0/5

Социальная инженерия – отмычка для доверия

Социальная инженерия – отмычка для доверия
время публикации: 10:00  08 октября 2019 года
Время чтения: 7 мин 20 сек.

Государства топчутся по мозгам граждан, насаждая мысли территориальной исключительности, величия держав, справедливости правлений. Глушит пропаганда, вбрасываются манипуляции, сочиняются байки, притчи, анекдоты. Мощными басами на этом фоне гремит религия с отсылками на житие святых.
Разрешённое Юпитеру, не позволительно быку: узурпация влияния не приемлет сольных од. Виртуозный Кевин Митник, прославившийся нетривиальными подходами к добыче паролей и «чёрных калиток», так разгневал истеблишмент, что был осуждён и отлучён от клавиатур. Звучит зловеще в гаджетное время.

В конце семидесятых годов прошлого века шестнадцатилетний хакер развлекался, бесплатно звоня по миру, используя инженерные коды работников телефонных компаний. После поимки, отсиживая квартал в исправительной колонии для несовершеннолетних, постиг тонкости коммуникационных технологий.

Паря выше всех, став укором проводных систем, юный калифорниец обрёл кличку «Кондор», в честь гордой птицы грозных Анд. Подменял трафик, вклинивался в разговоры, блокировал номера. ФБР гонялось за парнем, считая высшей проблемой западного общества. Последовала неприятная годовая отсидка.

Выход из тюрьмы знаменовался сладкой местью: телефонный счёт надзирателя блокировал провайдер, у судьи начались проблемы с банковскими займами. Задирства ради Митник взломал аккаунт эксперта по компьютерной безопасности, травля перешла в решающую фазу… 11 месяцев антисанитарийной за́перти.

Кевин стал культовой личностью техногенного андеграунда: разработал методы создания пространства, условий и обстоятельств, позволяющих узнавать желаемое, благодаря гражданскому давлению и психологическим манипуляциям. Программирование людей началось задолго до аллергичного НЛП.

Социальную инженерию регулярно используют в Сети: раздувая холивары, вбрасывая фейки, провоцируя флейм. Недогуру и псевдокоучи бессовестно заимствуют протоколы введения в заблуждение для личного обогащения. Но именно Митник наглядно показал, что уязвимое место любой системы – грешный человек.

На хакерской конференции демонстрировали трюк: женщина звонила в банк, прося перевести небольшую сумму со счёта мужа. Доблестный клерк был непреклонен, отвергая всяческие попытки психологического давления. Но дама включила запись пронзительного плача ребёнка и стала имитировать укачивание.

Аудитория переглядывалась, не веря, что на подобное кто-то купится. Тем не менее платёж благополучно поступил под общий вздох заметного разочарования. А сколько раз к вам подходили сотрудники в форме и грозно требовали предъявить документы? Задумывались ли о том, а не ряженные ли подкатывают?

Известный эксперимент жесток по сути и показателен по итогу: психологи, представляясь врачами, давали указания медсёстрам вколоть пациенту смертельную дозу лекарства. Те, осознавая последствия, в 95% случаев беспрекословно пытались исполнить команду. Их останавливали ассистенты на входе в палату.

Социальная инженерия позволяет изменять сознание или мировоззрение на коротком или длительном горизонте времени. Предположим, имеется сложная компьютерная система защиты с невероятно стойкими паролями и техническими барьерами. Вариант прямой – полным перебором подбирать учётные данные.

Метод грубой силы – наиболее изнуряющий способ добыть информацию. Рассмотрим обстановку шире – рядом с «железом» есть люди, которые регулярно авторизуются, используя технические устройства и знания в голове. Почему бы не подменить им реальность, чтобы с первой попытки получить требуемые данные?

Я регулярно захожу в кассовые узлы банков. Без денег в карманах и документов. Не для того, чтобы унести ценности, а для поддержания навыка на приемлемом уровне. Вхожу в здание, начинаю командовать и сыпать терминами. Через пару минут выбегает заведующая отделения и сопровождает в «хранилище».

Подобные эксперименты, провожу с ресторанами, гостиницами, магазинами. Когда что-нибудь не получается, анализирую, что сделал не так и повторяю попытки заново. Каждый раз в следующем месте. 

Социальная инженерия – отмычка для доверия

Осмелюсь дать советы:

1. Изучите терминологию, сленг должностных лиц, правила и нововведения в среде, в которую хотите проникнуть.

2. Проведите значительное время в наблюдении за типовыми характеристиками операций и действиями участников.

3. Определите устойчивые виды коммуникационного поведения, попрактикуйтесь в беглом и автономном использовании.

4. Разделите входы на главный и дополнительный и, в зависимости от степени уверенности, проникайте так, чтобы оставить шанс второй попытки в другом месте.

5. Заботьтесь о том, чтобы не понести ответственности сверх задуманного – не совершайте преступных и опрометчивых действий. На случай поимки заготовьте правдоподобное алиби.

Не следует:

1. Намереваться обогатиться с единственной попытки – социальная инженерия требует тщательных и длительных тренировок. Жадных ловят первыми.

2. Пользоваться информацией уволенных – с уходом людей, систему меняют, перепрошивают, обновляют. Рискуете попасться в заготовленную ловушку.

3. Совершать оригинальные поступки, требовать невозможного, претендовать на святое. Попробуете представиться важным, и вместо рядовых выйдут бывалые офицеры.

4. Использовать методы чужих успешных атак, описанные в книгах. Их наверняка читали и специалисты, чей ежедневный труд – противостоять искушённым умникам.

5. Интенсивно расспрашивать или активно хвастаться будущими или случившимися успехами. Болтун – желанная находка для служб безопасности и правоохранительных органов.

Большинство людей нацелены на краткие транзакции. Увидел чужой пирожок – схватил, убежал, поймали. Эффективнее втираться в доверие. Станете навещать незнакомый офис в технической одежде, проверяя батареи, и через время охранники станут здороваться, проявившись первым звеном в цепи будущей атаки.

Подгадав под сильный ветер, дождь, град, залетите туда же с заранее рассечённым лбом, капающей кровью и, пока за вами будут ухаживать, сможете многое рассмотреть вблизи. Третий заход возможен с целью поблагодарить спасителей. Четвёртый может быть атакой. Пятый – обязательным прикрытием.

Если неожиданно исчезнете из поля зрения, как показывают в фильмах – вычислят по остаточным воспоминаниям те, кого сделают виноватыми в вашем успехе. 

Рекомендации бдительным:

1. Проверяйте адреса страниц электронного банкинга и не брезгуйте антивирусом – убережётесь от многих неприятностей.

2. Не берите передачи не видя содержимого, вне зависимости от того, кто и как просит. Могут подставить – мама не горюй.

3. Не изменяйте процедуры для руководства. Это проверка или злоупотребление. Начальство не должно быть против того, что исполните предписываемое.

4. Не доверяйте – просите документы и перезванивайте. Представители компаний и силовых структур подтвердят полномочия, а социальные инженеры будут давить срочностью.

5. Не торопитесь помогать деньгами в ответ на сердобольные сообщения и письма. Погуглите два-три фрагмента текста – в большинстве случаев получите подтверждение ложности сигналов.

Олег Брагинский,
Основатель «Школы траблшутеров»




Читайте также:
Прочь угрюмый скептицизм, здесь орудует лоббизм
Что за штука, эта власть? Наиграться б ею всласть!
Остаться умирать или измениться, чтобы выжить


0
Реклама на New Retail. Медиакит