stranichko.org.ua feedback на платформе

Социальная инженерия

Социальная инженерия, как гласит педивикия – метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека.

Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор.

Если вы до сих пор еще думаете, что злоумышленники с целью заполучения информации, в лучших традициях кинематографа, сидят в темной комнате перед пятью мониторами (никогда не понимал зачем так много, ведь если перед тобой стоит более двух мониторов – приходится неистово крутить головой во все стороны, что не лучшим образом скажется на продолжительности эффективной работы за компом), курят сигареты, набирают код на языке ассемблера в блокноте со скоростью over 500 зн/мин и тем самым взламывают сразу все сервера Пентагона, то вы глубоко ошибаетесь. Как правило в жизни все делается намного проще и быстрее. Памятуя, что человек тоже вполне себе программируемое существо, можно сперва попытаться применить в действии простейшую программку сначала на этом существе, прежде чем писать тонны payload’ов в Metasploit Framework. Программка, как правило, состоит из небольшого количества операторов, а именно, назвать (желательно пару раз) имя программируемого существа, то бишь собеседника, поинтересоваться, может ли собеседник выделить пару минут для нашей хакерской персоны, попытаться сделать комплимент без палева, или пустить серьезно пыль в глаза, такую пыль, которая может показаться неопровержимым доказательством того, что с нами можно беседовать как с доверенной особой. Ну, и в конце обязательно поблагодарить и пожелать хорошего дня / обеда / стула / секса. :troll: Вот эти простые приемы как раз и являются частью социальной инженерии.

Итак, на днях мне удалось вот так просто заполучить учетные данные для партнерского входа на площадку прайс-агрегатора рrісе.uа. На самом деле я действовал с согласия заказчика и эти учетные данные знал и так. Ну, а если бы я был злобным конкурентом? В течении пятиминутного разговора я выполнил объявление вышеперечисленных операторов, а именно, удосужился обратиться по имени к менеджеру, с которым вел диалог, учтиво поинтересовался про то, может ли собеседник выделить на меня свое столь драгоценное время и перешел к техническим вопросам, касающимся, в принципе, всех интернет-магазинов и не являющих собой какую-либо коммерческую тайну. После обсуждения данных вопросов я пожаловался что не могу зайти под известными мне логином/паролем, а только по ссылке для восстановления пароля. На самом деле эта проблема действительно имела место быть, но теперь я понимаю, что такое можно ляпнуть применительно к совершенно стороннему ресурсу. Еще я добавил, что переписку со мной следует вести на мой личный почтовый ящик, т.к. доступа к почтовому ящика руководителя у меня нет, а дергать всякий раз МегаБОССа из-за каждого письма не следует (многозначительно так: нувыжпонимаааааете…..), что вполне логично. Далее я привожу скриншот переписки, где в итоге менеджер, в праведном порыве помочь столь учтивому молодому парню с приятным голосом, скинула напрямую мне учетные данные для входа, что уже является нехилой такой коммерческой тайной, т.к. конкурент, имея в руках этот логин и пароль мог, если был бы умен, делать пакости, но не столь явно, как вообще порушить все настройки, а исподтишка, периодически меняя аукционные ставки, на примере данной ситуации с прайс-агрегатором. Но самое важное в разговоре было то, что я назвал только название компании, интересы которой я представляю и свое имя. Все! Здесь, той пылью в глаза, которая дала повод думать о том, будто я в действительности являюсь представителем компании партнера стал тот разговор о технических сложностях. С чего бы злоумышленнику звонить с настойчивым желанием решить свою проблему и расспрашивать о технических сложностях, о которых данный менеджер итак рассказывает по 10 раз на дню?

Соглашусь, что данная проблема выглядит совершенно «притянутой за уши», но соль состоит в том, что вместо прайс-площадки мог быть ресурс посерьезнее. Вот так вот оно и бывает в компаниях – системы криптографии, комплексы мер по ограничению доступа, а информация вытекает как сквозь пальцы, а именно через самое слабое звено данной системы безопасности – человека, предварительно обработанного. И не обязательно этот человек должен быть наивен и доверчив как ребенок. Отнюдь. Просто, все мы люди, и все наши модели поведения в принципе предсказуемы.

Далее приведу несколько собственноручно сделанных мною нарезок из фильмов с похожими ситуациями. Осторожно, возможны спойлеры!

Декстер. Сезон 6, серия 10
You need to install or upgrade Flash Player to view this content, install or upgrade by clicking here.


Декстер. Сезон 8, серия 7
You need to install or upgrade Flash Player to view this content, install or upgrade by clicking here.


Иллюзия обмана (2013)
You need to install or upgrade Flash Player to view this content, install or upgrade by clicking here.

VN:F [1.8.8_1072]
Rating: 5.0/5 (3 votes cast)
Социальная инженерия5.053
1,185 просмотров

Оставить комментарий

(обязательно)