Социальная инженерия – технология «взлома» человека
#profiling #hackandsecurity #лонгрид
Также читайте меня тут: Telegram и Вконтакте
Для начала стоит оговориться, что статья по современным меркам старая и в ней присутствуют некоторые недочеты. Делайте поправку на это обстоятельство.
Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.
Данная шуточная зарисовка, взятая с просторов Рунета, очень наглядно и просто показывает всю суть термина, о котором наверняка многие из вас часто слышали, но, уверен, что большинство не совсем понимает истинное его значение.
Этот пост начинает серию статей о социальной инженерии, а в этом мы просто разберёмся с самим термином, типовыми атаками и некоторыми приемами.
💡“Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
Само понятие пришло к нам из сферы хакинга. Хакер — это человек, который ищет уязвимости в компьютерных системах, по-другому говорят — «взламывает». Какое отношение, казалось бы, к этому имеет социальная инженерия? Все очень просто. В один момент времени хакеры осознали, что главная уязвимость в любой системе — это человек, а не машина. Человек, точно также, как и компьютер, работает по определенным законам. Используя накопленный человечеством опыт в психологии, манипуляциях и механизмах влияния, хакеры стали «взламывать людей». Приведу пример получения выгоды методом социальной инженерии (пример про грамотного социнженера).
Злоумышленнику нужно получить от вас какую-то сумму денег. Допустим, он нашёл ваш мобильный телефон и социальную сеть. Проводя поиск по интернету (об интернет-разведке читаем мою статью тут), он так же обнаружил, что у вас есть брат. Нашёл его социальную сеть и начал ее изучать, чтобы проникнуть в образ его мыслей. Так же он нашёл его мобильный телефон для страховки и вскрыл переписку, где нашёл сообщения с вами (несколько летназад это делалось довольно просто). Он их изучил и узнал разные личные факты о вас, что дополнило его знания после просмотра ваших соцсетей. Далее был составлен план, который включал в себя следующее: злоумышленник звонит вам поздно вечером и прикидывается вашим братом, говорит, что ему проломили голову и выкинули где-то на улице, сперли телефон и все деньги с карточками (так оправдывается, почему вам звонит чужой номер). Важно, что обратился он к вам не по имени, а по прозвищу, которое увидел в личной переписке — это очень важный момент. Далее он для правдоподобности говорит, к примеру, что сидел с какими-нибудь вашими общими друзьями в месте, в которое вы часто ходите — бар, клуб, не важно (фото и геопривязки в помощь). Далее после такого рассказа он говорит, что родителям главное не говорить! У отца же сердце больное (из взломанного диалога выяснил). После этого следует что-то типа: «Скинь мне 500р на такси до больницы» — и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, которая помогла ему, но у неё нет денег, зато есть карта. В 8 случаях из 10 после такого грамотного подхода наша вымышленная сестра деньги переведет, а потом с ее счета гипотетически могут сняться все деньги.
Раскрою секрет, на самом деле, “эта сестра” не вымышленная. Данный случай действительно произошёл с одной бедной девушкой около трёх лет назад. С ее карты сняли 500р + ещё 22 000р. Все, что на ней лежало, в общем. В данном примере может показаться немного странным несколько вещей. Многие скажут, как она не узнала его голос? Представьте, как искажается голос человека, когда человек говорит на эмоциях, громко, с посторонними шумами и т.д. Также сестра уже спала, а спросонья опознать голос ещё сложнее. Другая странность — почему она сразу, не задумываясь, перевела деньги и не позвонила друзьям спрашивать, куда делся ее брат, после того, как они разошлись? Поставьте себя на ее место: ночь, раздаётся звонок, тебе выдают факты, которые знаете только вы с братом + это ОЧЕНЬ БЛИЗКИЙ человек. Задеть эмоции, которые отключают логику — очень просто, если грамотно все преподнести, проделав заранее серьёзную аналитическую работу. Так вышло и в данном случае. Почему же тогда в 8 случаях из 10 такой план сработает, а не в 10? Хакеру могло не повезти и брат, мог увидеть, что его страничку сломали, но в данной истории роль сыграло время. Он взломал его ночью, поэтому, брат ничего не обнаружил, а жене брата наша жертва позвонила уже после того, как перевела деньги, так как “брат” сказал ни в коем случае не говорить ей об этом. Когда пострадавшая все же не выдержала и позвонила жене на эмоциях, оказалось, что настоящий брат мирно спал с ней рядом, и наша героиня все осознала.
Итак, давайте разберем по пунктам, что же использовал хакер в данном случае:
1. Создал легенду (брат) и наполнил ее реальными фактами: место, где они гуляли с друзьями (геопривязки); факт о том, что у отца больное сердце; обращение к пострадавшей по прозвищу, которое использовалось в личной переписке и т.д.
2. Все это было сказано довольно быстро и постоянно подгонялось. Главное правило любого мошенника— заставить человека не думать, а постоянно что-то делать. Данный психологический прием называется “контроль внимания”.
3. Использовался один очень сильный механизм влияния — “давление на жалость” (обращение к эмоциям). В данном случае в силу того, что был этап глубокой проработки психологических портретов (профилей) жертвы и ее брата, это сработало очень хорошо и усилилось еще от того, что это близкий человек.
Другой интересный пример — то, как можно спокойно получить ваш рабочий логин и пароль. Звонит вам «сисадмин» с работы в 8.00 утра в воскресенье и говорит: «Слушай, у нас тут технические работы, бла-бла-бла, куча разных терминов сложных…не мог бы ты приехать? Надо открыть твой компьютер». Вы сразу про себя думаете: «Приехать на работу в воскресенье утром ради 1 мин, чтобы ввести логин и пароль?!» И сразу спрашиваете: «А есть другой вариант?» «Конечно есть! Нужны логин и пароль. Я неполадки все устраню и в понедельник на всякий случай все твои логины и пароли сменим». Вы, радостный и счастливый, даёте свои логин с паролем «сисадмину» и спите дальше. Не поверите, но таким образом поступают более 70% людей. То есть, если соц.инженер найдёт 10 чел. в разных фирмах и будет им звонить, то 6–7 из них точно дадут ему свои пароли. Причины очень простые: сначала хакер создаёт условия, что все плохо — 8 утра, воскресенье, срочность, постоянно подгоняет. Вы загрузились и настроились, что придётся ехать…а потом раз, и вам дают облегчение в виде простого решения проблемы! Конечно, большинство людей соглашаются. Называется данный механизм влияния — “принцип контраста”, когда сначала вам подсовывают какую-то проблему, а потом через какое-то время дают решение.
Данные примеры всего лишь капли в море из возможных сценариев, по которым социальные инженеры могут добраться до наших слабостей и воспользоваться ими. В следующем разделе познакомимся поближе с некоторыми из их приемов.
Немного ответвлений
В данном разделе мы посмотрим некоторые популярные приемы и сферы деятельности на стыке с социальной инженерией.
Кардинг
Данный вид мошенничества включает в себя различные действия и махинации с банковскими картами, реквизитами и т.д. Ранее, в 90-х годах, данный вид мошенничества процветал. Использовались разные устройства, которые на банкоматах считывали реквизиты, пин-коды и пароли. Сейчас, конечно, защита терминалов совершенно на другом уровне, но кардинг полностью не ушел.
Более подробно об этом можно почитать мою статью тут.
Фишинг
Это вид мошенничества, который дословно с английского переводится как “рыбная ловля”. К чему такая аналогия? Основная суть данного метода — это завладение вашими логинами и паролями от важных сайтов, аккаунтов, счетов в банке и т.д. путем рассылок с вредоносными письмами на электронную почту, либо направление вас на мошеннические сайты. Как вы понимаете, данный вид атаки массовый, а не единичный, именно поэтому “фишинг”. Расставляется сеть и потом забирается улов. Рассмотрим поподробнее данные примеры, чтобы вы понимали, как это работает.
На примере с письмами все довольно просто. Вам приходит письмо на вашу почту, допустим, от банка, где написано что-то типа: “Уважаемый клиент, с вашим аккаунтом произошел сбой, нужно подтвердить вашу личность, перейдите по такой-то ссылке…” Основная задача таких писем перевести вас по ссылке. Как только вы нажмете на нее, считайте, что ваши личные данные в кармане у мошенника. Другой пример — фишинговые сайты. На них обычно так же создают “проблему” или, как говорят продажники, “боль клиента”, и пишут, что вам нужно заполнить форму (логин/пароль) и зарегистрироваться. После этого ваша “проблема” решится. Сделав это, вы собственноручно отправляете все свои данные в карман мошеннику. Как ещё одна иллюстрация: иногда для скачивания какого-либо документа вас просят написать свой номер телефона, чтобы подтвердить, что вы реальный человек, якобы. Снизу, обычно, идут комментарии наподобие «Написал свой номер и скачал, все прекрасно, не развод!» Такого рода комменты призваны вселить в вас доверие.
В настоящий момент ИБ (информационная безопасность) шагнула очень далеко вперед, как и разработчики поисковых систем, которыми вы пользуетесь. Поэтому большинство сервисов умеют определять фишинговые письма (они отправляют их в спам) и вредоносные сайты. Ну и потом, обычные антивирусы делают это еще лучше. Но, к сожалению или к счастью, прогресс — всегда двухсторонний процесс. Когда разрабатываются новые системы защиты, мошенники также совершенствуют методы нападения. Поэтому по сей день фишинговые атаки популярны и, если письма/сайты грамотно составлены (психологически и визуально), все равно есть шанс попасться на удочку.
Фарминг
Данный вид мошенничества более опасен, чем фишинг, хотя и напрямую связан с ним. Это скрытое перенаправление пользователя на ложный IP адрес. Механизм довольно простой: социальный инженер заводит в сеть специальные вредоносные программы, которые может подцепить любой пользователь на свой PC, если тот не сильно защищен. Функция этих программ перенаправлять людей с различных нормальных сайтов на фишинговые. Метод очень опасен тем, что пользователь часто не видит подмены.
Взлом социальных сетей
Очень популярный тип мошенничества в наше время. Здесь все просто. Уверен, что почти каждого читающего данный пост хотя бы один раз да “ломанули”. Многие скажут, что это фигня — поменял пароли, поставил двухфакторную аутентификацию и все, проблем нет. С этим я соглашусь, а что делать если сломали вашего знакомого, и он пишет вам с какой-то просьбой (обычно “скинь денег на карту”)? Вычислить профана в этом деле не сложно, а вот хорошего социального инженера намного сложнее. Хороший мошенник досконально изучит переписку со своей жертвой (если переписка не удалена), чтобы знать манеру ведения диалога, факты, которые связывают двух людей и т.д. Сложность только в том, что обычно у него на это есть очень мало времени, так как тот, кого он взломал, почти сразу это понимает, потому что не может зайти через свой аккаунт к себе на страничку, плюс, ему может прийти смс. Если злоумышленник качественно проведет заранее эту работу, и причем очень быстро, то шанс того, что все получится сильно возрастает. Так и было с примером из первой части про брата и сестру. Там, правда, хакер вскрыл переписку только ради получения информации, которую потом использовал при телефонном разговоре и сделал это ночью, когда времени у него было намного больше. Также шанс сильно снижается, если вы хорошо знаете манеру переписки человека, а мошенник знает ее плохо. У меня был забавный случай, когда у одной подруги взломали другую подругу и та ей начала писать и просить скинуть денег на телефон. Подруга “спалила” что ту взломали, потому что она поставила три смайлика подряд, которые та никогда не использовала в их переписке. Бывает и такое :)
Смс-атаки
Ранее был очень популярен вид массового мошенничества типа: “отправь смс туда, получишь то…” и пр. Сейчас он преобразовался в более продуманную схему, в основе которой чаще всего лежит выше описанный механизм влияния — “давление на жалость” (управление эмоциями человека). Создается фейковый аккаунт в социальных сетях либо с левой симки регистрируется, к примеру, в Whatsapp. Далее начинает высылаться объявление: “Помогите на лечение ребенку, фотки и реквизиты”. Если это действительно реальные люди, то реквизиты легко проверяются и проблемы нет, но почему многие люди все равно ведутся на такое? Да потому что это чаще всего работает с определенной ЦА — люди 35+ и обычно девушки, у которых есть дети. Большинству кажется диким, что можно не проверить реквизиты и скинуть деньги просто так, но поверьте, и такие есть.
В арсенале социальных инженеров существует и масса других возможных типов атак. Мы рассмотрели самые популярные и действенные, если работает грамотный злоумышленник. Обычно все эти способы миксуются, если цель хакера одиночная. Если же атака массовая, то индивидуальный подход с личным участием злоумышленника несколько уходит на второй план, но зато более качественно прорабатываются фишинговые сайты, письма и прочие «расходники».
PS: иногда атаки с использованием смс еще называют “Смишинг”.
Психологические приемы
Различные типичные вариации атак в социальной инженерии мы с вами разобрали. В примерах я часто упоминал такие слова, как «психология», «влияние» и прочее. В данном разделе мы подробнее рассмотрим, какие области психологических знаний используют грамотные социальные инженеры и как им удаётся находить наши уязвимости.
Механизмы влияния
Первый и, на мой взгляд, самый важный инструмент, который наиболее подходит под нужды мошенников, — психология влияния и понимание механизмов, которые позволяют находить бреши в убеждениях и ценностях людей. Самая фундаментальная работа на эту тему называется «Психология влияния» под авторством Роберта Чалдини. Если вы реально хотите разобраться с темой влияния и манипуляций, лучше книги вы не найдёте. Это ведущий эксперт в данной области.
Итак, в психологии влияния выделяют одно фундаментальное правило: существуют базовые механизмы влияния, и ВСЕ люди в мире подвержены ХОТЯ БЫ одному-двум из них. Все зависит от того, насколько развито ваше критическое мышление и какой у вас уровень интеллекта. Чем данные показатели выше, тем ниже шанс «попасть под удар», но, если вы нарвётесь на грамотного исполнителя, все становится сложнее.
Некоторые механизмы я уже приводил в пример. Один из них — «принцип контраста» (пример, когда «сисадмин» позвонил в 8 утра в воскресенье). Его суть заключается в том, что, сначала, вас опускают в негативные и не комфортные условия, а после того, как вы «поваритесь» в этом, вам предлагают решение, и оно будет как лучик света в тёмном царстве. Ваша внутренняя сигнализация, скорее всего, не заорёт после такого приема, так как он очень опасный и хитрый по-своему.
Один из моих самых излюбленных приемов — «принцип взаимного обмена». Он очень многовариативный, но, чтобы вы поняли суть, объясню на простом примере. Стоите вы в длинной очереди и замечаете человека, который, допустим, чем-то расстроен (он абсолютно нормальный, просто стоит намного раньше вас и ближе к началу очереди). Вы подходите к нему и протягиваете шоколадку, мило улыбаясь и говоря, что хотите поднять ему настроение. Для человека это очень неожиданно и приятно. Поверьте, любой растает. Эффект после такого приема очень простой — человек будет чувствовать себя должным вам подсознательно по причине того, что за услугу обычно оказывают услугу в ответ. Дальше дело техники и актерской игры. Через какое-то время вы начинаете себя немного нервозно вести, спрашивать у окружающих про время и постоянно повторять, что, видимо, вы опоздаете на работу. Ну и по закону жанра есть очень высокий процент, что тот самый близко стоящий к началу очереди человек предложит вам пройти раньше него. Этот пример очень милый и безобидный, думаю, не сложно догадаться, сколько у него есть вариаций и возможностей применения. Таких механизмов не так уж и много, и Чалдини прекрасно описывает их все. Мы с коллегами так же преподаем их нашим студентам в рамках различных курсов.
Прелесть механизмов влияния для социальной инженерии состоит в том, что они хороши для использования как в индивидуальном порядке, так и для воздействия на массы людей. Зная их, вы сможете хорошо обезопасить себя от применения их против вас.
Управление эмоциональным состоянием человека
Один из главных навыков, которым обладает любой профессиональный мошенник — управление эмоциями человека. Есть золотое правило в переговорах и в любом диалоге: тот, кто может вызвать любую эмоцию у собеседника, будет всегда управлять беседой. Злоумышленники прекрасно знают это правило и, к сожалению, активно им пользуются. Главный инструмент в этой теме — провокации. Самые частые примеры — это вызывание таких состояний, как жалость, чувство вины, сострадание («Пожалей меня, детям нечего есть», — говорят цыганки), чувство несправедливости и другое. В большинстве случаев — это самые действенные стратегии. В связи с этим есть один очень важный совет: если незнакомый вам человек пытается вызвать у вас какие-либо чувства без причины, надо насторожиться и быть очень внимательным. Такого рода манипуляции очень просто рушатся обычной логикой и детальными вопросами. И ещё один совет: чтобы быть более эмоционально-устойчивым и критичным (не призываю вас быть черствыми) — прокачивайте свой EQ (эмоциональный интеллект). Литературы на эту тему в интернете лежит гора.
Психология масс и социология
Данные знания очень хорошо коррелируются с механизмами влияния, потому что многие из них можно использовать и применять массово. Социология для хакера — это прекрасные подсказки и базы данных, проанализировав которые, он может понять наиболее массовые «уязвимости» людей вплоть до конкретных регионов. Исходя из этого, хакер будет продумывать конкретные механизмы влияния через фишинговые сайты и прочие инструменты.
Профилирование
Если в предыдущем пункте речь шла больше о массовости, то такой инструмент, как профилирование (составление профиля человека — психологического портрета) — это чисто индивидуально-ориентированный инструмент. Это крайне сложная наука и требует большой квалификации и знаний. Мы с коллегами в профайлинге используем разные технологии профилирования, и я как-нибудь напишу отдельную статью об этом. Как показывает практика, большинство социальных инженеров, к счастью, не очень сильны в данной теме и ищут уязвимости людей другими способами, хотя с точки зрения индивидуального подхода — это самый мощный способ.
В заключение скажу, что это явно не последняя статья на данную тему. Цель конкретно данной была очень простой — познакомить вас с социальной инженерией и немного систематизировать приемы, используемые злоумышленниками. Посоветую крайне интересную книжку: “Социальная инженерия и социальные хакеры” Кузнецова Максима. Очень неплохой труд, почти во всем, кроме темы “профилирования”. Там у автора есть большущий минус, но делайте скидку, это не его основная тема. Помимо этого труда, классикой в теме социальной инженерии является книги Кевина Митника “Искусство обмана” и “Искусство вторжения”. Также рекомендую к прочтению, чтобы более полно понять вопрос.
Если говорить про современные труды, то это: Кристофер Хэднеги “Искусство обмана. Социальная инженерия в мошеннических схемах” и Джо Грей “Социальная инженерия и этичный хакинг на практике”.
Следите за обновлениями, и до новых встреч!