Краткий, обзор социальной инженерии в сфере интернет. Эта статья наиболее точно и в тоже время просто и доступным языком отражает всю суть дела. В первую очередь ориентирована на ознакомление. Полезна новичкам. Бывалым советую не забывать про подобные мелочи (частая ошибка). ___ В этой статье я решил рассмотреть аспекты социальной инженерии (СИ) в сфере интернет-мошенничества и компьютерных взломов. Методики социальной инженерии, применяемые злоумышленниками, сводятся к манипулированию поведением и давлению на человека-оператора. Взломщик применяющий технологии СИ может не обладать огромными познаниями в сфере сетей и операционных систем, но тем не менее может успешно "взломать" систему. Такие методики конечно же используются не только злоумышленниками, но и в сфере рекламы и в политических технологиях. Однако сейчас я буду рассматривать только сферу интернета. Знание человеческой психологии в большой мере облегчает работу взломщикам и злоумышленникам. Например люди, непрофессионально работающие с ПК, не хотят затруднять себе жизнь запоминанием паролей. Самый распространенный способ сохранения пароля - стикеры с написанными паролями прилепленные к монитору или к другому, столь же удобному и доступному месту. Прочитать и запомнить такой пароль для любого человека оказавшегося поблизости не составляет никаких проблем, и, пожалуйста - уязвимость в системе найдена. Никакие меры по обеспечению безопасности и защиты от взлома не спасут от человека знающего настоящие логин и пароль в систему. Если вы когда-либо смотрели фильм "Хакеры", и помните момент, когда главный герой и героиня роются в мусоре в поисках паролей, знайте - это не фантазия режиссера, это вполне объективная реальность. Совсем не редкость, когда пользователи выбрасывают ненужные бумажки в корзину, не придавая особенного значения тому, что на них написано. Другой момент из того же фильма. Главный герой звонит в телевизионную компанию, представляется бухгалтером, у которого при работе на дому произошел сбой, и просит сердобольного охранника сообщить ему некоторые данные необходимые для подключения к системе. Все это - примеры использования хакерами человеческого фактора. Это конечно же поверхностные примеры, но тем не менее отражающие идеологию СИ - самым уязвимым звеном системы является человек. Естественно, что СИ не стоит на месте и постоянно развивается. Все новые и новые подходы разрабатываются для манипуляции поведением человека. Один из самых заметных подходов на сегодняшний день - "сфабрикованный предлог". Использование этого метода нашло применение практически во всех сферах интернета, интересных для взломщиков. Это и заражение компьютеров троянскими программами, и пересылка электронных денег на счета мошенников, и недобросовестная реклама. Предлогом в полученном вами сообщении может быть что угодно, например возможность получить пиратские программы, посмотреть видео сомнительного содержания, и так далее. Вероятность того, что при переходе по указанной ссылке вы заразите свой компьютер троянской программой очень велика. В самом лучшем случае все ограничится рекламными предложениями и незначительным вредом вашему ПК. Также крайне распространены сообщения от мошенников представляющимися вашими знакомыми, попавшими в неприятную или безвыходную ситуацию, и просящими вас, если вы конечно хотите помочь, переслать некую сумму электронных денег на указанные счета. Это могут быть и сообщения о "заболевших родственниках" и о "покупке медикаментов" и о "дорогостоящей операции". Фантазия мошенников в этом случае стремится составить сообщение так, чтобы на него клюнуло максимальное количество людей. Целью всех этих манипуляций является заставить вас совершить действие необходимое злоумышленнику, а тут, как говорится, все методы хороши. При этом вы полностью самостоятельно совершаете все действия и, фактически, являетесь пособником взломщика. Взломщик, нацелившийся на конкретного человека, постарается узнать о своей цели максимально возможное количество информации. Это не секрет, но мало кто задумывается о том количестве информации, которое любой человек может подчерпнуть о вас воспользовавшись обычными поисковыми системами. Это и ваш e-mail, номер интернет-пейджера, сообщения на форумах и тому подобное. Все это в некоторой мере позволяет узнать о вас целый ряд данных. Взломщик может, не выдавая себя, побеседовать с вами на интересные вам темы, с целью завоевывания доверия, но вы, даже не подозревая об этом, уже являетесь целью или средством взлома. Еще одной стороной использования методик СИ является вычисление пользовательских паролей. Очень часто человек, работающий в сети и пользующийся персональными сервисами, не затруждает себя придумыванием достаточно сложных паролей. В результате взломщик, зная о таком аспекте, применяет простейший подбор паролей по составленному словарю. Самые простейшие, но тем не менее распространенные, пароли бывают вида qwerty, 12345, никнэйм пользователя, дата рождения, клички домашних животных и тому подобные, вычислить которые зачастую достаточно просто. Хакеры, применяющие технологии СИ, составляют целые словари распространенных паролей, с помощью которых потом ведется атака на поставленную цель. Как правило, злоумышленник, успешно применяющий СИ, обладает довольно неплохим знанием психологии, достаточно образован и может обладать неплохими актерскими задатками. Знания этого взломщика могут быть не очень велики в сфере компьютеров, но вы и так самостоятельно проделаете за него половину работы. Взломщику нужно только умело воспользоваться плодами своей "атаки". В средства, используемые взломщиками, попадает не только интернет, но и любое другое средство коммуникации - телефон, голосовой чат. Взломщик высокой квалификации должен очень быстро определить стиль и манеру общения со своей целью, иначе "взлом" провалится. Это же касается и стиля письма в электронных письмах или других сообщениях. Конечно же методы и подходы СИ гораздо более широки и сложны в своей массе, и в данной статье рассмотрены всего некоторые аспекты применения СИ в интернете. Главными целями использования СИ являются : Сбор информации - один из важнейших аспектов взлома с помощью СИ. Заставить пользователя ряд действий необходимых для злоумышленника, оперируя только психологией пользователя. Результат всех этих действий может оказаться плачевным как для самого пользователя, так и для компании на которую он работает. PS: Кевин Митник - всемирно прославившийся хакер, отсидевший срок в тюрьме за взлом известных американских коммуникационных компаний, обладал сравнительно небольшими познаниями в технической сфере, но успешность его взломов определяло использование технологий социальной инженерии, психологии и манипуляции людьми. Автор © Prizrak, 2007 Первоисточник! ___ Я что хочу сказать, не стоит недооценивать СИ. Человеческая глупость не знает границ и человек сам порой и пароли отдаст, еще и спасибо скажет. Соц. инженерия не заканчивается в интернете и знание методов СИ всегда пригодиться в повседневной жизни. Скоро будет написана моя собственная статья про социальную инженерию, в которой я поделюсь своими мыслями и идеями. (Так же можете прочесть мою статью, в которой я рассказываю, как можно заполучить лицензионный софт абсолютно бесплатно применив навыки СИ - http://forum.antichat.ru/thread72978.html) ___ Ссылки по теме: _http://ru.wikipedia.org/wiki/Социальная_инженерия _http://www.citforum.ru/security/articles/soc_eng/ _http://bugtraq.ru/library/books/attack/chapter02/ _http://www.i2r.ru/static/450/out_16814.shtml _http://ci-razvedka.ru/Samples_Social_Ingeneering.html _http://ifrit.on.ufanet.ru/4.htm _http://www.fortunecity.com/skyscraper/pointone/545/g4.htm ___ Рекомендованная литература: - Социальная инженерия и социальные хакеры (Кузнецов М.В.) Подробнее _http://www.centrmag.ru/book2202201.html - Психические вирусы. Как программируют ваше сознание (Броуди Ричард) _http://www.my-shop.ru/shop/books/190716.html - Советую ознакомиться с литературой по нлп (всякого рода пикапы, а лучше пройти курсы если есть возможность, это будет куда лучше любой литературы), психологии, юриспруденции (чтобы знать, что можно делать законно, а что нельзя) - Искусство Обмана. Искусство вторжения. (Кевин Митник) Эти две книги в прочем весьма скучные, но прочитать все же следует. (если кому надо пишите в личку, скину)
Просто великолепно ведь в каждой реальной ситуации и действовать надо не по книжке а обстоятельствам складывающиеся для каждой реальной ситуации .но мысли я схватил и суть уловил
Как бы не развивалась техника, а люди останутся людьми. И людская глупость (или беспечность) никогда не исчезнет.