3. Соціальна інженерія: Про справу не говори з тим, з ким можна, а з ким треба.
Соціальна інженерія - це метод (атак) несанкціонованого доступу до інформації або систем зберігання інформації без використання технічних засобів. Метод заснований на використанні слабостей людського фактора й вважається дуже руйнівним. Зловмисник одержує інформацію, наприклад, шляхом збору інформації для атаки, за допомогою звичайного телефонного дзвінка або шляхом проникнення в організацію під видом її службовця. Зловмисник може подзвонити працівникові компанії (під видом технічної служби) і вивідати пароль, пославшись на необхідність рішення невеликої проблеми в комп'ютерній системі. Дуже часто цей трюк проходить. Найдужча зброя в цьому випадку - приємний голос і акторські здібності. Зловмисник під виглядом службовця компанії дзвонить у службу технічної підтримки. Представившись від імені службовця, він просить нагадати свій пароль, або міняє його на новий, пославшись на безпам'ятність. Імена службовців вдається довідатися після низки дзвінків і вивчення імен керівників на сайті компанії й інших джерел відкритої інформації (звітів, реклами й т.п.). Далі справа техніки. Використовуючи реальні імена в розмові зі службою технічної підтримки, зловмисник розповідає придуману історію, що наприклад, не може потрапити на важливу нараду на сайті зі своїм обліковим записом віддаленого доступу. Іншою підмогою в даному методі є дослідження сміття організацій, віртуальних сміттєвих кошиків, крадіжка портативного комп'ютера або носіїв інформації. Даний метод використовується, коли зловмисник намітив як жертву конкретну компанію.
Техніка й терміни соціальної інженерії
Всі техніки соціальної інженерії засновані на особливостях прийняття рішень людьми, названих когнітивним базисом. Вони також можуть бути названі особливістю ухвалення рішення людської й соціальної психологій. Заснованої на тому що людина повинна комусь довіряти в соціальному середовищі виховання.
Претекстинг - це дія, відпрацьована по заздалегідь складеному сценарії (претексту). У результаті ціль повинна видати певну інформацію, або зробити певну дію. Цей вид атак застосовується зазвичай по телефоні. Частіше ця техніка містить у собі більше, ніж просто неправду, і вимагає яких-небудь попередніх досліджень (наприклад, персоналізації: дата народження, сума останнього рахунку й ін.), для того, щоб забезпечити довіру. До цього ж виду відносять атаки й по онлайн месенджерам, наприклад по icq.
Фішинг - техніка, спрямована на шахрайське одержання конфіденційної інформації. Звичайно зловмисник посилає лист по e-mail, підроблений під офіційний лист - від банку або платіжної системи - вимагаючи "перевірки" певної інформації, або здійснення певних дій. Це лист звичайно містить лінк на фальшиву веб-сторінку, що імітує офіційну, з корпоративним логотипом і контентом, і маючи форму, що вимагає ввести конфіденційну інформацію - від домашньої адреси до пін-коду банківської карти.
Троянський кінь: ця техніка експлуатує цікавість, або жадібність жертви. Зловмисник відправляє e-mail, що містить у вкладенні "кльовий" або "сексуальний" скрін-сейвер, важливий апгрейд антивірусу, або навіть свіжий компромат на співробітника. Така техніка залишається ефективною, поки користувачі будуть сліпо клікати по будь-яких вкладеннях.
Дорожнє яблуко: цей метод атаки являє собою адаптацію троянського коня, і складається у використанні фізичних носіїв. Зловмисник може підкинути інфікований CD, або флеш, у місці, де носій може бути легко знайдений (туалет, ліфт, паркування). Носій підробляється під офіційний, і супроводжується підписом, покликаним викликати цікавість.
Приклад: Зловмисник може підкинути CD, з корпоративним логотипом, і посиланням на офіційний сайт компанії жертви, і містити напис "Заробітна плата керівного складу Q1 2009". Диск може бути залишений на підлозі ліфта, або у вестибюлі. Співробітник через незнання може підібрати диск, і вставити його в комп'ютер, щоб задовольнити свою цікавість, або просто "добрий самаритянин" віднесе диск у компанію.
«Кві про кво»: зловмисник може подзвонити по випадковому номеру в компанію, і представитися співробітником техпідтримки, що опитує, чи є які-небудь технічні проблеми. У випадку, якщо вони є, у процесі їх "рішення" жертва вводить команди, які дозволяють хакеру запустити шкідливе програмне забезпечення.
Зворотна соціальна інженерія
Метою зворотної соціальної інженерії (reverse social engineering) є змусити ціль саму звернутися до зловмисника за "допомогою". Із цією метою хакер може застосувати наступні техніки:
• Диверсія. Створення невеликої неполадки на комп'ютері жертви.
• Реклама. Зловмисник підсуває жертві оголошення виду "Якщо виникли неполадки з комп'ютером, подзвоніть по такому-то номеру".
Захист користувачів від соціальної інженерії
Для захисту користувачів від соціальної інженерії можна застосовувати як технічні, так і антропогенні засоби.
Антропогенний захист
Найпростішими методами антропогенного захисту можна назвати
• Залучення уваги людей до питань безпеки.
• Усвідомлення користувачами всієї серйозності проблеми й прийняття політики безпеки системи.
• Вивчення й впровадження необхідних методів і дій для підвищення захисту інформаційного забезпечення.
Дані засоби мають один загальний недолік: вони пасивні. Величезний відсоток користувачів не звертає увагу на попередження, навіть написані самим помітним шрифтом.
Технічний захист
До технічного захисту можна віднести засоби, що заважають роздобути інформацію й засоби, що заважають скористатися отриманою інформацією.
Найбільшу поширеність серед атак в інформаційному просторі набули користувачі соціальних мереж («ВКонтакте», «Однокласники») з використанням слабкостей людського фактору, також атаки за допомогою електронних листів. Саме до таких атак можна з найбільшою ефективністю застосовувати обидва методи технічного захисту.
Відомі соціальні інженери
Засуджений комп'ютерний злочинець і консультант по безпеці Кевін Девід Мiтнiк (Kevin David Mitnick, 06.08.1963 р.н.) популяризував термін «соціальна інженерія», довівши, що для зловмисника набагато простіше хитрістю вивудити інформацію із системи, ніж намагатися зламати її.