Приемы социальной инженерии. Учебник по социальной инженерии. Типовой алгоритм воздействия в социальном хакерстве


Приемы социальной инженерии Человеческий мозг — это большой винчестер, хранилище огромного количества информации. И воспользоваться этой информацией может как владелец, так и любой другой человек. Как говорится, болтун находка для шпиона. Чтобы вы в дальнейшем поняли смысл нижесказанного, вы как минимум должны быть знакомы с азами психологии.
Социальная инженерия позволяет нам «воспользоваться мозгом» другого человека, прибегая к различным способам, и получить от него нужную информацию.
Вики гласит: «Социальная инженерия - это метод управления действиями человека без использования технических средств»


Социальная инженерия — это своеобразная молодая наука. Существует множество методов и приемов манипулирования сознанием человека. Кевин Митник был прав, говоря, что иногда проще обмануть и получить информацию, чем взломать доступ к ней. Почитайте книгу «Искусство обмана» на досуге, вам понравится.
Существует обратная социальная инженерия , которая направлена на получение данных от самой жертвы. При помощи нее, жертва сама рассказывает о своих паролях и данных.

В интернете нет жестов, интонации, мимики. Все общение построено на текстовых сообщениях. И от того, как повлияют ваши сообщения на собеседника, зависит ваш успех в той или иной ситуации. Какими же приемами можно воспользоваться, дабы скрыто манипулировать сознанием человека?

Провоцирование
Собственно говоря, это и есть троллинг. Выводя человека из себя, он в большинстве случаев некритично относится к информации. В этом состоянии можно навязать или получить нужную информацию.

Влюбленность
Пожалуй, это самый эффективный прием. В большинстве случаев именно его я и применял)). В влюбленном состоянии человек мало чего воспринимает, а манипулятору как раз это и нужно.

Безразличие
Создается эффект безразличия манипулятора к определенной теме, а собеседник в свою очередь старается его переубедить, чем самым попадается в капкан и раскрывает нужную вам информацию.

Спешка
Часто возникают ситуации, когда манипулятор, якобы, спешит куда-то и постоянно намекает на это, но при этом он целеустремленно продвигает нужную ему информацию.

Подозрительность
Прием подозрительности чем-то схож с приемом безразличия. В первом случае жертва доказывает обратное, во втором — жертва пытается оправдать «свою подозрительность», тем самым не понимая, что выдает всю информацию.

Ирония
Сходна с приемом провоцирования. Манипулятор ирониет выводит человека из себя. Тот в свою очередь в гневе не способен критически оценивать информацию. В итоге в психологическом барьере образуется дыра, которой и пользуется манипулятор.

Откровенность
Когда манипулятор рассказывает собеседнику откровенную информацию, у собеседника возникают некие доверительные отношения, что подразумевает ослабление защитного барьера. Это и создает брешь в психологической обороне.

Описанные выше приемы не до конца исчерпывают весь потенциал социальной инженерии. Об этих приемах и методах можно рассказывать и рассказывать. Прочитав эти приемы, вы должны осознать, что не нужно идти на поводу у всех и вся. Научитесь контролировать себя и свой гнев и тогда ваша защита будет всегда на должном уровне.
Наш продолжается. Ждите новых статей))

Социальная инженерия — несанкционированный доступ к конфиденциальной информации посредством манипуляции сознанием человека. Методы социальной инженерии базируются на особенностях психологии и направлены на эксплуатацию человеческих слабостей (наивность, невнимательность, любопытство, коммерческие интересы). Активно используются социальными хакерами как в сети Интернет, так и вне её.

Впрочем, касательно цифровых технологий, веб-ресурсов, компьютеров, смартфонов — «затуманивание мозгов» пользователей сети происходит несколько по-другому. «Силки», «капканы» и другие уловки мошенники расставляют где угодно и как угодно, в соцсетях, на геймерских порталах, в электронных почтовых ящиках и онлайн-сервисах. Вот лишь некоторые примеры методов социальной инженерии:

В подарок на праздник... троянский конь

Независимо от характера, профессии, финансовой состоятельности, каждый человек ждёт праздников: Новый Год, 1 мая, 8 марта, День святого Валентина и т.д., чтобы, естественно, отметить их, отдохнуть, наполнить свою душевную ауру позитивом и, попутно, обменяться со своими друзьями-товарищами поздравлениями.

В этот момент социальные хакеры особенно активны. В предпраздничные и праздничные дни они рассылают на аккаунты почтовых сервисов открытки: яркие, красочные, с музыкальным сопровождением и... опасным вирусом троянцем. Жертва ничего не ведая о таком коварстве, пребывая в эйфории веселья либо, просто, любопытства кликает по открытке. В то же мгновенье зловред инфицирует ОС, а затем ждёт удобного момента, чтобы похитить регистрационные данные, номер платёжной карты либо подменить веб-страницу интернет-магазина в браузере на фейковую и украсть деньги со счёта.

Выгодная скидка и вирус «в нагрузку»

Отличный пример социальной инженерии. Желание «сэкономить» свои кровно заработанные вполне оправдано и объяснимо, но в разумных пределах и при определённых обстоятельствах. Это о том, что «не всё золото, что блестит».

Жулики под личиной крупнейших брендов, интернет-магазинов и сервисов, в соответствующем оформлении, предлагают купить товары по неимоверной скидке и плюс к покупке — получить подарок... Делают поддельную рассылку, создают группы в соцсетях и тематические «ветки» на форумах.

Наивные обыватели, что называется, «ведутся» на эту яркую коммерческую афишу: впопыпах в голове пересчитывают сколько осталось с зарплаты, аванса и кликают ссылку «купить», «перейти на сайт для покупки» и т.д. После чего, в 99 из 100 случаев, вместо выгодного приобретения, получают вирус на свой ПК либо безвозмездно отправляют денежки социальным хакерам.

Геймерский донат +300% к навыкам воровства

В онлайн-играх, да и вообще в мультиплеерных играх, за редкими исключениями, выживает сильнейший: у кого крепче броня, урон, сильнее магия, больше здоровья, маны и т.д.

И, конечно, каждый геймер хочет во что бы то ни стало добыть для своего перса, танка, самолёта и ещё ни бог весть чего эти заветные артефакты. В боях или в походах, собственноручно или за реальные деньги (функция доната) в виртуальном магазине игры. Чтобы быть лучшим, первым... достичь последнего уровня развития.

Мошенники знают об этих «геймерских слабостях» и всячески искушают игроков приобрести заветные артефакты, умения. Иногда за деньги, иногда бесплатно, но это сути и цели злодейской схемы не меняет. Заманчивые предложения звучат на фейковых сайтах примерно так: «скачай это приложение», «установи патч», «для получения предмета зайди под в игре».


Взамен долгожданного бонуса у геймера воруют аккаунт. Если он отлично «прокачан», похитители его продают или выуживают с него платёжные данные (если таковые имеются).

Вредоносное ПО + социальная инженерия = гремучая смесь коварства

Осторожно иконки!

Многие пользователи орудуют мышкой в ОС на «автопилоте»: клик туда, сюда; открыл это, то, другое. Редко, кто из них присматривается к типу файлов, их объёму и свойствам. А вот и зря. Хакеры маскируют исполняемые файлы зловредов под обычные папки Windows, картинки или доверенные приложения, то есть внешне, визуально, их не различишь. Пользователь кликает по папке, её содержимое, естественно, не открывается, ибо это вовсе не папка, а инсталлятор вируса с раcширением.exe. И зловред «в тихую» проникает в ОС.

Верное «противоядие» от таких хитростей — файловый менеджер Total Commander. В отличие от интегрированного проводника Windows, он отображает всю подноготную файла: тип, объём, дату создания. Наибольшую потенциальную опасность для системы представляют неизвестные файлы с расширениями: «.scr», «.vbs», «.bat», «.exe».

Страх подогревает доверие

  1. Пользователь открывает «сайт-страшилку», и ему тут же сообщают пренеприятнейшую новость, или даже новости: «ваш ПК заражён опаснейшим трояном», «в вашей ОС обнаружено 10, 20... 30 вирусов», «с вашего компьютера рассылается спам» и т.д.
  2. И сразу же предлагают (проявляют «заботу») установить антивирус и, следовательно, решить озвученную на сайте проблему безопасности. И самое главное совершенно бесплатно.
  3. Если посетителя одолевает страх за свой ПК, он проходит по ссылке и скачивает... только не антивирус, а ложный антивирус — подделку напичканную вирусами. Устанавливает и запускает — последствия соответствующие.

  • Во-первых, веб-сайт не может в одно мгновенье ока проверить ПК посетителя и выявить зловредов.
  • Во-вторых, свои антивирусы, будь они платные или бесплатные, разработчики распространяют через свои, то бишь официальные, сайты.
  • И, наконец, в-третьих, если есть сомнения и страх по поводу «чистая» ОС или нет, лучше проверить системные раздел, тем что имеется, то есть установленным антивирусом.

Подводя итоги

Психология и хакинг сегодня идут рука об руку — тандем эксплуатации человеческих слабостей и программных уязвимостей. Пребывая в сети Интернет, в праздники и будни, днём или ночью, и неважно в каком настроении, в обязательном порядке нужно проявлять бдительность, подавлять наивность, отгонять наития коммерческой наживы и чего-то «бесплатного». Ибо, как известно, за просто так раздаётся только сыр и только в мышеловке. Создавайте только пароли, храните их в местах и оставайтесь с нами, поскольку, как известно, безопасности много не бывает.

Методы социальной инженерии – именно об этом пойдет речь в этой статье, а так же обо всем, что связано с манипуляцией людьми, фишинге и воровстве клиентских баз и не только. Информацию нам любезно предоставил Андрей Сериков, автором которой он и является, за что ему огромное спасибо.

А.СЕРИКОВ

А.Б.БОРОВСКИЙ

ИНФОРМАЦИОННЫЕ ТЕХНОЛОГИИ СОЦИАЛЬНОГО ХАКЕРСТВА

Введение

Стремление человечества добиться совершенного выполнения поставленных задач послужило развитию современной компьютерной техники, а попытки удовлетворения противоречивых требований людей привели к развитию программных продуктов. Данные программные продукты не только поддерживают работоспособность аппаратного обеспечения, но также и управляют им.

Развитие знаний о человеке и компьютере привели к появлению принципиально нового типа систем- «человеко-машинных», где человека можно позиционировать как аппаратное средство, работающее под управлением стабильной, функциональной, многозадачной операционной системой, именуемой «психика».

Предметом работы является рассмотрение социального хакерства как ветви социального программирования, где с помощью человеческих слабостей, предрассудков и стереотипов в социальной инженерии манипулируют человеком.

Социальная инженерия и её методы

Методы манипулирования человеком известны достаточно давно, в основном они пришли в социальную инженерию из арсенала различных спецслужб.

Первый известный случай конкурентной разведки относится к VI веку до нашей эры и произошёл в Китае, когда китайцы лишились секрета изготовления шелка, который обманным путём выкрали римские шпионы.

Социальная инженерия - наука, которая определяется как набор методов манипулирования поведением человека, основанных на использовании слабостей человеческого фактора, без применения технических средств.

По мнению многих специалистов, самую большую угрозу информационной безопасности представляют именно методы социальной инженерии, хотя бы потому, что использование социального хакерства не требует значительных финансовых вложений и доскональных знаний компьютерных технологий, а также потому, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования.

И как бы не совершенствовались технические системы защиты, люди так и будут оставаться людьми со своими слабостями, предрассудками, стереотипами, с помощью которых и происходит управление. Настроить же человеческую «программу безопасности» - самое сложное и не всегда приводящее к гарантированным результатам дело, так как этот фильтр необходимо подстраивать постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности: «Безопасность - это процесс, а не результат»

Области применения социальной инженерии:

  1. общая дестабилизация работы организации с целью снижения её влияния и возможности последующего полного разрушения организации;
  2. финансовые махинации в организациях;
  3. фишинг и другие способы кражи паролей с целью доступа к персональным банковским данным частных лиц;
  4. воровство клиентских баз данных;
  5. конкурентная разведка;
  6. общая информация об организации, о её сильных и слабых сторонах, с целью последующего уничтожения данной организации тем или инным способом (часто применяется для рейдерских атак);
  7. информация о наиболее перспективных сотрудниках с целью их дальнейшего «переманивания» в свою организацию;

Социальное программирование и социальное хакерство

Социальное программирование можно назвать прикладной дисциплиной, которая занимается целенаправленным воздействием на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, социальный программист ставит перед собой цель: овладение искусством управления людьми. Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы.

Методы социального программирования привлекательны тем, что о них либо вообще никто никогда не узнает, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно, а также в ряде случаев можно «программировать» поведение людей, причем и одного человека, и большой группы. Данные возможности относятся к категории социального хакерства именно по той причине, что во всех из них люди выполняют чью-то чужую волю, как бы подчиняясь написанной социальным хакером «программе».

Социальное хакерство как возможность взлома человека и программирования его на совершение нужных действий исходит из социального программирования - прикладной дисциплины социальной инженерии, где специалисты этой сферы - социальные хакеры — используют приёмы психологического воздействия и актёрского мастерства, заимствованные из арсенала спецслужб.

Социальное хакерство применяется в большинстве случаев тогда, когда речь идёт об атаке на человека, который является частью компьютерной системы. Компьютерная система, которую взламывают, не существует сама по себе. Она содержит важную составляющую — человека. И чтобы получить информацию, социальному хакеру необходимо взломать человека, который работает с компьютером. В большинстве случаев проще сделать это, чем взломать компьютер жертвы, пытаясь таким образом узнать пароль.

Типовой алгоритм воздействия в социальном хакерстве:

Все атаки социальных хакеров укладывается в одну достаточно простую схему:

  1. формулируется цель воздействия на тот или инной объект;
  2. собирается информация об объекте, с целью обнаружения наиболее удобных мишеней воздействия;
  3. на основе собранной информации реализуется этап, который психологи называют аттракцией. Аттракция (от лат. Attrahere – привлекать, притягивать) - это создание нужных условий для воздействия на объект;
  4. принуждение к нужному для социального хакера действию;

Принуждение достигается выполнением предыдущих этапов, т. е. после того, как достигнута аттракция, жертва сама делает нужные социоинженеру действия.

На основании собранной информации социальные хакеры достаточно точно прогнозируют психо- и социотип жертвы, выявляя не только потребности, в еде, сексе и прочее, но и потребность в любви, потребность в деньгах, потребность в комфорте и т. д и т. п.

И действительно, зачем пытаться проникать в ту или инную компанию, взламывать компьютеры, банкоматы, организовывать сложные комбинации, когда можно сделать все легче: влюбить в себя до беспамятства человека, который по своей доброй воле будет переводить деньги на указанный счет или каждый раз делиться необходимой информацией?

Основываясь на том, что поступки людей предсказуемы, а также подчиняются определенным законам, социальные хакеры и социальные программисты для выполнения поставленных задач используют как оригинальные многоходовки, так и простые положительные и отрицательные приемы, основанные на психологии человеческого сознания, программах поведения, колебаниях внутренних органов, логическом мышлении, воображении, памяти, внимании. К этим приёмам можно отнести:

генератор Вуда - генерирует колебания той же частоты, что и частота колебаний внутренних органов, после чего наблюдается эффект резонанса, в результате которого люди начинают ощущать сильный дискомфорт и паническое состояние;

воздействие на географию толпы - для мирного расформирования крайне опасных агрессивных, больших групп людей;

высоко частотные и низкочастотные звуки - для провоцирования паники и её обратного эффекта, а также других манипуляций;

программа социального подражания - человек определяет правильность поступков, выясняя, какие поступки считают правильными другие люди;

программа клакерства - (на основе социального подражания) организация необходимой реакции зрителей;

формирование очередей - (на основе социального подражания) простой, но действенный рекламный ход;

программа взаимопомощи - человек стремится отплатить добром тем людям, которые ему сделали какое-то добро. Стремление выполнить эту программу зачастую превышает все доводы рассудка;

Социальное хакерство в интернете

С появлением и развитием Интернета — виртуальной среды, состоящей из людей и и их взаимодействий, расширилась среда для манипулирования человеком, для получения нужной информации и совершения необходимых действий. В наши дни Интернет является средством общемирового вещания, средой для сотрудничества, общения и охватывает весь земной шар. Именно этим и пользуются социальные инженеры для достижения своих целей.

Способы манипулирование человеком через интернет:

В современном мире владельцы практически каждой компании уже осознали, что интернет – это очень эффективное и удобное средство для расширения бизнеса и основная его задача – это увеличение прибыли всей компании. Известно, что без информации направленной на привлечение внимания, к нужному объекту, формирования или поддержание интереса к нему и его продвижение на рынке используется реклама. Только, в связи с тем, что рекламный рынок уже давно поделен, большинство видов рекламы для большинства предпринимателей, впустую потраченные деньги. Интернет реклама это не просто одна из разновидностей рекламы в СМИ, это нечто большее, поскольку с помощью интернет рекламы на сайт организации приходят люди, заинтересованные в сотрудничестве.

Интернет реклама, в отличие от рекламы в СМИ, имеет намного больше возможностей и параметров управления рекламной компанией. Наиболее важным показателем интернет рекламы является то, что плата за интернет рекламу списывается только при переходе заинтересовавшегося пользователя по ссылке рекламы, что конечно делает рекламу в интернете более эффективной и менее затратной чем реклама в СМИ. Так подав рекламу на телевидении или в печатных изданиях, её оплачивают полностью и просто ждут потенциальных клиентов, но клиенты могут откликнуться на рекламу или нет — все зависит от качества изготовления и подачи рекламы на телевидении или газетах, однако бюджет на рекламу уже израсходован и в случае если реклама не по действовала — израсходован впустую. В отличие от такой рекламы в СМИ, реклама в интернете имеет возможности отслеживания отклика аудитории и управления интернет рекламой до того как ее бюджет израсходован, более того, рекламу в интернете можно приостановить — когда спрос на продукцию возрос и возобновить — когда спрос начинает падать.

Другим способом воздействия является так называемое «Убийство форумов» где, с помощью социального программирования создают антирекламу тому или иному проекту. Социальный программист в данном случае, с помощью явных провокаторских действий в одиночку, разрушает форум, пользуясь при этом несколькими псевдонимами (nickname ) для создания вокруг себя антилидерской группировки, и привлечения в нее постоянных посетителей проекта, недовольных поведением администрации. В конце подобных мероприятий не форуме становится невозможным проджинение товаров или идей. Для чего первоначально и разрабатывался форум.

К способам воздействия на человека через интернет в целях социальной инженерии:

Фишинг — вид интернет-мошенничества, с целью получение доступа к конфиденциальным данным пользователей - логинам и паролям. Данная операция достигается путём проведения массовых рассылок электронных писем от имени популярных брендов, а также личных сообщений внутри различных сервисов (Rambler), банков или внутри социальных сетей (Facebook). В письме часто содержится ссылка на сайт, внешне неотличимый от настоящего. После того, как пользователь попадает на поддельную страницу, социальные инженеры различными приёмами побуждают пользователя ввести на странице свои логин и пароль, которые он использует для доступа к определенному сайту, что позволяет получить доступ к аккаунтам и банковским счетам.

Более опасным видом мошенничества, чем фишинг, является так называемый фарминг.

Фарминг — механизм скрытого перенаправления пользователей на фишинговые сайты. Социальный инженер распространяет на компьютеры пользователей специальные вредоносные программы, которые после запуска на компьютере перенаправляют обращения с необходимых сайтов на поддельные. Таким образом, обеспечивается высокая скрытность атаки, а участие пользователя сведено к минимуму – достаточно дождаться, когда пользователь решит посетить интересующие социального инженера сайты.

Заключение

Социальная инженерия - наука, которая вышла из социологии и претендует на совокупность тех знаний, которые направляют, приводят в порядок и оптимизируют процесс создания, модернизации и воспроизведения новых («искусственных») социальных реальностей. Определенным образом она «достраивает» социологическую науку, завершает ее на фазе преобразования научных знаний в модели, проекты и конструкции социальных институтов, ценностей, норм, алгоритмов деятельности, отношений, поведения и т. п.

Несмотря на то, что Социальная инженерия - относительно молодая наука, она наносит большой ущерб процессам которые происходят в обществе.

Простейшими методами защиты от воздействия этой разрушающей науки, можно назвать:

Привлечение внимания людей к вопросам безопасности.

Осознание пользователями всей серьёзности проблемы и принятие политики безопасности системы.

Литеретура

1. Р. Петерсен Linux: Полное руководство: пер. с англ. — 3 - изд. — К.: Издательская группа BHV, 2000. – 800 c.

2. С Гроднева Интернет в вашем доме. — М.: «РИПОЛ КЛАССИК», 2001. -480 с.

3. М. В. Кузнецов Социальная инженерия и социальное хакерство. Спб.: БХВ-Петербург, 2007. - 368 с.: ил.


Часть1 (разбил на части из-за размера статьи. Как только набирается 50 просмотров кидаю вторую).

Многие тру-хакеры, постоянно занимающиеся взломами, всегда имеют в запасе пару приемчиков СИ, ведь там, где невозможно найти уязвимость в коде, часто ее можно найти в головах службы поддержи или владельца e-mail’а, ICQ или сайта…

От теории к практике
Что такое социальная инженерия, ты уже читал в одном из предыдущих номеров любимого журнала, так что смело можно сказать, что матчасть освоена успешно. Теперь предлагаю проехаться по практике.

Социальные инженеры – очень приятные в общении люди: культурные, приветливые, с отличным чувством юмора. У них потрясающе гибкий ум, нестандартное мышление и масса идей по поводу того, как эффективнее достигнуть своих целей. Именно к ним я обратилась за помощью при подготовке материала. Нашими консультантами будут: GoodGod – создатель одного из наиболее популярных русскоязычных проектов о социальной инженерии socialware.ru; Ayumi (spylabs.org); Иван – еще один мастер взлома человеческих мозгов, пожелавший остаться инкогнито.

Поехали!

Угон номера ICQ (без primary e-mail)
Для угона ICQ тебе понадобятся:

  • список доменов с зарегистрированными на них e-mail’ами (как их получить – читай в декабрьском номере ][ за 2009 год, видео «Массовый угон доменов» от GoodGod);
  • номер ICQ, с которого будет происходить начальная атака;
  • номер ICQ, оформленный под специалиста SEO (с соответствующими данными и реквизитами в инфе).
Итак, «оружие» есть, переходим к атаке. Зацепи внимание жертвы: например, подойдет ситуация, будто ты перепутал ее с кем-то другим. После этого можно извиниться и завязать непринужденный разговор, понемногу раскручивая на доверие. Пусть пройдет некоторое время, чтобы она (жертва) к тебе привыкла. Далее разговор переводится на тему заработка – рассказываешь, что ты зарабатываешь в Сети (пока не говори, как именно, чтобы не спугнуть собеседника). Через какое-то время скажи о том, что друг, занимающийся раскруткой сайтов, предложил тебе шаровую работу: особо ничего делать не нужно, но каждый день капает около 200 рублей. Если жертва сама не проявит инициативу, то сделай шаг первым и предложи познакомиться с другом.

Сразу не захочет знакомиться – на время прекрати этот разговор, поскольку если сильно давить, эффект может быть обратным; лучше вернись к этому чуть позже под другим предлогом.

Кстати, если жертва от природы стеснительна, ты не заставишь ее пойти на контакт с незнакомцем, поэтому придется заняться «сводничеством», чтобы знакомство все же состоялось. И вот, клиент обращается к другу-сеошнику (то есть, к тебе). Вначале прояви здоровое недоверие, задавая вопросы типа «Откуда Вы узнали о проекте? От Саши? Ааа, Саша… Да, помню. Ок, сейчас расскажу суть работы». Далее расскажи о проекте ICQ Search, продвижении сайтов, опиши варианты оплаты (200 рублей в день или 1400 в неделю – пусть сам выберет удобный для него вариант). Постоянно сосредотачивай внимание «клиента» на реалистичных деталях, так ты отвлечешь его от ненужных размышлений. Чем интенсивнее атака и больше новой информации, тем меньше у него времени обдумать происходящее. Наконец, опиши схему заработка: пусть он выберет сайт из списка, заготовленного вначале, через whois глянет мейл, к которому сайт привязан (пусть сделает это сам) и впишет его в поле «E-mail» в профиле ICQ. Обязательно объясни, что если в данных аськи и домена указан один и тот же e-mail, тогда чем чаще ася ищется в поиске, тем выше рейтинг сайта в поисковике. Как только жертва завершила привязку, делаешь восстановление пароля на указанный e-mail, и UIN твой!

Если же пароль не приходит на e-mail, значит, у номера уже есть праймари мейл, и угон нужно организовывать другим способом.

Взлом почты
Узнаем ответ на секретный вопрос
Вопросы на почтовых серверах, как правило, достаточно однотипные:

  • Девичья фамилия матери;
  • Любимое блюдо;
  • Кличка домашнего питомца;
  • Номер паспорта;
  • Личный вопрос (имя первого учителя; индекс; любимый фильм; любимый исполнитель).
На такие, как «Любимое блюдо» или «Кличка собаки», ответ можно подобрать самостоятельно, имея хорошую интуицию. Если же интуиция – не главный твой конек, или вопрос подразумевает более конкретные знания, тогда придется потрудиться. Для начала собираем как можно больше информации о владельце ящика. Очень желательно номер ICQ или страницу «Вконтакте». Потом добавляемся к жертве в контакт-лист, знакомимся под любым предлогом (тут нам пригодится вся собранная информация) и начинаем «атаку» по выведыванию нужного нам ответа на секретный вопрос. На этом этапе главное – не торопись, все должно быть последовательно и естественно, так, чтобы у жертвы не закралось никаких подозрений.

Какие схемы срабатывают? Девичья фамилия матери – заводи тему о генеалогическом дереве или о том, какая забавная была фамилия у твоей мамы до брака. Любимое блюдо – тут все понятно. Кличка животного – разговор о питомцах: прошлых, настоящих и будущих, так как кодовым словом может быть кличка первого подаренного хомячка. С номером паспорта будет сложнее. Тут можно соблазнить на покупку недорогого дефицитного товара, например, который доставляют с оплатой по факту, но для оформления заказа нужны паспортные данные и идентификационный код. Имя первого учителя можно узнать у одноклассников жертвы, или поговорить с ней непосредственно о любимых учителях; индекс проще получить, скачав базы города, а у жертвы просто узнать, в каком районе она живет. Тут главное – смекалка, фантазия и терпение.

Есть один небольшой, но важный нюанс. Иногда при вопросе «Любимое блюдо» ответом может быть, например, номер телефона, то есть, полное несоответствие вопроса и ответа. Здесь тебе придется заводить разговор о нелепых сочетаниях и бессмысленности секретных вопросов, а потом начинать все заново, желательно уже под другим аккаунтом.

Обращение в Службу поддержки
Этот способ более трудоемкий и стремный, но нужен в том случае, если жертва никак не хочет «колоться», или если ящик «мертвый», то есть хозяин давно на него не заходит. Для этого иди на страницу службы поддержки нужного почтового сервиса и пиши письмо с просьбой восстановить украденный пароль. С тебя, скорее всего, потребуют имя, фамилию (или те данные, которые были указаны при регистрации), дату рождения, приблизительную дату регистрации ящика (хотя бы год). Поэтому постарайся узнать о жертве и ее ящике как можно больше сведений. В этом тебе помогут поисковые системы, социальные сети и блоги.

Фишинг
Один из самых эффективных способов получения пароля, причем хозяин об этом даже не узнает. Жертве предлагается ссылка, по которой нужно перейти и ввести свой логин и пароль. Эти данные отправляются в файл отчета, базу данных (если угон массовый) или на почту. Основная премудрость состоит в том, чтобы заставить жертву перейти по этой ссылке. Форма может быть какой угодно:

  • Сообщение «от администрации» (читай: с почтового сервиса с подменой адреса) о спаме с данного ящика. Пример: «Уважаемый пользователь, (имя пользователя)! На Ваш аккаунт поступили жалобы на спам, в связи с чем администрация имеет право временно приостановить или заблокировать его работу. Вполне возможно, что к нему получили доступ злоумышленники. Чтобы подтвердить принадлежность аккаунта, пройдите повторную авторизацию по этой ссылке (гиперссылка на фейк). Если в течение 5 дней подтверждения не будет, почтовый аккаунт будет заблокирован. С уважением, служба поддержки (название почтового сервиса)». Игра на страхе потери ящика.
  • Зная об увлечениях жертвы, можно взять на интерес. Например, письмо с интересующей темой, в которой освещена только часть информации, все остальное – при переходе по ссылке. Ссылка ведет на псевдостраницу авторизации, и прочитать остальную информацию можно только залогинившись.
Пример: «Только 15-17 августа 2010 года в (город жертвы) проходит практический тренинг по 100% эффективному построению межполовых отношений! Впервые откроются безотказные секреты сексуальности и привлекательности, часть из которых Вы можете увидеть здесь (гиперссылка). Остальное – на тренинге. И не забывайте, что теория – это всего лишь теория. Научиться всему вы сможете на практике. Проводит тренинг автор Егор Асин (гиперссылка). Для тех, кто зарегистрируется до 10 августа – первое занятие бесплатно. Для регистрации заполните эту форму (гиперссылка)».

Фарминг
Бывает и такое, что жертва достаточно умна (или пофигистична), чтобы не переходить по ссылкам. В этом случае тебе придется прибегнуть к помощи троянов/джойнеров/скриптов для манипуляции с файлом HOSTS, либо взломать DNS- или DHCP-сервер ее провайдера. При этом, когда юзер заходит на сайт, чтобы проверить e-mail, происходит перенаправление на точно такой же, только фишинговый. Ничего не подозревая, пользователь вводит свои данные и при помощи скрипта внутренней авторизации попадает в свою «родную» почту, а логин и пароль попадают к тебе на почту. Вся прелесть в том, что жертва даже не догадывается о произошедшем.

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.

Введение

В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина. Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей: кража паролей, установка вредоносной программы.

Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1. Теория десяти рукопожатий

Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

  1. Жертве звонит сотрудник компании;
  2. Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.

Припоминаете старую теорию шести рукопожатий ? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.

Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам. Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.

Тактика 2. Изучение корпоративного языка

Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, - изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей. Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3. Заимствование музыки для ожидания во время звонков

Для осуществления успешной атаки мошенники нуждаются в трех составляющих: время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично - собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.

Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа. Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят: «Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4. Спуфинг (подмена) телефонного номера

Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.

Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании. Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.

Тактика 5. Использование новостей против вас

Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.

Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:

«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».

Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6. Использование доверия к социальным платформам

Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам. Недавний инцидент с целевым фишингом, направленным на пользователей LinkedIn, подтверждает эту теорию.

Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.

Тактика 7. Тайпсквоттинг

Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить. Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8. Использование FUD для воздействия на ранок ценных бумаг

FUD - тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций. Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.

Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.

Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.

Таким образом, многие будут стараться скупить эти акции как можно скорее, а они буду увеличиться в цене.

Выводы

Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя их этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.

@ 2024 klerdevi.ru - Компьютер. Программы. Windows. Компьютерная грамотность