Что нового?

СИ на практике

MARKUS

Администратор
Команда форума
СИ на практике. Про взлом сознания.

Тема нашей сегодняшней статьи была выбрана не случайно. Постоянно читая и отвечая на все вопросы от вас, наши подписчики, мы пришли к выводу, что многие из вас забывают об одном важном моменте - объектом атаки хакера может выступать не только машина, но и человек, управляющий ей. Причем именно человек, как правило, оказывается слабейшим звеном любой системы защиты.
Давайте рассмотрим некоторые приемы из нашего арсенала:
Обман - основной ингредиент социальной инженерии

Обман – основной ингредиент и оружие социальной инженерии,
включающий в себя целый ряд всевозможных техник:
Выдача себя за другое лицо;
Отвлечение внимания;
Нагнетание психологического напряжения и т.д.
Конечные цели обмана так же весьма разнообразны.
Давайте прямо здесь и сейчас затронем самые популярные из них:
Отъем денег;
Получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.

Отъем денег

Только на экране кинотеатра грабители будут вламываться в банк и, тряся пушкой, требовать кэш. В России же все банально и гораздо проще. Вот элементарный пример: вездесущий бардак и халатное отношение к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Вы будете до глубины души поражены, но многие компании с удаленной работой, издательства, например, выплачивают зарплату, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь фамилию, пишешь ее в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв пожелать хорошего дня, уходишь.

Бесплатное приобретение программных продуктов

Воровать деньги – достаточно рискованный способ мошенничества и, в случае неудачи, он может обернуться лишением свободы на длительный срок. Поэтому, многие предпочитают воровать не деньги, а материальные ценности.
Приведем пример из собственной практики: нам было необходимо кое-какое ПО стоимостью свыше 160.000₽. Какие варианты, исключая приобретение. Взломать демо версию или атаковать разработчика? Много затрат! Мы просто представились известным тематическим изданием, попросив один экземпляр программы в обмен на обещание написать обзор и разрекламировать. Кто же не клюнет на такую заманчивую перспективу?
Нам придется сложнее, если требуемый продукт настолько специфичен, что существует только в вашей голове. Разработать самому - долго и трудозатратно. Разработка под ключ - очень дорого, но если проявить чуточку смекалки…
Идем на сайт по поиску работы, публикуем объявление о высокооплачиваемой работе по Интернету. Прием сотрудников, естественно, осуществляем на конкурсной основе и каждому кандидату даем тестовое задание, по результатам выполнения которого и будем его якобы судить.
Что делать дальше? Пишем: Вы не прошли тест. Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался лохом, а кто – с готовым продуктом.
Самое сладкое, что предъявлять нам гражданский иск бессмысленно, поскольку состав преступления отсутствует.

Несанкционированный доступ
Приемы хищения паролей.

Лучший способ выведать пароль – не спрашивать его. Напротив, строго на строго запретить говорить! Это может выглядеть, например, так: алло, здравствуйте. С Вами проводит разъяснительную беседу эксперт по безопасности (ФИО рандом). Помните ли Вы, что никогда, ни при каких обстоятельствах, никому не должны сообщать свой пароль? Помните ли вы, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас? Поразительно, но многие, пропуская разъяснительную беседу мимо ушей, называют свой действительный пароль! Причем, мы в случае провала ничем не рискуем, т. к. вопрос какой у Вас пароль можно понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т. д.).
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, мы просто подсовываем жертве фишинг сайт почты или соцсети.

Атака администратора системы.

В том случае, если пароль заполучить не получилось, нам ничего не останется, как прибегнуть к атаке на технические средства (т. е. непосредственно на компьютеры). Однако правильно сконфигурированную и хорошо защищенную систему ломать в лоб долго и муторно. Вот если бы в ней была дыра…
Один из не технических способов пробивания дыр выглядит приблизительно так: звоним администратору и сообщаем, что из достоверных источников нам стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей мы, естественно, не сообщаем, но приблизительное местонахождение дырки все же указываем.
Существует ненулевая вероятность того, что администратор, пытаясь повысить безопасность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта вероятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания мы часто прибегали к имитации атаки, выполняя различные бессмысленные, но целенаправленные действия. Лично у меня были несколько случаев, когда в ответ на мусор, направленный в 80-ый порт, администраторы просто срубали WEB сервисы, поскольку, будучи предупрежденными об атаке, считали: лучше на время остаться без WEBа, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит шарахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему.
Развивая идею дальше, мы пришли к выводу, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть осведомителем, гораздо выгоднее, чем атаковать систему. К тому же, осведомителя чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практически недоказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема.

Уход от ответственности.

Успешно выполнить атаку – означает решить лишь половину задачи.
Нам еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые киберпреступники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете лишние деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побежит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с сообщением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но кто сказал, что мы не можем перевести их через подставное лицо (например даже его самого).

Выдаем себя за другое лицо

Неудивительно, что многие предпочитают все более или менее важные дела решать по телефону (так, по крайне мере, слышен хотя бы голос собеседника). Хакера, выдающего себя за другое лицо, могут серьезно озадачить просьбой оставить свой телефон. Конечно, можно просто подключиться к телефонному кабелю на лестничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако существуют и более изощренные приемы. Рассмотрим два, наиболее популярных, из них:

Захват телефона.

Допустим, мы выдаем себя за сотрудника такой то компании. В телефонном справочнике мы находим телефон секретаря этой компании и просим соединить его с охранником, а заодно – сообщить его телефонный номер (зачем – придумать большого труда не составит). Если охранник действительно имеет телефон (а, что, встречаются охранники без телефона?), разыгрывается следующая комбинация. Дав жертве телефон секретаря фирмы, и, сообщив номер охранника (но, умолчав, что это – охранник), мы под каким либо предлогом просит жертву позвонить нам в строго определенное время. Незадолго до назначенного срока мы заходим в фирму, где и встречаемся с охранником, сидящим у входа.
Рассказав какую нибудь душещипательную историю (типа по ошибке дал своему партеру по бизнесу ваш телефон), мы спрашиваем: а вот сейчас, когда позвонят и попросят (Ваше ФИО), нельзя ли будет нам взять трубочку? Поскольку, с точки зрения охранника никакого криминала в этом нет, существует определенная вероятность того, что он исполнит эту просьбу (особенно, если наш подельник – девушка привлекательной наружности). В результате, жертва будет считать, что злоумышленник действительно работает в этой фирме.
В качестве альтернативного варианта мы можем попросить охранника сказать звонящему: Перезвоните (ФИО) по такому-то телефону. Если охранник не будет вдаваться в подробности, жертва опять таки подумает, что, раз (ФИО) знают, то он, несомненно, подлинный сотрудник этой фирмы
Запомните, друзья! Ни в коем случае не стоит считать телефон надежным средством идентификации личности.

Техника проникновения на охраняемый объект без использования отмычек.

Проникнуть на фирму, пускай у двери стоит хоть десяток охранников, зачастую проще простого. Предъявляем паспорт, говорим: кто мы такие и к кому идем. При чем, названное имя не обязательно должно совпадать с именем в паспорте. Объясняем: тот, к кому мы идем, знает нас под сетевым псевдонимом. Охранник звонит указанному лицу и сообщает, что его хочет видеть такая то личность. Получив добро (а добро очень часто дается без уточнения подробностей), охранник дает мошеннику зеленый свет. Разумеется, нам вовсе не обязательно быть сетевым другом одного из сотрудников. Достаточно лишь знать имена его знакомых, выяснить которые не составит никакого труда. (Особенно, если сотрудник злоупотребляет соцсетями или форумами).
На первый взгляд, знание паспортных данных позволяет без труда найти нас. Это так, но не стоит обольщаться – доказать нашу причастность к грамотно спланированной атаке будет очень непросто! Ведь не компьютер же будем выносить в кармане! Мы постараемся подсмотреть набираемый пароль или, обнаружив в пустующем кабинете включенный компьютер, занесем туда сниффер или кейлоггер.

Шантаж

Если попытки получить требуемое путем обмана ни к чему не приведут, то мы можем перейти на прямой шантаж. Статистика показывает, что угроза физической расправы встречается довольно редко, а если и встречается, то в подавляющем большинстве случаев лишь угрозой и остается. На первом месте лидируют обещания рассказать ревнивому мужу (жене) о супружеской измене – не важно имела ли она место в действительности или нет. Для этого вовсе не обязательно устанавливать скрытые камеры или заниматься фото монтажом – достаточно быть хорошим рассказчиком, умеющим убедить собеседника.
Опасаясь за распад семьи, многие идут на мелкие (с их точки зрения) должностные преступления, оборачивающиеся, тем не менее, значительными убытками для фирмы. Второе место занимают угрозы убедить сына (дочь) в том, что он/она приемный. Поскольку в подростковом возрасте между детьми и родителями часто случаются серьезные конфликты, вероятность того, что ребенок поверит постороннему дяде, чем и нанесет себе тяжелую душевную травму, отнюдь не нулевая!

Игра на чувствах

Поскольку шантаж – дело наказуемое, безопаснее по возможности использовать более законные пути. Например, покорив сердце некоторой сотрудницы, мы в один прекрасный день может заявить, что проиграли, например, в покер и теперь вынуждены долгие годы отрабатывать долг. Правда, есть один вариант… если наша пассия скопирует такие-то конфиденциальные документы, мы сумеем их продать, тогда никуда уезжать не потребуется и любовный роман продолжится… Впрочем, не обязательно играть именно на любви. Ничуть не хуже толкает на преступление алчность, желание отомстить руководству или по пытка самоутвердиться. Множество подобных авантюр совершаются в мессенджерах, что чрезвычайно осложняет поиски злоумышленника.

Всем спасибо за внимание!
 
Сверху