Понятие «социальная инженерия» используется в информационной безопасности для описания атак, направленных на человека, а не на компьютер. Уязвимости человеческой психологии исследуются со времен Адама и Евы, однако не стоит недооценивать разрушительный эффект от действий социальных инженеров: по данным Check Point, около 43% бизнес-структур не готовы противостоять подобным угрозам.
Манипулятивный инструментарий социальных инженеров (ложь, лесть, выгодные аргументы, запугивание и т.д.) почти целиком заимствован из практики мошенников и дипломатов. Основоположник «челночной дипломатии» Генри Киссинджер как-то рассказывал, что мог бы женить простого сибирского крестьянина на дочери Рокфеллера: надо лишь сообщить миллиардеру, что сибиряк работает директором Всемирного банка, а затем позвонить во Всемирный банк и предложить им зятя Рокфеллера на место директора.
Знаменитый аферист Виктор Люстиг действовал похожими методами. В мае 1925 года Люстиг прочитал в одной из парижских газет, что знаменитая Эйфелева башня сильно обветшала и нуждается в ремонте. Обычный человек перелистнул бы страницу и моментально забыл об этой новости, но Люстиг не был обычным человеком. Он подделал верительную грамоту, в которой назвал себя заместителем главы Министерства почты и телеграфа, после чего отправил официальные письма руководителям шести крупнейших компаний, скупающих металлолом. Бизнесмены были приглашены в дорогой отель, и к каждому из них был отправлен лимузин. Люстиг рассказал, что Эйфелева башня была построена как временное сооружение к Всемирной Парижской Выставке 1889 года и в настоящее время ее состояние угрожает безопасности парижан. Судьба башни решена. Чтобы не беспокоить общественность, тендер проводится в строжайшем секрете. Права на утилизацию приобрел Андре Пуассон; его подозрения были окончательно развеяны, когда Люстиг назначил ему отдельную встречу и повел себя как классический коррумпированный чиновник, намекнув, что небольшая сумма поможет Пуассону выиграть тендер. Получив «взятку», а затем и полную сумму, Люстиг бежал с чемоданом денег в Вену, а Пуассон, не желая терять репутацию проницательного бизнесмена, скрыл факт обмана. Спустя некоторое время Люстиг умудрился продать Эйфелеву башню еще раз, однако на этот раз обманутый бизнесмен заявил в полицию, что вынудило мошенника бежать в США, где его и посадили на 20 лет.
Среди других известных социальных инженеров и мошенников стоит отметить Фрэнка Абигнейла (подделка авиабилетов и многое другое), Питера Фостера (убедил семейство Блэров рекламировать фальшивый чай для похудания) и Стивена Джей Рассела (виртуозные побеги из тюрем).
Модели социальной инженерии
Их коллега — знаменитый хакер Кевин Митник утверждал, что любой пароль проще получить путем обмана, нежели пытаться взломать систему безопасности. Чтобы завладеть необходимой информацией, злоумышленники используют лень, доверчивость, вежливость, эмоциональную привязанность пользователей.
Основная модель
Несмотря на конкуренцию со стороны электронной почты, социальных сетей и скайпа, телефон остается одним из наиболее популярных средств у социальных инженеров. Это может быть обаятельный человек, который день за днем названивает девушке-секретарю на ресепшн, представляясь коллегой из другого офиса. Он любезен и остроумен, а его просьбы не содержат ничего подозрительного. Установив эмоциональный контакт, такой человек может попросить действительно важные данные, и его объяснения будут звучать вполне правдоподобно. Или злоумышленник представляется сотрудником технической поддержки, опрашивающим, есть ли какие-нибудь технические проблемы. У многих пользователей что-то работает недостаточно хорошо, и злоумышленник с радостью «поможет»: пользователю надо лишь ввести определенную команду, зайти на определенный (фишинговый) сайт, скачать «утилиту для проверки компьютера».
Обратная социальная инженерия
Сотрудник компании может сам обратиться к злоумышленнику и сообщить ему все необходимые данные. Для этого используется трехходовка «диверсия, реклама, помощь». Хакер создает какую-либо неполадку, требующую устранения, а затем информирует пользователя о своей готовности помочь. К примеру, под видом обсуживающегося персонала получает физический доступ к компьютеру начальника отдела продаж, отключает пару проводов, и оставляет записку: на вашем компьютере обнаружен вирус, для восстановления работоспособности перезвоните сотруднику техподдержки по такому-то телефону. По телефону выясняется, что специалист технической поддержки вызван в командировку в другой офис и вернется только завтра, но если пользователь скажет необходимые пароли, проблему можно будет решить дистанционно. Пользователь принимает злоумышленника за доверенное лицо компании, человека, который и так имеет доступ ко всем компьютерам, а значит нет смысла скрывать эту информацию.
Фишинг, вишинг, смишинг
Фишинговые атаки, направленные на получение доступа к конфиденциальным данным пользователей, позволили социальным инженерам масштабировать свои умения и вести не только прицельный огонь, но и осуществлять «ковровую бомбардировку» пользователей. Мошенники, к примеру, рассылают письма от имени платёжной системы или банка с просьбой уточнить определенную информацию или совершить определенные действия. В подобных письмах обычно содержится ссылка на веб-страницу, которая похожа на официальную и имеет форму для ввода конфиденциальной информации.
Схемы обмана в случае вишинга или смишинга весьма похожи. Только в случае вишинга в сообщении содержится просьба позвонить на определенный городской номер, а смишингом называют стремительно растущую отрасль SMS-мошенничества. В сообщении с текстом «Пока Вы не отмените подписку на VIP-статус сайта знакомств, ежедневно с Вашего счета будет списываться $3» находится ссылка на вредоносный сайт-подделку, где вам также предложат ввести конфиденциальные данные.
По данным компании McAfee,на черном рынке 50 тысяч адресов электронной почты можно приобрести всего за 7 евро, причем в цену могут быть включены услуги по написанию фишинговых писем на языке оригинала. Цена же на уязвимости нулевого дня на черном рынке начинается от $5 тысяч.
Поиск информации в открытых источниках
Социальный инженер, как правило, не только хорошо разбирается в человеческой психологии, но и умеет собирать всю доступную информацию о сотрудниках компании, что нетрудно сделать благодаря таким площадкам, как Facebook или LinkedIn. В том случае, если часть данных «интересного» пользователя скрыта от посторонних, злоумышленник может попытаться для начала подружиться с его коллегами, представившись новым сотрудником или работником партнерской компании.
Другие техники
Человеческая изобретательность не знает границ, и перечислить все техники социальной инженерии невозможно. Если в компании работает 1000 человек, как скоро один из сотрудников поднимет флешку, которая лежит около входа в офис, и засунет ее в рабочий компьютер? Найдется ли охранник, который не предложит помощь девушке в положении, если та почти падает в обморок у входа в офис? Хорошо подвешенный язык, подушка на животе и жалобы на духоту могут позволить проникнуть в наиболее критически-важные сегменты. Например, в серверную, где всегда работает кондиционер.
Есть ли серебряная пуля от «взломщиков мозга»? Увы, в настоящее время технических мер недостаточно, чтобы существенно снизить угрозу со стороны социальных инженеров. Единственная эффективная тактика, позволяющая организации контролировать эти риски и не допускать неприятных инцидентов, заключается в изменении поведения пользователей, что подразумевает регулярное обучение персонала актуальным методам противодействия.
