Содержание статьи
«Вечная точка входа!», «Столько‑то процентов атак начинается с социальной инженерии!», «Нельзя недооценивать возможности фишинга!» — это всё донельзя заезженные в ИБ фразы. А что важно для эффективного пробива?
Тут мнения расходятся. «Главное — это креатив, это же социалочка!», «Нет, главное — это хороший пейлоад, макросы, сплоиты на MS Office, а документ кто‑нибудь да откроет». И обязательно кто‑то добавит: «Парни, не заморачивайтесь! Рассылаем OWA, введут пароли, а с учетками и почтой раскрутимся».
Важны обе части — и «социо», и «техническая». На мой взгляд, это должно быть понятно прямо из названия. Но если с технической стороной обычно все хорошо, сплоиты пишутся, воркшопы крутятся, то с «социо» у нас проблемы. Системные.
Ты видел, чтобы к другим видам пентеста был такой же подход, как к социальной части социалки? Бессистемный и зачастую повторяющий только то, что уже было сделано раньше более опытными коллегами?
Только представь: фаззим поле, не понимая, как оно работает и почему так отвечает, просто ждем, что что‑нибудь да выполнится, потому что все так делают.
С социальными скиллами у многих хакеров и в обычной‑то жизни не очень, потому они и тяготеют к технике. А тут уж и подавно приходится выходить из зоны комфорта. Кто‑то еще в этот момент пытается отмахнуться и сказать: «Психология не наука!»
Дисклеймер. Если ты считаешь, что психология не наука, то эта статья не для тебя.
Остальным же добро пожаловать!
Основа социальной инженерии — психология влияния. Но хоть психология и наука, вокруг нее крутится множество псевдонаучных течений: НЛП, физиогномика, сомнительные техники, маскирующиеся под психологию сект, и многое‑многое другое. Поэтому...
Дисклеймер 2. Автор в статье опирается на исключительно принятые и проверенные в научном сообществе теории, исследования и публикации. А также анализирует собственный опыт социальной инженерии через призму подобных теорий.
Эта база опирается в первую очередь на исследования социальных психологов XX и XXI веков, а также современные зарубежные и российские исследования о подверженности мошенничеству.
Эволюционное легаси
Представь себе приложение с неким API, которое развивалось на протяжении многих‑многих лет, но никто его никогда не переписывал и лишь добавлял всё новые и новые функции. Разработчики и задачи менялись, поэтому никто до конца не понимает, что там за легаси‑код. В старые фичи никто не лез, никакого ревью не делал, просто дописывали новые, когда возникала необходимость. Железо тоже не апгрейдили, и, чтобы сохранять эффективность, приходилось добавлять оптимизацию путем пропуска части проверок. Этакое «спекулятивное исполнение».
Это приложение — наш мозг, развившийся в процессе эволюции.
Зачастую наиболее уязвимы те механизмы, которые наши предки использовали для выживания на самом раннем этапе становления человеческого общества. Полностью избавиться от этого наследия мы не можем, можем лишь пытаться контролировать себя, закрывая к ним доступ на более высоком уровне мышления, но в глубине каждый человек уязвим.
Кто уязвимее?
Когда читаешь СМИ, кажется, что уязвимее всего пенсионеры. Но это лишь потому, что истории об обманутой бабушке вызывают наибольший эмоциональный отклик, вот их и используют в СМИ.
На деле же вот статистика Европола по жертвам мошенничеств, обратившимся в полицию:
- 18–34 года — 27,7%;
- 35–54 года — 23,4%;
- 55–64 года — 21,7%;
- 65+ лет — 18,5%.
Но ведь многие в полицию не обращаются, верно? Поэтому посмотрим на статистику, полученную с жестких дисков сервера бывшего мошеннического кол‑центра в Бердянске:
- 20–29 лет — 23%;
- 30–39 лет — 44%;
- 40–49 лет — 19%;
- 50–59 лет — 12%;
- 60+ лет — 2%.
Статистика иная, но тоже совсем не в пользу молодежи.
Возраст не увеличивает вероятность обмана, а скорее наоборот.
Уровень когнитивных способностей? Не влияет.
Совместное исследование нескольких американских вузов с участием 1220 человек не обнаружило корреляции между уровнем когнитивных способностей и вероятностью стать жертвой мошенничества.
Отдельно стоит вспомнить кейс 68-летнего специалиста по физике элементарных частиц Пола Фрэмптона, кандидата на Нобелевскую премию. Его с помощью банального мошенничества через сайт знакомств заставили попробовать провезти через границу чемодан с двумя килограммами кокаина! Неудачно для него.
Специалисты по безопасности наиболее «устойчивы» к социальной инженерии? Не совсем.
С одной стороны, мы, интересующиеся социальной инженерией, обращаем внимание на подобные техники и нам проще их заметить. Однако нас в какой‑то степени «ослепляет» эффект сверхуверенности. Мы убеждены, что сами уж точно всё поймем и на нас‑то это не сработает! Это известное когнитивное искажение, которое проявляется во множестве профессий. К примеру, по статистике:
- опытные водители чаще попадают в серьезные аварии;
- опытные пловцы тонут чаще;
- опытные электрики чаще получают травмы от ударов током.
Вывод: с помощью социальной инженерии можно эффективно проводить атаки на любые социальные группы, важно лишь создавать подходящие сценарии.
О сценариях мы поговорим далее.
Уязвимая оптимизация
Объем нашего мозга не менялся уже несколько тысяч лет. Представь, что у земледельца из Древней Греции мозг был точно таким же. Но объем информации, которую он обрабатывал ежедневно, не идет ни в какое сравнение с современной нагрузкой. И благодаря прогрессу она растет гораздо быстрее, чем эволюционно подстраивается наше «железо».
Как же наш мозг справляется с этим? Использует уже выработанный несколько тысяч лет назад механизм оптимизации стереотипно‑последовательное поведение (СПП). СПП позволяет нам принимать решения без анализа ситуации на основании прошлого опыта и некоего провоцирующего фактора. Это значительно экономит ресурсы, уводит рутинные процессы в «фоновый режим» и позволяет заодно обдумывать что‑то. Это короткий путь обработки информации, в то время как анализ — длинный. Нашим предкам такая оптимизация неоднократно помогала и спасала жизни в ситуациях, где на анализ не было времени. Эволюционно это выгодно!
Автоматическая, стереотипная форма поведения превалирует над всеми остальными формами поведения, потому что она энергосберегающая и самая эффективная в большинстве случаев. Она позволяет экономить ограниченные ресурсы мозга.
От него нельзя ожидать, что он успеет проанализировать и обдумать все аспекты жизни, все события, ситуации, контакты даже в рамках одного дня любого из нас. Он быстро классифицирует событие по ключевым деталям (провоцирующим факторам) и реагирует.
Но когда это поведение нас подводит? В тех ситуациях, когда наш оптимизированный мозг выбирает на основании провоцирующего фактора неверную модель поведения. Ошибка классификации.
Пример. Социальный психолог из Гарварда Эллен Лангер провела эксперимент «Очередь к ксероксу». По нему человек пытался пройти к копировальному аппарату без очереди, используя для этого три вида просьб:
- Без объяснения причины («Можно я пройду без очереди?») — 60% положительных ответов.
- С логичным объяснением («Можно я пройду без очереди? Потому что я очень тороплюсь и у меня всего пара страниц») — 94% положительных ответов.
- С иллюзией объяснения («Можно я пройду без очереди? Потому что мне нужно сделать копии») — 93% положительных ответов!
Провоцирующим фактором в этой ситуации было не само объяснение и его обоснованность, а лишь наличие объяснения — союз «потому что». Мы уязвимы к ультранормальным сигналам — провоцирующим факторам, и эту уязвимость можно эксплуатировать, даже для вызова поведения, противоречащего здравому смыслу.
DoS мозга
Самый простой способ включить «энергосберегающий режим» — эмоционально или сенсорно перегрузить мозг человека.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»