Социальная инженерия. Часть 1. Техники. Фишинг.

В данной статье познакомимся с определеним и рассмотрим одну из основных техник применения СИ в современном мире.

Информации много, поэтому пусть будет по одной технике в статье, тем более что некоторые техники еще разделяются по разным схемам.

Также познакомимся с наиболее известными социальными инженерами и узнаем как определить атаку социального инженера - тоже отдельными статьями.

итак, начнем...

Социальная инженерия — совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые максимально эффективно приводят к конкретному необходимому результату, с использованием социологии и психологии.

СИ применяется, как вполне законно, например, она помогает достичь изначально недостижимый результат, или «программировать» для совершения позитивных и полезных действий конкретного человека или группу людей. Но также зачастую СИ используется в интернете для получения закрытой информации или информации, которая представляет большую ценность.

Известность, в том виде который мы знаем сейчас, к СИ пришла в начале 21 века. В сфере информационной безопасности данный термин был популяризован бывшим компьютерным преступником, ныне консультантом по безопасности Кевином Митником, который в своей книге "Искусство обмана" утверждал, что самое уязвимое место любой системы безопасности - человеческий фактор.

Техники социальной инженерии

Все техники социальной инженерии основаны на том чтобы создавать у жертвы ошибки в восприятии и поведении, для получения конфиденциальной информации, часто с согласия жертвы.

Рассмотрим, основные современные техники СИ:

Фишинг

(от англ. fishing — рыбная ловля, выуживание) — это вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям. Это самая популярная схема социальной инженерии на сегодняшний день. Наиболее стандартный пример фишинговой атаки - сообщение, отправленное жертве по электронной почте и подделанное под официальное письмо — от банка или платёжной системы — требующее проверки определённой информации или совершения определённых действий. Такие письма обычно содержат ссылку на фальшивую веб-страницу, в точности похожую на официальную и содержащую форму, требующую ввести конфиденциальную информацию.

Вообще фишинговые схемы бывают разные, вот самые популярные из них:

Несуществующие ссылки

Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.

Мошенничество с использованием брендов известных корпораций

В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону.

Подложные лотереи

Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации

Ложные антивирусы и программы для обеспечения безопасности

Подобное мошенническое программное обеспечение, также известное под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения.

IVR или телефонный фишинг

Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом. Данная техника основана на использовании системы предварительно записанных голосовых сообщений с целью воссоздать «официальные звонки» банковских систем. Обычно жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений.

Кстати, эта последняя схема - в видоизмененной форме сейчас активно используется мошенниками. Как она работает я писал в посте от 24 июля на @iCheWork. Смотри в ленте выше!

продолжение о техниках СИ и о СИ в следующих статьях