Искусство обмана: Социальная инженерия

Социальная инженерия
Социальная инженерия — это психологическое манипулирование людьми с целью совершения определенных действий или разглашения конфиденциальной информации. Совокупность уловок с целью сбора информации, подделки или несанкционированного доступа. От традиционного «мошенничества» отличается тем, что часто является одним из многих шагов в более сложной схеме мошенничества. Для достижения желаемой цели, мошенник работает непосредственно с жертвой.

Хотя термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии. Для того, чтобы обезопасить себя от воздействия социальной инженерии, необходимо понять, как она работает.

Как это работает?
Используя давно известные психологам шаблоны поведения, атакующая сторона может, например, незаметно выманить у жертвы критически важную информацию или заставить сделать опрометчивое решение. Поскольку методы социальной инженерии очень эффективны, а стоимость попытки минимальная, мошенники применяют её повсеместно.
Если говорить об информационной безопасности, основные типы социальной инженерии включают в себя:

• Претекстинг — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию узнает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.
• ****** — техника интернет мошенников, направленная на получение вашей конфиденциальной информации для авторизации в различных системах.
• Quid pro quo — или же услуга за услугу, мошенники представляются сотрудниками поддержки и предлагают помощь в устранении каких-то проблем ( которые не существуют), в результате чего вынуждают вас совершать различные действия позволяющие мошенникам запускать всякие команды или ПО на вашем компьютере.
• Троянский конь (или просто троян) — это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» для какого-то ПО, ключ к денежному выигрышу или какие-нибудь компроматы на ваших знакомых. Естественно вместо этого вы получаете только ссылку на вирус.
• Дорожное яблоко — этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей. Мошенники обычно подбрасывают такой носитель в общедоступных местах, чтобы у вас возник интерес к данному носителю. Мошенник может нанести на носитель логотип компании или какую-нибудь подпись.
• Обратная социальная инженерия — данный вид атаки направлен на создание такой ситуации, при которой вы вынуждены будете сами обратится к мошеннику за «помощью». Например, вам могут выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с мошенником сам, и в процессе «исправления» проблемы он сможет получить необходимые ему данные.

Примеры применения навыков социальной инженерии.
Есть много существующих примеров социальной инженерии, но с начала возьмем базовую ситуацию.
Почти любой онлайн сервис имеет функции восстановления пароля, у некоторых из них есть функции восстановления по секретным вопросам. Очень часто ответом на такой вопрос является какая-то личная информация ( имя первого питомца, улица проживания, девичья фамилия матери и т.д.). Естественно угадать её хакер не сможет без какой-либо дополнительной информации, но, мошенник может использовать разные способы для получения этой информации от жертвы: звонки на номера телефона, переписки в соц сетях, письма на электронную почту. Мошенник легко может представиться каким-нибудь сотрудником банка/ тех. поддержки/ налоговой и т.д., и получить эту информацию из жертвы.
Естественно все звонки будут совершены с помощью измененных номеров. Их настоящий номер скрыт — а вы видите знакомый номер (или похожий) на тот, который используют организации. А по почте или смс, вы получите отфотошопленные счета/чеки/штрафы. При телефонных звонках мошенники сразу попытаются надавить на эмоции жертв. Вызывают страх того, что прямо сейчас они могут всё потерять и нужно срочно принимать решение. "Назовите только три цифры сзади, и мы сразу отменим все транзакции или мы можем перевести деньги на другой безопасный счет".

Обычно, прежде чем выйти на контакт, социальные инженеры стараются узнать о потенциальной жертве как можно больше. Они выясняют данные человека, чаще всего — с помощью ******овых сайтов. Или покупают готовые информационные базы с персональными данными, которые утекли в сеть. Нередко люди и сами публикуют в соцсетях номера телефонов, электронные адреса и даже выкладывают фотографии своих банковских карт.
Этой информации недостаточно, чтобы сразу украсть деньги, но вполне хватит для того, чтобы начать разговор и усыпить бдительность. Когда мошенники обращаются к людям по имени и отчеству, сами называют номера карт или другие конфиденциальные данные, кажется, что они действительно представляют знакомую организацию или человека.
Помимо этого, часто используется ******-сайты. Копии сайтов банков/онлайн-магазинов/платежных сервисов, и т.д., где у жертвы легко могут украсть платежные данные или же сразу получат перевод от неё на свои счета.

Еще один из популярных способов — это распрострение сообщений о "лёгких деньгах". Такое часто происходит в социальных сетях. Вот один пример который был популярен несколько лет назад в Инстаграме:

1. Вы листаете ленту в инстаграме и вам попадается рекламы от известных личностей
2. Страничка выглядит один в один как оффициальная, а если нажать на профиль, переходит на профиль очень близкий к оригинальному
3. В рекламе, смонтированное видео, где эти известные личности пиарят какой-то розыгрыш или денежный выигрыш и в комментах всегда позитивные отзывы. Но ребята сильно не запаривались и там их обычно было штук по 10 максимум
4. Если перейти по ссылке которую они укажут, там предложат пройти какой-нибудь тупорылый опрос( что вам больше нравится пепси или блять кока-кола) или же просто скажут что вы выиграли определенную сумму денег. Всё что нужно сделать это отправить процент от вашего выигрыша, якобы налог. А потом вы получите обратно свой выигрыш.
5. Естественно, если вы отправляете этот "налог" — вы попались на крючок этой схемы.

Конечно такие рассылки могут распространяться и в другом виде (электронная почта или смс как пример), но популярной она была в инстаграме, сам это наблюдал.

Социальная инженерия содержит много различных приемов и уловок. Например, если к просьбе о каком-то действии добавлять причину для этого действия, то вероятность вероятность того, что вам откажут, сильно падает. Причём сама причина, не важна, важен факт наличия этой причины. Человек легко и без проверок поверит в то, что ему кажется логичным.
А иногда достаточно просто попросить сотрудников и они сделают всё что ты скажешь.

В 2015-ом году, The Ubiquiti Networks, потеряла 40 миллионов долларов. Мошенники прислали письмо на электронную почту от имени топ-менеджера компании и просто попросили перевести большую сумму денег на указанный банковский счёт. Никто ничего не взламывал, просто взяли и попросили.
Если вы хотите сами заняться способами развода при помощи социальной инженерии, даже в клирнете можно найти ресурсы для помощи по этому вопросу. В подробности, о том как обманывать людей, я вдаваться не буду. Но если эта тема вам интересна — советую прочитать несколько книг от Кевина Митника. Знаменитый хакер в прошлом и эксперт по компьютерной безопасности, в настоящем.

Зато распишу еще один интересный случай применения социальной инженерии, на этот раз мошенник не использовал интернет, а применял навыки вживую на людях.
Карлос Гектор Фломенбаум, завоевал доверие сотрудников банка, выдавая себя за бизнесмена. Он преподносил себя как успешного делового человека, а банк он посещал в течение года. Сотрудникам банка нравился этот мужчина, которого они описывали как высокого седого 55-60-ти летнего англичанина, говорящего с американским акцентом и размахивающего аргентинским паспортом. Он приносил работникам банка конфеты, говорил с ними о не алмазных делах, и, в конечном счете, так втерся в доверие, что получил VIP-доступ к хранилищу.
В банке некоторым клиентам давались ключи, чтобы они могли получать доступ к своим алмазам в определенные часы. Фломенбаум стал одним из таких клиентов, и в один из дней, в период между 2 и 5 марта 2007 года, он вошел в хранилище и вышел из него, унося с собой алмазов на сумму в 28 миллионов долларов.
Его кстати так и не нашли. ******* который он использовал был украден в Израиле за несколько лет до этого случая. Как получилось что он вообще получил доступ куда-либо по украденному паспорту - не понятно.

Подводим итоги.
Я понимаю, многое из этого для вас будет звучать как какие-то байки, на которые ведутся какие-то умственно отсталые существа, но даже опытные люди в той же крипто индустрии не редко попадаются на улов всяких идиотских, даже на первый взгляд, схем. Сейчас интернетом пользуются не только “прошаренные” ребята, но и все остальные, которые не способны понять что их разводят. От мамаш которые играют в фермы и не понимают разницы между обычным письмом и электронным, до подростков, которые не понимают разницы между настоящей женщиной, и персонажем из Геншин Импакт. И если даже “прошаренные” люди, которые это всё повидали, могут попасться на такое, представьте какие шансы у остальных?

Правила безопасности в интернете мы уже обсуждали, ключевые моменты:

• Не делайте пароли одинаковыми для всех ваших аккаунтов, если один пароль засветится — засветятся и остальные.
• Не храните пароли у себя на компе, для этого есть специальные сервисы
• Используйте двухфакторную везде где это можно, желательно, с приложением для аутентификации, т.к. аутентификация через SMS и другие способы может быть не безопасна
• Не светите свои данные в сети ( ну это самое очевидное), имя/фамилия/адрес, и прочее что поможет установить вашу личность или, например, подобрать ответы на секретные вопросы в каких-то аккаунтах
• Не сообщайте никому данные своих карт, пин код, смски и прочее( всё таки это самое очевидное). Я даже объяснять не буду почему, итак всё ясно.

Будьте внимательны, не спешите с принятием решений, проверяйте собеседников ( особенно в соц сетях) и всё будет хорошо. Главное не терять равновесие в нестандартных ситуациях и всегда держать себя в руках. Эмоциональные манипуляции и шаблонное поведение — очевидный признак социальной инженерии или ее производных.