Лекція 1: Вступ. Основні визначення. Цілі та методи соціального інжинірингу

Інтенсифікація розвитку інформаційного суспільства розширила можливості інформаційного обміну, що в свою чергу дало поштовх удосконаленню існуючих та розвитку нових методів атак на ресурси інформаційних систем. В останні роки набули розвитку методи соціального інжинірингу (МСІ), які за специфікою реалізації відповідної класифікації [1] відносяться до соціотехнічних атак.

В різних джерелах [1-6] соціальний інжиніринг має як достатньо звужене, так і широке трактування. Наприклад, його визначають і як дієвий метод [4] переконання користувачів у виконанні певних дій на користь соціотехніка (неавторизованої сторони, що використовує методи соціального інжинірингу), так і як набір заходів [5] для збирання відомостей про інформаційну систему (без технічних подробиць її реалізації), що заснований на людському чиннику.

Соціальний інжиніринг – загроза безпеці інформації, заснована на отриманні певних даних (наприклад, імен користувачів, паролів, номерів телефонів віддаленого доступу тощо) від різних людей в процесі інформаційного обміну.

Основні цілі СІ:

Ø отримання паролів і кодів доступу;

Ø отримання даних про інфраструктуру організації, ключових фігур;

Ø отримання інформації про клієнтів компанії (їх рахунках);

Ø отримання інформації про стратегічні плани компанії, маркетингові дослідження і плани.

На кого спрямовано вплив СІ:

Ø співробітники мають пряме відношення до діяльності компанії;

Ø керівники і начальники відділів;

Ø персонал відділу кадрів;

Ø Співробітники (нові, тимчасові, ті які незадоволені роботою в компанії, увольняющиеся);

Ø співробітники працюють з клієнтами;

Ø секретарі та персональні помічники.

Методи СІ:

Ø відвідання компанії;

Ø проникнення в компанію під виглядом клієнтів, обслуговуючого персоналу, знайомих, родичів;

Ø пошук інформації у відкритих джерелах;

Ø підглядання паролів;

Ø помилкові дзвінки в компанію або певним співробітникам компанії під виглядом.довіреної людини або співробітника з метою отримання необхідної інформації;

Ø дослідження вмісту сміття;

Ø налагодження персональних стосунків із співробітниками компанії;

Ø працевлаштування в компанію.

Ø Представлятися другом-співробітником

Ø Представлятися співробітником постачальника, партнерської компанії, представником закону

Ø Представлятися ким-небудь з керівництва

Ø Представлятися новим співробітником, хто проситиме про допомогу

Ø Представлятися постачальником або виробником операційних систем, що дзвонять, щоб запропонувати оновлення або патч.

Ø Пропонувати допомогу у разі виникнення проблеми, потім змусити цю проблему виникнути, примушуючи жертву попросити про допомогу

Ø Надсилати безкоштовне ПЗ або патч жертві для установки

Ø Надсилати вірус або троянського коня в якості додатку до листа

Ø Розсилка листів з небезпечним вмістом (прохання служби техпідтримки зайти на сайт (заздалегідь розроблений і дуже схожий на сайт техпідтримки будь-якого сервісу) і завантажити оновлення; запуск додатків і т.п.)

Ø Використання фальшивого pop-up вікна, з проханням аутентиф. ще раз, або ввести пароль

Ø Записування вводяться жертвою клавіш комп'ютером або програмою

Ø Пошук інформації у відкритих джерелах;

Ø Підглядання паролів;

Ø Хибні дзвінки в компанію або певним співробітникам компанії під виглядом.довіреної людини або співробітника з метою отримання необхідної інформації (інфраструктури, паролів, часу роботи співробітників і т.п.);

Ø Прикидатися, що він з віддаленого офісу і просить локального доступу до пошти.

Ø дослідження вмісту сміття;

Ø налагодження персональних стосунків із співробітниками компанії;

На кого спрямовано вплив соціального техніка:

Ø співробітники мають пряме відношення до діяльності компанії;

Ø керівники і начальники відділів;

Ø персонал відділу кадрів;

Ø співробітники (нові, тимчасові, ті які незадоволені роботою в компанії, увольняющиеся);

Ø співробітники працюють з клієнтами;

Ø секретарі та персональні помічники.

Попереджувальні знаки атаки

Ø Відмова назвати номер

Ø Незвичайна прохання

Ø Затвердження, що той, хто телефонує – керівник

Ø Терміновість

Ø Загроза негативними наслідками у разі невиконання

Ø Відчуває дискомфорт при опитуванні

Ø Називає знайомі імена

Ø Робить компліменти

Ø фліртує

Спочатку соціальний інженер розвідає потрібну йому інформацію з відкритих джерел, сайтів, періодичних видавництв, дзвінків в компанію для розвідки імен і посад потрібних йому відділів, збере назви корпоративних серверів, покопатися в смітті (ми часто викидаємо важливі відомості не замислюючись про безпеку). Далі залишається зробити пару дзвінків або навідатися в компанію і добути потрібні відомості.

Наприклад, людина телефонує адміністратору мережі (при географічно віддалених офісах і централізоване управління), представляється користувачем і каже що забув пароль, або він вдома і потрібно терміново доробити проект, чи не можна йому надати віддалений доступ до локальної мережі? Вживаючи термінологію організації, називаючи керівників (що тільки є в більшості випадків закритою інформацією), він переконує адміністратора безпеки що він той, за кого себе видає, і отримує доступ до системи. У таких ситуаціях відповідальний (в цьому випадку адміністратор) повинен був запитати номер телефону абонента, перевірити зі списком службовців і передзвонити для підтвердження особи; або зателефонувати названому керівнику і запитати, чи потрібно надавати даних доступ.

Ще одна можлива ситуація: соціальний інженер представляється людиною з тих.підтримки і пропонує завантажити безкоштовне оновлення будь-якого продукту, запевнивши що це дуже потрібно і в разі відмови користувача допомогти, він не несе відповідальності за можливі наслідки.

Human denial of service (HDoS)

Ви помітили, що назва дуже схоже на DoS. «Людський відмова в обслуговуванні» якщо перекласти. З відмовою в обслуговуванні серверів це не має нічого спільного. Суть атаки полягає в тому, щоб змусити людину (непомітно для нього, природно) не реагувати на ті чи інші ситуації. Наприклад, зробити так, щоб кожне ваше слово сприймалося за правду беззастережно і не осмислюючи. До такого роду атак відноситься і відволікання уваги. Скажімо, ви робите помилкової уявлення про виконання однієї операції, а на сомом справі виконуєте зовсім іншу. Таким чином, людина-жертва занадто зайнятий одним просто не помічає іншого. Атаки такого роду виконуються досить складно, тому що необхідно добре прорахувати психологію жертви, її знання і реакції, на такого роду інциденти. Припустимо, відволікаючим маневром служить емуляція атаки на який-небудь порт. Поки адміністратор буде займатися логами «атаки», ви можете без проблем проникнути на сервер і взяти все, що необхідно. Але в той же час адміністратор може відмінно знати, що на цьому порте вразливостей немає, і тоді ваше проникнення буде моментально засічено. Саме з цього, необхідно зрозуміти: на якому рівні знань знаходиться адміністратор.

Технічна соц. Інженерія

До цього виду атак відносяться всі ті, в яких немає як таких «жертви» і «впливу на неї». В атаках цього типу використовуються принципи і стереотипи соціуму, що і відносить їх до соціальної інженерії. Як приклад можна навести наступні думки: «Ну, раз камери стоять, то, швидше за все, ніхто не полізе» або «Чим більше організація, тим твердіше у людей думку про її захищеності». Ці стереотипи зустрічаються скрізь, більшість вважають, що якщо сайт організації займається безпекою, то ніхто не зможе його зламати. Це ж не так, зламати можна все без винятку.

Такий спосіб більш широко відомий як аналіз ситуації. Людина, бачить, що пройти звичайним шляхом (стандартним) не вийде, і він починає проглядати інші варіанти, тобто займається аналізуванням тій ситуації, в яку потрапив.

Дзвінок. Мається на увазі безпосередній голосовий контакт. Зловмисник дзвонить жертві і з допомогою правильно побудованої промови вводить в оману користувача.Найбільш гладко це проходить у тих випадках, коли зловмисникові необхідно представиться тим, кого жертва не знає. Досить просто завищити своє становище і говорити холодним гнівним тоном. Природно у користувача спрацює механізм «начальство» і він стане чемним, ввічливим і буде готовий викласти все, про що тільки ви його попросіть на блюдці з блакитною облямівкою. Найбільш зручно користувача атакою такого роду в компанії з великим штатом, де люди не знають один одного і охоче повірять. Усе ускладнюється, коли мова йде про компанії середніх і малих розмірів. Там штат співробітників не великий і «вклинитися» у нього дуже і дуже важко. Тоді зловмисникові необхідно діяти від імені начальника. Що це означає? Пояснюю: зловмисник дзвонить і каже, що на прохання адміністратора перевіряє працездатність системи безпеки. Просить назвати пароль / ім'я користувача і підтверджує нормальну роботу системи. Ось так ні про що не підозрюючи користувач віддає сам необхідну інформацію. Інший спосіб - використання апарату для зміни голосу. Таким чином, зловмисник просто напросто імітує голос того, від чийого імені необхідно зробити операцію.

Особистий візуальний контакт. Це є найскладніші операцією. Виконати її можуть тільки професійні психологи або люди спеціально підготовлені. Здійснюється це таким чином: необхідно знайти до жертви підхід, так би мовити «ворота». Обчислюється це за допомогою аналізу його питань. Скажімо, він дуже часто запитує одне питання, але спрямований на різні сфери - ось вони «ворота». Головне для зловмисника в такому випадку - розмовляти з жертвою в «рамках цих воріт», що в слідстві призведе до того, що жертві дуже сподобається він як людина і перша викладе все, що необхідно відразу, «позаочі», а сама буде вважати, що нічого особливо важливого не розповідає. У цьому і є вся хитрість. Але, як я вже говорив, це провернути зможе далеко не кожен. І якщо голос можна підробити, то міміку, світло шкіри (мається на увазі зміна кольору, при хвилюванні і т.д.), реакцію зіниць підробити не просто.

Електронна пошта. Найбільш поширений «канал для роботи» це електронна пошта. E-mail досить міцно увійшов в наше життя і необхідний практично кожному, хто користується Інтернетом. Для соціального інжинірингу пошта використовується дуже активно. І знову ж таки, тут виникають свої складності при спробах затуманивания розуму з використанням її. Вся справа полягає в тому, що якщо зловмисник збирається слати «хибне лист» від імені людини з якою жертва знайома, то необхідно дуже точно скопіювати стиль написання «помилкового відправника». Усе простіше, коли жертва не знає «відправника». Крім того, необхідно подбати і про заголовку листа (header). Це можна зробити, використовуючи стандартний клієнт-поштовик. Можна зробити і вручну. Можна, так само, при написанні та відправлення листа користуватися telnet клієнтом.Підключення до стандартного двадцять п'ятого порту сервера пошти дозволить це здійснити. Якщо виправляти вручну, то заголовок виглядає приблизно так, як на малюнку номер один. Останній рядок, що починається з Received, і є, зазвичай, адресою відправника. Так само можна скористатися сервісами, які затирають заголовки, так званими remailers, але це не настільки ефективно, як «ручне затирання».

Системи обміну миттєвими повідомленнями – от добралися ми і до icq. По суті своїй - це той же емел, але тільки без «архіву листів». Програмка розроблена не так давно, але всі активно користуються їй, незважаючи на численні недоліки. В даний час в мережі існує безліч програм, які можуть тим чи іншим способом впливати на роботу icq. До списку їхніх можливостей так само входить і відсилання повідомлення від імені іншого користувача. Так само, зловмисник може проводити атаку у вигляді спеціально сформованого тексту. Це трохи схоже на телефонну розмову, але має одну суттєву відмінність - відсутність голосового супроводу. Спілкування ведеться в текстовому вигляді.

1. Поняття та цілі соціального інжинірингу.

2. Об’єкти та субєкти соц.інжиніригу.

3. Базові методи соціального інжинірингу.

4. Типові (найпоширеніші) СІ-дії.

Дата добавления: 2014-01-11; Просмотров: 1280; Нарушение авторских прав?; Мы поможем в написании вашей работы!