по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека. В 2002 году вышла книга «Искусство обмана» (англ. «The Art of Deception») под его авторством[1], повествующая о реальных историях применения социальной инженерии[13]. Кевин Митник утверждает, что намного проще получить пароль путём обмана, нежели пытаться взломать систему безопасности[14].

3.2. Братья Бадир

Несмотря на то, что братья Мундир, Мушид и Шади Бадир были слепыми от рождения, они сумели реализовать несколько крупных схем мошенничества в Израиле в 1990-х, использовав социальную инженерию и подделку голоса. В телеинтервью они сказали: «Полностью от сетевых атак застрахован лишь тот, кто не пользуется телефоном, электричеством и ноутбуком». Братья уже побывали в тюрьме за то, что им удалось услышать и расшифровать секретные интерференционные тоны провайдеров телефонной связи. Они подолгу звонили за границу за чужой счет, перепрограммировав интерференционными тонами компьютеры провайдеров сотовой связи[15].

3.3. Архангел

Обложка журнала «Phrack»

Знаменитый компьютерный хакер и консультант по безопасности в известном англоязычном интернетжурнале «Phrack Magazine», Архангел продемонстрировал возможности техник социальной инженерии, за короткое время получив пароли от огромного количества различных систем, обманув несколько сотен жертв.

3.4. Другие

Менее известными социальными инженерами являются Фрэнк Абигнейл, Дэвид Бэннон, Питер Фостер и Стивен Джей Рассел.

5

4.Способы защиты от социальной инженерии

Для проведения своих атак злоумышленники, применяющие техники социальной инженерии, зачастую эксплуатируют доверчивость, лень, любезность и даже энтузиазм пользователей и сотрудников организаций. Защититься от таких атак непросто, поскольку их жертвы могут не подозревать, что их обманули. Злоумышленники, использующие методы социальной инженерии, преследуют, в общем, такие же цели, что и любые другие злоумышленники: им нужны деньги, информация или ИТ-ресурсы компаниижертвы. Для защиты от таких атак нужно изучить их разновидности, понять, что нужно злоумышленнику, и оценить ущерб, который может быть причинен организации. Обладая всей этой информацией, можно интегрировать в политику безопасности необходимые меры защиты.

4.1.Как определить атаку социального инженера

Ниже перечислены методы действий социальных инженеров:

представление другом-сотрудником либо новым сотрудником с просьбой о помощи;

представление сотрудником поставщика, партнерской компании, представителем закона;

представление кем-либо из руководства;

представление поставщиком или производителем операционных систем, звонящим, чтобы предложить обновление или патч жертве для установки;

предложение помощи в случае возникновения проблемы и последующее провоцирование возникновение проблемы, которое принуждает жертву попросить о помощи;

использование внутреннего сленга и терминологии для возникновения доверия;

отправка вирус или троянского коня в качестве приложения к письму;

использование фальшивого pop-up окна, с просьбой аутентифицироваться еще раз, или ввести пароль;

предложение приза за регистрацию на сайте с именем пользователя и паролем;

записывание вводимых жертвой клавиш компьютером или программой;