Социальная инженерия:основы(Часть 1 из 3) Коротко о главном Социальная инженерия - способ управления действиями человека без использования технических средств (за исключением средств связи), или, как принято у хакеров - это атака на человека. Обычно метод используется для получения доступа к различным видам конфиденциальной информации: будь то страничка в социальной сети или секретные документы какой-нибудь организации. Социальная инженерия считается одним из самых разрушительных и опасных методов, так как может нанести непоправимый ущерб целой компании. Метод основан на слабостях человека, его чувствах, неопытности, использование чего может привести к фатальным последствиям. Однако социальная инженерия не всегда используется в незаконных целях. Например, во время уголовного следствия, что бы разговорить преступника или свидетеля. А как вы думаете, почему агенты КГБ и ЦРУ в фильмах такие «крутые»? Потому что могли представиться кем угодно и выведать самую секретную информацию. История Сам термин "социальная инженерия" появился недавно, и особенно его популяризовал Кевин Митник. Однако известно, что в Древнем Риме и Греции всегда были в почёте люди, которые умели навешать лапшу на уши любому человеку и убедить в своей правоте. Они всегда вели переговоры и могли без проблем вывести целый город из ситуации, когда могло потребовать применение оружия. В 70-х во время расцвета фрикинга социальная инженерия приобрела огромную популярность среди юных хакеров, которые чуть подправив свои фразы, не редко могли заставить сотрудников телефонной компании чувствовать себя виноватыми и в порыве эмоций говорить секретную информацию. Эти же хакеры зачастую и развлекались бесплатными междугородними и интернациональными звонками. В то время социальная инженерия и приобрела свой первоначальный смысл. Звонок по телефону мог решить многие проблемы. Появление компьютеров очень расширило возможности социальных инженеров и дало новые просторы для творчества. В ход пошло всё: электронная почта, социальные сети, форумы и т. д. Чем не удача? Тем самым само понятие социальной инженерии очень расширилось с появлением информационных технологий. Главный смысл Основа социальной инженерии – введение в заблуждение человека. К этому могут относиться выдача себя за другого человека, нагнетание обстановки, отвлечение внимания. Рассмотрим самый простой случай. В офис приходит посторонний человек, представляется Васей Пупкиным из технического отдела, и говорит, что в компьютерах компании найдена уязвимость, и её нужно срочно устранить. Тем самым синжер (т. е. социальный инженер) не только узнаёт пароль от компьютера, а заодно и запускает вирус. Социальная инженерия очень универсальный метод, его можно применять к любым системам, где есть человек. А он есть везде. Недаром говорят, что человек – слабейшее звено в любой защите. Так же социальная инженерия даёт возможность узнать данные напрямую от человека, а не занимать поиском уязвимостей в системе, или пытаться выведать пароль перебором. Единственная сложность – найти правильный подход к каждому человеку. Хотя, профессиональные синжеры почти всегда действуют экспромтом, полагаясь только на свои чувства. Техники социальной инженерии Социальная инженерия включает в себя несколько техник. Каждая из них отличается по принципу, но цель остается неизменной. Претекстинг – действие по заранее созданному плану, или претексту. Синжер продумывает всё до мелочей, включая не только то, что он будет говорить, но всю информацию о «новом» себе, а так же реакцию атакуемого. Является самым распространённым способом, и не требует больших усилий. Фишинг – (от англ. ловля рыбы) метод, основанный получение информации из-за невнимательности человека. Например, жертве присылают электронное письмо от имени известного бренда или сайта с просьбой авторизоваться из-за технических проблем. Дизайн, стиль письма – всё как полагается, ничего не вызовет сомнений. И человек сделает всё, как написано. И конечно, не обратит внимание ни на адрес отправителя, ни на адрес сайта для авторизации. Всё похоже? В чём могут быть проблемы? А в результате злоумышленник может получить «ключик» не только, например, к электронной почте, но и к электронному кошельку. Троянский конь, или троян – техника, которая использует любопытство, алчность жертвы. Само название говорит за себя. Человек получает посылку с одним названием, но абсолютно другим содержанием. Самый распространённый вариант, адаптированный к социальным сетям: человек ищет программу для взлома странички социальной сети, качает её, но эта волшебная программа представляет собой обычный вирус. Дорожное яблоко – техника, которая эксплуатирует любопытство жертвы, и является слегка переделанным троянским конём. Единственное отличие – человек не получает «посылку», а сам её находит. Например, объект «случайно» находит в лифте диск с названием “Информация о сотрудника 2011, только для служебного пользования”. Прежде чем этот честный гражданин отнесёт диск начальству (а может и не отнесёт), он обязательно глянет на содержимое, и тоже подцепит вирус. А тем более, если и отнесёт этот диск, есть вероятность заразить и начальство, и всю компанию. Яркий пример вы могли видеть здесь. Сюда же можно отнести письмо, якобы «не по адресу», но с любопытной ссылкой. Кви про кво – метод, использующий неквалифицированность и неопытность жертвы. Например, человек звонит в офис «из отдела техподдержки», и тоже сообщает, что в компьютере либо уязвимость, либо просто интересуется о наличии ошибок. А далее просто командует, что нужно делать, причём присутствие самого синжера необязательно, сам сотрудник сам себе навредит. Обратная социальная инженерия Кстати, кроме обычной социальной инженерии используется и обратная социальная инженерия, причём возможно, вместе с любой из вышеперечисленных техник. Её смысл в том, что жертва сама находит синжера. Например, диверсия – жертве могут просто создать обратимую проблему с компьютером. А если ещё и подкинуть рекламу себя в качестве того, кто ремонтирует компьютеры, то можно заполучить сразу всю систему.