Основы социальной инженерии

Основы социальной инженерии

SEBOG

Социальная инженерия, по сути - это управление сознанием группы людей. В интернете ее используют очень часто. Например, когда одна и та же компания представляется разными названиями, чтобы собрать больше клиентов, когда люди выдают себя за популярных звезд, чтобы собрать вокруг себя аудиторию (так называемые фейки), когда мужчина с целью обмана выдает себе за женщину и много других вариантов, и это только на интернет страницах

Но, как правило, этим все не заканчивается, все переходит в обычную жизнь.

Хоть раз в жизни но приходится звонить от имени другого человека в компанию и узнавать что-то. А бывает и так, одна и та же компания в различных ресурсах представляется по разному. При этом человек звонит якобы в разные компании. И компания в свою очередь не отрицает предложенные названия. Во многих руководствах рекомендуется для выявления эффективности придумывать не существующих менеджеров по определенному товару, чтобы было понятно, откуда пришел человек и т.п. Все это социальная инженерия, способы воздействия которой нужно как минимум знать.


Виды социальной инженерии

Социальная инженерия подразделятся на два основных вида:

  • Социальная инженерия.
  • Обратная социальная инженерия.

У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны.

Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.

Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.

В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.

Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.

Поисковые системы, которые являются основным источником посетителей на сайт, пытаются сделать выдачу по определенному запросу как можно более разнообразной, чтобы получить еще больше посетителей, а, следовательно, денег.

Раньше одна и та же компания создавала от 10 до 50 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.

Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.

Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.

Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу whois. Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов. Например, для этого домена specialist-seo.ru фирма, скорее всего, называлась бы, ООО «Специалист СЕО».

Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром - «Спрашивайте Вашего персонального менеджера Александра» и т.п.

Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.

Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.

В интернет основными факторами, позволяющими повысить уровень доверия к сайту являются следующие:

  • Оформление сайта - однотипные оформления вызывают недоверие. Как, например, у всяких интернет пирамид, люди разные, а страницы по оформлению совершенно идентичны. Как правило это: большой длинный текст, введением в который является мысль о том как будет хорошо или наоборот очень трудно достичь желаемого успеха и т.п. в начале и представлен яркий контраст с тем что будет потом, на этой же страничке обычно располагается почтовый адрес или форма подписки.
  • Использование специальных подписей, кроме примера, приведенного выше, это ещё может быть указание подписи под обычным прямым сотовым номером, «Многоканальный телефон» и подобные записи.
  • Регистрация доменов второго уровня - применяется так как вызывает недоверия фирма, использующая бесплатный домен третьего уровня. Если у организации нет денег даже на домен 2 уровня, то о каких платных услугах может идти речь.
  • Установка счетчиков с других сайтов, которые показывают посетителей другого сайта, их более 2-3 тыс., а реально Вы на этом сайте вообще первый человек сегодня.

Помимо выше приведённых примеров существует ещё масса других методик и способов.


Предположим , у нашей фирмы №1 есть следующее:

  • Три сотовых телефона с прямыми городскими номерами
  • Один домашний адрес
  • Три сайта.


Каким же образом фирма будет получать прибыль от этого?

На каждом сайте по whois указываются разные контактные данные, а имя и фамилия владельца скрывается. Сайты находятся на разных хостингах, чтобы обеспечить различные ip адреса. На всех сайтах указаны контакты и телефоны, которые не пересекаются и не повторяются. На каждом сайте уникальное оформление и содержание.

Осталось понять только одно, как фирма, находящаяся в собственной квартире доставляет товары и отправляет заказчиков на склады?

Все очень просто, рассказывать детали не буду. Дам только намек, что есть договоренность с производителями, которые и выполняют всю работу, а задача владельцев сайта, только сообщить, что клиент пришел от них.

Не стоит бояться заказывать через интернет, после прочтения данного текста, Вы просто делаете заказ через посредников, у которых есть определенные скидки, поэтому они могут предлагать товары дешевле, чем производитель, который специально фиксирует цены.


Социальная инженерия при формировании цен

Мы видим, что в этом магазине самый дешевый товар, мы покупаем в нем все. А Вы уверены, что это правда?

Во многих магазинах при формировании цен руководствуются следующим принципом. Некоторые категории товаров дешевле, чем у всех. А вот остальные, гораздо дороже, и как правило это комплектующие для тех самых дешевых товаров. А теперь посчитаете итоговую сумму. И где теперь дешевле?

Используя социальную инженерию, можно сильно навредить конкурентам, что делается очень часто среди такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие.

Социальная инженерия в интернете очень часто используется фейками звезд (это те, кто выдает себя за звезд, известных людей). Как правило, это еще маленькие дети, которые хотят внимания и общения, но не могут их получить, или просто хотят почувствовать себя знаменитыми. Их цели безобидны. Но не всегда это маленькие дети, иногда цель таких людей получение прибыли, путем обмана.

Берется собирательный образ девушки, которая очень желает познакомиться, через определенное время общения она просит финансовой помощи, хотя бы положить ей денег на телефон, так как у нее нет, смс она общаться не может, позвонить ей не возможно, так как рядом больные родители, уйти от которых она не может. И еще куча подобных историй. Не всегда это девушка, это может быть кто угодно, даже обычный извращенец. Цель этого – получение денег обманным путем.

Социальная инженерия может использоваться для очень большого количества целей, кто владеет социальной инженерией – владеет искусством обмана.

У социальной инженерии только один большой недостаток, Вы зависите от людей, против которых применяется социальная инженерия, а не они от Вас. По этой причине процесс воздействия совершенно не контролируем, и его успешность зависит от множества факторов.


Обратная социальная инженерия

Этот недостаток пытается устранить обратная социальная инженерия или как часто пишется - ОСИ.

Обратная социальная инженерия строится на трех факторах:

  1. Создание ситуации, которая вынуждает человека обратиться за помощью
  2. Реклама своих услуг или опережение оказания помощи другими людьми
  3. Оказание помощи и воздействие

В данном случае вначале нужно создать ситуацию, а для создания ситуации нужно изучить человека (или группу лиц), на которого будет оказываться воздействие.

Сейчас не проходят трюки, описанные ранее, замените название файла и т.п. Все решается простой переустановкой программ, да и запустить программу в большинстве случаев не удастся, уже не те времена.

Остается один вариант. Исследовать людей, их интересы, пристрастия и пытаться воздействовать за счет них, причем программы и любые способы электронного воздействия должны быть полностью работоспособны и до определенного времени не вызывать никаких опасений.

Возьмем один из старых вариантов, описанных в большинстве книг. Пошлем по почте адресату новый диск его любимого исполнителя с записанным вирусом. Думаете, сработает? Очень сомневаюсь. Большинство проигрывателей запустит диск без запуска вируса, да и антивирус заблокирует такой вирус очень быстро.

Лучше всего не использовать такие методы, они просто не эффективны. Гораздо эффективнее разработать программу, которая будет полезна этому предприятию, разработана специально для него, но через определенное время ее нужно обслуживать, обновлять и так далее.

Таким образом, обратная социальная инженерия позволяет управлять людьми, но для этого нужно много сил и знаний. Социальная инженерия воздействует в большинстве своем на более широкую аудиторию и более выгодна, хотя Вы и находитесь в зависимом состоянии.


Защита от социальной инженерии

Нужно не только знать, как нападать, нужно знать и как защищаться

Во всех крупных компаниях регулярно проводятся тесты на проникновение (пентесты) с использованием социальной инженерии.

Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.

С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.

Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.

Вот, в принципе, и все. Надеюсь, что вам понравилось, поэтому буду благодарен если поделитесь этой статьей со своими друзьями и сделаете репост.


Report Page