Techniky sociálneho inžinierstva. Učebnica sociálneho inžinierstva. Typický algoritmus vplyvu v sociálnom hackingu

Techniky sociálneho inžinierstva Ľudský mozog je veľký pevný disk, úložisko obrovského množstva informácií. A tieto informácie môže použiť majiteľ aj akákoľvek iná osoba. Ako sa hovorí, hovorca je dar z nebies pre špióna. Aby ste ďalej pochopili význam nasledujúceho, mali by ste poznať aspoň základy psychológie.
Sociálne inžinierstvo nám to umožňuje "použi mozog" inú osobu pomocou rôznych metód a získať od nej potrebné informácie.
Wiki hovorí: „Sociálne inžinierstvo je metóda kontroly ľudského konania bez použitia technických prostriedkov“

Sociálne inžinierstvo- Toto je druh mladej vedy. Existuje mnoho metód a techník na manipuláciu ľudského vedomia. Kevin Mitnick mal pravdu, keď povedal, že niekedy je jednoduchšie podvádzať a získať informácie, ako hacknúť prístup k nim. Vo svojom voľnom čase si prečítajte knihu „Umenie podvodu“, bude sa vám páčiť.
Existuje reverzné sociálne inžinierstvo, ktorá je zameraná na získanie údajov od samotnej obete. S jeho pomocou obeť sama hovorí o svojich heslách a údajoch.

Na internete nie sú žiadne gestá, intonácia ani mimika. Celá komunikácia je založená na textových správach. A váš úspech v danej situácii závisí od toho, ako vaše správy ovplyvňujú partnera. Aké techniky možno použiť na skrytú manipuláciu s vedomím človeka?

Provokujúce
Presne povedané, toto je trolling. Človeka rozzúri, vo väčšine prípadov s informáciami zaobchádza nekriticky. V tomto stave môžete uložiť alebo prijať potrebné informácie.

Láska
Toto je možno najefektívnejšia technika. Vo väčšine prípadov som to použil)). V stave zamilovanosti človek málo vníma a to je presne to, čo manipulátor potrebuje.

Ľahostajnosť
Vzniká efekt ľahostajnosti manipulátora k určitej téme a partner sa ho zase snaží presvedčiť, čím sa dostane do pasce a odhalí informácie, ktoré potrebujete.

Rush
Často vznikajú situácie, keď sa manipulátor vraj niekam ponáhľa a neustále to naznačuje, no zároveň cielene presadzuje potrebné informácie.

Podozrenie
Metóda podozrievania je v niečom podobná metóde ľahostajnosti. V prvom prípade obeť dokáže opak, v druhom sa obeť snaží ospravedlniť „svoje podozrenie“, čím si neuvedomuje, že prezrádza všetky informácie.

Irónia
Podobne ako pri technike provokácie. Manipulátor človeka hnevá tým, že je ironický. On zase v hneve nie je schopný kriticky vyhodnotiť informácie. V dôsledku toho sa v psychologickej bariére vytvorí diera, ktorú manipulátor využíva.

Úprimnosť
Keď manipulátor povie účastníkovi rozhovoru úprimnú informáciu, účastník rozhovoru si vytvorí určitý druh dôveryhodného vzťahu, čo znamená oslabenie ochrannej bariéry. To vytvára medzeru v psychologickej obrane.

Vyššie opísané techniky úplne nevyčerpávajú celý potenciál sociálneho inžinierstva. O týchto technikách a metódach sa dá rozprávať a rozprávať. Po prečítaní týchto techník by ste si mali uvedomiť, že nemusíte nasledovať každého. Naučte sa ovládať seba a svoj hnev a potom bude vaša obrana vždy na správnej úrovni.
Naša pokračuje. Počkajte na nové články))

Sociálne inžinierstvo — neoprávnený prístup k dôverným informáciám prostredníctvom manipulácie s vedomím osoby. Metódy sociálneho inžinierstva vychádzajú zo zvláštností psychológie a sú zamerané na využitie ľudských slabostí (naivita, nepozornosť, zvedavosť, komerčné záujmy). Aktívne ich využívajú sociálni hackeri na internete aj mimo neho.

Čo sa týka digitálnych technológií, webových zdrojov, počítačov, smartfónov, „mozgová hmla“ používateľov siete nastáva trochu inak. Podvodníci umiestňujú nástrahy, pasce a ďalšie triky kdekoľvek a akokoľvek, na sociálnych sieťach, na hráčskych portáloch, v e-mailových schránkach a online službách. Tu je len niekoľko príkladov metód sociálneho inžinierstva:

Ako darček k sviatku... trójsky kôň

Bez ohľadu na charakter, povolanie, finančnú solventnosť sa každý človek teší na sviatky: Nový rok, 1. máj, 8. marec, Valentín atď., aby ich, samozrejme, oslávil, oddýchol si, naplnil svoju duchovnú auru pozitivitou. a zároveň si vymieňajte gratulácie so svojimi priateľmi a kamarátmi.

V tejto chvíli sú aktívni najmä sociálni hackeri. Počas sviatkov a sviatkov posielajú pohľadnice na účty e-mailových služieb: svetlé, farebné, s hudbou a... nebezpečným trójskym vírusom. Obeť, ktorá o takomto podvode nič nevie, v eufórii zábavy alebo jednoducho zvedavosti klikne na pohľadnicu. V tom istom okamihu malvér infikuje OS a potom čaká na správny okamih, aby ukradol registračné údaje, číslo platobnej karty alebo nahradil webovú stránku internetového obchodu v prehliadači falošnou a ukradol z účtu peniaze.

Výhodná zľava a vírus „načítaný“

Skvelý príklad sociálneho inžinierstva. Túžba „ušetriť“ svoje ťažko zarobené peniaze je úplne oprávnená a pochopiteľná, ale v rozumných medziach a za určitých okolností. Je o tom, že „nie je všetko zlato, čo sa blyští“.

Podvodníci pod rúškom najväčších značiek, internetových obchodov a služieb vo vhodnom dizajne ponúkajú nákup tovaru s neskutočnou zľavou a k nákupu dostanú darček... Vyrábajú falošné newslettery, vytvárajú skupiny na sociálnych sieťach a tematické „vlákna“ na fórach.

Naivní obyčajní ľudia, ako sa hovorí, sú „vedení“ týmto jasným komerčným plagátom: v zhone si v hlave spočítajú, koľko im zostane z platu, zálohy a kliknú na odkaz „kúpiť“, „prejsť na stránku kúpiť“ atď. Potom v 99 zo 100 prípadov namiesto výhodného nákupu dostanú na PC vírus alebo bezplatne pošlú peniaze sociálnym hackerom.

Darovanie hráčov + 300 % ku krádežiam

V online hrách a vo všeobecnosti v hrách pre viacerých hráčov, až na zriedkavé výnimky, prežijú tí najsilnejší: tí, ktorí majú silnejšie brnenie, poškodenie, silnejšiu mágiu, viac zdravia, many atď.

A samozrejme, každý hráč chce za každú cenu získať tieto vzácne artefakty pre svoju postavu, tank, lietadlo a ktovie čo ešte. V bitkách alebo kampaniach, vlastnými rukami alebo za skutočné peniaze (funkcia darovania) vo virtuálnom obchode hry. Byť najlepší, prvý... dosiahnuť posledný stupeň rozvoja.

Podvodníci vedia o týchto „herných slabinách“ a všetkými možnými spôsobmi zvádzajú hráčov k získaniu cenných artefaktov a zručností. Niekedy za peniaze, inokedy zadarmo, ale to nič nemení na podstate a účele darebnej schémy. Lákavé ponuky na falošných stránkach znejú asi takto: „stiahnite si túto aplikáciu“, „nainštalujte opravu“, „ak chcete získať položku, prejdite do hry“.

Výmenou za dlho očakávaný bonus je hráčsky účet odcudzený. Ak je dobre napumpovaný, zlodeji ho predajú alebo z neho vytiahnu platobné údaje (ak nejaké existujú).

Malvér + sociálne inžinierstvo = výbušná zmes klamstva

Výstražné ikony!

Mnoho používateľov ovláda myš v operačnom systéme „autopilot“: kliknite sem, tu; objavil toto, tamto, tamto. Málokedy sa niektorý z nich bližšie pozrie na typ súborov, ich objem a vlastnosti. Ale márne. Hackeri maskujú spustiteľné súbory malvéru ako obyčajné priečinky Windows, obrázky alebo dôveryhodné aplikácie, to znamená, že navonok, vizuálne ich nemožno rozlíšiť. Používateľ klikne na priečinok, jeho obsah sa, prirodzene, neotvorí, pretože to vôbec nie je priečinok, ale inštalátor vírusu s príponou .exe. A malvér „potichu“ preniká do OS.

Istým „protijedom“ na takéto triky je správca súborov Total Commander. Na rozdiel od integrovaného Prieskumníka Windows zobrazuje všetky podrobnosti o súbore: typ, veľkosť, dátum vytvorenia. Najväčším potenciálnym nebezpečenstvom pre systém sú neznáme súbory s príponami: „.scr“, „.vbs“, „.bat“, „.exe“.

Strach podporuje dôveru

1. Používateľ otvorí „stránku s hororovými príbehmi“ a okamžite dostane najnepríjemnejšie správy alebo dokonca správy: „váš počítač je infikovaný nebezpečným trójskym koňom“, „vo vašom OS bolo zistených 10, 20... 30 vírusov“, „spam sa odosiela z vášho počítača“ atď.
2. A okamžite ponúknu (prejavia „znepokojenie“) inštaláciu antivírusu, a preto vyriešia bezpečnostný problém vyjadrený na stránke. A čo je najdôležitejšie, úplne zadarmo.
3. Ak návštevníka prepadne strach o jeho PC, nasleduje odkaz a stiahne si... nie antivírus, ale falošný antivírus – falošný napchatý vírusmi. Nainštaluje a spustí – dôsledky sú primerané.

• Po prvé, webová stránka nemôže okamžite skenovať počítač návštevníka a identifikovať malvér.
• Po druhé, vývojári distribuujú svoje antivírusy, či už platené alebo bezplatné, prostredníctvom svojich vlastných, teda oficiálnych webových stránok.
• A nakoniec, po tretie, ak existujú pochybnosti a obavy o tom, či je operačný systém „čistý“ alebo nie, je lepšie skontrolovať systémový oddiel s tým, čo je k dispozícii, to znamená s nainštalovaným antivírusom.

Zhrnutie

Psychológia a hacking dnes idú ruka v ruke – ide o tandem využívania ľudských slabostí a softvérových zraniteľností. Na internete, počas sviatkov a všedných dní, vo dne či v noci a bez ohľadu na to, akú máte náladu, musíte byť ostražití, potláčať naivitu a zaháňať impulzy komerčného zisku a niečoho „zadarmo“. Pretože, ako viete, iba syr sa vydáva za nič a iba v pasci na myši. Vytvárajte si iba heslá, ukladajte si ich na miesta a zostaňte s nami, pretože ako vieme, prílišná bezpečnosť neexistuje.

Metódy sociálneho inžinierstva - presne o tom bude reč v tomto článku, ako aj o všetkom, čo súvisí s manipuláciou s ľuďmi, phishingom a krádežou databáz klientov a ďalšími. Andrey Serikov nám láskavo poskytol informácie, ktorých je autorom, za čo mu veľmi pekne ďakujeme.

A. SERIKOV

A.B.BOROVSKÝ

INFORMAČNÉ TECHNOLÓGIE SOCIÁLNEHO HACKINGU

Úvod

Túžba ľudstva po dokonalom plnení zadaných úloh slúžila ako rozvoj modernej výpočtovej techniky a snahy uspokojiť protichodné požiadavky ľudí viedli k vývoju softvérových produktov. Tieto softvérové ​​produkty nielen udržiavajú funkčnosť hardvéru, ale ho aj riadia.

Rozvoj vedomostí o človeku a počítači viedol k vzniku zásadne nového typu systému – „človek-stroj“, v ktorom môže byť človek umiestnený ako hardvér pracujúci pod kontrolou stabilného, ​​funkčného, ​​multitaskingového operačného systému. systém nazývaný „psychika“.

Predmetom práce je úvaha o sociálnom hackingu ako o odvetví sociálneho programovania, kde je človek manipulovaný pomocou ľudských slabostí, predsudkov a stereotypov v sociálnom inžinierstve.

Sociálne inžinierstvo a jeho metódy

Metódy manipulácie s ľuďmi sú známe už dlho, do sociálneho inžinierstva sa dostali najmä z arzenálu rôznych spravodajských služieb.

Prvý známy prípad konkurenčného spravodajstva pochádza zo 6. storočia pred Kristom a vyskytol sa v Číne, keď Číňania stratili tajomstvo výroby hodvábu, ktorý podvodne ukradli rímski špióni.

Sociálne inžinierstvo je veda, ktorá je definovaná ako súbor metód manipulácie ľudského správania, založených na využívaní slabých stránok ľudského faktora, bez použitia technických prostriedkov.

Podľa mnohých odborníkov najväčšiu hrozbu pre informačnú bezpečnosť predstavujú metódy sociálneho inžinierstva, už len preto, že využívanie sociálneho hackingu si nevyžaduje značné finančné investície a dôkladnú znalosť výpočtovej techniky, a tiež preto, že ľudia majú určité sklony k správaniu, ktoré môžu byť slúži na starostlivú manipuláciu.

A bez ohľadu na to, ako sa systémy technickej ochrany zdokonaľujú, ľudia zostanú ľuďmi so svojimi slabosťami, predsudkami, stereotypmi, pomocou ktorých riadenie prebieha. Nastavenie ľudského „bezpečnostného programu“ je najťažšia úloha a nie vždy vedie k zaručeným výsledkom, pretože tento filter je potrebné neustále upravovať. Hlavné motto všetkých bezpečnostných expertov tu znie relevantnejšie ako kedykoľvek predtým: „Bezpečnosť je proces, nie výsledok.“

Oblasti použitia sociálneho inžinierstva:

1. všeobecná destabilizácia práce organizácie s cieľom znížiť jej vplyv a možnosť následného úplného zničenia organizácie;
2. finančné podvody v organizáciách;
3. phishing a iné spôsoby krádeže hesiel s cieľom získať prístup k osobným bankovým údajom jednotlivcov;
4. krádež databáz klientov;
5. konkurenčné spravodajstvo;
6. všeobecné informácie o organizácii, jej silných a slabých stránkach, s cieľom následne zničiť túto organizáciu tak či onak (často používané na útoky nájazdníkov);
7. informácie o najperspektívnejších zamestnancoch s cieľom ďalej ich „nalákať“ do vašej organizácie;

Sociálne programovanie a sociálne hackovanie

Sociálne programovanie môžeme nazvať aplikovanou disciplínou, ktorá sa zaoberá cieleným ovplyvňovaním osoby alebo skupiny ľudí s cieľom zmeniť alebo udržať ich správanie želaným smerom. Sociálny programátor si teda kladie za cieľ: zvládnuť umenie riadiť ľudí. Základným konceptom sociálneho programovania je, že činy mnohých ľudí a ich reakcie na ten či onen vonkajší vplyv sú v mnohých prípadoch predvídateľné.

Metódy sociálneho programovania sú atraktívne, pretože buď sa o nich nikto nikdy nedozvie, alebo aj keď niekto niečo uhádne, je veľmi ťažké postaviť takúto postavu pred súd a v niektorých prípadoch je možné „naprogramovať“ správanie ľudí a jedna osoba a veľká skupina. Tieto príležitosti spadajú do kategórie sociálneho hackingu práve preto, že vo všetkých z nich ľudia vykonávajú vôľu niekoho iného, ​​ako keby poslúchli „program“ napísaný sociálnym hackerom.

Sociálny hacking ako schopnosť hacknúť človeka a naprogramovať ho, aby vykonal požadované akcie, pochádza zo sociálneho programovania - aplikovanej disciplíny sociálneho inžinierstva, kde špecialisti v tejto oblasti - sociálni hackeri - používajú techniky psychologického vplyvu a konania, požičané z arzenálu spravodajských služieb.

Sociálny hacking sa používa vo väčšine prípadov, keď ide o napadnutie osoby, ktorá je súčasťou počítačového systému. Počítačový systém, ktorý je napadnutý, sám osebe neexistuje. Obsahuje dôležitú zložku - osobu. A aby získal informácie, sociálny hacker potrebuje hacknúť človeka, ktorý pracuje s počítačom. Vo väčšine prípadov je to jednoduchšie, ako sa nabúrať do počítača obete v snahe zistiť heslo.

Typický algoritmus vplyvu v sociálnom hackingu:

Všetky útoky sociálnych hackerov zapadajú do jednej pomerne jednoduchej schémy:

1. je formulovaný účel ovplyvnenia konkrétneho objektu;
2. informácie o objekte sa zhromažďujú s cieľom odhaliť najvhodnejšie ciele vplyvu;
3. Na základe zozbieraných informácií sa realizuje etapa, ktorú psychológovia nazývajú príťažlivosťou. Príťažlivosť (z lat. Attrahere - priťahovať, priťahovať) je vytvorenie nevyhnutných podmienok na ovplyvňovanie objektu;
4. prinútiť sociálneho hackera konať;

Nátlak sa dosiahne vykonaním predchádzajúcich fáz, t. j. po dosiahnutí príťažlivosti samotná obeť podnikne kroky potrebné pre sociálneho inžiniera.

Sociálni hackeri na základe zozbieraných informácií pomerne presne predpovedajú psycho- a sociotyp obete, pričom identifikujú nielen potreby jedla, sexu atď., ale aj potrebu lásky, potrebu peňazí, potrebu pohodlia atď. ., atď.

A skutočne, prečo sa snažiť preniknúť do tej či onej spoločnosti, hackovať počítače, bankomaty, organizovať zložité kombinácie, keď všetko môžete urobiť jednoduchšie: zamilovať sa do vás človeka, ktorý z vlastnej vôle prevedie peniaze špecifikovaný účet alebo zdieľať potrebné peniaze zakaždým, keď informácie?

Na základe skutočnosti, že činy ľudí sú predvídateľné a tiež podliehajú určitým zákonom, sociálni hackeri a sociálni programátori používajú originálne viackrokové a jednoduché pozitívne a negatívne techniky založené na psychológii ľudského vedomia, behaviorálnych programoch, vibráciách vnútorných orgánov, logických myslenie, predstavivosť, pamäť, pozornosť. Tieto techniky zahŕňajú:

Drevo generátor - generuje oscilácie rovnakej frekvencie ako frekvencia oscilácií vnútorných orgánov, po ktorých sa pozoruje rezonančný efekt, v dôsledku čoho ľudia začínajú pociťovať vážne nepohodlie a stav paniky;

vplyv na geografiu davu - za pokojné rozpustenie mimoriadne nebezpečných agresívnych, veľkých skupín ľudí;

vysokofrekvenčné a nízkofrekvenčné zvuky - na vyvolanie paniky a jej spätného účinku, ako aj iných manipulácií;

program sociálnej imitácie - človek určuje správnosť činov tým, že zisťuje, aké činy iní ľudia považujú za správne;

claquering program - (založený na sociálnej imitácii) organizácia potrebnej reakcie publika;

vytváranie radov - (založené na sociálnej imitácii) jednoduchý, ale účinný reklamný ťah;

program vzájomnej pomoci - človek sa snaží oplatiť láskavosť tým ľuďom, ktorí mu urobili nejakú láskavosť. Túžba splniť tento program často prevyšuje všetky rozumy;

Sociálne hackovanie na internete

S nástupom a rozvojom internetu – virtuálneho prostredia pozostávajúceho z ľudí a ich interakcií sa rozšírilo prostredie na manipuláciu človeka s cieľom získať potrebné informácie a vykonať potrebné úkony. V súčasnosti je internet prostriedkom celosvetového vysielania, prostriedkom spolupráce, komunikácie a pokrýva celú zemeguľu. Práve to využívajú sociálni inžinieri na dosiahnutie svojich cieľov.

Spôsoby, ako manipulovať s osobou cez internet:

V modernom svete si majitelia takmer každej spoločnosti už uvedomili, že internet je veľmi efektívnym a pohodlným prostriedkom na rozšírenie ich podnikania a jeho hlavnou úlohou je zvyšovať zisky celej spoločnosti. Je známe, že bez informácií, ktorých cieľom je upútať pozornosť na požadovaný objekt, vyvolať alebo udržať záujem oň a presadiť ho na trhu, sa využíva reklama. Len vďaka tomu, že reklamný trh je už dávno rozdelený, väčšina druhov reklamy sú pre väčšinu podnikateľov vyhodené peniaze. Internetová reklama nie je len jedným z typov reklamy v médiách, je to niečo viac, keďže pomocou internetovej reklamy prichádzajú na web organizácie záujemcovia o spoluprácu.

Internetová reklama má na rozdiel od reklamy v médiách oveľa viac možností a parametrov na riadenie reklamnej spoločnosti. Najdôležitejším ukazovateľom internetovej reklamy je to Poplatky za internetovú reklamu sa strhávajú iba pri prepnutí zainteresovaný používateľ prostredníctvom reklamného odkazu, čo samozrejme robí reklamu na internete efektívnejšou a menej nákladnou ako reklama v médiách. Po podaní reklamy v televízii alebo v tlačených médiách ju teda v plnej výške zaplatia a jednoducho čakajú na potenciálnych klientov, ale klienti môžu na reklamu reagovať alebo nie - všetko závisí od kvality výroby a prezentácie reklamy v televízii alebo novinách , rozpočet na reklamu sa však už minul v prípade Ak reklama nefungovala, bola premrhaná. Na rozdiel od takejto mediálnej reklamy má internetová reklama schopnosť sledovať odozvu publika a spravovať internetovú reklamu ešte pred vyčerpaním jej rozpočtu; navyše internetová reklama môže byť pozastavená, keď sa dopyt po produktoch zvýši, a znovu sa spustí, keď dopyt začne klesať.

Ďalšou metódou ovplyvňovania je takzvané „zabíjanie fór“, kde pomocou sociálneho programovania vytvárajú antireklamu na konkrétny projekt. V tomto prípade sociálny programátor s pomocou očividných provokatívnych akcií zničí fórum sám pomocou niekoľkých pseudonymov ( prezývka) vytvoriť okolo seba skupinu proti vodcom a prilákať do projektu pravidelných návštevníkov, ktorí nie sú spokojní so správaním administratívy. Na konci takýchto podujatí je nemožné propagovať produkty alebo nápady na fóre. Na to bolo fórum pôvodne vyvinuté.

Metódy ovplyvňovania človeka cez internet za účelom sociálneho inžinierstva:

Phishing je typ internetového podvodu, ktorého cieľom je získať prístup k dôverným užívateľským údajom – prihlasovacím menám a heslám. Táto operácia sa dosahuje prostredníctvom hromadného rozosielania e-mailov v mene populárnych značiek, ako aj osobných správ v rámci rôznych služieb (Rambler), bánk alebo v rámci sociálnych sietí (Facebook). List často obsahuje odkaz na webovú stránku, ktorá je navonok nerozoznateľná od tej skutočnej. Keď sa používateľ dostane na falošnú stránku, sociálni inžinieri pomocou rôznych techník povzbudia používateľa, aby na stránke zadal svoje prihlasovacie meno a heslo, ktoré používa na prístup na konkrétnu stránku, čo mu umožňuje získať prístup k účtom a bankovým účtom.

Nebezpečnejším druhom podvodu ako phishing je takzvaný pharming.

Pharming je mechanizmus na skryté presmerovanie používateľov na phishingové stránky. Sociálny inžinier distribuuje do počítačov používateľov špeciálne škodlivé programy, ktoré po spustení na počítači presmerujú požiadavky z potrebných stránok na falošné. Útok je teda vysoko utajený a účasť používateľov je minimalizovaná – stačí počkať, kým sa používateľ rozhodne navštíviť stránky, ktoré sociálneho inžiniera zaujímajú.

Záver

Sociálne inžinierstvo je veda, ktorá vzišla zo sociológie a tvrdí, že je súborom vedomostí, ktoré usmerňujú, usporadúvajú a optimalizujú proces vytvárania, modernizácie a reprodukovania nových („umelých“) sociálnych skutočností. Istým spôsobom „dotvára“ sociologickú vedu, završuje ju vo fáze pretvárania vedeckých poznatkov na modely, projekty a návrhy spoločenských inštitúcií, hodnôt, noriem, algoritmov činnosti, vzťahov, správania atď.

Napriek tomu, že sociálne inžinierstvo je relatívne mladá veda, spôsobuje veľké škody procesom, ktoré sa vyskytujú v spoločnosti.

Najjednoduchšie metódy ochrany pred účinkami tejto deštruktívnej vedy sú:

Upozorňovanie ľudí na otázky bezpečnosti.

Používatelia chápu závažnosť problému a akceptujú politiku zabezpečenia systému.

Literatúra

1. R. Petersen Linux: Kompletný sprievodca: prel. z angličtiny — 3. vyd. - K.: BHV Publishing Group, 2000. – 800 s.

2. Z internetu Grodnev u vás doma. - M.: “RIPOL CLASSIC”, 2001. -480 s.

3. M. V. Kuznetsov Sociálne inžinierstvo a sociálny hacking. Petrohrad: BHV-Petersburg, 2007. - 368 s.: ill.

1. časť (rozdelená na časti kvôli veľkosti článku. Hneď ako získam 50 videní, uverejňujem druhú).

Mnoho skutočných hackerov, ktorí sa neustále zaoberajú hackovaním, má vždy v zásobe niekoľko SI trikov, pretože tam, kde nie je možné nájsť zraniteľnosť v kóde, ju možno často nájsť v mysliach podpornej služby alebo vlastníka e - mail, ICQ alebo web...

Od teórie k praxi
Čo je sociálne inžinierstvo ste si už prečítali v jednom z predchádzajúcich vydaní vášho obľúbeného časopisu, takže môžeme s istotou povedať, že hardvér je úspešne zvládnutý. Teraz navrhujem absolvovať cvičnú jazdu.

Sociálni inžinieri sú veľmi príjemní ľudia na rozhovor: kultivovaní, priateľskí, s veľkým zmyslom pre humor. Majú neskutočne flexibilnú myseľ, inovatívne myslenie a množstvo nápadov, ako efektívnejšie dosahovať svoje ciele. Práve na nich som sa obrátil o pomoc pri príprave materiálu. Našimi konzultantmi budú: GoodGod - tvorca jedného z najpopulárnejších projektov v ruskom jazyku o sociálnom inžinierstve socialware.ru; Ayumi (spylabs.org); Ivan je ďalší majster v hackovaní ľudských mozgov, ktorý chcel zostať inkognito.

Choď!

Únos ICQ čísla (bez primárneho e-mailu)
Na únos ICQ budete potrebovať:

• zoznam domén, na ktorých sú registrované e-maily (ako ich získať - prečítajte si v decembrovom čísle ][ za rok 2009, video „Hromadné únosy domén“ od GoodGod);
• ICQ číslo, z ktorého dôjde k prvotnému útoku;
• ICQ číslo vydané pre SEO špecialistu (s relevantnými údajmi a podrobnosťami v info).

Takže je tu „zbraň“, prejdime k útoku. Upútajte pozornosť obete: postačí napríklad situácia, v ktorej ste si ju pomýlili s niekým iným. Potom sa môžete ospravedlniť a začať neformálnu konverzáciu, čím si budete postupne budovať dôveru. Nechajte jej (obeť) chvíľu trvať, kým si na vás zvykne. Ďalej sa konverzácia obracia na tému zarábania peňazí - poviete im, čo zarábate na internete (zatiaľ nehovorte ako presne, aby ste neodstrašili svojho partnera). Po nejakom čase im povedzte, že priateľ, ktorý propaguje webové stránky, vám ponúkol prácu: nemusíte robiť nič špeciálne, ale každý deň príde asi 200 rubľov. Ak samotná obeť neprevezme iniciatívu, urobte prvý krok a ponúknite stretnutie s priateľom.

Ak sa nechcete hneď zoznámiť, zastavte na chvíľu túto konverzáciu, pretože ak stlačíte príliš silno, efekt môže byť opačný; Radšej sa k tomu vráťte o niečo neskôr pod inou zámienkou.

Mimochodom, ak je obeť prirodzene plachá, neprinútite ju nadviazať kontakt s neznámym človekom, takže sa budete musieť zapojiť do „kupliarstva“, aby k zoznámeniu skutočne došlo. A tak sa klient obráti na SEO kamaráta (teda na vás). Zdravú nedôveru prejavte hneď na začiatku otázkami typu „Kde ste sa o projekte dozvedeli? Od Sashe? Ach, Sasha... Áno, pamätám si. Dobre, teraz vám poviem podstatu práce." Ďalej nám povedzte o projekte ICQ Search, propagácii webových stránok, opíšte možnosti platby (200 rubľov za deň alebo 1400 za týždeň - nechajte ho, aby si vybral možnosť, ktorá je pre neho vhodná). Neustále sústreďte pozornosť „klienta“ na realistické detaily, aby ste ho odviedli od zbytočných myšlienok. Čím intenzívnejší je útok a čím viac nových informácií, tým menej času má na premýšľanie o tom, čo sa deje. Nakoniec popíšte schému zarábania peňazí: nech si vyberie stránku zo zoznamu pripraveného na začiatku, pozrie si whois na email, na ktorý stránka odkazuje (nech si to urobí sám) a zadá ho do „E-mail “ vo svojom ICQ profile. Nezabudnite vysvetliť, že ak je v údajoch ICQ a doméne uvedený rovnaký e-mail, čím častejšie sa vo vyhľadávaní vyhľadáva ICQ, tým vyššie je hodnotenie stránky vo vyhľadávači. Hneď ako obeť dokončí väzbu, obnovíte heslo na zadaný e-mail a UIN je vaše!

Ak heslo nedorazí e-mailom, znamená to, že číslo už má primárnu poštu a únos je potrebné zorganizovať iným spôsobom.

Mailový hacking
Zistite odpoveď na tajnú otázku
Otázky na poštových serveroch sú zvyčajne dosť podobné:

• Meno matky zaslobodna;
• Obľúbené jedlo;
• Meno domáceho zvieraťa;
• Číslo pasu;
• Osobná otázka (meno prvého učiteľa; index; obľúbený film; obľúbený interpret).

Na otázky ako „Obľúbené jedlo“ alebo „Meno psa“ si môžete vybrať odpoveď sami, ak máte dobrú intuíciu. Ak intuícia nie je vašou hlavnou silnou stránkou alebo si otázka vyžaduje konkrétnejšie znalosti, potom budete musieť tvrdo pracovať. Najprv zhromaždíme čo najviac informácií o majiteľovi boxu. Veľmi žiaduce je číslo ICQ alebo stránka VKontakte. Potom obeť pridáme do zoznamu kontaktov, zoznámime sa pod akoukoľvek zámienkou (tu sa nám budú hodiť všetky zhromaždené informácie) a začneme „útok“, aby sme našli odpoveď, ktorú potrebujeme na tajnú otázku. V tejto fáze je hlavnou vecou neponáhľať sa, všetko by malo byť konzistentné a prirodzené, aby obeť nemala žiadne podozrenie.

Aké schémy fungujú? Dievčenské meno matky - začnite tému o rodokmeni alebo o tom, aké vtipné priezvisko mala vaša matka pred manželstvom. Obľúbené jedlo - tu je všetko jasné. Meno zvieraťa - rozprávajte o domácich miláčikoch: minulosti, súčasnosti a budúcnosti, pretože kódovým slovom môže byť meno prvého darovaného škrečka. S číslom pasu to bude zložitejšie. Tu môžete byť v pokušení kúpiť si napríklad lacný, nedostatkový produkt, ktorý je doručený s platbou pri doručení, ale na zadanie objednávky potrebujete údaje z pasu a identifikačný kód. Meno prvej učiteľky môžete zistiť od spolužiakov obete, alebo sa s ňou priamo porozprávať o jej obľúbených učiteľoch; Je jednoduchšie získať index stiahnutím databázy mesta a od obete môžete jednoducho zistiť, v ktorej oblasti žije. Hlavná vec je tu vynaliezavosť, predstavivosť a trpezlivosť.

Existuje jedna malá, ale dôležitá nuansa. Niekedy pri otázke „Obľúbené jedlo“ môže byť odpoveďou napríklad telefónne číslo, teda úplný nesúlad medzi otázkou a odpoveďou. Tu budete musieť začať konverzáciu o smiešnych kombináciách a nezmyselnosti bezpečnostných otázok a potom začať odznova, najlepšie pod iným účtom.

Kontaktovanie zákazníckej podpory
Táto metóda je náročnejšia na prácu a desivá, ale je potrebná, ak si obeť nechce „vpichnúť“ alebo ak je krabica „mŕtva“, to znamená, že ju majiteľ dlho nenavštívil. Ak to chcete urobiť, prejdite na stránku podpory požadovanej e-mailovej služby a napíšte list so žiadosťou o obnovenie ukradnutého hesla. S najväčšou pravdepodobnosťou budete požiadaní o vaše meno, priezvisko (alebo údaje, ktoré boli uvedené pri registrácii), dátum narodenia a približný dátum registrácie schránky (aspoň rok). Snažte sa preto o obeti a jej schránke zistiť čo najviac informácií. Pomôžu vám s tým vyhľadávače, sociálne siete a blogy.

Phishing
Jeden z najefektívnejších spôsobov, ako získať heslo bez toho, aby o tom vlastník vôbec vedel. Obeti sa ponúkne odkaz na sledovanie a zadanie používateľského mena a hesla. Tieto údaje sa odošlú do súboru správ, databázy (ak je krádež masívna) alebo e-mailu. Hlavným trikom je prinútiť obeť, aby klikla na tento odkaz. Formulár môže byť akýkoľvek:

• Správa „od administrácie“ (čítaj: z poštovej služby so sfalšovanou adresou) o spame z tejto poštovej schránky. Príklad: „Vážený používateľ, (používateľské meno)! Váš účet dostal sťažnosti na spam, a preto má administratíva právo dočasne pozastaviť alebo zablokovať jeho prevádzku. Je dosť možné, že sa k nemu dostali útočníci. Ak chcete potvrdiť vlastníctvo účtu, znova ho autorizujte pomocou tohto odkazu (hypertextový odkaz na falošný). Ak do 5 dní nepríde potvrdenie, poštový účet bude zablokovaný. S pozdravom, podporná služba (názov poštovej služby).“ Hra na strach zo straty krabice.
• Keď viete o koníčkoch obete, môžete sa zaujímať. Napríklad list so zaujímavou témou, v ktorom je pokrytá iba časť informácií, zvyšok je pokrytý kliknutím na odkaz. Odkaz vedie na pseudoprihlasovaciu stránku a ostatné informácie si môžete prečítať až po prihlásení.

Príklad: „Len 15. – 17. augusta 2010 v (mesto obete) prebieha praktický tréning o 100% efektívnom budovaní medzirodových vzťahov! Prvýkrát budú odhalené nefalšované tajomstvá sexuality a príťažlivosti, z ktorých niektoré môžete vidieť tu (hyperlink). Ostatné je na tréningu. A nezabudnite, že teória je len teória. Všetko sa dá naučiť praxou. Školenie vedie autor Egor Asin (hyperlink). Pre prihlásených do 10. augusta je prvá lekcia zdarma. Ak sa chcete zaregistrovať, vyplňte tento formulár (hyperlink).

Poľnohospodárstvo
Stáva sa tiež, že obeť je dostatočne inteligentná (alebo ľahostajná), aby neklikala na odkazy. V tomto prípade sa budete musieť uchýliť k trójskym koňom/joinerom/skriptom, aby ste mohli manipulovať so súborom HOSTS alebo hacknúť server DNS alebo DHCP jeho poskytovateľa. Zároveň, keď používateľ prejde na stránku skontrolovať e-mail, dôjde k presmerovaniu presne na tú istú, iba phishingovú. Používateľ nič netuší, zadá svoje údaje a pomocou interného autorizačného skriptu sa dostane do svojho „natívneho“ e-mailu a na váš e-mail sa odošle prihlasovacie meno a heslo. Krása je, že obeť ani nevie, čo sa stalo.

V posledných rokoch si kyberzločinci využívajúci techniky sociálneho inžinierstva osvojili pokročilejšie metódy, ktoré s väčšou pravdepodobnosťou získajú prístup k potrebným informáciám, využívajúc modernú psychológiu zamestnancov podniku a ľudí vo všeobecnosti. Prvým krokom v boji proti tomuto typu triku je pochopiť taktiku samotných útočníkov. Pozrime sa na osem hlavných prístupov k sociálnemu inžinierstvu.

Úvod

V 90. rokoch koncept „sociálneho inžinierstva“ vytvoril Kevin Mitnick, ikonická osobnosť v oblasti informačnej bezpečnosti, bývalý seriózny hacker. Útočníci však takéto metódy používali dávno predtým, ako sa objavil samotný termín. Odborníci sú presvedčení, že taktika moderných kyberzločincov je spojená so sledovaním dvoch cieľov: krádeže hesiel a inštalácia malvéru.

Útočníci sa snažia využiť sociálne inžinierstvo pomocou telefónu, e-mailu a internetu. Poďme sa zoznámiť s hlavnými metódami, ktoré pomáhajú zločincom získať dôverné informácie, ktoré potrebujú.

Taktika 1. Teória desiatich podaní rúk

Hlavným cieľom útočníka, ktorý používa telefón na sociálne inžinierstvo, je presvedčiť svoju obeť o jednej z dvoch vecí:

1. Obeť prijme hovor od zamestnanca spoločnosti;
2. Volá zástupca oprávneného orgánu (napríklad strážca zákona alebo audítor).

Ak si zločinec zadá úlohu zbierať údaje o určitom zamestnancovi, môže najprv kontaktovať svojich kolegov a všetkými možnými spôsobmi sa pokúsiť získať údaje, ktoré potrebuje.

Pamätáte si starú teóriu šiestich podaní rúk? Odborníci na bezpečnosť tvrdia, že medzi kyberzločincom a jeho obeťou môže byť iba desať „potrasení rukou“. Odborníci sa domnievajú, že v moderných podmienkach musíte mať vždy malú paranoju, pretože neviete, čo od vás ten alebo ten zamestnanec chce.

Útočníci sa zvyčajne zameriavajú na sekretárku (alebo niekoho, kto zastáva podobnú pozíciu), aby zhromaždili informácie o ľuďoch vyššie v hierarchii. Odborníci poznamenávajú, že priateľský tón výrazne pomáha podvodníkom. Kľúč od vás pomaly, ale isto preberajú zločinci, čo čoskoro vedie k tomu, že zdieľate informácie, ktoré by ste predtým nikdy neprezradili.

Taktika 2. Učenie sa firemného jazyka

Ako viete, každé odvetvie má svoje špecifické formulácie. Úlohou útočníka, ktorý sa snaží získať potrebné informácie, je študovať vlastnosti takéhoto jazyka, aby mohol šikovnejšie využívať techniky sociálneho inžinierstva.

Všetky špecifiká spočívajú v štúdiu podnikového jazyka, jeho pojmov a vlastností. Ak kyberzločinec hovorí pre svoje účely známym, známym a zrozumiteľným jazykom, ľahšie si získa dôveru a dokáže rýchlo získať potrebné informácie.

Taktika 3: Požičajte si hudbu na podržanie hovorov počas hovorov

Na uskutočnenie úspešného útoku potrebujú podvodníci tri zložky: čas, vytrvalosť a trpezlivosť. Kybernetické útoky využívajúce sociálne inžinierstvo sa často vykonávajú pomaly a metodicky – zbierajú sa nielen údaje o správnych ľuďoch, ale aj takzvané „sociálne signály“. Deje sa tak s cieľom získať dôveru a oklamať cieľ. Útočníci môžu napríklad presvedčiť osobu, s ktorou komunikujú, že sú kolegovia.

Jednou z funkcií tohto prístupu je nahrávanie hudby, ktorú spoločnosť používa počas hovorov, kým volajúci čaká na odpoveď. Zločinec si na takúto hudbu najskôr počká, potom ju nahrá a potom ju využije vo svoj prospech.

Keď teda dôjde k priamemu dialógu s obeťou, útočníci v určitom okamihu povedia: „Počkajte chvíľu, na druhej linke je hovor.“ Potom obeť počuje známu hudbu a nepochybuje o tom, že volajúci predstavuje určitú spoločnosť. V podstate ide len o šikovný psychologický trik.

Taktika 4. Spoofing (zámena) telefónneho čísla

Zločinci často používajú spoofing telefónneho čísla, ktorý im pomáha sfalšovať číslo volajúceho. Útočník môže napríklad sedieť vo svojom byte a volať osobe, o ktorú má záujem, no na ID volajúceho sa zobrazí číslo vlastnené spoločnosťou, čo vytvára ilúziu, že podvodník volá pomocou firemného čísla.

Samozrejme, nič netušiaci zamestnanci vo väčšine prípadov prezradia citlivé informácie, vrátane hesiel, volajúcemu, ak ID volajúceho patrí ich spoločnosti. Tento prístup tiež pomáha zločincom vyhnúť sa sledovaniu, pretože ak zavoláte späť na toto číslo, budete presmerovaní na internú linku spoločnosti.

Taktika 5: Použitie správ proti vám

Bez ohľadu na aktuálne titulky správ útočníci používajú tieto informácie ako návnadu na spam, phishing a iné podvodné aktivity. Niet divu, že odborníci v poslednom čase zaznamenali nárast počtu spamových e-mailov, ktorých témy sa týkajú prezidentských kampaní a ekonomických kríz.

Príkladom môže byť phishingový útok na banku. E-mail hovorí asi takto:

„Vašu banku [názov banky] získava iná banka [názov banky]. Kliknite na tento odkaz, aby ste sa uistili, že vaše bankové informácie sú aktualizované, kým sa obchod neuzavrie.“

Prirodzene, ide o pokus získať informácie, pomocou ktorých sa môžu podvodníci prihlásiť do vášho účtu, ukradnúť vám peniaze alebo predať vaše informácie tretej strane.

Taktika 6: Využite dôveru v sociálne platformy

Nie je žiadnym tajomstvom, že Facebook, Myspace a LinkedIn sú mimoriadne obľúbené sociálne siete. Podľa odborného výskumu majú ľudia tendenciu dôverovať takýmto platformám. Nedávny incident spear-phishing zameraný na používateľov LinkedIn túto teóriu podporuje.

Mnoho používateľov teda bude dôverovať e-mailu, ak tvrdí, že pochádza z Facebooku. Bežnou taktikou je tvrdiť, že na sociálnej sieti prebieha údržba a že na aktualizáciu informácií musíte kliknúť sem. Odborníci preto odporúčajú, aby zamestnanci podniku zadávali webové adresy manuálne, aby sa vyhli phishingovým odkazom.

Je tiež potrebné pamätať na to, že vo veľmi zriedkavých prípadoch stránky vyzvú používateľov na zmenu hesla alebo aktualizáciu účtu.

Taktika 7. Typesquatting

Táto škodlivá technika je pozoruhodná tým, že útočníci využívajú ľudskú chybu, konkrétne chyby pri zadávaní adresy URL do panela s adresou. Tým, že sa používateľ pomýli len v jednom písmene, sa môže dostať na webovú stránku vytvorenú špeciálne na tento účel útočníkmi.

Kyberzločinci starostlivo pripravujú pôdu na preklepy, takže ich web bude presne taký, ako ten legitímny, ktorý ste pôvodne chceli navštíviť. Ak teda zle napíšete svoju webovú adresu, skončíte na kópii legitímnej stránky, ktorej účelom je buď niečo predať, alebo ukradnúť údaje alebo distribuovať malvér.

Taktika 8. Použitie FUD na ovplyvnenie akciového trhu

FUD je taktika psychologickej manipulácie používaná v marketingu a propagande vo všeobecnosti, ktorá spočíva v prezentovaní informácií o niečom (najmä o produkte alebo organizácii) takým spôsobom, aby v publiku zasiala neistotu a pochybnosti o jej kvalitách a tým spôsobila. strach z toho.

Podľa najnovšieho výskumu spoločnosti Avert môže bezpečnosť a zraniteľnosť produktov a dokonca celých spoločností ovplyvniť akciový trh. Výskumníci napríklad študovali vplyv udalostí, ako je Microsoft Patch Tuesday, na akcie spoločnosti, pričom každý mesiac po zverejnení informácií o zraniteľnostiach zistili výrazné kolísanie.

Môžete si tiež spomenúť, ako v roku 2008 útočníci šírili nepravdivé informácie o zdraví Steva Jobsa, čo viedlo k prudkému poklesu akcií Apple. Toto je najtypickejší príklad použitia FUD na škodlivé účely.

Okrem toho stojí za zmienku použitie e-mailu na implementáciu techniky „pump-and-dump“ (schéma manipulácie výmenného kurzu na burze alebo trhu s kryptomenami s následným kolapsom). V tomto prípade môžu útočníci posielať e-maily popisujúce úžasný potenciál akcií, ktoré si vopred nakúpili.

Mnohí sa teda budú snažiť tieto akcie čo najskôr odkúpiť a ich cena sa zvýši.

závery

Kyberzločinci sú často mimoriadne kreatívni pri používaní sociálneho inžinierstva. Po oboznámení sa s ich metódami môžeme konštatovať, že rôzne psychologické triky útočníkom výrazne pomáhajú dosiahnuť ich ciele. Na základe toho by ste si mali dávať pozor na každú maličkosť, ktorá by mohla neúmyselne odhaliť podvodníka, preveriť si a dvakrát skontrolovať informácie o ľuďoch, ktorí vás kontaktujú, najmä ak sa hovorí o dôverných informáciách.