[си] социальная инженерия

Tartuga

Бывалый
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER

Tartuga

Бывалый
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
PREMIUM USER
Регистрация
7 Фев 2020
Сообщения
525
Реакции
98
Репутация
147
Её ещё часто называют "взломом" человека. Для достижения желаемой цели, мошенник работает в основном не с компьютерами, а непосредственно с жертвой.

Как это работает?

Используя давно известные психологам шаблоны поведения, атакующая сторона может, например, незаметно выманить у жертвы критически важную информацию или заставить сделать опрометчивое решение.
Поскольку методы социальной инженерии очень эффективны, а стоимость попытки минимальная, мошенники применяют её повсеместно.

Для начала приведу простой пример. Многие почтовые сервисы часто имеет функцию восстановления пароля по секретному вопросу. Зачастую ответом на вопрос является личная информация о пользователе. Само собой, угадать с первого взгляда подобный ответ не представляется возможным. Но, используя коммуникативные навыки, мошенник может, например, завязать переписку в социальной сети, в ходе которой он каким-либо образом скомпрометирует необходимую ему информацию.

Атаки подобного плана в большинстве случаев тщательно планируются заранее. Это не выглядит так: "Привет, меня зовут Саша. Давай дружить. Ах да, чуть не забыл, скажи мне свой номер карточки и cvv" - на это никто не купится.
Я уже упомянул, что в поведении каждого человека полно шаблонов. Если жертва будет, например, уверенна, что говорит с сотрудником своего банка, то просьба сообщить данные карты уже начинает казаться не такой фантастической.

Приведу реальную схему взлома, использующий технику социальной инженерии. Есть сайт банка, на котором располагается форма типа "оставьте свой номер и мы с вам свяжемся". В коде, реализующем её работу, хакеры нашли ошибку, но ничего серьёзнее, чем перехватить введённый номер телефона, сделать невозможно. Но большего и не надо! Хакер, позвонив жертве, может легко выдать себя за сотрудника банка. Тут работает ещё одна закономерность в поведении: человек охотно во что-то поверит, если это соответствует его ожиданием. Заказали перезвон от банка - получайте! Не очень важна изначальная причина, по которой человек заказал перезвон. С очень большой вероятностью жертва сообщит данные карты, если мошенник грамотно её к этому подведёт. Более того, в некоторых случаях атакующему даже удаётся убедить позвонившего, например, отключить защиту в интернет банке.

Социальная инженерия содержит кучу приёмов и уловок. Вот одна из них: если к просьбе сделать что-либо добавить в конец причину, то вероятность вероятность того, что вам откажут сильно падает. Причём сама причина, большой роли не играет: важен факт её наличия.
Был проведён эксперимент. Цель - была воспользоваться копировальной машиной без очереди. Если звучала просто просьба вида "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной?", то увенчивалась она успехом в 60% случаев. Но если просьба была с мотивировкой типа "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной, потому что я спешу?", то вероятность успеха возрастала до 94%. Это кажется логичным, ведь человек объяснил, что он спешит. Но самое интересное, что если просьба была "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной, потому мне надо распечатать 5 страниц?", то она была успешной в тех же 94% случаев, хотя причину пройти вперёд веской назвать нельзя. Этот эксперимент показывает, что в поведении каждого человека есть закономерности, которые зачастую не очевидны. Сама социальная инженерия рассматривает пути практического применения знаний о подобных закономерностях.

Тот факт, что человек легко и без проверок поверит в то, что ему кажется логичным, используют при фишенге. Массовые рассылки спама уже не являются эффективными, но если хакер ищет индивидуальный подход, то ситуация резко меняется. Приведу пример одного из взломов: мошенник на стене жертвы в социальной сети нашёл информацию, что жертва часто использует амазон для совершения покупок. Хакер составил письмо от лица представителя амазон, в котором говорится, что одна из посылок вернулась в связи с изменением таможенного законодательства, и надо, пройдя по ссылке, чтобы подтвердить повторное отправление. После того, как ссылка была открыта, с помощью эксплоита на компьютер жертвы был загружен вирус. При этом жертве невозможно догадаться, что она только что попалась на фишинг, ведь её не просили ввести пароль или другие личные данные. Всё выглядело очень правдоподобно.

Сайты знакомств являются излюбленным местом для применения методов методов соц. инженерии. Мошенники заводят хорошо оформленные страницы с привлекательными фотографиями, которые придутся по вкусу потенциальной жертве. Вступая в диалог с клюнувшим пользователем, атакующая сторона, знакомая с методами общения на подобных сайтах, мастерский поддержит диалог от лица вымышленного человека. Пути развития тут могут быть абсолютно разные. Одно из самых простых: предложение созвониться по skype, но с оговоркой, что веб-камеры нет. Просьба перевести деньги на покупку камеры нередко заканчивается успехом. Само собой, после получения денег переписка обрывается. Подобный метод крайне прост в реализации и весьма действенен, но зачастую хакеры метят на сумы побольше. В таком случае мошенник, установив хорошие отношения с жертвой в сети, может предложить встретиться лично; подобное предложение может поступить первым и от жертвы. Только вот незадача, любовь всей жизни живёт в другом городе, а денег на авиабилет нет. В таком случае часто получается попросить жертву перевести деньги на покупку билета. Помимо этих, есть ещё уйма других методов.

Давайте подведём небольшой итог. Социальная инженерия являются очень мощным инструментом. Она часто применяется в целях мошенничества и являются очень эффективной в комбинациях с другими методами. Основные её особенности: маленькие затраты на реализацию, низкий порог входа, высокая эффективность, а самое главное - всеприменимость.
 
Сверху