Как хакнуть мозг

Понятие «социальная инженерия» появилось относительно недавно, но ее методами люди пользовались всегда. Действенные, достаточно легко применяемые и безопасные (узнавая что-либо при помощи социальной инженерии, вы вряд ли получите по мозгам), они порой дают больший эффект, чем какие-либо иные способы. Этими методами пользуются все: политики, милиционеры, разведчики, они же шпионы, и, конечно, социальные хакеры. Даже мы с вами часто применяем подобные уловки, совершенно не задумываясь об этом.
Кто такой социальный хакер?
Для начала разберемся, что такое социальная инженерия. Это понятие объединяет способы, при помощи которых одни индивидуумы обманывают других с целью получения какой-либо выгоды или нужной информации.
Социальные хакеры не взламывают систему безопасности. Порой это настолько сложно, что проще получить необходимую информацию другими путями, например, вытянуть ее у тех, кто ей владеет. Представьте, что надо придумать, как сделать так, чтобы сотрудники фирмы «Рога и копыта» преподнесли вам все нужные данные на блюдечке? Чтобы они сообщили вам все свои логины и пароли? Представили? Теперь понятно, в чем заключается различие между хакером обычным (насколько это слово вообще применимо к подобным личностям) и хакером социальным? Первый – это практически гений, способный взломать систему защиты чего угодно и выставить там на всеобщее обозрение фотографию Кузькиной матери, а социальный – это гибрид психолога и шпиона, которому сотрудники какой бы то ни было компании сами выболтают всю секретную информацию.
Проще говоря, обычный хакер взламывает технические системы безопасности, а социальный хакер примерно то же самое проделывает с мозгами пользователей, из которых разными способами будет вытягивать необходимую информацию.
Зачем используют социальную инженерию?
Социальную инженерию еще называют гуманитарным хакингом. Это вполне допустимо, так как обычные хакеры ищут недоработки в компьютерных программах, а гуманитарные (социальные) – разыскивают такие же недоработки, но в «человеческом факторе» системы безопасности. К услугам таких специалистов прибегают по нескольким причинам. Во-первых, это проще, чем взломать техническую защиту. Во-вторых, атаки подобного плана невозможно вычислить с помощью технических средств. В-третьих, это работает практически для любой операционной системы. И в-четвертых, методы социальной инженерии эффективны почти на сто процентов. Если, конечно, у социального хакера хватит сообразительности на что-нибудь более оригинальное, чем написать письмо примерно такого содержания: «Здравствуйте! Я хакер, вышлите мне ваши логины и пароли, и я скажу, что вам нужно сделать, чтобы все это не было использовано вам во вред, а вы за это примете меня на работу в вашу компанию».
Здравомыслящий человек письмо подобного плана проигнорирует, но ведь находятся и такие юзеры, которые поверят и вышлют необходимые данные. Собственно, на них и рассчитывают социальные хакеры, играя на таких человеческих качествах, как излишняя доверчивость, желание помочь кому ни попадя (в данном случае социальному хакеру, прикидывающемуся Красной Шапочкой), желание быстро избавиться от возникшей проблемы (которую заранее создала вышеупомянутая псевдо-Шапочка), а также банальное любопытство вкупе с временно ушедшим в отпуск мозгом и много чего еще.
Способы добычи информации
Методов, при помощи которых социальный хакер узнает нужные данные, множество. Вот один из примеров.
Представьте, что вы работаете в крупной компании. Опаздываете на работу. Несетесь в офис сломя голову, надеясь, что шеф еще не заметил вашего отсутствия, потому что в противном случае он вас сожжет и пепел съест. Останавливаете такси. Удивляетесь, что подъехало быстро. Вздыхаете, что хоть в этом-то вам сегодня повезло, садитесь и едете на работу. Если очень сильно повезет, то почти за бесценок. И тут замечаете на сиденье диск с логотипом Сбербанка и с наклейкой «Заработная плата сотрудников» или «Пароли доступа к системе безопасности». В первом случае вы можете взять этот диск только лишь из любопытства – ведь действительно интересно, сколько на самом деле получают сотрудники банка. А во втором ваше воображение уже рисует вам особняк в Майами, собственную яхту, миллион евро или еще что-нибудь такое, так же хорошо поднимающее настроение. Приходите на работу вместе с диском, несколько минут шеф клюет ваш мозг из-за вашего же опоздания, а потом вы наконец-то летите к своему ПК, чтобы посмотреть, что же за X-files попали в ваши руки.
Социальные хакеры тем временем пьют если не за ваш идиотизм, то за свою удачу, так как ничего секретного на диске нет. Более того, там на первый взгляд вообще ничего нет – на мониторе лишь высвечивается сообщение о том, что файл этот вы не откроете, потому что он поврежден. В этот момент на ваш ПК грузится вредоносная программа. Вы об этом даже не подозреваете и уж тем более никак не можете остановить процесс ее загрузки. В лучшем случае программа будет отслеживать все ваши действия и передавать эту информацию на чужой компьютер. В случае похуже вирус, находящийся на подброшенном вам диске, уничтожит всю вашу информационную систему и через локальную сеть проделает то же самое с корпоративной.
Это всего лишь один из примеров того, как социальные хакеры добиваются своей цели. Здесь нужный эффект достигается благодаря наличию у потенциальной жертвы определенной доли любопытства («Ну сколько они там получают?») или желания поиметь финансовую выгоду («А вдруг там правда пароли доступа к банковским счетам?»).
На самом же деле способов заставить обладателя информации выложить ее множество, постоянно изобретаются новые, но неизменным остается одно: социальные хакеры вытягивают нужные им данные, играя на чувствах человека. Любопытство, злость, страх, сострадание, жалость, даже любовь и симпатия – любое из человеческих чувств может помочь социальному хакеру достичь своей цели.
Социальная инженерия в реальной жизни
Многие думают, что методами социальной инженерии пользуются лишь хакеры. Обеспечить компанию-конкурента максимальным количеством проблем, добраться до внутренней сети какой-либо фирмы – все это, а также многое другое, можно сделать с помощью СИ. Но на самом деле хакеры – не единственные, кто применяет эти методы. За рамками компьютерных технологий тоже есть множество возможностей применять социальную инженерию. Ведь умение использовать человеческие слабости поможет добиваться успеха там, где это, казалось бы, невозможно. Поэтому, желая всегда иметь преимущество перед остальными, лучше более подробно изучить эту науку – в реальной жизни она действительно очень часто бывает нужна.
Но взгляд у каждого человека на нее разный. Кто-то думает, что это важно и что эту дисциплину нужно преподавать в вузах, а кто-то считает, что это просто детские шалости и развлечения.
Мнения экспертов
Программист Максим Неволин: «Я в последнее время нахожу в Интернете очень много информации про эту науку. Социальная инженерия там, социальная инженерия здесь... Недавно моя младшая сестра нарыла где-то книжечку про СИ и стала апробировать на окружающих усвоенные теоретические знания. Отмечу, что девочка она умная, но не по компьютерной части. А тут... Как-то выцыганила пароль от чужой почты, аськи... Довольна была очень, сидит теперь в чатах и рассказывает, что СИ – это круто. Кстати, взяла себе ник хакера из фильма «Хоттабыч». У меня теперь складывается впечатление, что социальную инженерию придумали для того, чтобы даже такие «валенки», как моя Аленка, могли называть себя хакерами и гордиться этим. По-моему, так это обычная психология, не больше.
Специалист по информационной безопасности Александр Лемпияйнен: «Конечно же, я знаю про социальную инженерию, даже сталкивался с методами ее применения. Они действительно работают, но... Слабо представляю себе, насколько глупым надо быть, чтобы на это купиться. Тем не менее в мои обязанности входило просвещать сотрудников нашей компании, чтобы они в случае такой «атаки» не обеспечили нашу фирму энным количеством проблем. Начать мы решили с новенькой сотрудницы, чтобы потом на ее примере показать всем остальным, чем может закончиться сообщение пароля по телефону. Звоним, говорим, что у нее проблемы с почтой (мы их, естественно, создали заранее), и просим сообщить пароль. Называет. Сразу! Лезем в ее почту. Пароль неверный. Мучаем девушку целую неделю по телефону. Потом идем разбираться лично. На вопрос, есть ли у нее какие-либо проблемы, отвечает, что... достали какие-то придурки, которым нужны ее пароли. Мы расслабились: если она не попалась на такие уловки, остальным это точно не грозит».
Преподаватель Дмитрий Серов: «По-моему, социальную инженерию не стоит недооценивать. Даже умный человек может попасться на уловку социального хакера, совершенно не подозревая об этом. Социальная инженерия как наука возникла задолго до того, как появилось это понятие, ведь всегда находились такие специалисты, которые могли разговорить любого человека и заставить его ответить на любые вопросы. Сейчас эти методы подробно описаны, дополнены, даются конкретные советы, как заставлять людей поступать так, как тебе хочется. Причем стоит отметить, что пользуются этими методами абсолютно все. Ребенок вымогает у матери мороженку в обмен на хорошее поведение, ученик обещает в следующей четверти «все-все выучить», чтобы в этой не получать двойку – все это СИ. А уж как «инженерят» нас на выборах... Я считаю, что в наше время с этой наукой должен быть знаком каждый, чтобы знать, когда тебя открыто «обрабатывают» и «разводят». Тем более что время диктует свои дисциплины, и эта сейчас – одна из важнейших».






Статья опубликована в разделах: Новости