Содержание темы: Вступление. 5 способов популярных в наше время. + 10 простых рецептов социальной инженерии Вступление. Социальная инженерия - это метод, в котором социальные инженеры (читайте: хакеры) даже не должны прикасаться к клавиатуре, чтобы получить конфиденциальные данные. Методы разные и трудно подсчитывать. Лучшие способы можно классифицировать на разные заголовки, как описано ниже. Из многих разделов, в теме будет 5 популярных методов социальной инженери и отдельно 10 методов всех лет. В этой статье описывается, как социальной инженерией пользуются плохие парни (врага нужно знать в лицо) и как от них защищаться. В частности описываются социальные и психологические особенности человека, которые делают его восприимчивым к социальной инженерии. Техники социальной инженерии могут применяться вполне законно для того, чтобы человек совершил определенные действия. В нынешнее время цель использования метода во всемирной паутине – получение закрытой информации, имеющей ценность. Даже спустя много лет,этой системой будет пользоваться большое количество человечества. Методы социальной инженерии: 5 популярных способов в настоящее время. Получение уверенности от жертвы. (скамеры знают) Самый используемый метод социальной инженерии - завоевать доверие сотрудников целевого бизнеса. Один или несколько других заголовков в этой статье также попадают в эту категорию, но я написал о них отдельно, чтобы я мог их подробно описать. Вы можете говорить обо всем с друзьями, людьми, которым вы доверяете. В случае проблем вы обратитесь к ним и расскажите им, что вас беспокоит. И в течение такого времени, если другой задаст вам вопрос, вы не будете задумываться о том, почему человек задает вопрос, прежде чем отвечать. Социальные инженеры манипулируют человеческими эмоциями и используют их для получения данных и информации, которую они хотят. Самый простой способ - представлять собой авторитет. Общеизвестно, что социальные инженеры используют поддельные удостоверения личности, чтобы доказать свою фальшивую личность и заставить вас доверять им. После того, как вы попадаете в их ловушку, им легко получить любую информацию, которую они хотят. В соответствии с тем, что я прочитал по этой теме, большинство социальных инженеров покажут, что у вас есть какие-то проблемы для работы с компании и что они пытаются вам помочь. Когда вы в ужасе, вы говорите как попугай, давая им необходимую им информацию. Веб-сайт сказал, что действие в гневе заставляет других подчиняться вашим делам. Я не совсем уверен в этом, так как я не психолог, но упоминаю его здесь, если вы хотите узнать об этом. Обычно говорят, что социальные инженеры будут симулировать гнев, идя в отделы, содержащие информацию. Люди хотят избежать гнева, и они не остановят вас, если они увидят, что вы злитесь. Это попытка с вашей стороны держаться подальше и сохранять настроение стабильным, а не заниматься сердитым человеком. Это показало, что, когда пара хотела прокрасться в бутылку алкоголя в какой-то парк, пара просто сердито действовала и обходила зону разметания, так как безопасность просто приветствовала их. Я не знаю, насколько она эффективна, но похоже некоторая логика. Если это правда, вы должны сообщить своим охранникам придерживаться правил, независимо от того, как ведут себя клиенты. Один из них может быть просто социальным инженером. Использование водяных отверстий для социальной инженерии В то время как друзей можно сделать в любом месте, после важного человека к его или ее водному отверстию (бар / паб и т. д.) - лучший способ завоевать доверие. Люди обычно много говорят в таких местах - если вы их провоцируете. Поскольку они там разворачиваются, им нужно поговорить и выразить свои эмоции. Если они видят вас не один раз, естественно, что они хотели бы узнать вас больше. И в этом сценарии очень легко завоевать доверие. После того, как вы доверяете, вы можете просто направить разговор на свои рабочие места и получить нужную вам информацию. Использование интервью для получения данных Среди других популярных методов социальной инженерии участие в интервью целевой компании также стоит вне. Интервьюеры, задав вам вопросы, готовы ответить на вопросы. Вы можете спросить их о компании, ее силе и т. Д. Как общие вопросы. Но если вам удалось завоевать доверие панели интервью, вы также можете задать им вопросы, которые предоставят вам необходимую информацию. У них могут быть вопросы о производительности компании, как они получили заказ, который вы были уверены в себе, и тому подобное. Для них вы просто честный собеседник, а на самом деле вы отправились туда с целью сбора информации. Занятость для социальной инженерии В некоторых случаях социальные инженеры берут на себя работу в целевых компаниях, чтобы выкопать необходимую информацию. Хотя для некоторых социальных инженеров достаточно собеседования, чтобы получить желаемую информацию, другие планируют больше и приходят на работу. Будучи сотрудником, они получают доступ к машинам компании, которые они используют для своей повестки дня. Они будут использовать обучение, чтобы знать, как функционирует целевой бизнес. Затем у них будут коллеги, которые они преобразуют в друзей. Они будут держаться за курить, перерывы и, возможно, даже после рабочего дня. Лучший способ - рассказать о своей роли и заставить их говорить - сначала задавая простые вопросы, а затем двигаясь к желаемой информации. Эти типы социальных инженеров могут предоставлять информацию своим хозяевам или тем, кто их нанял, на более длительные периоды. Будучи сотрудником, они также могут переходить от одного отдела к другим и могут заставить менеджеров говорить, поднимая вопросы о функционировании определенного процесса - как будто они не получают его или как будто они не удовлетворены тем, как процесс работает. Это позволило бы руководителю рассказать о процессе и бессознательно предоставить информацию социальным инженерам. Honey Trapping: Методы социальной инженерии Это один из популярных методов социальной инженерии, когда ставки высоки. Как правило, мужчины более склонны к медовым ловушкам по сравнению с женщинами - Метод может быть дорогостоящим, поскольку он привлекает третьих лиц. Это также очень плохо для захваченного человека, поскольку он или она будет жить под постоянным страхом и стрессом, не говоря уже о вине, которую он или она будет нести на всю жизнь. Этот опасный метод можно описать следующим образом: Определите человека в целевой компании, у которой есть хорошая инсайдерская информация У вас есть высококлассный проститутка, чтобы соблазнить человека Фильм, когда они в действии Используйте фильм, чтобы шантажировать захваченного человека Тот же метод был использован в недавней террористической атаке Pathankot Air Base (2016) в Индии. Поскольку фильм / видео с социальным инженером, человек может получить то, что он или она хочет. Они могут даже заставить захваченного человека делать то, что он или она никогда не придумает. В некоторых случаях стресс и чувство вины настолько велики, что захваченный человек может покончить с собой. В случае ловушек для меда не так много, кроме как для обучения людей, которые работают на вас. Но это не гарантированное решение, поскольку оно играет с основными человеческими тенденциями. Точно так же нет 100% -го брандмауэра против любого из вышеперечисленных методов социальной инженерии. Люди ошибаются, и именно там социальные инженеры получают прибыль. Все, что вы можете сделать, это просвещать, и если сотрудники понимают, это хорошо или не только они сами, но и их компании также подвержены риску социальной инженерии. Продолжение темы-способы! Верифицированный отправитель Письма с Google Analytics Любопытство Фейковая подписка на рассылку Майнинг имейлов А что это там написано? Как вас зовут? Массовая разведка Персонализированное зло Сайт не работает Мультилендинг Вывод и заключение!!! «Верифицированный отправитель» Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше — наш текст и ссылка. Сообщение от сервиса будет в самом низу. Как это превратить в оружие массового поражения? Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки — нужно было только немного автоматизировать заполнение формы. Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов. В моем тесте по ссылке перешло около 10% получателей. Комментарии излишни. А вот «тренд» апреля 2018-го. Письма с Google Analytics Расскажу о совсем новом случае — за апрель 2018 года. С почты Google Analytics noreply-analytics@google.com на несколько моих адресов начал приходить спам. Немного разобравшись, я нашел способ, которым его отправляют. «Как это применить?» — подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст. При переходе по ссылке пользователь попадал бы на поддельный сайт и оставлял бы свой пароль. Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов. «Любопытство» Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют. Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов. «Фейковая подписка на рассылку» Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся. «Майнинг имейлов» Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним info@, проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности. «А что это там написано?» Чтобы заманить пользователей с какого-нибудь форума или сайта с открытыми комментариями, не нужно выдумывать заманчивые тексты — достаточно всего лишь запостить картинку. Просто выбери что-нибудь попривлекательнее (какой-нибудь мем) и ужми так, чтобы различить текст было невозможно. Любопытство неизменно заставляет пользователей кликать по картинке. Я провел эксперимент и получил таким способом около 10 тысяч переходов. А еще я знаю случай, когда ребята адаптировали этот метод для доставки троянов через ЖЖ. «Как вас зовут?» Заставить пользователя открыть файл или даже документ с макросом не так сложно, даже несмотря на то, что многие слышали о подстерегающих опасностях. При массовой рассылке даже просто знание имени человека серьезно повышает шансы на успех. Например, мы можем отправить письмо с текстом «Этот email еще активен?» или «Напишите, пожалуйста, адрес вашего сайта». В ответе как минимум в 10–20% случаев придет имя отправителя (чаще это встречается в крупных компаниях). А через какое-то время пишем «Алёна, здравствуйте. Что такое с вашим сайтом (фото приложил)?» Или «Борис, добрый день. Никак не разберусь с прайсом. Мне 24-я позиция нужна. Прайс прикладываю». Ну а в прайсе — банальная фраза «Для просмотра содержимого включите макросы…», со всеми вытекающими последствиями. В общем, персонально адресованные сообщения открываются и обрабатываются на порядок чаще. «Массовая разведка» Этот сценарий — не столько атака, сколько подготовка к ней. Предположим, мы хотим узнать имя какого-то из важных сотрудников — например, бухгалтера или руководителя службы безопасности. Это несложно сделать, если отправить кому-то из сотрудников, которые могут обладать этой информацией, письмо следующего содержания: «Подскажите, пожалуйста, отчество директора и график работы офиса. Нужно отправить курьера». Время работы спрашиваем, чтобы замылить глаза, а спрашивать отчество — это трюк, который позволяет не выдавать, что мы не знаем имени и фамилии. И то и другое, скорее всего, будет содержаться в ответе жертвы: ФИО чаще всего пишут целиком. Мне в ходе исследования удалось таким образом собрать ФИО более чем двух тысяч директоров. Если нужно узнать почту начальства, то можно смело писать секретарю: «Здравствуйте. Давно не общался с Андреем Борисовичем, его адрес andrey.b@company.ru еще рабочий? А то ответ не получил от него. Роман Геннадьевич». Секретарь видит email, выдуманный на основе настоящих ФИО директора и содержащий сайт компании, и дает настоящий адрес Андрея Борисовича. «Персонализированное зло» Если нужно заставить отреагировать на письмо большое количество организаций, то первым делом надо искать болевые точки. Например, магазинам можно направлять жалобу на товар и грозить разбирательствами: «Если вы не решите мою проблему, буду жаловаться директору! Это что вы мне такое доставили (фото прилагаю)?! Пароль от архива 123». По базе автосервисов точно так же можно рассылать фотографию с поломкой и вопросом, смогут ли отремонтировать. По строителям — «проект дома». В моем небольшом исследовании на такие письма откликались как минимум 10% получателей. «Сайт не работает» Базу сайтов с почтовыми адресами владельцев легко превратить в переходы на любой другой сайт. Отправляем письма с текстом «Почему-то страница вашего сайта www.site.ru/random.html не работает!» Ну и классический прием: в тексте ссылки жертва видит свой сайт, а сама ссылка ведет на другой URL. «Мультилендинг» К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел. Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы. Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном). Вывод и заключение!!! Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот обычные пользователи, которые слыхом не слыхивали ни про какую социальную инженерию, легко могут пострадать от таких атак мошенников/хакеров.