Социальная инженерия и социальные хакеры реферат

Обновлено: 05.07.2024

С их помощью только в одном 2020 году, по данным ФБР, жертвами кибер-мошенников стали более 800 тыс. американцев.

Преступники заманивают вполне адекватных людей в свои ловушки, используя бессознательные, автоматические процессы, существующие на самом деле для того, чтобы сделать принятие решений более эффективным. В определённых ситуациях эти когнитивные искажения могут помешать правильно интерпретировать информацию — в результате мы делаем поспешные суждения, которые могут быть иррациональными или неточными.

Эти метальные ловушки находятся в так называемом рептильном мозге человека — наиболее древней сформировавшейся в процессе эволюции части мозга человека, которая отвечает за биологическое выживание и телесное функционирование. Располагается она в задней и центральной частях мозга, включая в себя мозговой ствол и мозжечок.

По мнению эксперта издания, признание того, что у нас есть предубеждения, является первым шагом к их преодолению. Хотя это бывает нелегко, даже если эти предубеждения иногда болезненно очевидны.

Уловка № 1. Неприятие потерь

Её идея проста: для многих часто боль потери превосходит радость от эквивалентного по ценности выигрыша. Вот почему люди отказываются играть, когда у им предлагают попытаться подбросить монету с вероятностью 50/50: потерять100 долларов или выиграть 200-ти. Идею потерять 100 долларов слишком трудно проглотить.

По свидетельству Клеотильды Гонсалес, профессор Университета Карнеги-Меллона, мы в большей степени склонны рисковать, чтобы избежать потери, чем получить выигрыш.

Играя на вашем страхе потерять доступ к своей учетной записи, мошенник может получить ваши учётные данные, если вы, по его просьбе, перейдёте по поддельной ссылке на поддельный веб-сайт, который выглядит совсем, как настоящий.

Уловка№ 2. Уловка авторитета

По данным ФБР, мошенничества с подобной компрометацией деловой электронной почты нанесли в прошлом году компаниям США ущерб в размере около 1,8 миллиарда долларов.

Уловка № 3. Уловка срочности

Многие из нас привыкли в первую очередь делать то, что кажется срочным. И эта привычка ослабляет наше внимание.

Уловка № 4 Эффект ореола

У всех нас есть бренды, компании и люди, которые нам нравятся. Мошенники могут этим воспользоваться. Если в ваш почтовый ящик попадает приглашение присоединиться к элитному клубу или выступить на эксклюзивной конференции, особенно, если электронное письмо приходит от имени организации, которой вы симпатизируете, существует большая вероятность, что вы нажмете на ссылку, чтобы зарегистрироваться, и, возможно, предоставите злоумышленнику слишком много личной или корпоративной информации.

Род Симмонс, вице-президент по продуктовой стратегии в Omada, компании по управлению и администрированию личных данных, приводит другой пример: мошенник, выдавая себя за представителя банка, выпустившего вашу кредитную карту, отправляет электронное письмо, в котором предупреждает: он обнаружил мошенническое использование вашей карты, и предлагает нажать на ссылку для проверки последних транзакций. Благоприятный опыт работы с банком вряд ли заставит вас сомневаться в законности запроса от его имени — вы нажимаете на ссылку, и в конечном итоге вас просят войти в свою учётную запись.

Уловка № 5. Мгновенное удовлетворение

Для нас так естественно выбирать маленькие, но быстрые победы, чем большие, но удалённые по времени награды. Все дело в мгновенном удовлетворении.

Представьте себе, говорит она, что это последняя неделя квартала, и команда собирается заполучить нового крупного клиента. Если руководитель продаж получит вложение электронной почты, которое, по-видимому, связано со сделкой, он скорее отдаст приоритет своему желанию немедленно закрыть сделку. И не станет придавать большое значение беспокойству о том, чтобы избежать утечки данных в будущем.

Уловка № 6. Смещение доступности

Мы склонны делать суждения, основанные на собственном опыте. Если мы не видели чего-то раньше, наш тревожный звоночек не сработает.

Уловка № 7. Иллюзия полной неуязвимости

Существует множество различных мнений, что такое социальная инженерия. Некоторые рассматривают социальную инженерию, как жульничество или мошенничество для получения выгоды. Другие думают, что социальная инженерия это не только инструмент, используемый преступниками, а как науку, чьи теории можно разделить на части и изучить.

Социальная инженерия в контексте информационной безопасности, относится к психологической манипуляции людей, которые приводят к совершению действия или разглашению конфиденциальной информации. Это может быть злоупотребление доверием с целью сбора информации. Социальная инженерия часто является одним из многих шагов в более сложную схему мошенничества.

В общем значении социальная инженерия- это акт манипуляции человеком, который провоцирует выполнить действие, которое как может быть в интересах человека, так и в интересах злоумышленника.

Рассмотрим основные виды социальных инженеров.

– Хакеры. Поставщики программного обеспечения становятся все более продвинуты в создании такого ПО, которое более безопасно и сложно для взлома. Так как взломать хорошо защищенное ПО затруднительно, хакеры прибегают к социальной инженерии. Они часто используют сочетание аппаратных и личных навыков.

– Шпионы. Используют социальную инженерию как способ жизни. Помимо того, что они изучили искусство социальной инженерии и являются экспертами в этой науке, очень часто шпионы также опираются на доверие. Они немного (а может и много) знают о бизнесе и власти и используют это, как рычаг давления.

– Воры личной информации. Данный вид социальных инженеров использует такую информацию, как, например, имя человека, номер банковского счета, адрес, дата рождения, и номер социального страхования, без ведома владельца. Это преступление основывается на использовании личной информации для гораздо более сложного преступления.

– Недобросовестные сотрудники. В любой сфере деятельности случаются конфликты работника и работодателя, иногда это приводит к тому, что работник начинает враждебно относиться к работодателю. Поскольку работник, как правило, пытается скрыть своё недовольство, чтобы не потерять работу, это приводит к тому, что его враждебность растёт и становится оправданием для хищения, вандализма, раскрытия конфиденциальной информации и других преступлений.

– Вербовщики. Также освоили многие аспекты социальной инженерии. Овладели приемами сбора, многими психологическими принципами социальной инженерии, они очень умело могут не только читать, но и понимать, что движет людьми.

– Продавцы. Многие гуру продаж говорят, что хороший продавец не должен манипулировать людьми, но ему следует использовать свои навыки, чтобы выяснить, какие потребности есть у людей и увидеть, могут ли они ему что-то предложить. Искусство продаж требует многих навыков, таких как сбор информации, убеждение, и многие другие.

– Врачи, психологи и юристы. На первый взгляд может показаться, что данный тип не вписывается в категорию социальных инженеров. Но эта группа использует те же методы, как и другие группы в этом списке. Они это делают не обязательно для того, чтобы навредить своему клиенту, чаще, чтобы разобраться и подобрать нужный алгоритм для выхода из сложившейся ситуации.

Рассмотрим основные методы социальной инженерии.

– Плечевой серфинг. Плечевой серфинг включает в себя наблюдение личной информации жертвы через ее плечо. Этот тип атаки распространен в общественных местах, например в кафе, торговых центрах, в общественном транспорте и др.

– Сбор информации из открытых источников. Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.

– Обратная социальная инженерия. Под обратной социальной инженерией, понимают ситуацию, когда жертва сама предлагает злоумышленнику нужную ему информацию. На первый взгляд это может показаться маловероятным, но лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.

В любой сфере деятельности можно найти элемент социальной инженерии. Будь то информационная безопасность, медицина или политика. Социальная инженерия — это инструмент для достижения цели. Цель может иметь как отрицательный характер так и положительный. Но методы для достижения цели в том и другом случае схожи.

1. Багров Е. В. Мониторинг и аудит информационной безопасности на предприятии. Вестник волгоградского государственного университета. Волгоград.: 2011, с.54.
2. Никишова А. В., Чурилина А. Е. Программный комплекс обнаружения атак на основе анализа данных реестра// Вестник ВолГУ. Серия 10. Инновационная деятельность. Выпуск 6. 2012 г. В.: Изд-во ВолГУ, 2012, стр. 152–155

Основные термины (генерируются автоматически): социальная инженерия, злоумышленник, конфиденциальная информация, личная информация, банковский счет, достижение цели, информационная безопасность, обратная социальная инженерия, Сбор информации, сфера деятельности.

Предметом книги является рассмотрение основных методов социальной инженерии — по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется "Человеческий фактор в программировании". Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: "Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги — не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.

Информация тоже защищается людьми, и основные носители информации — тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют "социальной инженерией" , поэтому наша книга так и называется "Социальная инженерия и социальные хакеры".

Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, — ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.

Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой — через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого — человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75 % сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…

Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из "недр компьютера" спрашивают именно с IT-специалистов. И именно им в первую очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании "человеческого фактора".

Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для НСД в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.

WARNING

Вся информация предоставлена исключительно в ознакомительных целях. Ни редакция, ни автор не несут ответственности за любой возможный вред, причиненный материалами данной статьи.

Журнал ошибок

Основы социальной инженерии не претерпели существенных изменений за века — менялись только формы и детали приемов. Например, в 1906 году в предместье Берлина безработный Вильгельм Фойгт купил на рынке изношенную форму прусского капитана и направился к ближайшим казармам. Там он встретил незнакомого сержанта с четырьмя гренадерами и приказал им захватить ратушу. Фойгт забрал у сдавшегося бургомистра без малейшего сопротивления всю городскую казну — четыре тысячи марок. Затем он отдал распоряжение всем оставаться на местах еще полчаса, после чего уехал из города на поезде уже в гражданской одежде.

Английские газеты долго вспоминали эту историю, указывая с сарказмом на заведенные в Германии столь странные порядки, что человек в форме обладает непререкаемым авторитетом. Однако суть этой и массы подобных афер лежит гораздо глубже. Они всегда работают на уровне психологии людей независимо от страны их проживания и актуальны по сей день. Именно из них выросла самая эффективная тактика сетевых атак — на нейросеть, уютно расположившуюся между монитором и спинкой офисного кресла.

Хакер во плоти

Сегодня социальная инженерия стала неотъемлемой частью тестов на проникновение. Их проведение заказывают частным фирмам крупные компании и государственные организации, каждый раз увеличивая число седых волос у руководителей подразделений. По их результатам устраивают тренинги для руководящего состава и увольняют наиболее провинившихся рядовых сотрудников. Однако ситуация от этого принципиально не меняется.

Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке.

Нейросеть как универсальный шлюз

Инспектировать подобным образом государственное учреждение Джейсону было сложнее, но только поначалу. Проблема заключалась в том, что серверная находилась на втором этаже, а на первом был установлен турникет со сканером чипованных пропусков и постоянно дежурили вооруженные охранники.

На этот раз Джейсон оделся посолиднее. Он подождал, когда закончится перерыв и в холле начнется столпотворение. Поравнявшись с одним из возвращавшихся сотрудников в трех метрах от турникета, он заговорил с ним как давний знакомый, чем дезориентировал охрану. Ей стало казаться, что Джейсон — новый парень, который успел подружиться с давно известным им сотрудником. Бывалый уже прошел по своему пропуску, а его новый компаньон замешкался и виновато попрощался перед турникетом.

Это никогда не существовавшее в реальности письмо ударило прямо в самое уязвимое место админа — его профессиональную гордость. Он посмотрел пропуск Джейсона, стиснул зубы и сам проводил его по всем закрытым кабинетам, помогая установить на компьютеры в разных подсетях троян. Тот находился на флешке под видом утилиты для анализа сети, что было полуправдой — сеть он действительно анализировал, но немного по-своему.

В каждом случае хакера спасает невероятная убежденность в правомерности своих действий и детальное представление используемой легенды. Так считает Крис Хэднеги, ставший основателем компании с говорящим названием Social-Engineer Inc. Этой весной он проделал серию тестов на проникновение, в которых опробовал новую тактику. Задачей было выяснить у сотрудников крупной фирмы персональные данные, включая номера соцстрахования и сведения о внутренних учетных записях. Крис узнал номера телефонов из открытых источников, а затем просто обзвонил всех, представляясь новым ассистентом начальника отдела кадров. Он сказал, что в базе данных произошел сбой и теперь он, бедолага, все записи проверяет вручную. Поговорив с каждым по пять минут, он получил даже больше, чем требовалось.

Социализируй это!

Человек уязвим к методам социального инжиниринга из-за своих предубеждений. Люди склонны замечать только то, что ожидают или что боятся увидеть. Они домысливают пробелы в легенде и помогают хакеру.

Keep it simple!

Иногда кажется, что социальная инженерия — это всегда многоходовка, в которой велик риск проколоться на любом этапе. Джон Хаймел из компании Solutionary, напротив, считает, что самые простые схемы часто оказываются самыми эффективными.

Техподдержка прониклась сочувствием и без проблем сменила пароль. Так Джон вошел под украденной учетной записью в почтовый аккаунт отдыхающего сотрудника. Он посмотрел все его письма и нашел в них массу конфиденциальной информации, включая логины и пароли для доступа к корпоративным ресурсам. Через полчаса Джон авторизовался в домене, при этом никак не выдавая себя. Если бы на уровне доменной политики учетные записи сотрудников блокировались на время их отпуска, атака потерпела бы неудачу на этом этапе. Если бы техподдержка не выдавала новые пароли по телефону, Джона бы удалось остановить еще раньше. Однако забытый после отпуска пароль — настолько распространенная проблема, что никто даже не усомнился в реальности ситуации.

Подобные простые приемы использовал Майк Буратовски, который сегодня занимает пост вице-президента компании General Dynamics Fidelis Cybersecurity Solutions. Однажды он сыграл на лени сотрудников проверяемой фирмы и использовал простой метод перенаправления.

Идея сработала. В первый же час более 60% сотрудников оставили на фишинговой странице данные своих корпоративных аккаунтов и даже ничего не заподозрили. ИТ-отдел забил тревогу только через полтора часа, когда число жертв превысило 75%. Среди них были представители всех отделов (включая сам ИТ) и большая часть руководства.

Рыба гниет с головы

Служба собственной безопасности разбросала на парковке возле правительственного здания несколько компакт-дисков. Часть из них была без опознавательных знаков, а на другие был нанесен логотип DHS. Усевшись за мониторы камер наблюдения, офицеры стали наблюдать за поведением людей.

Вскоре примерно 60% дисков без надписей были подобраны и вставлены в приводы рабочих компьютеров сотрудников самых разных отделов. В группе дисков с логотипом министерства так поступили в отношении 90% болванок. Практически каждый подумал, что нашел ценную пропажу, и захотел почувствовать себя героем шпионской истории.

Схожая история произошла весной этого года с Министерством обороны Израиля. Связанные с ЦАХАЛ компьютерные сети заразили способом, впервые опробованным при распространении примитивного червя ILOVEYOU в 2000 году. Как минимум четыре месяца из правительственных сетей выкачивалась информация о текущих контрактах и передислокации военных сил. Расследовать инцидент наняли калифорнийскую фирму Blue Coat, недавно приобретенную частной инвестиционной компанией Bain Capital.

Эксперт Blue Coat Уэйлон Грандж утверждает, что сам код червя был примитивным. Судя по оставшимся метаданным, его наспех писали арабские программисты с помощью популярных хакерских утилит и модулей удаленного администрирования. Некоторые модификации использовали грубый бэкдор, работу которого в итоге и заметили сотрудники одной из служб безопасности.

Для обхода антивирусов авторы воспользовались методом обфускации, но главный фокус заключался в ручной методике распространения. По всем общедоступным адресам израильского МО и его контрагентов разослали электронные письма с темой Girls of the Israel Defence Forces и схожими по смыслу вариациями. Любопытные сотрудники запускали аттач через одного, даже несмотря на предупреждения встроенных систем безопасности о подозрительном вложении.

Обратная социальная инженерия

В нормальных условиях сисадмину не требуются пароли пользователей для выполнения своих задач. Он использует свою учетную запись или просит сотрудника залогиниться без разглашения пароля. По инструкции, если админ случайно узнает пароль пользователя, то сообщает об этом и просит сменить. Однако Сноуден сначала просто вежливо просил коллег называть учетные данные, а затем это вошло у них в привычку. Они сами звали его по любому поводу и первым делом называли текущий пароль своей учетки, стремясь помочь в решении проблемы. Используя данные более чем двадцати аккаунтов с разным уровнем доступа к секретной информации, Сноуден похитил более полутора миллионов файлов из сети АНБ. Он долго не вызывал подозрений, поскольку не делал ничего странного под своей учетной записью.

Кто проверит проверяющих?

Бывает, что одну фирму нанимают проверить качество работы другой. Когда речь идет о социальной инженерии, это особенно актуальная практика. Основатель компании The Security Awareness Уинн Швартау занимается аудитом более 25 лет. К нему обычно приходят за экспертной оценкой уже проведенных мероприятий по усилению безопасности. Однажды его попросили сделать это для крупного финансового учреждения в Нью-Йорке. Его сотрудников только что напугали до чертиков предыдущие аудиторы, которые нашли тонну проблем. Целый месяц весь персонал инструктировали на интенсивных тренингах. Сотрудники стали настоящими параноиками: не открывают подозрительных писем, не переходят по фишинговым ссылкам, не подбирают диски и флешки, не разглашают ничего по телефону и вообще строго следуют должностным инструкциям.

В каждом письме говорилось, что недавно репутация их компании сильно пострадала из-за действий отдельных сотрудников, пренебрегавших элементарными мерами безопасности (сущая правда!). Руководство не может допустить новых проколов, поэтому идет на беспрецедентные меры. Далее для усыпления бдительности следовал детальный план с обилием технических терминов, который офисный клерк вряд ли сможет понять. Затем шла стандартная просьба информировать обо всех подозрительных действиях.

Вывод Швартау неутешителен: как бы долго и тщательно организация ни тренировала людей, какие бы административные и технические меры в ней ни принимались, она никогда не достигнет стопроцентной защищенности. Любые высокие показатели безопасности — лишь временный эффект.

Люди делают определенные выводы, становятся осторожнее, но не могут эффективно сопротивляться свойствам своей натуры. Каждый раз, сталкиваясь с необходимостью принять безотлагательное решение, испытывая жажду легкой наживы или страх чего угодно, они делают уязвимыми себя и свою компанию.

Читайте также:

  
• Cvp анализ и его роль в принятии управленческих решений реферат
  
• Психологические особенности выбора профессии реферат
  
• Влияние воды на организм человека реферат
  
• Розыскная служба собак реферат
  
• Реферат ваз 2101 двигатель