Социальная инженерия
Материал из Википедии — свободной энциклопедии
 |
Эту статью следует викифицировать.
Пожалуйста, оформите её согласно правилам оформления статей.
|
 |
Стиль этой статьи неэнциклопедичен или нарушает нормы русского языка.
Статью следует исправить согласно стилистическим правилам Википедии.
|
 |
В этой статье не хватает ссылок на источники информации.
Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена.
Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники. |
Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности. Злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись от имени служащего, он просит напомнить свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.
Содержание |
[править] Техники и термины социальной инженерии
Все техники социальной инженерии основаны на особенностях принятия решений людьми, называемых когнитивным базисом. Они также могут быть названы "глюками в человеческом обеспечении".
[править] Претекстинг
Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн мессенджерам, например по icq
[править] Фишинг
Фишинг - техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее "проверки" определённой информации, или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.
[править] Троянский конь
Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении "клёвый" или "сексуальный" скрин-сейвер, важный апгрейд антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.
[править] Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.
Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2007". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый "самарянин" отнесёт диск в компанию.
[править] Кви про кво
Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.
[править] Обратная социальная инженерия
Целью обратной социальной инженерии (reverse social engineering) является заставить цель саму обратиться к злоумышленнику за "помощью". С этой целью хакер может применить следующие техники:
- Диверсия. Создание обратимой неполадки на компьютере жертвы.
- Реклама. Злоумышленник подсовывает жертве объявление вида "Если возникли неполадки с компьютером, позвоните по такому-то номеру".
[править] Защита пользователей от социальной инженерии
Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.
[править] Антропогенная защита
Простейшими методами антропогенной защиты можно назвать
- Привлечение внимания людей к вопросам безопасности.
- Осознание пользователями всей серьезности проблемы и принятие политики безопасности системы.
- Изучение и внедрение необходимых методов и действий для повышения защиты информационного обеспечения.
Данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей[1] не обращает внимание на предупреждения, даже написанные самым заметным шрифтом.
[править] Техническая защита
К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.
Наибольшую распространенность среди атак в информационном пространстве социальных сетей с использованием слабостей человеческого фактора получили атаки при помощи электронных писем, как то e-mail и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты. Помешать злоумышленнику получить запрашиваемую информацию можно анализируя как текст входящих писем (предположительно злоумышленника), так и исходящих(предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов. К примеру, если взломщику становится известно, что программа реагирует на слово "пароль" и слово "указать", злоумышленник может заменить их на "пассворд" и, соответственно, "ввести". Так же стоит принимать во внимание возможность написания слов с заменой кириллических букв латиницей для совпадающих символов (a,c,e,o,p,x,y,A,B,C,E,H,K,M,O,P,T,X) и использование так называемого языка t+.
Средства, мешающие воспользоваться полученной информацией можно разделить на те, которые полностью блокируют использование данных где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе CAPTCHA, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работе, требуемой для ее получения смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.
[править] Известные социальные инженеры
[править] Кевин Митник
Осуждённый компьютерный преступник и консультант по безопасности Кевин Митник популяризовал термин "социальная инженерия", указав, что для злоумышленника гораздо проще хитростью выудить информацию из системы, чем пытаться взломать её.
