• О проекте
  • Услуги
  • Заказать услугу
  • Новости
  • Блог
  • Глоссарий
  • Акции
  • Контакты
  • Блог

    Социальная инженерия: почему она популярна?

    Хакеры в процессе своей работы используют не только бреши в программном коде, но также умеют давить на слабые моральные стороны человека. Люди, как известно, при определенных условиях совершают достаточно нелепые действия, например, добровольно предоставляют злоумышленнику важные данные. В данном материале мы раскроем более детально, что такое социальная инженерия, и почему она столь успешна сегодня.

    Психология – дело тонкое. Стоит напомнить один из примеров «Психологии влияния»: медсестрам в больницах звонили психологи, и, представляясь врачом, отдавали распоряжение ввести больному смертельную дозу лекарства. В 95 процентах случаев медсестра выполнила команду, хотя она прекрасно осознавала, что делает. Причиной тому называют привычку слушать более авторитетных людей, при этом достаточно просто представиться, без авторизации.

    В данном случае социальная инженерия «взломала» 95 процентов лечебных учреждений и раскрыла их уязвимость. Способ вполне применим и к информационной безопасности. Вне зависимости от сложности железа и ПО с помощью методик социальной инженерии можно добиться ошеломительных успехов.

    Опасности добавляет и тот факт, что дело нельзя спасти новым патчем или дополнительно написанной инструкцией – механика, усвоенная хакеров однажды, будет ему всегда помогать, ведь даже спустя десятилетия поведение человечества в целом остается на одном уровне.

    При упоминании понятия «социальная инженерия» чаще всего рассматривают основную и обратную модели.

    Социальная инженерия: почему она популярна?

    Для основной модели злоумышленники ищут жертву, у которой недостаточно высокий уровень доступа к конфиденциальным данным. Основная задача – добраться до любого аккаунта, у которого есть список имен сотрудников, номера телефонов и т.п. Таким образом, получив доступ к учетной записи девушки, сидящей в приемной, или отвечающей за наем персонала, можно добраться до нужной вам персоны, и просто позвонить ей, представившись её же начальником. Несколько невинных вопросов с высокой вероятностью помогут злоумышленнику получить еще какую-то часть важной информации, и продвинуться дальше. Также можно начать игру в авторитета, как это описано в примере с медсестрами. Известно, что сотрудники обычно помогают друг другу в команде, поэтому, представившись напарником выше по иерархии, можно выведать нужные данные.

    Для успешной операции необходимо тщательно подготовить почву. Многие хакеры на протяжении месяца регулярно звонят в колл-центр, общаются с одной и той же сотрудницей, втираются в доверие, после чего она воспринимает его как своего. Отказать знакомому человеку даже на мелкую просьбу, которая касается важной информации, будет труднее.

    Стоит подчеркнуть, что риск попасться на такую удочку есть не только у некомпетентных юзеров, но даже у опытных сотрудников. Существует множество историй, когда опытный сисадмин дает root-доступ постороннему человеку, который представился техлидом из соседнего проекта,

    Обратная модель подразумевает получение информации, которыми юзеры могут сами поделиться. Однако в данном случае юзер говорит самостоятельно все, что нужно хакеру. Пример: прийти под видом уборщика в офис компании, заменить номер техподдержки на собственный, после чего устроить небольшую неполадку в сети. Юзеры, которых коснется поломка, начнут звонить на ваш номер, и предоставят любую информацию, лишь бы неполадка была устранена. Подобных примеров можно привести несметное количество.

    Разобравшись, что такое социальная инженерия, стало очевидно, что эта методика может применяться как для получения конфиденциальных данных, так и для сбора информации о цели, причем делается это без внедрения вредоносов или написания кода.