- Регистрация
- 27.04.20
- Сообщения
- 150
- Онлайн
- 17д 7ч 7м
- Сделки
- 0
- Нарушения
- 0 / 0
Помните!
Даже самая совершенная система защиты бесполезна, если ею управляет
психологически неустойчивый, наивный или доверчивый человек.
Помните анекдот о диссертации на тему зависимость скорости перебора паролей
от температуры паяльника (утюга)? Многие почему то забывают, что в роли объекта
атаки может выступать не только машина, но и ее оператор. Причем, оператор
зачастую оказывается слабейшим звеном в системе защиты. На хакерском
жаргоне атака на человека называется социальной инженерией (social engineering)
и в своем каноническом виде обычно сводится к звонкам по телефону с целью
получения конфиденциальной информации (как правило, паролей) посредством
выдачи себя за другое лицо. В данной статье термин социальная инженерия
рассматривается намного шире и обозначает любые способы психологического
воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах
(любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно,
подобные приемы не новы и известны еще со времен глубокой древности.
Остается только удивляться тому, что за истекшие тысячелетия человечество так
и не научилось противостоять мошенникам и отличать правду от лжи. Еще
удивительнее то, что арсенал злоумышленников не претерпел никаких
принципиальных изменений. Напротив, с развитием коммуникационных технологий
их задача значительно упростилась. Общаясь по Интернет, вы не видите и не
слышите своего собеседника, более того, нет никаких гарантий, что сообщение
действительно отправлено тем адресатом, имя которого стоит в заголовке.
Введение в заблуждение (обман):
Введение в заблуждение – основной компонент социальной инженерии,
включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо,
отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные
цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее
популярные из них: отъем денег, получение несанкционированного доступа к
конфиденциальной информации и уход от ответственности путем перевода
подозрений на постороннее лицо.
Отъем денег:
Это только в американских боевиках одетые в маски грабители вламываются в
какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все
происходит гораздо проще. Вездесущий бардак и халатное отношение к
собственным обязанностям позволяют присвоить чужую зарплату простой
росписью в ведомости. Автор этой статьи был до глубины души поражен, когда
обнаружил, что многие издательства выплачивают гонорары, не требуя ни
паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию,
говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не
обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь
наличные и, не забыв сказать до свидания, уходишь.
Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих
корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом
городе или даже стране. Для пресечения обмана все денежные вопросы следует
решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар
только после заключения договора. (Договор же можно переслать обычной почтой
или, на худой конец, по факсу). Кстати, встречаются и недобросовестные авторы,
которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы
получил кто то другой, выдавший себя за них.
Место встречи изменить нельзя:
В некоторых случаях возможностей телефонных и компьютерных сетей
оказывается недостаточно и злоумышленнику приходится прибегать к встречам в
живую.
Как убедительно выдать себя за другое лицо, да так, чтобы у жертвы не возникло
и тени сомнения? Ведь, в противном случае он запросто может попросить
предъявить документы, а качественно подделать документы очень сложно (во
всяком случае, для одиночки). Допустим, злоумышленник выдает себя за
сотрудника некоторой фирмы и, чтобы вы окончательно поверили в это,
договаривается встретиться с вами в здании фирмы. Чтобы не возиться с
выписыванием пропусков, он предлагает подождать вас на проходной. Для
усиления эффекта проходящие мимо сотрудники могут здороваться со
злоумышленником и жать ему руку. Зима, кстати, лучший помощник
злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной
рядом машине, он окончательно развеет ваши сомнении относительно его
личности.
Техника проникновения на охраняемый объект без использования отмычек:
Проникнуть на фирму, пускай у двери стоит хоть десяток охранников, зачастую
проще простого. Предъявляем паспорт, говорим: кто мы такие и к кому идем. При
чем, названное имя не обязательно должно совпадать с именем в паспорте.
Объясняем: тот, к кому мы идем, знает нас под сетевым псевдонимом. Охранник
звонит указанному лицу и сообщает, что его хочет видеть такая то личность.
Получив добро (а добро очень часто дается без уточнения подробностей), охранник
дает мошеннику зеленый свет. Разумеется, злоумышленнику вовсе не обязательно
быть сетевым другом одного из сотрудников. Достаточно лишь знать имена его
знакомых, выяснить которые не составит никакого труда. (Особенно, если
сотрудник злоупотребляет ICQ или Интернет – форумами).
На первый взгляд, знание паспортных данных позволяет без труда найти
злоумышленника. Это так, но не стоит обольщаться – доказать его причастность к
грамотно спланированной атаке будет очень непросто! Ведь не компьютер же
будет выносить в кармане злоумышленник! Вероятнее всего, он постарается
подсмотреть набираемый пароль или, обнаружив в пустующем кабинете
включенный компьютер, занесет туда шпиона. Для предотвращения подобных
инцидентов следует сопровождать всех посторонних лиц от самого входа до места
назначения, не позволяя им самостоятельно бродить по помещению.
Игра на чувствах:
Поскольку шантаж – дело наказуемое, злоумышленники по возможности
используют более законные пути. Например, покорив сердце некоторой
сотрудницы, мошенник в один прекрасный день может заявить, что он проигрался в
карты и теперь вынужден долгие годы отрабатывать долг батраком в Канаде или
еще где. Правда, есть один вариант… если его пассия скопирует такие то
конфиденциальные доку менты, он сумеет их продать, тогда никуда уезжать не
потребуется и любовный роман продолжится… Впрочем, не обязательно играть
именно на любви. Ничуть не хуже толкает на преступление алчность, желание
отомстить руководству или по пытка самоутвердиться. Множество подобных
авантюр совершаются по ICQ , что чрезвычайно осложняет поиски
злоумышленника.
Поэтому, администраторам настоятельно рекомендуется запретить пользоваться
ICQ всему персоналу или, на худой конец, хотя бы контролировать содержимое
разговоров. (Безнравственно, конечно, но что поделаешь). Разумеется не стоит
забывать и об электронной почте. А еще лучше не принимать на ответственные
должности романтических или психологически неуравновешенных лиц, даже если
они хорошие специалисты.
Даже самая совершенная система защиты бесполезна, если ею управляет
психологически неустойчивый, наивный или доверчивый человек.
Помните анекдот о диссертации на тему зависимость скорости перебора паролей
от температуры паяльника (утюга)? Многие почему то забывают, что в роли объекта
атаки может выступать не только машина, но и ее оператор. Причем, оператор
зачастую оказывается слабейшим звеном в системе защиты. На хакерском
жаргоне атака на человека называется социальной инженерией (social engineering)
и в своем каноническом виде обычно сводится к звонкам по телефону с целью
получения конфиденциальной информации (как правило, паролей) посредством
выдачи себя за другое лицо. В данной статье термин социальная инженерия
рассматривается намного шире и обозначает любые способы психологического
воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах
(любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно,
подобные приемы не новы и известны еще со времен глубокой древности.
Остается только удивляться тому, что за истекшие тысячелетия человечество так
и не научилось противостоять мошенникам и отличать правду от лжи. Еще
удивительнее то, что арсенал злоумышленников не претерпел никаких
принципиальных изменений. Напротив, с развитием коммуникационных технологий
их задача значительно упростилась. Общаясь по Интернет, вы не видите и не
слышите своего собеседника, более того, нет никаких гарантий, что сообщение
действительно отправлено тем адресатом, имя которого стоит в заголовке.
Введение в заблуждение (обман):
Введение в заблуждение – основной компонент социальной инженерии,
включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо,
отвлечение внимания, нагнетание психологического напряжения и т.д. Конечные
цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее
популярные из них: отъем денег, получение несанкционированного доступа к
конфиденциальной информации и уход от ответственности путем перевода
подозрений на постороннее лицо.
Отъем денег:
Это только в американских боевиках одетые в маски грабители вламываются в
какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все
происходит гораздо проще. Вездесущий бардак и халатное отношение к
собственным обязанностям позволяют присвоить чужую зарплату простой
росписью в ведомости. Автор этой статьи был до глубины души поражен, когда
обнаружил, что многие издательства выплачивают гонорары, не требуя ни
паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию,
говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не
обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь
наличные и, не забыв сказать до свидания, уходишь.
Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих
корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом
городе или даже стране. Для пресечения обмана все денежные вопросы следует
решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар
только после заключения договора. (Договор же можно переслать обычной почтой
или, на худой конец, по факсу). Кстати, встречаются и недобросовестные авторы,
которые, получив деньги, требуют их снова, мотивируя это тем, что гонорар якобы
получил кто то другой, выдавший себя за них.
Место встречи изменить нельзя:
В некоторых случаях возможностей телефонных и компьютерных сетей
оказывается недостаточно и злоумышленнику приходится прибегать к встречам в
живую.
Как убедительно выдать себя за другое лицо, да так, чтобы у жертвы не возникло
и тени сомнения? Ведь, в противном случае он запросто может попросить
предъявить документы, а качественно подделать документы очень сложно (во
всяком случае, для одиночки). Допустим, злоумышленник выдает себя за
сотрудника некоторой фирмы и, чтобы вы окончательно поверили в это,
договаривается встретиться с вами в здании фирмы. Чтобы не возиться с
выписыванием пропусков, он предлагает подождать вас на проходной. Для
усиления эффекта проходящие мимо сотрудники могут здороваться со
злоумышленником и жать ему руку. Зима, кстати, лучший помощник
злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной
рядом машине, он окончательно развеет ваши сомнении относительно его
личности.
Техника проникновения на охраняемый объект без использования отмычек:
Проникнуть на фирму, пускай у двери стоит хоть десяток охранников, зачастую
проще простого. Предъявляем паспорт, говорим: кто мы такие и к кому идем. При
чем, названное имя не обязательно должно совпадать с именем в паспорте.
Объясняем: тот, к кому мы идем, знает нас под сетевым псевдонимом. Охранник
звонит указанному лицу и сообщает, что его хочет видеть такая то личность.
Получив добро (а добро очень часто дается без уточнения подробностей), охранник
дает мошеннику зеленый свет. Разумеется, злоумышленнику вовсе не обязательно
быть сетевым другом одного из сотрудников. Достаточно лишь знать имена его
знакомых, выяснить которые не составит никакого труда. (Особенно, если
сотрудник злоупотребляет ICQ или Интернет – форумами).
На первый взгляд, знание паспортных данных позволяет без труда найти
злоумышленника. Это так, но не стоит обольщаться – доказать его причастность к
грамотно спланированной атаке будет очень непросто! Ведь не компьютер же
будет выносить в кармане злоумышленник! Вероятнее всего, он постарается
подсмотреть набираемый пароль или, обнаружив в пустующем кабинете
включенный компьютер, занесет туда шпиона. Для предотвращения подобных
инцидентов следует сопровождать всех посторонних лиц от самого входа до места
назначения, не позволяя им самостоятельно бродить по помещению.
Игра на чувствах:
Поскольку шантаж – дело наказуемое, злоумышленники по возможности
используют более законные пути. Например, покорив сердце некоторой
сотрудницы, мошенник в один прекрасный день может заявить, что он проигрался в
карты и теперь вынужден долгие годы отрабатывать долг батраком в Канаде или
еще где. Правда, есть один вариант… если его пассия скопирует такие то
конфиденциальные доку менты, он сумеет их продать, тогда никуда уезжать не
потребуется и любовный роман продолжится… Впрочем, не обязательно играть
именно на любви. Ничуть не хуже толкает на преступление алчность, желание
отомстить руководству или по пытка самоутвердиться. Множество подобных
авантюр совершаются по ICQ , что чрезвычайно осложняет поиски
злоумышленника.
Поэтому, администраторам настоятельно рекомендуется запретить пользоваться
ICQ всему персоналу или, на худой конец, хотя бы контролировать содержимое
разговоров. (Безнравственно, конечно, но что поделаешь). Разумеется не стоит
забывать и об электронной почте. А еще лучше не принимать на ответственные
должности романтических или психологически неуравновешенных лиц, даже если
они хорошие специалисты.
