блогъ

Социальная инженерия

Социальная инженерия, как гласит педивикия — метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека.

Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор.

Если вы до сих пор еще думаете, что злоумышленники с целью заполучения информации, в лучших традициях кинематографа, сидят в темной комнате перед пятью мониторами (никогда не понимал зачем так много, ведь если перед тобой стоит более двух мониторов — приходится неистово крутить головой во все стороны, что не лучшим образом скажется на продолжительности эффективной работы за компом), курят сигареты, набирают код на языке ассемблера в блокноте со скоростью over 500 зн/мин и тем самым взламывают сразу все сервера Пентагона, то вы глубоко ошибаетесь. Как правило в жизни все делается намного проще и быстрее. Памятуя, что человек тоже вполне себе программируемое существо, можно сперва попытаться применить в действии простейшую программку сначала на этом существе, прежде чем писать тонны payload’ов в Metasploit Framework. Программка, как правило, состоит из небольшого количества операторов, а именно, назвать (желательно пару раз) имя программируемого существа, то бишь собеседника, поинтересоваться, может ли собеседник выделить пару минут для нашей хакерской персоны, попытаться сделать комплимент без палева, или пустить серьезно пыль в глаза, такую пыль, которая может показаться неопровержимым доказательством того, что с нами можно беседовать как с доверенной особой. Ну, и в конце обязательно поблагодарить и пожелать хорошего дня / обеда / стула / секса. :troll: Вот эти простые приемы как раз и являются частью социальной инженерии.

Итак, на днях мне удалось вот так просто заполучить учетные данные для партнерского входа на площадку прайс-агрегатора рrісе.uа. На самом деле я действовал с согласия заказчика и эти учетные данные знал и так. Ну, а если бы я был злобным конкурентом? В течении пятиминутного разговора я выполнил объявление вышеперечисленных операторов, а именно, удосужился обратиться по имени к менеджеру, с которым вел диалог, учтиво поинтересовался про то, может ли собеседник выделить на меня свое столь драгоценное время и перешел к техническим вопросам, касающимся, в принципе, всех интернет-магазинов и не являющих собой какую-либо коммерческую тайну. После обсуждения данных вопросов я пожаловался что не могу зайти под известными мне логином/паролем, а только по ссылке для восстановления пароля. На самом деле эта проблема действительно имела место быть, но теперь я понимаю, что такое можно ляпнуть применительно к совершенно стороннему ресурсу. Еще я добавил, что переписку со мной следует вести на мой личный почтовый ящик, т.к. доступа к почтовому ящика руководителя у меня нет, а дергать всякий раз МегаБОССа из-за каждого письма не следует (многозначительно так: нувыжпонимаааааете…..), что вполне логично. Далее я привожу скриншот переписки, где в итоге менеджер, в праведном порыве помочь столь учтивому молодому парню с приятным голосом, скинула напрямую мне учетные данные для входа, что уже является нехилой такой коммерческой тайной, т.к. конкурент, имея в руках этот логин и пароль мог, если был бы умен, делать пакости, но не столь явно, как вообще порушить все настройки, а исподтишка, периодически меняя аукционные ставки, на примере данной ситуации с прайс-агрегатором. Но самое важное в разговоре было то, что я назвал только название компании, интересы которой я представляю и свое имя. Все! Здесь, той пылью в глаза, которая дала повод думать о том, будто я в действительности являюсь представителем компании партнера стал тот разговор о технических сложностях. С чего бы злоумышленнику звонить с настойчивым желанием решить свою проблему и расспрашивать о технических сложностях, о которых данный менеджер итак рассказывает по 10 раз на дню?

Соглашусь, что данная проблема выглядит совершенно «притянутой за уши», но соль состоит в том, что вместо прайс-площадки мог быть ресурс посерьезнее. Вот так вот оно и бывает в компаниях — системы криптографии, комплексы мер по ограничению доступа, а информация вытекает как сквозь пальцы, а именно через самое слабое звено данной системы безопасности — человека, предварительно обработанного. И не обязательно этот человек должен быть наивен и доверчив как ребенок. Отнюдь. Просто, все мы люди, и все наши модели поведения в принципе предсказуемы.

Далее приведу несколько собственноручно сделанных мною нарезок из фильмов с похожими ситуациями. Осторожно, возможны спойлеры!

Декстер. Сезон 6, серия 10

[This post contains advanced video player, click to open the original website]



Декстер. Сезон 8, серия 7

[This post contains advanced video player, click to open the original website]


Иллюзия обмана (2013)

[This post contains advanced video player, click to open the original website]


VN:F [1.8.8_1072]
обождите...
Rating: 4.5/5 (4 votes cast)
Социальная инженерия4.554