Социальная инженерия: тонкая игра на людских слабостях

Несмотря на то, что информационная безопасность бесконечно совершенствуется, данные и объекты, представляющие интерес для взлома, защищают, прежде всего, люди. Обычные люди со своими страхами, предрассудками, комплексами и слабыми местами, на которых хакер может сыграть.

Атакуя человека, который работает с нужной нам информацией, сервером или компьютером, мы пользуемся приемами социальной инженерии. Многие специалисты не без основания считают, что в ближайшем будущем социальная инженерия станет представлять наибольшую угрозу, так как технические средства все больше и больше совершенствуются, а люди так и остаются людьми. Человеческий фактор нужно учитывать постоянно. Например, работник честный, трудолюбивый, без видимых слабых сторон, надежный, как скала, – и ты думаешь, что его уже ничем нельзя взять. Уж он-то никогда не отдаст тебе корпоративные секреты своей компании! А тут вдруг по какой-то причине человеку понизили заработную плату, может, мировой финансовый кризис так сказался, а может, другие причины были у руководства, и все – человек уже обижен. На его обиде легко можно сыграть, добившись того, что ранее было невозможно.

Безусловно, применение приемов социальной инженерии требует не только знания психологии, но и умения собрать о человеке необходимую информацию. К счастью, блогосфера уже развита настолько хорошо, что такие сайты, как livejournal, «Одноклассники», «Вконтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Выплескивая обиду в постах и оставляя различные комментарии, мы выдаем некоторую информацию о себе, не подозревая, что это может кого-то интересовать. И все может быть использовано против нас!

Приведу пример из жизни не социального хакинга, а использования такой вот информации с целью выведения человека на чистую воду. Допустим, наш «объект» отправляется в другую страну, говорит: «улетаю 9-го числа». Проверить его слова невозможно. Но мы, зная, что у него есть жена, которая очень любит по секрету всему свету писать в ЖЖ, идем и ищем информацию в блоге. В одном из комментариев в чужом журнале она проговаривается, когда именно летит ее муж и она сама. Все, информация найдена, ее можно использовать с целью выведения человека на чистую воду.

Поймав «жертву» на лжи, можно использовать психологическое давление, совершить какую-нибудь манипуляцию, сыграть на чувстве вины – и так далее. Это примитивный бытовой пример. Или подумай, как можно использовать найденную информацию о том, что у человека нестандартная сексуальная ориентация? Пригрозив рассказать об этом его окружению, можно добиться не только пароля на защищенную область корпоративного сайта, но и плотно держать человека на крючке. Именно такими приемами и найденным компроматом пользуются спецслужбы, имея своих агентов там, где это нужно. Так что недооценка человеческого фактора службами безопасности может быть если не фатальной, то приносящей значительный урон.

Воздействие на жертву

В одном из номеров ][акера мы уже рассматривали схему воздействия – актуальна она и для воздействия в социальной инженерии. Вспомним, из чего состоит схема:

• Определение цели воздействия;
• Сбор информации об объекте – попросту компрометирующие данные, слабые стороны, стереотипы;
• Создание необходимых условий для воздействия на объект (здесь могут использоваться как приемы гипноза, психологического давления, так и создание условий, при которых «жертва» окажется в компрометирующей ее ситуации; можно использовать и банальный подкуп, если в предыдущем этапе выяснилось, что человек в этом слаб);
• Понуждение к действию (я тебе деньги – ты мне пароль, или я тебе компрометирующие фотографии, а ты забудешь на ночь закрыть нужный мне порт);
• Получение результата.

Утечки

По каким каналам утекает нужная информация? Возьмем, к примеру, выставки и презентации. Представитель компании, который стоит у стенда, даже не замечает, как может выдавать секретную информацию. Предположим, компания небольшая, и на стенд выставки отправили секретаря или помощницу вице-президента. Ну, нет у них специальных людей для этого! Такая помощница может знать очень много о том, куда, когда и с кем ездил вице-президент. А представившись его знакомым и задав сначала вопросы по продукции, затем можно постепенно переходить на действительно интересующие тебя темы.

Каналом утечки может быть и элементарное несоблюдение правил безопасности. Бывают случаи, когда в небольшую компанию приходит лучший друг заболевшего системного администратора и берется, скажем, заменить сетевую карту на файловом/SQL-сервере. Как следствие – слита база данных, встроен бэкдор, установлен перехватчик сетевых пакетов и т.д. Причем, пришел необязательно человек со стороны, узнавший, что системный администратор болен. Это действительно может быть его знакомый, которого попросили подменить. Но спрашивается, куда смотрит служба безопасности или руководство в таких случаях? Может, тебе это кажется невероятным? Мой личный опыт показывает, что по такой вот наводке с целью, например, вылечить завирусованные файлы, можно совершенно спокойно унести полную базу небольшой компании. Сколько бы ни писали предупреждений, люди снова и снова попадаются в одни и те же ловушки и наступают на старые грабли.
Еще один канал утечки информации – уборщицы и подсобный персонал.

Иногда служба безопасности ставит электронные замки на двери, добавив к ним несколько постов охраны до кабинета директора, чтобы никто не смог незаконно проникнуть и унести конфиденциальные данные. А потом выясняется, что уборщица беспрепятственно может войти в этот самый кабинет в любое время дня и ночи. Может скопировать, прочитать, подсмотреть информацию и рассказать ее случайно (или неслучайно) кому-то. И кто будет виноват? А виноват-то сам директор, который разбрасывает бумаги на столе или забывает, пренебрегает уничтожителем документов – просто бросает их в урну. В крупных компаниях предпринимаются титанические усилия, чтобы свести такие ошибки к минимуму, но они все равно есть и будут. Для хакера же это все – каналы утечки информации.

Необходимые условия

Какую бы роль ни разыгрывал хакер, будь то роль уборщицы, инженера-телефониста или сотрудника газеты, для взлома человеческого фактора в цепи информационных систем он должен «вжиться» в персонажа, которого играет. Хороший социальный хакер на 50% актер, на остальные 50% – психолог. А из них 10% приходится на знание предметной области, которую он собрался ломать. Под знанием предметной области я понимаю такие вещи, как терминология, ориентирование в ситуации и последних новостях и новинках отрасли. Социальный хакер должен не просто надеть маску-роль, он обязан соответствовать своей маске, чтобы не получилось, что человек блистает манерами посудомойки на королевском балу. Манера разговора, понятийный аппарат - все должно соответствовать выбранной роли.

Теперь поговорим о нескольких ключевых правилах. Одно из них звучит так: «большинство людей отрицательно зависимы от своего собственного чувства значимости». И это является отличной мишенью для атак! Отрицательная зависимость - это жажда человека выделиться любой ценой. Распознать такого человека легко, ибо даже на объективную критику, сказанную в нормальном тоне, такая личность обижается, надувается, может затаить злобу, демонстрировать всем своим видом чувство оскорбленного достоинства. Самый простой прием, которым такого человека можно социально взломать, - это лесть. Достаточно польстить, сказать ему: «я вижу, как тебя не ценят, не понимают», и человек уже растаял…

Допустим, ты занимаешься выманиванием клиентской базы у конкурентов, и тогда за лестью «обиженному человеку» может последовать предложение о работе, в котором невзначай упоминается, что платить будут еще и проценты от каждого привлеченного клиента. После этого человек вместе с клиентской базой конкурента сам придет и базу принесет, и не нужно ничего взламывать.

Еще одно правило, о котором я хотела упомянуть, можно сформулировать так: «люди хотят, чтобы все хорошее, что может произойти, произошло бы с ними как можно быстрее и без особых усилий». Пример работы этого правила в социальной инженерии - миллионы обманутых вкладчиков с помощью всевозможных финансовых пирамид (МММ, «Русский дом Селенга», «Хопер-инвест» и другие). Люди до сих пор верят, что отделавшись минимальными затратами, можно получить сверхприбыль. Что касается правила «некоторые люди очень жадны до денег», то я уже упоминала вскользь, лишь повторю, что людям свойственно утрачивать чувство реальности, увидев перед собой купюру, не говоря уже о пачке или чемоданчике с деньгами. Социальная инженерия – это, в общем-то, игра на пороках и слабостях людей.
И последний необходимый атрибут социального хакера - продумывание мелочей. Если ты представился корреспондентом журнала с целью выманить нужную тебе информацию, то не забудь приготовить визитку, где будет указан телефон, по которому твою легенду о том, кем ты являешься, смогут подтвердить. Учитывай любые мелочи, вживайся в роль от и до.

Социальное программирование

Помимо термина «социальная инженерия» существует понятие «социального программирования». Тут ты можешь вспомнить все, что тебе доводилось читать в предыдущих выпусках Psycho о НЛП, манипулировании, психологии толпы. По сути, социальное программирование людей - это некий инструмент влияния, который может существовать самостоятельно, независимо от взлома, а может быть помощником при взломах.

Например, стоит задача разорить какой-то банк. Сделать это можно несколькими путями, один из них чисто технический: взломать сервер, совершить финансовую махинацию при помощи технического взлома сервера. Это сложно, долго и дорого. Можно использовать социальную инженерию, найти слабые места у служащих банка, спровоцировать их на передачу необходимой тебе информации.

А можно поступить еще проще: воспользоваться методом социального программирования. Всем известно, что если много людей разом пойдут снимать свои деньги из банка, он попросту обанкротится. Таким образом, задача сводится к программированию людей забрать свои деньги именно из того банка, который является мишенью. А для этого можно пустить в ход черный пиар, распространить слух о том, что вкладчики именно этого банка вот-вот потеряют все свои средства. И люди побегут к банкоматам. Пускай сначала это будет всего десяток человек – далее сработает эффект «социального доказательства» (иногда его называют «принцип подражательства» или «программа социальной оглядки»), который заключается в том, что в той или иной ситуации люди считают свое поведение правильным, если другие люди поступают точно также, и, соответственно, неправильным, если так никто не делает. Таким образом, достаточно создать небольшую очередь у банкоматов и пустить нужный слух, – снятие денег станет массовым и лавинообразным. Никто ничего не взламывал, а банк разорился. Так работают программы социального программирования.

Интересные истории

Чтобы показать на примере, как может работать социальная инженерия, зададимся целью взломать ЖЖ-аккаунт определенного человека – ради получения доступа к подзамочным постам. Это будет первый этап воздействия на «жертву». Вторым этапом у нас идет сбор информации о «жертве». Так как взлом у нас не технический, а с применением социальной инженерии, то сбор информации должен содержать личные данные, номера телефона, дату рождения, номер icq – все, что обычные пользователи любят использовать в качестве пароля своего аккаунта. Впрочем, это, кажется слишком примитивным. Пользователи у нас уже не такие наивные, и поэтому вся собранная информация не дает тебе нужного эффекта: пароль никак не хочет подбираться. А почитать записи надо позарез.

Что сделает социальный хакер? Правильно, – он пойдет более сложным путем, ведь чтобы читать подзамочные записи, нужно всего лишь входить в группу друзей жертвы. Но тут мало создать липовый аккаунт, если человеку есть, что прятать, он не станет добавлять в друзья кого ни попадя. Остается только одно: какое-то время планомерно вести второй аккаунт, параллельно собирая информацию о жертве: что она любит, какие у нее интересы, в каких сообществах обитает и кто составляет круг ее друзей. Наметив психотип личности и обзаведясь липовым, но работающим аккаунтом, можно знакомиться с жертвой (это уже 3-й этап – понуждение к действию). Не торопись сразу набиваться в друзья, помелькай, попробуй добиться того, чтобы жертва сама добавила тебя во френды, играй на общих с ней интересах. Как только тебе удалось заинтересовать жертву, и она добавила тебя в друзья, ты своей цели достиг.

Можно пойти дальше, если тебе не просто нужно читать чьи-то подзамочные записи, а следить за информацией – познакомиться с человеком лично с целью уже более тонких комбинаций: выведывания нужной коммерческой информации, оказания тебе под «соусом дружбы» услуг, которые могут быть специфичными для рода деятельности твоей «жертвы». Скажем, он инспектор ГИБДД, а тебе нужен свой человек в этих кругах или еще что-то. Таким образом, планомерно, этап за этапом, выстраивая вокруг «жертвы» ловушку, ты занимаешься взломом без применения технических средств – исключительно используя мозги и знание психологии.

Напутствие

Чтобы понять действия злоумышленников, нужно учиться мыслить, как они, хотя бы для того, чтобы уметь защищаться от подобного рода атак. Помни, что применение некоторых методов может привести тебя к весьма печальным последствиям, ведь кража и взлом - уголовно наказуемые деяния. Используй знания на пользу, а не во вред. И пусть удача всегда улыбается тебе, а социальные хакеры обходят стороной.

Хакеры мира

• Джонотан Джеймс. Прославился, когда его, шестнадцатилетнего подростка, упекли в тюрьму за взлом серверов NASA. В одном из интервью Джеймс признался, что «просто играл, присматривался. То, что было для меня забавой, было большой проблемой для тех, кто видел, что я могу сделать».
• Эдриан Ламо. Стал известным после взлома Нью-Йорк Таймс и Майкрософт. Его прозвали «бездомным хакером», потому что для взломов он пользовался выходами в интернет из библиотек, кофеен, закусочных.
• Кевин Митник. Своего рода лицо хакеров, славу которого преумножили СМИ, хотя его взломы были менее значимыми, чем у Джеймса и Ламо.