- •История
- •Техники
- •Фишинг
- •Как распознать фишинг-атаку
- •Популярные фишинговые схемы
- •Телефонный фрикинг
- •Претекстинг
- •Квид про кво
- •Троянский конь
- •«Дорожное яблоко»
- •Сбор информации из открытых источников
- •Плечевой серфинг
- •Обратная социальная инженерия
- •Известные социальные инженеры
- •Кевин Митник
- •Братья Бадир
- •Архангел
- •Другие
- •Способы защиты от социальной инженерии
- •Как определить атаку социального инженера
- •Классификация угроз
- •Угрозы, связанные с телефоном
- •Угрозы, связанные с электронной почтой
- •Угрозы, связанные с использованием службы мгновенного обмена сообщениями
- •Основные защитные методы
- •Многоуровневая модель обеспечения безопасности
- •Ответственность
- •Претекстинг и запись телефонных разговоров
- •Hewlett-Packard
- •В массовой культуре
- •Примечания
- •См. также
- •Ссылки
- •Источники текстов и изображения, авторы и лицензии
- •Текст
- •Изображения
- •Лицензия
4
полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.
2.5.Сбор информации из открытых источников
Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети[9].
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето[10] выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
2.6. Плечевой серфинг
Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространен в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.
Опрос ИТ-специалистов в белой книге[11] о безопасности показал, что:
3 ИЗВЕСТНЫЕ СОЦИАЛЬНЫЕ ИНЖЕНЕРЫ
82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.
2.7. Обратная социальная инженерия
Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.
Примером обратной социальной инженерии может служить следующий простой сценарий. Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника.[12]
3.Известные социальные инженеры
3.1. Кевин Митник
85 % опрошенных признались, что видели кон- |
Одним из самых знаменитых социальных инженеров |
фиденциальную информацию, которую им не |
в истории является Кевин Митник. Будучи всемирно |
положено было знать; |
известным компьютерным хакером и консультантом |