Авторские статьи Социальная инженерия (СИ) в интернете

Discussion in 'Статьи' started by GoodGod, 13 Jun 2008.

  1. GoodGod

    GoodGod Elder - Старейшина

    Joined:
    20 Dec 2006
    Messages:
    216
    Likes Received:
    262
    Reputations:
    50
    Краткий, обзор социальной инженерии в сфере интернет. Эта статья наиболее точно и в тоже время просто и доступным языком отражает всю суть дела.
    В первую очередь ориентирована на ознакомление. Полезна новичкам. Бывалым советую не забывать про подобные мелочи (частая ошибка).
    ___
    В этой статье я решил рассмотреть аспекты социальной инженерии (СИ) в сфере интернет-мошенничества и компьютерных взломов.

    Методики социальной инженерии, применяемые злоумышленниками, сводятся к манипулированию поведением и давлению на человека-оператора. Взломщик применяющий технологии СИ может не обладать огромными познаниями в сфере сетей и операционных систем, но тем не менее может успешно "взломать" систему.

    Такие методики конечно же используются не только злоумышленниками, но и в сфере рекламы и в политических технологиях. Однако сейчас я буду рассматривать только сферу интернета.

    Знание человеческой психологии в большой мере облегчает работу взломщикам и злоумышленникам. Например люди, непрофессионально работающие с ПК, не хотят затруднять себе жизнь запоминанием паролей. Самый распространенный способ сохранения пароля - стикеры с написанными паролями прилепленные к монитору или к другому, столь же удобному и доступному месту. Прочитать и запомнить такой пароль для любого человека оказавшегося поблизости не составляет никаких проблем, и, пожалуйста - уязвимость в системе найдена. Никакие меры по обеспечению безопасности и защиты от взлома не спасут от человека знающего настоящие логин и пароль в систему.

    Если вы когда-либо смотрели фильм "Хакеры", и помните момент, когда главный герой и героиня роются в мусоре в поисках паролей, знайте - это не фантазия режиссера, это вполне объективная реальность. Совсем не редкость, когда пользователи выбрасывают ненужные бумажки в корзину, не придавая особенного значения тому, что на них написано. Другой момент из того же фильма. Главный герой звонит в телевизионную компанию, представляется бухгалтером, у которого при работе на дому произошел сбой, и просит сердобольного охранника сообщить ему некоторые данные необходимые для подключения к системе. Все это - примеры использования хакерами человеческого фактора.

    Это конечно же поверхностные примеры, но тем не менее отражающие идеологию СИ - самым уязвимым звеном системы является человек. Естественно, что СИ не стоит на месте и постоянно развивается. Все новые и новые подходы разрабатываются для манипуляции поведением человека. Один из самых заметных подходов на сегодняшний день - "сфабрикованный предлог". Использование этого метода нашло применение практически во всех сферах интернета, интересных для взломщиков. Это и заражение компьютеров троянскими программами, и пересылка электронных денег на счета мошенников, и недобросовестная реклама.

    Предлогом в полученном вами сообщении может быть что угодно, например возможность получить пиратские программы, посмотреть видео сомнительного содержания, и так далее. Вероятность того, что при переходе по указанной ссылке вы заразите свой компьютер троянской программой очень велика. В самом лучшем случае все ограничится рекламными предложениями и незначительным вредом вашему ПК.

    Также крайне распространены сообщения от мошенников представляющимися вашими знакомыми, попавшими в неприятную или безвыходную ситуацию, и просящими вас, если вы конечно хотите помочь, переслать некую сумму электронных денег на указанные счета. Это могут быть и сообщения о "заболевших родственниках" и о "покупке медикаментов" и о "дорогостоящей операции". Фантазия мошенников в этом случае стремится составить сообщение так, чтобы на него клюнуло максимальное количество людей.

    Целью всех этих манипуляций является заставить вас совершить действие необходимое злоумышленнику, а тут, как говорится, все методы хороши. При этом вы полностью самостоятельно совершаете все действия и, фактически, являетесь пособником взломщика.

    Взломщик, нацелившийся на конкретного человека, постарается узнать о своей цели максимально возможное количество информации. Это не секрет, но мало кто задумывается о том количестве информации, которое любой человек может подчерпнуть о вас воспользовавшись обычными поисковыми системами. Это и ваш e-mail, номер интернет-пейджера, сообщения на форумах и тому подобное. Все это в некоторой мере позволяет узнать о вас целый ряд данных. Взломщик может, не выдавая себя, побеседовать с вами на интересные вам темы, с целью завоевывания доверия, но вы, даже не подозревая об этом, уже являетесь целью или средством взлома.

    Еще одной стороной использования методик СИ является вычисление пользовательских паролей. Очень часто человек, работающий в сети и пользующийся персональными сервисами, не затруждает себя придумыванием достаточно сложных паролей. В результате взломщик, зная о таком аспекте, применяет простейший подбор паролей по составленному словарю. Самые простейшие, но тем не менее распространенные, пароли бывают вида qwerty, 12345, никнэйм пользователя, дата рождения, клички домашних животных и тому подобные, вычислить которые зачастую достаточно просто.

    Хакеры, применяющие технологии СИ, составляют целые словари распространенных паролей, с помощью которых потом ведется атака на поставленную цель.

    Как правило, злоумышленник, успешно применяющий СИ, обладает довольно неплохим знанием психологии, достаточно образован и может обладать неплохими актерскими задатками. Знания этого взломщика могут быть не очень велики в сфере компьютеров, но вы и так самостоятельно проделаете за него половину работы. Взломщику нужно только умело воспользоваться плодами своей "атаки".

    В средства, используемые взломщиками, попадает не только интернет, но и любое другое средство коммуникации - телефон, голосовой чат. Взломщик высокой квалификации должен очень быстро определить стиль и манеру общения со своей целью, иначе "взлом" провалится. Это же касается и стиля письма в электронных письмах или других сообщениях.

    Конечно же методы и подходы СИ гораздо более широки и сложны в своей массе, и в данной статье рассмотрены всего некоторые аспекты применения СИ в интернете.

    Главными целями использования СИ являются :
    1. Сбор информации - один из важнейших аспектов взлома с помощью СИ.
    2. Заставить пользователя ряд действий необходимых для злоумышленника, оперируя только психологией пользователя.

    Результат всех этих действий может оказаться плачевным как для самого пользователя, так и для компании на которую он работает.

    PS:
    Кевин Митник - всемирно прославившийся хакер, отсидевший срок в тюрьме за взлом известных американских коммуникационных компаний, обладал сравнительно небольшими познаниями в технической сфере, но успешность его взломов определяло использование технологий социальной инженерии, психологии и манипуляции людьми.

    Автор © Prizrak, 2007
    Первоисточник!

    ___
    Я что хочу сказать, не стоит недооценивать СИ. Человеческая глупость не знает границ и человек сам порой и пароли отдаст, еще и спасибо скажет. Соц. инженерия не заканчивается в интернете и знание методов СИ всегда пригодиться в повседневной жизни.
    Скоро будет написана моя собственная статья про социальную инженерию, в которой я поделюсь своими мыслями и идеями. (Так же можете прочесть мою статью, в которой я рассказываю, как можно заполучить лицензионный софт абсолютно бесплатно применив навыки СИ - http://forum.antichat.ru/thread72978.html)
    ___
    Ссылки по теме:
    _http://ru.wikipedia.org/wiki/Социальная_инженерия
    _http://www.citforum.ru/security/articles/soc_eng/
    _http://bugtraq.ru/library/books/attack/chapter02/
    _http://www.i2r.ru/static/450/out_16814.shtml
    _http://ci-razvedka.ru/Samples_Social_Ingeneering.html
    _http://ifrit.on.ufanet.ru/4.htm
    _http://www.fortunecity.com/skyscraper/pointone/545/g4.htm

    ___
    Рекомендованная литература:
    - Социальная инженерия и социальные хакеры (Кузнецов М.В.) Подробнее _http://www.centrmag.ru/book2202201.html
    - Психические вирусы. Как программируют ваше сознание (Броуди Ричард) _http://www.my-shop.ru/shop/books/190716.html
    - Советую ознакомиться с литературой по нлп (всякого рода пикапы, а лучше пройти курсы если есть возможность, это будет куда лучше любой литературы), психологии, юриспруденции (чтобы знать, что можно делать законно, а что нельзя)
    - Искусство Обмана. Искусство вторжения. (Кевин Митник) Эти две книги в прочем весьма скучные, но прочитать все же следует. (если кому надо пишите в личку, скину)
     
    #1 GoodGod, 13 Jun 2008
    Last edited: 13 Jun 2008
    afonn likes this.
  2. afonn

    afonn Member

    Joined:
    10 Aug 2015
    Messages:
    117
    Likes Received:
    42
    Reputations:
    0
    Просто великолепно ведь в каждой реальной ситуации и действовать надо не по книжке а обстоятельствам складывающиеся для каждой реальной ситуации .но мысли я схватил и суть уловил
     
  3. Securex

    Securex New Member

    Joined:
    28 Dec 2015
    Messages:
    12
    Likes Received:
    2
    Reputations:
    0
    Как бы не развивалась техника, а люди останутся людьми. И людская глупость (или беспечность) никогда не исчезнет.