Социално инженерство

Социалното инженерство – пълен курс по психология

Социално инженерство е съвкупност от разнообразни и развиващи се техники за манипулация с цел достигане до лична информация, получаване на достъп, пароли, пари или други ценности. Явлението е гранична линия между киберсигурността и психологията, като комбинира похвати от двете области. Ще си позволим да отидем още по-далеч – модерните технологии и съвременните болести на обществото намират пресечна точка в социалното инженерство.

Измамите, базирани на социалното инженерство, се изграждат около това как хората мислят и действат и служат за манипулиране на поведението им. Въпрос на чиста психология, внимателно наблюдение, навлизане в личното пространство, провокации и игра с човешките емоции. Своеобразно „хакерство на човешкото у хората“.

Със следващите редове ще Ви помогнем да си представите колко изобретателни могат да бъдат опитите за социално инженерство. Ако установите, че вече сте жертва, помнете – жертвата е такава, докато не излезе от омагьосания кръг. Правило от психологията, което е в сила и тук.

Как работи социалното инженерство?

Непознаването на това разгръщащо се явление и недооценяването на информационния ресурс, с който всеки от нас практически разполага или има достъп, е удобна възможност за киберпрестъпление – онлайн, лично и чрез други взаимодействия. За да останем защитени от атаките е важно да имаме критично и здраво мислене. Всеки иска да вярва, че никога няма да бъде измамен от фишинг имейл или друга примамлива покана, а киберпрестъпниците разчитат на цялата палитра от човешки емоции, за да въздействат върху егото ни.

Обикновено, социалното инженерство спрямо конкретен човек или общност започва със събиране на основна информация, интереси, поведение. Този процес може да се осъществи в рамките на един имейл или в продължение на месеци, в поредица от чатове, в социални медии, дори лице в лице. На тази база следват целенасочени стъпки за изграждане на доверие. Атакуващият търси слаби места, които да използва. Повечето атаки на социалното инженерство разчитат на действителната комуникация и мотивират потребителя да се разкрие максимaлно и така да се компрометира. Подценяването на подобна преднамерена комуникация дава път на хакера до множество мрежи и акаунти дори само с предоставяне на минимална, фрагментарна информация.

Психология на социалното инженерство

Атаките в социалното инженерство са базирани на убеждения и изграждане на доверие. Достоверността е безценна и съществена, за да повярвате на някаква история, колкото и да е невероятна.

Емоционалният привкус на подобно общуване е почти задължителен, защото повечето хора са уязвими именно в полето на своите чувства. Построени правилно, атаките дават надмощие и достъп до съкровения свят на човека и го подтикват да предприеме нерационални или рискови действия под въздействие на емоцията. Състояния на страх, вълнение, любопитство, гняв, вина, тъга провокират несигурност, объркване и са идеалната среда за влияние.

Към създаването на емоционална нестабилност много често се добавя и метод, характерен за директните продажби – внушаване на спешна необходимост и натиск за бърза реакция или взимане на решение. Колкото и да е странно, този подход сработва сравнително често. Като негова алтернатива понякога се прибягва до предлагане на награда, ако се реагира своевременно. И двата подхода намаляват способността за критично мислене.

Фишинг имейл

Видове атаки

Почти всяка кибератака съдържа някакъв вид социално инженерство. Масовият фишинг е неперсонализирана и широко разпространена практика, насочена към много потребители – нападателите се представят за доверена институция или конкретно лице и се опитват да Ви убедят да въведете лични данни и друга ценна информация. Спиър фишинг използва персонализирана информация и е адресирана към избрани потребители. „Китоловните“ атаки са към обекти, които имат потенциал да предоставят висока стойност – знаменитости, висше ръководство, висши държавни служители и др.

Обобщени, популярните практики изглеждат така:

Фишинг: тактиките включват измамни имейли, уебсайтове и текстови съобщения за кражба на информация

  • Spear Phishing: имейл се използва за извършване на целенасочени атаки срещу лица или фирми
  • Baiting: онлайн и физическа атака за социално инженерство, която обещава на жертвата награда
  • Scareware: жертвите биват подвеждани, че зловредният софтуер е инсталиран на техния компютър и че ако платят, ще бъде премахнат
  • Предтекст: използва фалшива идентичност, за да подмами жертвите да се откажат от информация
  • Quid Pro Quo: разчита на обмен на информация или услуга, за да убеди жертвата да действа
  • Хващане: разчита на човешкото доверие, за да предостави на престъпника физически достъп до сигурна сграда или зона
  • Vishing: спешните гласови съобщения убеждават жертвите, че трябва да действат бързо, за да се предпазят от арест или друг риск
  • Water-Holing: напреднала атака за социално инженерство, която заразява уебсайта и посетителите му със злонамерен софтуер

Общата нишка, свързваща тези техники за социално инженерство, е човешкият елемент. Киберпрестъпниците знаят, че възползването от човешките емоции е най-добрият начин за кражба.

Необичайни методи за социално инженерство

Сред любопитните случаи за социално инженерство ще откроим няколко „учебникарски“ примера. Добрата стара класика: USB устройства, оставени на публични места, прикачени файлове към имейл за безплатна оферта или софтуер или … нападателят се представя за легитимен служител, доверен доставчик, за да получи физически достъп до място, където се съхранява информация. Последните се случват предимно в корпоративна среда, правителствени служби и др.

Атаките с „червеи“ са като евъргрийни в света на социалното инженерство. При тях целта е потребителят да кликне на връзка или да отвори заразен файл.

Червеят LoveLetter, претоварва имейл сървърите на много компании през 2000 г. Жертвите получават имейл, който ги кани да отворят приложеното любовно писмо. При отваряне, червеят се копира във всички контакти в адресната книга на жертвата. Този червей все още се счита за причинител на едни от най-опустошителните финансовите щети.

Имейл червеят Mydoom се появява в интернет през януари 2004 г. и използва текстове, имитиращи технически съобщения, изпратени от сървъра.

Червеят Swen се представя като съобщение, изпратено от Microsoft. Той твърди, че прикаченият файл е добавка към офис пакета на Windows. Едва ли е изненадващо, че много хора приемат това сериозно и инсталират.

Peer-to-peer мрежите също се използват за разпространение на зловреден софтуер. Червей или троянски кон се появява с име, което привлича вниманието и освен това е много вероятно потребителите да не докладват за евентуален проблем. Например: AIM & AOL Password Hacker.exe, Microsoft CD Key Generator.exe, PornStar3D.exe, Play Station emulator crack.exe или защо не Безплатен достъп до интернет или мобилни комуникации.

Друг пример за тази техника – изпратен е троянски кон до имейл адреси, взети от уебсайт за подбор на персонал. Хората, които са се регистрирали на сайта, са получили фалшиви предложения за работа с троянски кон. Атаката е насочена главно към корпоративни имейл адреси. Киберпрестъпниците знаят, че персоналът, получил троянския кон, не би искал да каже на работодателите си, че са се заразили, докато търсят алтернативна работа.

Препоръки към фирмите

Промяната на човешкото поведение се случва бавно и изисква осъзнатост. Най-добрият начин за защита е ориентиран към хората чрез обучения за повишаване на тяхната осведоменост. Чрез лично преживяване – симулация, проведена от опитни IT треньори, служителите могат наистина да оценят как работи социалното инженерство.

И накрая, работете с партньор, който е повече от Ваш IT консултант и може да разбере уникалните нужди на Вашата компания и на хората в нея. Очаквайте от него персонализирана програма за повишаване на осведомеността и психологическата устойчивост към социалното инженерство. Можете да се доверите на нас.

  • Case-Study Фишинг атака

Case study – Фишинг атака

Фишинг атака Визитка на клиента Българска компания, оперираща на световните пазари. Клиент на Geletron в продължение на 5 години. В конкретния казус участва представител на отдел „Бизнес развитие и търговска дейност“ от [...]

  • Case Study - хакерска атака

Case Study – Класическа хакерска атака

Класическа хакерска атака Визитка на клиента Клиентът се занимава с внос и търговия на хранителни добавки. Има физически магазин, онлайн магазин, офис и склад – всички свързани със защитена VPN връзка. Базата [...]

Case Study – Комуникацията преди всичко

Комуникацията преди всичко Екипът на Geletron има дългогодишна практика в изграждането, поддържането и управлението на IT системи. За нас всяко решение е не просто последователност от технически стъпки, а внимателно подбран микс [...]

  • Софтуерно пиратство

Пиратски софтуер – бялата захар в света на IT

Пиратски софтуер – бялата захар в света на IT Пиратският софтуер е едно от съвременните изкушения. От една страна, предимството да се ползва безвъзмездно е достатъчно примамлива, даже пристрастяваща – като бялата [...]

Настолният компютър – класика или отживелица

Какво да изберем? Настолният компютър – класика или отживелица Как да изберем правилния компютър? Когато липсват знания в тази област, изглежда мисия невъзможна. Компютрите се предлагат в безброй конфигурации, като осигуряват различни [...]

Geletron представя интересни статии, проучвания и практики от света на ИТ технологиите.
Абонирайте се сега, за да получавате винаги актуална информация от нашия блог.

    Вашето име: *

    Вашият имейл адрес: *