Искусство вторжения - Кевин Митник

Социальные инженеры стремятся вступить в контакт с мишенями, когда те находятся в случайном режиме размышлений и удерживать их там. Один из способов достичь этого — позвонить жертве минут за пять до окончания рабочего дня, рассчитывая на то, что переключение с рабочих мыслей на домашние и желание уйти с работы вовремя могут заставить человека ответить на вопрос, который в другой ситуации вызвал бы подозрительность.

МОМЕНТ СОГЛАСИЯ

Социальные инженеры создают момент согласия, делая целую серию запросов, начиная с совершенно безобидных.

Пример:доктор Сагарин цитирует историю creditchex, рассказанную в первой главе «Искусства обмана», когда атакующий задает ключевой вопрос о важной информации — идентификационном номере в банке merchant, который используется как пароль для авторизации по телефону — в череде безобидных вопросов. Поскольку начальные вопросы кажутся безобидными, это устанавливает определенный настрой общения, в котором жертва и последующие вопросы рассматривает, как безобидные.

Телевизионный сценарист и продюсер Ричард Левинсон использовал похожую тактику в создании своего самого известного персонажа Коломбо, которого играет актер Петер Фальк. Все зрители прекрасно знают, что когда детектив уже уходит и напряжение спадает, — к радости подозреваемого, что он одурачил детектива, Коломбо оборачивается и задает один последний вопрос, ключевой вопрос, который он готовил все предшествующее время. Социальные инженеры часто используют такую тактику — «а вот еще один вопрос…»

ПОТРЕБНОСТЬ ПОМОГАТЬ

Психологи считают, что люди испытывают позитивные эмоции, когда помогают другим. Помощь кому-то дает ощущение собственного могущества. Это может вывести нас из плохого состояния духа. Это может помочь нам самоутвердиться. Социальные инженеры находят много способов использовать наше стремление помогать другим.

Пример:когда Урли показался у служебного входа в казино, охранник поверил его рассказу о приглашении симпатичной девушки на ужин, выдал ему деньги для этой цели, дал несколько советов, как надо обращаться с женщинами, и не стал требовать показать ему бейдж, когда Ур-ли с т а л удаляться.

Комментарий доктора Сагарина: «Поскольку социальные инженеры часто атакуют людей, которые просто не осознают ценности выдаваемой информации, помощь может рассматриваться, как небольшая расплата за достигнутый психологический комфорт. (Сколько стоит быстрый запрос в базу данных для собеседника на другом конце телефонной линии?)»

ПРИСВОЕНИЕ

Если человек присваивает себе некую роль, другие люди ведут себя по отношению к нему в соответствии с этой ролью. Цель социальной инженерии заключается в том, чтобы атакуемый воспринял атакующего как эксперта, вызывающего доверие, или надежного и правдивого человека.

Пример:доктор Сагарин цитирует историю «Как продвинуться дальше», из главы 10 «Искусства обмана». Атакующий, в поисках доступа к комнате переговоров, какое-то время болтался вокруг да около, и тем самым успокоил подозрения окружающих, потому что люди считают, что злоумышленник не будет слишком долго находится там, где его можно поймать.

Социальный инженер может подойти к охраннику, положить пятидолларовую купюру на его стол и сказать: «Я нашел это на полу.

Может, кто-нибудь говорил вам, что потерял деньги?». Охранник сразу начинает относиться к нему, как к честному человеку, заслуживающему доверия.

Если мы видим человека, который открывает дверь перед пожилой женщиной, мы думаем, что он вежливый: если же женщина молодая и привлекательная, то мы приписываем его поведению совершенно другие мотивы.

СИМПАТИЯ

Социальные инженеры часто используют тот факт, что все люди более охотно говорят «да» в ответ на запрос людей, которые им симпатичны.

Пример:Урли смог получить важную информацию от Леноры, девушки, которую он встретил в фитнес-центре, отчасти благодаря своему умению «читать мысли», вычисляя ее реакцию и постоянно подстраивая свои о т в е т ы под ее реакции. Э т о заставило ее подумать, ч т о у них общие вкусы и интересы («О, и я тоже!»). Ее чувство симпатии к нему сделало ее более открытой и готовой поделиться с ним информацией, которую он хотел получить.

Людям нравятся те, кто похож на них, имеет такие же склонности, аналогичное образование и хобби. Социальный инженер всегда тщательно изучает всю информацию, связанную с мишенью атаки, чтобы выяснить ее личные интересы — теннис, старые самолеты, коллекция антикварных ружей или все, что угодно. Социальный инженер может увеличивать чувство симпатии, используя комплименты или откровенную лесть, а также и собственную внешнюю привлекательность.

Следующая тактика — использование известного имени, которое мишень атаки знает и любит. В этом случае атакующий старается выглядеть членом «группы» внутри компании. Обманщики часто льстят и говорят комплименты, стремясь воздействовать на жертву, которая недавно была вознаграждена за какие-то достижения. Ублажение личных амбиций может способствовать привлечению жертвы на роль помощника.

СТРАХ

Социальный инженер иногда убеждает свою жертву в том, что должны случиться ужасные вещи, — но эту катастрофу можно предотвратить, если действовать так, как предлагает атакующий.

Пример:в истории «Аварийная заплатка», изложенной в главе 12 книги «Искусство обмана», социальный инженер пугает свою жертву, что она потеряет важную информацию, если не согласится установить «аварийную заплатку» на сервер базы данных компании. Страх делает жертву уязвимой и заставляет согласиться с решением, которое предлагает социальный инженер.

Атаки, основанные на использовании более высокого статуса, базируются на чувстве страха. Социальный инженер, замаскировавшись под руководителя компании, может атаковать секретаря или молодого сотрудника своим «срочным» запросом, основываясь на том, что жертва согласится выполнить его запрос, боясь получить взыскание или даже потерять работу.

РЕАКТИВНОСТЬ

Реактивность — это естественный ответ человеческой психики на ситуацию, угрожающую свободе. В реактивном состоянии мы теряем чувство перспективы и все остальное уходит в тень.

Пример:две истории в «Искусстве обмана» иллюстрируют силу реактивности — в первом случае жертве грозили потерей важного приложения, во втором — потерей доступа к сети.

В типичной атаке, использующей реактивность, злоумышленник говорит своей жертве, что доступа к компьютерным файлам не будет в течение какого то срока и называет совершенно неприемлемый период времени. «Вы не сможете получить доступ к своим файлам в течение двух следующих недель, но мы сделаем все возможное, чтобы этот срок не увеличился». Когда атакуемый начинает проявлять свои эмоции, атакующий предлагает восстановить файлы быстрее: все, что нужно для этого — назвать имя пользователя и пароль. Жертва, напуганная возможными потерями, обычно с радостью соглашается.

Другой способ заключается в том, чтобы использовать принцип дефицита или заставить мишень гнаться за обещанной выгодой. Например, вас заманивают на Интернет-сайт, где информация о вашей кредитной карточке может быть украдена. Как вы отреагируете на электронное письмо, которое пообещает новый iPod от Apple всего за 200 долларов, но только первой тысяче обратившихся? Может быть, поспешите на сайт и зарегистрируетесь, чтобы купить один из них? И когда вы зарегистрируетесь, укажете адрес электронной почты, и выберете пароль, признайтесь — это ведь будет тот же самый пароль, который вы используете повсюду?

КОНТРМЕРЫ

Защита от атак социальных инженеров требует целой серии скоординированных усилий, включая и такие:

• разработка четких и ясных протоколов безопасности, согласованно вводимых в масштабах всей компании;

• разработка тренингов по усилению бдительности персонала;

• разработка простых и понятных правил определения важности информации;

• разработка простых и понятных правил, четко определяющих случаи обращения к закрытым данным (взаимодействие с компьютерным оборудованием с неизвестными последствиями для оного), дабы личность пользователя была идентифицирована согласно политике компании;

• разработка грамотной системы классификации данных;

• обучение персонала навыкам сопротивления методам социальной инженерии;

• проверка готовности сотрудников к противостоянию атакам по методу социальной инженерии при помощи специальных проверок.

Наиболее важный аспект программы — установление соответствующих протоколов безопасности и мотивация сотрудников для их выполнения. И в дополнение к этому — установление ключевых точек, где разработанные программы и тренинги противостоят угрозе социальных инженеров.