Социальная инженерия. Как «взломать» человека. Читайте на Cossa.ru

27 октября 2017, 13:50
8

Социальная инженерия. Как «взломать» человека

Виктор Люстиг заполнил США фальшивыми купюрами и оставил «в дураках» Аль-Капоне, а ещё продал достояние Парижа — Эйфелеву башню. Дважды. Всё это с помощью социальной инженерии.

Социальная инженерия. Как «взломать» человека

Социальная инженерия. В интернете понятие используют для обозначения психологических техник получения ценной информации. Зачастую — киберпреступниками, которые выманивают секретные данные или провоцируют на нужные им действия. За последние два года с помощью социальной инженерии похищено 2 миллиарда $ из ста банков.

Однако не все социальные инженеры — мошенники. Они могут вернуть доброе имя компании после атаки конкурентов или чёрного пиара. Психологические методы используют, например, чтобы получить данные анонимного комментатора и сподвигнуть его удалить нежелательный отзыв или клевету.

Успейте купить корпоративный пакет COSSA-2025 со скидкой!


Cossa анонсирует главный рекламный формат на весь 2025 год: сразу 8 различных опций.

Пакет идеально подходит для онлайн-сервисов, стартапов, интернет-компаний и digital-агентств.

Успейте приобрести пакет до повышения цены!

Социальные инженеры регистрируются на форумах, вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.

Много веков назад монах Шварц Бертольд изобрел «порошочек для забавы», который стал порохом — причиной глобальных войн. Так и инструменты социальной инженерии: они настолько мощные, что используются даже в крупнейших аферах киберпреступников.

В этой статье рассмотрим реальные примеры атак психологическими методами.

Кейс первый. Не в службу, а в дружбу

В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.

Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.

Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.

Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.

Кейс второй. Просто попроси

В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники.

Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.

Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству.

Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.

Кейс третий. Фраза, которая потрясла Уолл-стрит

В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.

Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»

На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.

Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.

Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.

Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.

Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.

Никакие обычные средства защиты (антивирусы, файрволлы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.

Мнение редакции может не совпадать с мнением автора. Ваши статьи присылайте нам на 42@cossa.ru. А наши требования к ним — вот тут.

Телеграм Коссы — здесь самый быстрый диджитал и самые честные обсуждения: @cossaru

📬 Письма Коссы — рассылка о маркетинге и бизнесе в интернете. Раз в неделю, без инфошума: cossa.pulse.is