Кажется, что социальная инженерия - это всегда многоходовка в которой велик шанс проколоться на любом этапе. Но часто самые простые схемы оказываются самыми эффективными.
Основы социальной инженерии не претерпели существенных изменений за века, менялись только формы и детали приёмов. Например, В 1906 году, в Берлине, безработный Вильгельм Фойгт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам.
Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фойгт без малейшего сопротивления забрал всю городскую казну, затем он отдал распоряжение всем оставаться на местах ещё полчаса, после чего уехал из города уже в гражданской одежде.
Легендарный Кевин Митник сделал популярным сам термин - социальная инженерия и подробно описал её разновидности.
Среди них особого внимания заслуживает тактика "Reverse": в общей сложности она заключается в том, что жертва попадает в условия при которых сама сообщает необходимые данные.
Эту же тактику использовал Эдвард Сноуден, чтобы получить доступ к некоторым секретным материалам.
Как выяснилось на слушаниях в комитете по разведке Сената США, Сноуден втерся в доверие к коллегам, так как был системным администратором и часто помогал решать технические проблемы. В нормальных условиях сисадмину не требуются пароли пользователей для выполнения своих задач - он использует свою учётную запись или просит сотрудника залогиниться без разглашения пароля. По инструкции, если админ случайно узнаёт пароль пользователя, то сообщает об этом и просит сменить. Однако Сноуден сначала просто вежливо просил коллег называть учётные данные, а затем это вошло у них в привычку. Они звали его по любому поводу и первым делом сами называли текущий пароль своей учётки, стремясь помочь в решении проблем. Используя данные более чем 20 аккаунтов с разным уровнем доступа к секретной информации, Сноуден похитил более полутора миллионов файла из сети АНБ.
Со времен древнего человека развивались два способа получить нечто принадлежащее другому - силой и обманом. Первый подход породил гонку вооружений, второй - целый класс приемов работы на уровне подсознания. Сегодня социальная инженерия стала неотъемлемой частью теста на проникновение. Их проведения заказывают частным фирмам крупные компании и государственные учреждения, каждый раз увеличивая число седых волос у руководителей подразделений.
Джейсон Стрит,эксперт по безопасности, приводит множество показательных историй из своей практики. Как истинный этичный хакер, он конечно же не указывает название фирм.
Особенно ему запомнился двойной аудит банка Икс. Заказчик попросил проверить как физическую, так и информационную безопасность своих подразделений. Джейсон подошёл к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции "DEFCON" и направился в ближайшее отделение банка с трояном на флешке. Он беспрепятственно открыл дверь с табличкой "Только для персонала" и прошел к свободному компьютеру. Тут же были открытые кассы с наличными и много других интересных штук. Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице.
- Порядок! - ответил Джейсон. - Мне сказали проверить настройки подключения usb-устройств.
Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нём, изображая скуку, чем окончательно развеял опасения - ленивый техник дурачится, что с него взять... За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. Там были имена и фамилии, адреса проживания, номера соц. страхования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало, слишком легкие задачи всегда его немного расстраивали.
- Похоже, этот компьютер сломан, - сказал он, обращаясь к сотруднику банка. - Передай, что я забрал его в ремонт.
Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке и системным блоком под мышкой...
Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей хакер - это красноглазый дядька в свитере, на другом конце Сети, а не парень в соседнем кресле, у тебя на работе.
В связи с чем вспоминаются недавние события с кражей данных в Сбербанке...
Некоторые примеры взяты из книги ''Искусство Обмана'' Кевина Митника
Продолжение следует...