. А над фотографией надпись: „Кто виноват?“». Так сейсмограф и остается на столе.


Стратегия атаки

Существует масса примеров того, как киберзлодеи преуспевают, давя на пользователя авторитетом: подталкивают перейти по ссылке, чтобы прочитать «важное сообщение», присылают письма якобы от администрации какого-нибудь знакомого (и важного человеку) сервиса и даже шлют троянов под видом антивирусной проверки — один в один история с сейсмографом. Что до фильма, то он не намного интереснее версии 60-х годов, но по части социнженерии здесь стало больше полезных примеров.

Продолжение доступно только подписчикам

Материалы из последних выпусков можно покупать отдельно только через два месяца после публикации. Чтобы продолжить чтение, необходимо купить подписку.

Подпишись на «Хакер» по выгодной цене!

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

4 комментария

  1. Аватар

    Asylum

    22.05.2019 at 14:47

    Иллюзия обмана, на мой взгляд нудный и сильно притянутый за уши фильм, некая пародия на ранее вышедшие, похожие фильмы

    • Антон Карев

      Антон Карев

      23.05.2019 at 03:08

      Вы знаете фильмы, по мотивам которых была отснята «Иллюзия обмана». И в сравнении с ними она – нудная? Было бы интересно посмотреть их. Можете назвать?

  2. Аватар

    YuriyD

    22.05.2019 at 19:45

    Антон, спасибо за подборку 🙂

  3. Аватар

    barabas

    01.06.2019 at 12:00

    Лучше звоните солу — ничего кроме соц инж.

Оставить мнение

Check Also

Поймать нарушителя! Учимся детектировать инструменты атак на Windows

Атаки на Windows в наше время одна из наиболее реальных угроз для компаний. При этом исход…