Press "Enter" to skip to content

Социальная инженерия

Это комплекс методов, помогающих добиваться от людей необходимого манипулятору поведения. Обычно используется для получения конфиденциальной информации через т.н. «взлом человека». Подкидывание вредоносных программ, увод аккаунтов, получение данных с платежных карт – все это делается не только и не столько техническими способами, сколько путем взаимодействия с жертвами.

Проблема определения в том, что сюда попадает очень уж много активностей. От классического мошенничества Остапа Бендера до телефонных обзвонщиков, под разными предлогами просящих продиктовать данные карты. От троянских спам-рассылок до сбора данных из соцсетей. Понятие успело обрасти налетом мифов и заблуждений, разные обучальщики «приемам СИ» рассказывают о том, как применять НЛП или влиять на подсознание. Придавая мошенничеству вид глубокой, секретной дисциплины и зарабатывая на раскрытии таких секретов. В реальности никакой магии, конечно, нет. Все «программирование» сводится к эксплуатированию известных закономерностей человеческого мышления и его несовершенства. Чем наивнее, глупее и податливее жертва, тем лучше для социального инженера.

Среди основных направлений принято выделять такие:

Фишинг (рыболовля): это поддельные сайты, письма, сообщения в мессенджерах, маскирующиеся под реальные ресурсы (известные бренды, организации) и выманивающие таким образом пароли. Суть фишинга – заставить ввести связку логин/пароль, или заполнить платежные данные. Социальная инженерия тут нужна для того, чтоб пользователь не задумывался над необходимостью перехода по ссылке. Для этого эксплуатируются страхи (ваш аккаунт взломали, обновите свои данные), жадность (поддельные интернет-магазины с невероятно низким ценником), невнимательность (подмена ссылок на максимально похожие) и т.д.

Трояны (вредоносные программы): всевозможные приложения для удаленного доступа, использования мощностей чужого компьютера, считывания вводимой информации и прочее. Подсовываются методами, похожими на фишинг, через письма и сайты, маскирующиеся под полезную информацию, технические рассылки, заманчивые предложения.

Претекстинг (заготовленный текст): использование собранной информации о жертве с целью вызвать доверие и ослабить подозрительность. Перед звонком якобы из банка, из открытых источников собирается информация о полном имени, дате рождения, адресе проживания или еще какие-то анкетные данные. Называя их, жертву заставляют думать, что она общается с реальным сотрудником и тот просто уточняет служебную информацию. В коммерческой разведке выясняют доступные сведения о компании, имена руководителей и ключевых сотрудников, особенности внутренней работы и далее, используя все это, выуживают конфиденциальную информацию.

Кви про кво (услуга за услугу): заход с легендой, в которой содержится желание помочь жертве. Мошенник представляется техподдержкой, уточняет наличие какой-нибудь распространённой проблемы (тормозит компьютер? Интернет работает с перебоями?) и предлагая решение, просит проделать действия, помогающие получить доступ к машине. Открыть нужные порты по инструкции, включить софт для удаленного доступа и прочее.

Дорожное яблоко: подкидывание вредоносных флэшек, карт памяти и прочего в местах, где жертва вероятнее всего их подберет. Для привлечения внимания, флэшки маркируются интересными сведениями (лепится бумажка с надписью, которая заинтересует предполагаемый объект атаки).

Обратная социальная инженерия: создание ситуации, в которой жертва сама обращается за помощью. Например, отправка не сиюминутно срабатывающего вредителя, а с отсроченным действием, вынуждающим через какое-то время обратиться за повторной помощью.

Так же существует огромная вариативность для ручной, точечной обработки жертв. Где можно использовать хоть все вышеперечисленные методы и еще ряд не озвученных. Как получить пароль от почты? А) Выяснить сам почтовый ящик под предлогом отправки чего-то полезного/интересного, Б) запросить восстановление пароля и узнать секретный вопрос, В) путем сбора информации и отвлеченных разговоров, выудить ответ на секретный вопрос. Как получить доступ в помещения, закрытые от посторонних? Обхаживать какое-то время сотрудников и охранников и в определенный момент попроситься в туалет, на чай, по любому другому срочному делу.

Защита

Как это все-таки работает и как защищаться? Для этого правильнее всего изучать имеющиеся в человеческом мышлении уязвимости и знать, какие дыры используются в том или ином случае. Начать лучше всего со списка известных когнитивных искажений, систематических ошибок в рассуждениях, связанных с принятием неверных решений. Из более объемного материала, книга Р. Чайлдини «Психология влияния» описывает множество экспериментов и исследований, объясняющих особенности человеческого поведения и способы воздействия на него.

Редакция

Триумф инфо 2019