Блог bitmanager

Социальный инжениринг 2: методы

Социальный инжениринг — это глобальная угроза интернет-пространства и одно из самых эффективных направление в хакинге, основанное на знании психологии человека.


Если вы считаете, что вас это не касается, напомним, что 80% хакерских взломов компьютерных сетей и краж личности происходит именно с использованием соц. инженерных методов. И это достаточный повод, чтобы рассмотреть такие методы внимательнее.


Статью «Социальный инжениринг часть 1: введение» читайте тут.


Техники социального инжиниринга

В их основе лежит понимание особенностей принятия человеком решений злоумышленником.

  1. Фишинг
  2. Троянский конь
  3. Дорожное яблоко
  4. Претекстинг
  5. Подсматривание через плечо
  6. Кви про кво
  7. Обратная социальная инженерия

Фишинг:

Мошенническое получение конфиденциальной информации. Чаще всего жертва получает e-mail, подделанный под официальное письмо от платежной системы или из банка. В письме находится ссылка на фальшивую web-страницу, до мелочей имитирующей официальную. При этом будет содержаться форма для введения конфиденциальной информации – от пин-кода банковской карточки и паспортных данных до домашнего адреса. Если пользователь выполнит все, что от него требуют в письме, он — жертва кибермошенников.


Сегодня особенное распространение получили фишинговые сайты страховых компаний. Дело поставлено на столь широкую ногу, что после оплаты КАСКО или ОСАГО на фишинговом сайте, в самом деле, присылается полис автострахования. А вот то, что это фальшивка, станет известно лишь после наступления страхового случая.


Кстати, фишинг занимает особое место в киберпреступности. Покажем это более наглядно на с помощью статистики Минюста о кибермошенничествах за 2016 г.



Троянский конь

Очень оригинальная методика, эксплуатирующая, к примеру, авторитет пославшего е-mail. Так, в декабре прошлого года многим бухгалтерам на почту пришло письмо якобы из налогового ведомства с указанием на недочисление налогов. Подробности предлагалось узнать в прилагаемом вордовском файле, содержащем вредоносное ПО.


Если кибермошенник решает сделать ставку на алчность потенциальной жертвы, то рассылка может принять вид сообщения от нигерийского адвоката о том, что пользователь стал богатым наследником. Сообщения о внезапном выигрыше чего-то дорогостоящего: от айфона до автомобиля – из этой же серии.


Дорожное яблоко

Техника, эксплуатирующая любопытство жертвы. Если в лифте пользователь заметит оброненный кем-то носитель информации с корпоративными логотипами и надписью «Зарплаты персонала-2016», велика вероятность, что он постарается ознакомиться с его содержимым. И скачает вредоносное ПО.


Претекстинг

Обман происходит по заранее составленному сценарию – претексту. При этом используются голосовые средства связи – телефон, скайп и т.д. Например, социальный инженер звонит под видом сотрудника банка и изобретает повод попросить личные данные или данные банковской карты.


Подсматривание через плечо

Не просто буквальная и банальная, но и опаснейшая техника социального инжиниринга. Заключается в том, что конфиденциальная информация похищается именно таким образом – подсматриванием через плечо.


Кви про кво

Мошенник звонит в интересующую его компанию по случайному номеру и представляется сотрудником техподдержки, которого интересуют технические проблемы. Когда конкретная проблема озвучена, социальный инженер в процессе «решения» диктует жертве действия, дающие возможность запустить вредоносное программное обеспечение.


Обратная социальная инженерия

Мошенник заставляет пользователя лично обратиться к нему за «помощью». В таком случае на компьютере жертвы атаки сначала создаются обратимые неполадки. А затем тем или иным образом подсовывается объявление вроде «если у вас возникли трудности с компьютером, мы вам поможем…». Очень часто такие манипуляции проделываются с сотрудниками интересующей компании, которые находятся в отпуске или в командировке.


Признаки, которые должны насторожить

  • общение со стороны позвонившего происходит в нарочито начальственном тоне;
  • вам безбожно льстят и пытаются втереться в доверие;
  • вдруг появляются преувеличенное внимание и забота, несвойственные, к примеру, учреждению банка;
  • собеседник уходит от вопросов о собственной личности и координатах для связи;
  • поступает очень странная и необычная просьба.

Отдельно отметим последнюю тенденцию, используемую кибермошенниками. Сегодня они все чаще не отмалчиваются на вопрос об обратной связи, а просто дают номера телефонов учреждений, которые с большой вероятностью окажутся заняты.


Рейтинг самых популярных схем социального инжениринга

  • Сообщения от друзей с просьбой о фин. помощи. Чаще всего возникает серьезная проблема, а возможности позвонить у друга нет. Зато есть просьба срочно перечислить определенную сумму на банковскую карточку. Хакер понимает, что это старый прием, на который клюнут далеко не все. Но это не заставит его отказаться от такого приема. Потому что затрачиваемые усилия минимальны – сообщения в соц. сети рассылает запрограммированная им машина. А вот результат все равно окажется положительным – кто-то обязательно поверит и пополнит хакерский счет.
  • Звонки от сына, который попал в беду или вообще сбил человека и находится в кабинете оперативного сотрудника, поступающие на номера женщин. В данном случае мошенники эксплуатируют материнский инстинкт, эффект неожиданности и сознательно создают стрессовую ситуацию.
  • Рассылки от друзей по типу «глянь, я хохотал неделю» способны привлечь внимание пользователя и заставить пройти по предлагаемой ссылке.
  • Кибер-мошенник представляется покупателем. Выкладывая, к примеру, на Авито для продажи недешевую вещь, будьте готовы, что последует звонок от фальшивого покупателя. Который станет уверять, что ваш дорогой товар – именно то, что он долго искал и готов приобрести прямо сегодня. Вот только забрать у него получится дня через 2-3, но предоплата в размере минимум 75% за товар поступит немедленно. При этом мошенник очень убедительно уговаривает снять объявление с электронной торговой площадки. Ведь он, покупатель, уже нашелся. В этой ситуации главное не расслабиться, не утратить бдительность, ведь кажется, что вы ничем не рискуете. Проблемы начнутся после того, как фальшивый покупатель попросит продиктовать данные банковской карты, в том числе cvc код.

Меры противодействия

Сколько не предупреждай и не создавай максимально четких и подробных инструкций, люди, идущие на поводу у аферистов, будут всегда. Это хорошо известно так называемым социальным инженерам. Поэтому они не прикладывают особых усилий для создания новых, более тонких и оригинальных трюков. Методы, используемые ими, почти всегда одни и те же.


Поэтому мы советуем становиться оригинальными именно вам. И не мыслить стереотипами. Проявляйте особую бдительность, когда получаете пугающее или неожиданное сообщение.


И запомните: по-настоящему эффективное противодействие кибер-мошенничеству это полное игнорирование подозрительного сообщения. Даже если вы вступаете в переписку с социальным инженером исключительно с целью отказа, вы все равно ставите себя под угрозу. Дело в том, что таким образом подтверждается адрес электронной почты пользователя. И следующие рассылки станут более изощренными.


Совет от гуру социального инжениринга

В завершении сегодняшнего дайджеста лучше всего привести слова Фрэнка Уильяма Абаньяле, некогда знаменитого и изощренного мошенника, а ныне – почтенного, законопослушного эксперта по безопасности личности, непререкаемого авторитета в этой отрасли: «Полиция не сможет защитить пользователей. Людям нужно быть более осведомленными и больше знать о таких вещах, как взлом личности. Следует стать немного умнее, немного сообразительнее… Нет ничего плохого в том, чтобы быть скептиком. Мы живем в такое время, что, если у вас легко украсть, кто-нибудь обязательно воспользуется возможностью».


Будьте IT-грамотны, друзья!
09.01.2017 Записки сисадмина безопасность
See also
Ansible - как средство резервирования конфигурации Mikrotik
Меня скорее всего сейчас расстреляют адепты Ansible за то, что я мощное средство деплоя конфигураций использую как средство резервирования, но, если честно, для такой маленькой, но специфической задачи он подошел как нельзя кстати.
Сборка Zabbix-proxy для Synology
Перенесли расположенные в офисах некоторых клиентов zabbix-proxy на Synology, для этого пришлось собирать прокси вручную.
Работа над ошибками в 1С
Решаю я сейчас интересную задачу комплексного мониторинга 1С через Zabbix. Метод мониторинга выбран достаточно красивый. Имитируется поведение пользователя, что позволяет сразу получить сжатый и компактный ответ на вопрос: работает 1С или нет...
Мониторинг: маленький и быстрый
В проекте тестового стенда параллельно с мониторингом Zabbix, я использовал мониторинг на Prometheus. Что это такое рассказывать не буду – сами найдете. Я как раз хотел в паре слов рассказать о преимуществах и недостатках.