Техники социальной инженерии

Существует несколько распространенных техник, которыми пользуются социальные инженеры. Общей чертой всех этих методов является введение в заблуждение, с целью заставить человека совершить какое — либо действие, которое не выгодно ему и необходимо социальному инженеру. Для достижения поставленного результата, злоумышленник использует целый ряд всевозможных тактик: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д.

В современном информационном мире информационных технологий приемы социальной инженерии активно и успешно используют разного рода кибермошенники — хакеры, фишеры, спамеры и т. д. Интернет — технологии (блоги, социальные сети, электронную почту) позволяют злоумышленникам атаковать «человеческий фактор», не вступая в непосредственный физический контакт с жертвой.

В абсолютном большинстве случаев целью применения приемов социальной инженерии является похищение информации у ее носителя.

Основными техниками таких атак являются:

• 1. Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определенную информацию. Этот вид атак применяется обычно по телефону. Чаще всего эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (Например, персонализации: дата рождения, сумма последнего счета и т. д.), с тем, чтобы обеспечить доверие цели. Вероятно, самый известный прием похищения пароля — это звонок жертве от имени администратора системы или, напротив, администратору — от имени некоторого пользователя. Просьба в обоих случаях одна, — под каким бы то ни было предлогом сообщить пароль на некоторый ресурс.
• 2. Фишинг (англ. phishing, от fishing — рыбная ловля, выуживание). Достигается путем проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов, например, от имени банков (Альфа-банк), сервисов (Mail.ru) или внутри социальных сетей (Вконтакте). В письме, как правило, требуется проверка определенной информации или совершение определенных действий. Это письмо обычно содержит ссылку на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до PIN-кода банковской карты.
• 3. Вишинг (vishing — voice phishing). Данная техника основана на использовании системы предварительно записанных голосовых сообщений, целью которых является воссоздание «официальных звонков» от банковских и других IVR IVR (англ. Interactive Voice Response) — система предварительно записанных голосовых сообщений, выполняющая функцию маршрутизации звонков внутри call-центра с использованием информации, вводимой клиентом на клавиатуре телефона с помощью тонального набора. систем. Обычно, жертва получает запрос (чаще всего, через фишинг электронной почты) о необходимости связи с банком для подтверждения или обновления какой-либо информации. Система требует аутентификации пользователя с помощью ввода PIN-кода или пароля. Основное отличие вишинга в том, что так или иначе, задействуется телефон.
• 4. Фарминг (англ. pharming) — перенаправление жертвы по ложному интернет — адресу. Для этого используется некая навигационная структура (файл «hosts», система доменных имен — «domain name system»). Суть работы фарминга имеет много общего со стандартным вирусным заражением. Жертва открывает письмо или посещает какой-либо веб-сервер, на котором выполняется скрипт — вирус, при этом происходит искажение файла «hosts», в результате жертва попадает на один из ложных сайтов.
• 5. Human denial-of-service (HDoS — человеческий отказ в обслуживании). Суть атаки сводится к тому, чтобы заставить человека не реагировать (или реагировать неадекватно) на те или иные ситуации. Чаще всего, это отвлечение внимания, например, на ложную сетевую атаку. Злоумышленник создает видимость выполнения некоторой операции, но на самом деле выполняет совсем иные действия. А жертва, слишком занятая другим, не замечает настоящей опасности.
• 6. «Человеческий фактор» и электронная почта. Злоумышленники, очень любят использовать такой канал связи с жертвой, как электронная почта. Тем более что за последнее десятилетие e-mail стал одним из основных каналов обмена деловой и личной информацией, а также мощным инструментом ведения бизнеса. Использование электронной почты облегчает задачу злоумышленнику: ему не нужно разыгрывать перед жертвой спектакль — лично либо по телефону — достаточно просто талантливо скопировать эпистолярный стиль какого-нибудь хорошего знакомого жертвы и воспользоваться специальной программой для фальсификации адреса отправителя. Все дальнейшее зависит лишь от фантазии злоумышленника и степени доверчивости его жертвы.
• 7. Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», «Instagram», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
• 8. Многие атаки социальной инженерии являются сложными, включая в себя тщательно планируемый ряд шагов, сочетая манипуляцию и технологические знания, но искусный социальный инженер может достичь своей цели с помощью простой прямой атаки — просто попросить информацию. Существует три разновидности такого подхода:

Запугивание. Этот подход может использовать олицетворение полномочий, чтобы принудить адресат исполнить запрос.

Убеждение. Самые обычные формы убеждения включают лесть.

Использование доверительных отношений. Этот подход требует более долгого срока, в течение которого подчиненный или коллега формируют отношения, чтобы получить доверие и информацию от адресата.

Используя социальную инженерию, можно не только напрямую выведать информацию у жертвы, но и просто установить на ее компьютер специальные программные средства (закладки), которые выполнят всю работу сами. Для установки таких средств используют следующие методы:

• 1. Троянский конь. Эта техника эксплуатирует любопытство, либо алчность цели. Распространение троянских программ происходит путем размещения их на открытых ресурсах (файл-серверы, открытые для записи накопители самого компьютера), носителях информации или присылаются с помощью служб обмена сообщениями (Например, электронная почта, ICQ) из расчета на их запуск на каком-то конкретном или случайном компьютере. Открывая прикрепленный к письму файл, сотрудник устанавливает на компьютер вредоносное ПО, действующее в интересах злоумышленника.
• 2. Дорожное яблоко. Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью: «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.
• 3. Кви про кво Quid pro quo, Квипроквом или кипроко (от лат. Quid pro quo — «то за это») — фразеологизм, обычно используемый в английском языке в значении «услуга за услугу». . Злоумышленник может позвонить по случайному номеру в компанию и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.