Част 1 (разделена на части поради големината на статията. Веднага щом събера 50 гледания, публикувам втората).

Много истински хакери, които постоянно се занимават с хакване, винаги имат на склад няколко SI трика, защото там, където е невъзможно да се намери уязвимост в кода, тя често може да се намери в съзнанието на службата за поддръжка или собственика на e -поща, ICQ или уебсайт...

От теория към практика
Вече сте чели какво е социално инженерство в един от предишните броеве на любимото ви списание, така че можем спокойно да кажем, че хардуерът е успешно усвоен. Сега предлагам да направим тренировъчно каране.

Социалните инженери са много приятни хора за общуване: културни, приятелски настроени, със страхотно чувство за хумор. Имат невероятно гъвкав ум, иновативно мислене и много идеи как по-ефективно да постигнат целите си. Именно към тях се обърнах за помощ при подготовката на материала. Нашите консултанти ще бъдат: GoodGod - създателят на един от най-популярните рускоезични проекти за социално инженерство socialware.ru; Аюми (spylabs.org); Иван е друг майстор на хакването човешки мозъци, който пожела да остане инкогнито.

да тръгваме!

Отвличане на ICQ номер (без основен имейл)
За да отвлечете ICQ ще ви трябва:

• списък с домейни с имейли, регистрирани в тях (прочетете как да ги получите в декемврийския брой на ][ 2009, видео „Масово отвличане на домейн“ от GoodGod);
• ICQ номер, от който ще се извърши първоначалната атака;
• ICQ номер, издаден под SEO специалист(със съответните данни и подробности в инфото).

Ако не искате да се запознаете веднага, спрете този разговор за известно време, защото ако натиснете прекалено силно, ефектът може да е обратен; По-добре се върнете към това малко по-късно под друг предлог.

Между другото, ако жертвата е естествено срамежлива, няма да я принудите да се свърже с непознат, така че ще трябва да се включите в „сводничество“, за да се осъществи запознанството. И така, клиентът се обръща към SEO приятел (т.е. към вас). Покажете здравословно недоверие в началото, като задавате въпроси като „Откъде научихте за проекта? От Саша? Ааа, Саша... Да, помня. Добре, сега ще ви разкажа същността на работата. След това ни разкажете за проекта за търсене на ICQ, промоцията на уебсайта, опишете опциите за плащане (200 рубли на ден или 1400 на седмица - нека избере опцията, която е удобна за него). Постоянно фокусирайте вниманието на „клиента“ върху реалистични детайли, така ще го отвлечете от ненужни мисли. Колкото по-интензивна е атаката и толкова повече нова информация, толкова по-малко време има да мисли какво се случва. Накрая опишете схемата за печелене: оставете го да избере сайт от списъка, подготвен в началото, да прегледа whois за имейла, към който е свързан сайтът (нека го направи сам) и да го въведе в полето „Имейл“ в неговия ICQ профил. Не забравяйте да обясните, че ако същият имейл е посочен в данните за ICQ и домейна, тогава колкото по-често се търси ICQ в търсенето, толкова по-високо е класирането на сайта в търсачката. Веднага след като жертвата завърши обвързването, вие възстановявате паролата на посочения имейл и UIN е ваш!

Ако паролата не пристигне по имейл, това означава, че номерът вече има основна поща и отвличането трябва да се организира по различен начин.

Хакване на поща
Разберете отговора на тайния въпрос
Въпроси за пощенски сървъри, като правило, са доста сходни:

• Моминско име на майката;
• Любимо ястие;
• Име на домашен любимец;
• номер на паспорт;
• Личен въпрос (име на първия учител; индекс; любим филм; любим изпълнител).

Какви схеми работят? Моминското име на майката - започнете тема за родословното дърво или каква смешна фамилия е имала майка ви преди брака. Любимо ястие - тук всичко е ясно. Име на животно - говорим за домашни любимци: минало, настояще и бъдеще, оттогава кодова думаможе да е името на първия подарен хамстер. С номера на паспорта ще е по-трудно. Тук можете да се изкушите да купите например евтин, дефицитен продукт, който се доставя с плащане при доставка, но за да направите поръчка, ви трябват паспортни данни и идентификационен код. Можете да разберете името на първия учител от съучениците на жертвата или да говорите директно с нея за любимите й учители; По-лесно е да получите индекса, като изтеглите базата данни на града и можете просто да разберете от жертвата в кой район живее. Основното тук е изобретателността, въображението и търпението.

Има един малък, но важен нюанс. Понякога на въпроса „Любимо ястие“ отговорът може да бъде например телефонен номер, тоест пълно несъответствие между въпроса и отговора. Тук ще трябва да започнете разговор за нелепи комбинации и безсмислието на въпросите за сигурност и след това да започнете отначало, за предпочитане под различен акаунт.

Свързване с поддръжката на клиенти
Този метод е по-трудоемък и страшен, но е необходим, ако жертвата не иска да „инжектира“ или ако кутията е „мъртва“, тоест собственикът не я е посещавал дълго време. За да направите това, отидете на страницата за поддръжка на желаната имейл услуга и напишете писмо с молба да възстановите открадната парола. Най-вероятно ще бъдете помолени за вашето име, фамилия (или данните, посочени по време на регистрацията), дата на раждане и приблизителна дата на регистрация на кутията (поне една година). Затова се опитайте да разберете възможно най-много информация за жертвата и нейната кутия. Те ще ви помогнат с това търсачки, социални медиии блогове.

Фишинг
Един от най ефективни начиниполучаване на парола и собственикът дори няма да знае за това. На жертвата се предлага връзка, която да последва и да въведе своето потребителско име и парола. Тези данни се изпращат до файл с отчети, база данни (ако кражбата е масивна) или имейл. Основният трик е да принудите жертвата да кликне върху тази връзка. Формата може да бъде всякаква:

• Съобщение „от администрацията“ (да се чете: от пощенска услуга с подправен адрес) за спам от тази пощенска кутия. Пример: „Уважаеми потребител, (потребителско име)! Вашият акаунт е получил оплаквания за спам, поради което администрацията има право временно да спре или блокира работата му. Напълно възможно е нападателите да са получили достъп до него. За да потвърдите собствеността върху акаунта си, упълномощете отново, като използвате тази връзка (хипервръзка към фалшив). Ако няма потвърждение до 5 дни, имейл акаунтще бъде блокиран. С уважение, служба за поддръжка (име на пощенска услуга)." Игра на страха от загуба на кутията.
• Знаейки за хобитата на жертвата, можете да се интересувате. Например писмо с интересна тема, в което се обхваща само част от информацията, а останалата част се обхваща чрез щракване върху връзката. Връзката води към псевдо-страница за вход, а останалата информация можете да прочетете само след като влезете.

земеделие
Също така се случва жертвата да е достатъчно умна (или безразлична), за да не кликне върху връзките. В този случай ще трябва да използвате троянски коне/съединители/скриптове за манипулиране HOSTS файл, или хакнете DNS или DHCP сървъра на неговия доставчик. В същото време, когато потребителят отиде на сайта, за да провери имейла, се получава пренасочване към точно същия, само фишинг. Без да подозира нищо, потребителят въвежда данните си и с помощта на вътрешен скрипт за оторизация влиза в своя „роден“ имейл, а данните за вход и паролата се изпращат на вашия имейл. Красотата е, че жертвата дори не знае какво се е случило.

Социално инженерство– метод за получаване на достъп до поверителна информация, пароли, банкови и други защитени данни и системи.
Киберпрестъпниците използват социално инженерство, за да извършват целеви атаки (атаки срещу инфраструктурата на компании или държавни агенции). Предварително внимателно проучват защитите на организацията.

Публикуване на тази статия на портала www.. Нито редакторите на сайта, нито авторът на статията носят отговорност за неправилното използване на информацията, получена от статията!

Социално инженерство

Социалното инженерство се счита за най-опасният и разрушителен вид атака срещу организациите. Но за съжаление на конференции по информационна сигурностНа този въпрос почти не се обръща внимание.

В същото време повечето случаи в рускоезичния сегмент на Интернет са дадени от чужди източници и книги. Не казвам, че има малко такива случаи в Рунет, просто не говорят за тях по някаква причина. Реших да разбера колко опасно всъщност е социалното инженерство и да преценя какви могат да бъдат последствията от масовото му използване.

Социалното инженерство в информационната сигурност и пентестирането обикновено се свързва с целенасочена атака срещу конкретна организация. В тази колекция от случаи искам да разгледам няколко примера за използване на социално инженерство, когато „атаките“ са били извършвани масово (безразборно) или масово насочени (срещу организации в определена област).

Нека дефинираме понятията, за да може всеки да разбере какво имам предвид. В тази статия ще използвам термина "социално инженерство" в следваща стойност: „набор от методи за постигане на цел, основани на използването на човешки слабости.“ Не винаги е нещо криминално, но определено има негативна конотация и се свързва с измама, манипулация и други подобни. Но всякакви психологически трикове за получаване на отстъпка в магазин не са социално инженерство.

В тази област ще действам само като изследовател; не съм създал злонамерени сайтове или файлове. Ако някой получи имейл от мен с връзка към сайт, значи този сайт е безопасен. Най-лошото нещо, което може да се случи там, е потребителят да бъде проследен от брояча на Yandex.Metrica.

Примери за социално инженерство

Сигурно сте чували за спам с вградени в тях „сертификати за свършена работа“ или договори с троянски коне. Няма да изненадате счетоводителите с такива писма. Или изскачащи прозорци с „препоръки“ за изтегляне на плъгин за гледане на видеоклипове - това вече е скучно. Разработих няколко по-малко очевидни сценария и ги представям тук като храна за размисъл. Надявам се, че те няма да станат ръководство за действие, а напротив, ще помогнат да направим Runet по-безопасен.

Проверен подател

Понякога администраторите на сайта, поради пропуск, не активират филтриране за полето „Име“ във формуляра за регистрация (например при абониране за бюлетин или при подаване на заявление). Вместо име можете да вмъкнете текст (понякога килобайти текст) и връзка към злонамерен сайт. В полето за имейл въведете адреса на жертвата. След регистрацията този човек ще получи писмо от услугата: „Здравей, скъпи...“, а след това - нашия текст и връзка. Съобщението от услугата ще бъде най-долу.

Как може това да се превърне в оръжие за масово унищожение?

Елементарно. Ето един случай от моята практика. През декември 2017 г. една от търсачките откри възможността за изпращане на съобщения чрез резервна форма за свързване на имейл. Преди да изпратя доклад по програмата за награди за грешки, беше възможно да изпращате 150 хиляди съобщения на ден - просто трябваше малко да автоматизирате попълването на формуляра.

Този трик ви позволява да изпращате измамни имейли от истински адрес за техническа поддръжка на уебсайт с всички цифрови подписи, криптиране и така нататък. Но цялата горна част се оказва написана от нападател. Получавах и такива писма, не само от големи компании като booking.com или paypal.com, но и от по-малко известни сайтове.

А ето и „тенденцията“ от април 2018 г.

Имейли от Google Analytics

Ще ви разкажа за съвсем нов случай - от април 2018 г. От пощата Google AnalyticsНа няколко от адресите ми започна да пристига спам. След като направих малко проучване, открих начина, по който се изпраща.

„Как да приложа това?“ – помислих си. И ето какво ми хрумна: измамник може да направи например такъв текст.

Това събиране на пароли може да се извършва не само целенасочено, но и масово; просто трябва леко да автоматизирате процеса на събиране на домейни от Google Analytics и анализиране на имейли от тези сайтове.

Любопитство

Този метод да накарате човек да кликне върху връзка изисква известна подготовка. Създава се уебсайт за фалшива фирма с уникално име, което веднага привлича вниманието. Е, например, LLC “ZagibaliVigibali”. Чакаме търсачките да го индексират.

Сега измисляме някаква причина да изпратим поздравления от името на тази компания. Получателите веднага ще започнат да го търсят в Google и ще намерят нашия уебсайт. Разбира се, по-добре е да направите самото поздравление необичайно, така че получателите да не хвърлят писмото в папката за спам. След като направих малък тест, лесно спечелих над хиляда реализации.

Фалшив абонамент за бюлетин

Какво пише там?

За да привлечете хора от някой форум или сайт с отворени коментари, не е нужно да измисляте изкусителни текстове - просто публикувайте снимка. Просто изберете нещо по-привлекателно (някакъв мем) и го стиснете така, че да не можете да различите текста. Любопитството неизменно кара потребителите да щракнат върху снимка. В моето изследване проведох експеримент и получих около 10k преходи по този примитивен начин. Същият злонамерен метод някога е бил използван за доставяне на троянски коне чрез LJ (Live Journal).

как се казваш

Да накарате потребителя да отвори файл или дори документ с макрос не е толкова трудно, въпреки че мнозина са чували за свързаните с това опасности. Когато изпращате масови съобщения, дори самото познаване на името на човек сериозно увеличава шансовете за успех.

Например, можем да изпратим имейл с текст „Този ​​имейл все още ли е активен?“ или „Моля, напишете адреса на вашия уебсайт.“ В поне 10–20% от случаите отговорът ще съдържа името на подателя (това е по-често срещано в големите компании). И след известно време пишем „Алена, здравей. Какво не е наред с вашия уебсайт (прикачена снимка)?“ Или „Борис, добър ден. Не мога да разбера ценовата листа. Трябва ми 24-та позиция. Прилагам цената." Е, в ценовата листа има банална фраза „За да видите съдържанието, активирайте макроси...“, с всички произтичащи от това последствия.

Като цяло лично адресираните съобщения се отварят и обработват порядък по-често.

Масова интелигентност

Този сценарий не е толкова атака, колкото подготовка за нея. Да кажем, че искаме да разберем името на някой важен служител - например счетоводител или началник на службата за сигурност. Това е лесно да направите, ако изпратите на някой от служителите, които може да имат тази информация, писмо със следното съдържание: „Моля, кажете ми презимето на директора и работния график на офиса. Трябва да изпратим куриер."

Искаме работно време, за да прикрием очите си, но искането за бащино име е трик, който ни позволява да не издаваме, че не знаем собственото и фамилното си име. И двете най-вероятно ще се съдържат в отговора на жертвата: пълното име най-често се изписва изцяло. В хода на моето проучване успях да събера имената на повече от две хиляди директори по този начин.

Ако трябва да разберете имейла на шефа си, можете спокойно да пишете на секретаря: „Здравейте. Отдавна не съм говорил с Андрей Борисович, адресът му работи ли още? И тогава не получих отговор от него. Роман Генадиевич“. Секретарката вижда имейл, съставен въз основа на истинското име на директора и съдържащ уебсайта на компанията, и дава истинския адрес на Андрей Борисович.

В тази статия ще обърнем внимание на понятието „социално инженерство“. Тук ще разгледаме общите. Ще научим и кой е основателят на тази концепция. Нека поговорим отделно за основните методи на социално инженерство, използвани от нападателите.

Въведение

Методи, които правят възможно коригирането на човешкото поведение и управлението на неговите дейности без използването на технически набор от инструменти обща концепциясоциално инженерство. Всички методи се основават на твърдението, че човешкият фактор е най-разрушителната слабост на всяка система. често тази концепциясе разглеждат на нивото на незаконна дейност, чрез която престъпникът извършва действие, насочено към получаване на информация от субекта-жертва по нечестен начин. Например може да бъде определен типманипулация. Социалното инженерство обаче се използва и от хората в законни дейности. Днес най-често се използва за достъп до ресурси с класифицирана или ценна информация.

Основател

Основателят на социалното инженерство е Кевин Митник. Самото понятие обаче дойде при нас от социологията. Той обозначава общ набор от подходи, използвани от приложните социални медии. науки, насочени към промяна на организационната структура, способна да определя човешкото поведение и да упражнява контрол върху него. Кевин Митник може да се счита за основател на тази наука, тъй като именно той популяризира социалните медии. инженерство през първото десетилетие на 21 век. Самият Кевин преди това е бил хакер, насочен към голямо разнообразие от бази данни. Той твърди, че човешкият фактор е най-уязвимата точка на система от всякакво ниво на сложност и организация.

Ако говорим за методите на социалното инженерство като начин за получаване (обикновено незаконни) права за използване на поверителни данни, тогава можем да кажем, че те са известни от много дълго време. Но К. Митник успя да предаде важността на тяхното значение и характеристики на приложение.

Фишинг и несъществуващи връзки

Всяка техника на социално инженерство се основава на наличието на когнитивни изкривявания. Грешките в поведението се превръщат в „оръжие“ в ръцете на опитен инженер, който в бъдеще може да създаде атака, насочена към получаване на важни данни. Методите за социално инженерство включват фишинг и несъществуващи връзки.

Фишингът е интернет измама, предназначена да получи лична информация, като потребителско име и парола.

Несъществуваща връзка - използването на връзка, която ще привлече получателя с определени предимства, които могат да бъдат получени чрез щракване върху нея и посещение на определен сайт. Най-често използвани имена големи фирми, като прави фини корекции на имената им. Жертвата, като щракне върху връзката, „доброволно“ ще прехвърли личните си данни на нападателя.

Методи, използващи марки, дефектни антивируси и измамни лотарии

Социалното инженерство също използва методи за измама, използвайки известни марки, дефектни антивируси и фалшиви лотарии.

„Измами и марки“ е метод за измама, който също принадлежи към раздела за фишинг. Това включва имейли и уебсайтове, които съдържат името на голяма и/или "рекламирана" компания. От техните страници се изпращат съобщения, които ви уведомяват за вашата победа в определено състезание. След това трябва да въведете важни данни сметкаи тяхната кражба. Също така тази формаизмамите могат да се извършват по телефона.

Фалшивата лотария е метод, при който на жертвата се изпраща съобщение с текст, че той/тя е спечелил от лотарията. Най-често известието се маскира с имената на големи корпорации.

Фалшивите антивируси са софтуерни измами. Използва програми, които приличат на антивируси. В действителност обаче те водят до генериране на фалшиви известия за конкретна заплаха. Те също така се опитват да привлекат потребители в сферата на транзакциите.

Вишинг, фрийкинг и претекст

Когато говорим за социално инженерство за начинаещи, си струва да споменем и vishing, phreaking и pretexting.

Вишингът е форма на измама, която използва телефонни мрежи. Това използва предварително записани гласови съобщения, чиято цел е да пресъздаде „официалното обаждане“ на банкова структура или друга IVR система. Най-често се иска да въведете потребителско име и/или парола, за да потвърдите всяка информация. С други думи, системата изисква потребителят да се удостовери с помощта на ПИН кодове или пароли.

Phreaking е друга форма на телефонна измама. Това е хакерска система, използваща манипулиране на звука и тонално набиране.

Претекстирането е атака с помощта на предварително обмислен план, чиято същност е да се представи на друг субект. Изключително труден метод за измама, тъй като изисква внимателна подготовка.

Quid-pro-quo и методът „road apple“.

Теорията на социалното инженерство е многостранна база данни, която включва както методи за измама и манипулация, така и начини за борба с тях. Основната задача на нападателите, като правило, е да извлекат ценна информация.

Други видове измами включват: quid-pro-quo, методът „road apple“, сърфиране през рамо, използване на отворени източници и обратни социални медии. инженерство.

Quid-pro-quo (от латински - „това за това“) е опит за извличане на информация от компания или фирма. Това става като се свържете с нея по телефона или чрез изпращане на съобщения по имейл. Най-често нападателите се представят за технически персонал. поддръжка, която отчита наличието на конкретен проблем на работното място на служителя. Освен това те предлагат начини за премахването му, например чрез установяване софтуер. Софтуерът се оказва дефектен и допринася за развитието на престъпността.

Road apple е метод за атака, който се основава на идеята за троянски кон. Същността му се състои в използването на физически носители и подмяна на информация. Например, те могат да предоставят карта с памет с определено „добро“, което ще привлече вниманието на жертвата, ще я накара да иска да отвори и използва файла или да последва връзките, посочени в документите на флаш устройството. Обектът „пътна ябълка“ се пуска на социални места и изчаква, докато някой субект изпълни плана на нападателя.

Събирането и търсенето на информация от отворени източници е измама, при която получаването на данни се основава на психологически методи, способността да се забелязват малки неща и анализ на наличните данни, например страници от социална мрежа. това е достатъчно нов начинсоциално инженерство.

Сърфиране през рамо и обратна социална връзка. инженерство

Концепцията за „сърфиране през рамо“ се определя като буквално гледане на обект на живо. С този тип извличане на данни нападателят отива на обществени места, например кафене, летище, гара и наблюдава хората.

Не подценявайте този метод, тъй като много проучвания и проучвания показват, че един внимателен човек може да получи много чувствителна информация просто като бъде наблюдателен.

Социалното инженерство (като ниво на социологическо познание) е средство за „улавяне“ на данни. Има начини за получаване на данни, при които жертвата сама предлага на нападателя необходимата информация. Но може да служи и в полза на обществото.

Обратни социални Инженерството е друг метод на тази наука. Използването на този термин става подходящо в случая, който споменахме по-горе: самата жертва ще предложи на нападателя необходимата информация. Това твърдение не трябва да се приема като абсурдно. Факт е, че субектите, надарени с власт в определени области на дейност, често получават достъп до идентификационни данни по собствена преценка на субекта. Основата тук е доверието.

Важно е да запомните! Персоналът по поддръжката никога няма да поиска от потребителя парола, например.

Информираност и защита

Обучението по социално инженерство може да се извършва от индивида както въз основа на лична инициатива, така и въз основа на ръководства, които се използват в специални програми за обучение.

Престъпниците могат да използват голямо разнообразие от видове измама, вариращи от манипулация до мързел, лековерност, любезност на потребителя и т.н. Изключително трудно е да се защитите от този тип атака, което се дължи на липсата на съзнание на жертвата, че той (тя ) е измамен. За да защитят своите данни при това ниво на опасност, различни фирми и компании често оценяват обща информация. След това необходимите мерки за защита се интегрират в политиката за сигурност.

Примери

Пример за социално инженерство (неговото действие) в областта на глобалните фишинг съобщения е събитие, случило се през 2003 г. Като част от тази измама на потребителите на eBay бяха изпратени имейли до: имейл адреси. Те твърдят, че техни акаунти са били блокирани. За да отмените блокирането, трябваше да въведете отново информацията за акаунта си. Писмата обаче били фалшиви. Пренасочват към страница, идентична на официалната, но фалшива. Според експертни оценки загубата не е била твърде значителна (по-малко от милион долара).

Определение за отговорност

Социалното инженерство може да бъде наказуемо в някои случаи. В редица държави, например Съединените щати, претекстирането (измама чрез представяне на друго лице) се приравнява на нахлуване в личния живот. Това обаче може да бъде наказуемо от закона, ако информацията, получена по време на претекст, е била поверителна от гледна точка на субекта или организацията. Записвайте телефонен разговор(като метод на социално инженерство) също е предвидено от закона и изисква плащане на глоба от $250 000 или лишаване от свобода до десет години за лица. лица От субектите се изисква да платят $500 000; срокът остава същият.

Социално инженерство — неоторизиран достъп до поверителна информация чрез манипулиране на съзнанието на човек. Методите на социалното инженерство се основават на особеностите на психологията и са насочени към използване на човешките слабости (наивност, невнимание, любопитство, търговски интереси). Те се използват активно от социалните хакери както в интернет, така и извън него.

Въпреки това по отношение на цифрови технологии, уеб ресурси, компютри, смартфони - „мозъчната мъгла“ на мрежовите потребители се случва по малко по-различен начин. Измамниците поставят „примки“, „капани“ и други трикове навсякъде и по всякакъв начин, в социалните мрежи, в игралните портали, в електронните пощенски кутиии онлайн услуги. Ето само някои примери за методи на социално инженерство:

Като празничен подарък... троянски кон

Независимо от характер, професия, финансово състояние, всеки човек очаква с нетърпение празниците: Нова година, 1 май, 8 март, Свети Валентин и т.н., за да ги отпразнувате, разбира се, да се отпуснете, да изпълните духовната си аура с позитивизъм и в същото време да обмените поздравления с вашите приятели и другари.

В този момент социалните хакери са особено активни. В предпразнични и официални празници изпращат по сметки пощенски услугипощенски картички: ярки, цветни, с музика и... опасен вирустроянски Жертвата, без да знае нищо за такава измама, в еуфорията на забавлението или просто от любопитството, щраква върху пощенската картичка. В същия миг злонамереният софтуер заразява операционната система и след това чака подходящия момент, за да открадне регистрационни данни, телефонен номер платежна картаили заменете уеб страницата на онлайн магазина в браузъра си с фалшива и откраднете пари от акаунта си.

Изгодна отстъпка и „зареден“ вирус

Чудесен пример за социално инженерство. Желанието да „спестите” трудно спечелените пари е напълно оправдано и разбираемо, но в разумни граници и при определени обстоятелства. Става дума за „не всичко, което блести, е злато“.

Измамници под прикритието на най-големите марки, онлайн магазини и услуги, в подходящ дизайн, предлагат да купуват стоки с невероятна отстъпка и освен покупката получават подарък... Правят фалшиви бюлетини, създават групи в социалните мрежи и тематични „теми“ във форумите.

Наивните обикновени хора, както се казва, са „водени“ от този ярък рекламен плакат: в бързината те преброяват в главите си колко остава от заплатата, авансовото плащане и кликват върху връзката „купете“, „отидете на сайта, за да купи” и др. След което в 99 от 100 случая, вместо изгодна покупка, те получават вирус на компютъра си или изпращат безплатно пари на социални хакери.

Дарение от геймър +300% към умения за кражба

В онлайн игрите и като цяло в мултиплейър игрите, с редки изключения, оцеляват най-силните: тези, които имат по-силна броня, щети, по-силна магия, повече здраве, мана и т.н.

И, разбира се, всеки геймър иска на всяка цена да получи тези ценни артефакти за своя герой, танк, самолет и кой знае какво още. В битки или кампании, със собствените си ръце или за истински пари (функция за дарение) във виртуалния магазин на играта. Да бъдеш най-добрият, първият... достигнал последното ниво на развитие.

Измамниците знаят за тези „слабости на геймърите“ и по всякакъв начин изкушават играчите да придобият ценни артефакти и умения. Понякога за пари, понякога безплатно, но това не променя същността и целта на злодейската схема. Примамливите предложения на фалшиви сайтове звучат по следния начин: „изтеглете това приложение“, „инсталирайте корекцията“, „за да получите артикул, отидете на играта“.

В замяна на дългоочаквания бонус, акаунтът на играча е откраднат. Ако е добре напомпан, крадците го продават или извличат информация за плащане от него (ако има).

Зловреден софтуер + социално инженерство = експлозивна смес от измама

Икони за внимание!

Много потребители работят с мишката в операционната система на „автопилот“: щракнете тук, тук; откри това, това, това. Рядко някой от тях се вглежда по-отблизо в вида на файловете, техния обем и свойства. Но напразно. Хакерите прикриват изпълнимите файлове на зловреден софтуер като обикновени Windows папки, снимки или доверени приложения, тоест външно, визуално не можете да ги различите. Потребителят щраква върху папката, нейното съдържание, естествено, не се отваря, защото това изобщо не е папка, а инсталатор на вируси с разширение .exe. И зловреден софтуер "тихо" прониква в операционната система.

Сигурният „противоотрова“ срещу подобни трикове е файлов мениджър Total Commander. За разлика от интегрирания Windows Explorer, той показва всички подробности за файла: тип, обем, дата на създаване. Най-голямата потенциална опасност за системата са неизвестните файлове с разширения: “.scr”, “.vbs”, “.bat”, “.exe”.

Страхът подхранва доверието

1. Потребителят отваря „сайт с истории на ужасите“ и веднага му съобщават най-неприятните новини или дори новини: „компютърът ви е заразен с опасен троянски кон“, „10, 20... 30 вируса са открити във вашата операционна система“, „спам се изпраща от вашия компютър“ и т.н.
2. И те веднага предлагат (показват „загриженост“) да инсталират антивирусна програма и следователно да решат проблема със сигурността, изразен на сайта. И най-важното, напълно безплатно.
3. Ако посетител се страхува за компютъра си, той следва връзката и изтегля... не антивирусна, а фалшива антивирусна - менте, натъпкано с вируси. Инсталира и стартира - последствията са подходящи.

• Първо, уебсайтът не може незабавно да провери компютъра на посетителя и да идентифицира зловреден софтуер.
• Второ, разработчиците разпространяват своите антивируси, независимо дали са платени или безплатни, чрез свои собствени, тоест официални уебсайтове.
• И накрая, трето, ако има съмнения и страхове дали операционната система е „чиста“ или не, по-добре е да проверите системен дял, с наличното, тоест инсталираната антивирусна.

Обобщавайки

Психологията и хакерството днес вървят ръка за ръка – тандем от експлоатация на човешки слабости и софтуерни уязвимости. Докато сте в интернет, в празнични и делнични дни, денем и нощем и независимо в какво настроение сте, трябва да бъдете бдителни, да потиснете наивността и да прогоните импулсите за търговска печалба и нещо „безплатно“. Защото, както знаете, само сирене се дава на безценица и то само в капан за мишки. Създавайте само пароли, съхранявайте ги на места и оставайте с нас, защото, както знаем, няма такова нещо като твърде голяма сигурност.

Киберпрестъпниците, използващи техники за социално инженерство, през последните години възприеха по-модерни методи, които правят по-вероятно да получат достъп до необходимата информация, използвайки съвременната психология на служителите в предприятието и хората като цяло. Първата стъпка в противодействието на този тип трикове е да разберете самите тактики на нападателите. Нека да разгледаме осем основни подхода към социалното инженерство.

Въведение

През 90-те години понятието „социално инженерство” е измислено от Кевин Митник, емблематична фигура в областта на информационната сигурност, бивш сериозен хакер. Хакерите обаче са използвали такива методи много преди да се появи самият термин. Експертите са убедени, че тактиката на съвременните киберпрестъпници е свързана с преследването на две цели: кражба на пароли и инсталиране на зловреден софтуер.

Нападателите се опитват да използват социално инженерство, използвайки телефон, имейл и интернет. Нека се запознаем с основните методи, които помагат на престъпниците да получат това, от което се нуждаят. поверителна информация.

Тактика 1. Теорията на десетте ръкостискания

Основната цел на нападател, използващ телефон за социално инженерство, е да убеди жертвата си в едно от двете неща:

1. Жертвата получава обаждане от служител на компанията;
2. Обажда се представител на упълномощен орган (например служител на реда или одитор).

Ако престъпник си постави задачата да събере данни за определен служител, той може първо да се свърже с колегите си, опитвайки се по всякакъв начин да извлече данните, от които се нуждае.

Помните ли старата теория за шестте ръкостискания? Е, експертите по сигурността казват, че може да има само десет „ръкостискания“ между киберпрестъпник и неговата жертва. Експертите смятат, че съвременни условияВинаги трябва да имате малко параноя, тъй като не знаете какво иска този или онзи служител от вас.

Нападателите обикновено се насочват към секретар (или някой, заемащ подобна позиция), за да събират информация за хора по-високо в йерархията. Експертите отбелязват, че приятелският тон много помага на измамниците. Бавно, но сигурно престъпниците прибират ключа към вас, което скоро води до споделяне на информация, която никога не бихте разкрили преди.

Тактика 2. Изучаване на корпоративния език

Както знаете, всяка индустрия има свои специфични формулировки. Задачата на нападателя, който се опитва да получи необходимата информация, е да проучи характеристиките на такъв език, за да използва по-умело техниките за социално инженерство.

Цялата специфика се крие в изучаването на корпоративния език, неговите термини и характеристики. Ако киберпрестъпникът говори познат, познат и разбираем език за неговите цели, той по-лесно ще спечели доверие и ще може бързо да получи необходимата му информация.

Тактика 3: Заемете музика, за да задържите разговори по време на разговори

За да извършат успешна атака, измамниците се нуждаят от три компонента: време, постоянство и търпение. Често кибератаките с помощта на социално инженерство се извършват бавно и методично - събирайки не само данни за точните хора, но и така наречените „социални сигнали“. Това се прави, за да се спечели доверие и да се заблуди целта. Например нападателите могат да убедят човека, с когото комуникират, че са колеги.

Една от характеристиките на този подход е записването на музика, която компанията използва по време на разговори, докато обаждащият се чака отговор. Престъпникът първо чака такава музика, след това я записва и след това я използва в своя полза.

Така, когато има директен диалог с жертвата, нападателите в даден момент казват: „Чакай малко, има обаждане на другата линия“. Тогава жертвата чува позната музика и не остава съмнение, че обаждащият се представлява определена компания. По същество това е просто хитър психологически трик.

Тактика 4. Спуфинг (подмяна) на телефонен номер

Престъпниците често използват спуфинг телефонни номера, което им помага да измамят номера на обаждащия се. Например, престъпник може да седи в апартамента си и да се обажда на лице, което представлява интерес, но идентификационният номер на повикващия ще показва номер, собственост на компанията, създавайки илюзията, че измамникът се обажда, използвайки корпоративен номер.

Разбира се, нищо неподозиращите служители в повечето случаи ще предоставят поверителна информация, включително пароли, на обаждащия се, ако идентификационният номер на обаждащия се принадлежи на тяхната компания. Този подход също помага на престъпниците да избегнат проследяването, защото ако се обадите обратно на този номер, ще бъдете пренасочени към вътрешната линия на компанията.

Тактика 5: Използване на новините срещу вас

Каквито и да са настоящите новинарски заглавия, нападателите използват тази информация като стръв за спам, фишинг и други измамни дейности. Не напразно експертите напоследък отбелязват увеличаване на броя на спам имейлите, чиито теми са свързани с президентските кампании и икономическите кризи.

Пример за това е фишинг атака срещу банка. Имейлът казва нещо подобно:

„Друга банка [име на банката] придобива вашата банка [име на банката]. Кликнете върху тази връзка, за да се уверите, че банковата ви информация е актуализирана до приключване на сделката."

Естествено, това е опит за получаване на информация, с която измамниците могат да влязат в акаунта ви, да откраднат парите ви или да продадат информацията ви на трета страна.

Тактика 6: Възползвайте се от доверието в социалните платформи

Не е тайна, че Facebook, Myspace и LinkedIn са изключително популярни сайтове за социални мрежи. Според експертни изследвания хората са склонни да се доверяват на подобни платформи. Скорошен инцидент с фишинг, насочен към потребители на LinkedIn, подкрепя тази теория.

По този начин много потребители ще се доверят на имейл, ако той твърди, че е от Facebook. Често срещана техника е да се твърди, че социалната мрежа провежда поддръжка, трябва да „щракнете тук“, за да актуализирате информацията. Ето защо експертите препоръчват на корпоративните служители да въвеждат уеб адреси ръчно, за да избегнат фишинг връзки.

Също така си струва да имате предвид, че в много редки случаи сайтовете ще искат от потребителите да променят паролата си или да актуализират своя акаунт.

Тактика 7. Тип клякам

Тази злонамерена техника се отличава с факта, че нападателите използват човешкия фактор, а именно грешки при въвеждане на URL адрес в адресна лента. Така, допускайки грешка само с една буква, потребителят може да се озове на уебсайт, създаден специално за тази цел от нападателите.

Киберпрестъпниците внимателно подготвят почвата за typosquatting, така че техният уебсайт ще бъде точно като легитимния, който първоначално сте искали да посетите. По този начин, ако погрешно изпишете вашия уеб адрес, ще се окажете на копие на легитимен сайт, чиято цел е или да продаде нещо, или да открадне данни, или да разпространи зловреден софтуер.

Тактика 8. Използване на FUD за влияние върху фондовия пазар

FUD е тактика на психологическа манипулация, използвана в маркетинга и пропагандата като цяло, която се състои в представяне на информация за нещо (по-специално, продукт или организация) по такъв начин, че да се посее несигурност и съмнение в аудиторията относно неговите качества и по този начин да предизвика страх от това.

Според последното изследване на Avert сигурността и уязвимостите на продукти и дори цели компании могат да повлияят на фондовия пазар. Например, изследователите са проучили влиянието на събития като Microsoft Patch Tuesday върху акциите на компанията, откривайки забележимо колебание всеки месец след публикуване на информация за уязвимостите.

Можете също така да си спомните как през 2008 г. нападателите разпространиха невярна информация за здравето на Стив Джобс, което доведе до рязък спад на акциите на Apple. Това е най-типичният пример за използване на FUD за злонамерени цели.

Освен това си струва да се отбележи употребата имейлприлагане на техниката „pump-and-dump“ (схема за манипулиране на обменния курс на фондовия пазар или на пазара на криптовалута с последващ срив). В този случай нападателите могат да изпратят имейли, описвайки невероятния потенциал на акциите, които са закупили предварително.

Така мнозина ще се опитат да изкупят тези акции възможно най-скоро и те ще поскъпнат.

Изводи

Киберпрестъпниците често са изключително креативни в използването на социално инженерство. След като се запознахме с техните методи, можем да заключим, че различни психологически трикове значително помагат на нападателите да постигнат целите си. Въз основа на това трябва да обърнете внимание на всяко малко нещо, което може неволно да разкрие измамник, да проверявате и проверявате отново информацията за хората, които се свързват с вас, особено ако се обсъжда поверителна информация.