Что такое социальная инженерия

Вы здесь

2 Авг 2006 - 04:00
Что такое социальная инженерия

Юля в седьмой раз пытается перезапустить взбунтовавшуюся ICQ - и снова этот равнодушный отказ. "You have tried to login using an incorrect password" - как будто пароль мог просто взять и стать неправильным!

Login failed.

Раз за разом - одно и то же. И почтовый ящик тоже отказывается служить. "Ошибка: неверное имя пользователя или пароль". Совет - проверить правильность написания. Правильность проверена по буквам, и снова - login failed. Жертвой хакера может оказаться любой. Не обязательно для этого быть директором огромной корпорации. Достаточно просто получить "красивый" номер ICQ, который легко запомнить, или не понравиться комуто в чате. Но откуда ждать опасности?

Мистер Андерсон, которого не было

- Обычно у людей взлом ассоциируется с хакерами вроде Нео из "Матрицы": горы компактдисков с запрещенными программами, сложные устройства собственного изобретения, - рассказывает мне К. Р. Свои слова он разрешил использовать только при условии, что скрывающееся за этими инициалами имя не будет раскрыто.

- Чем меньше человек смыслит в компьютерах, тем больше ведется на подобную "романтику". На самом деле это всего лишь обыкновенный штамп, пусть и красивый. Выглядит К. Р. совершенно обычным студентом - без всякой атрибутики вроде темных очков, плаща, проводков и отверток по карманам. В общем, ни на оживший штамп, ни на киногероя не похож. Взгляд его устремлен на собеседника, а не в киберпространство.

- Однажды я взломал тридцать один электронный ящик за каких-то два дня, и это не рекорд, а обыкновенная "рабочая" цифра, - признается К. Р. - Не то чтобы я постоянно этим занимаюсь, но частенько делаю на заказ. Могу точно так же "взять" сайт или аську, хотя это и сложнее. Но никаких технических средств я никогда не использую. Наверное, это чтото вроде принципа...

Творчество или инструкция?

То, что называется в околовиртуальных кругах социальной инженерией, это как раз и есть "никаких технических средств" К. Р. Не изобретая велосипеда в виде громоздких определений, объяснить суть этого метода можно одним словом - обхитрение. Из всех многочисленных способов взлома социальная инженерия - самый артистичный, самый творческий и самый авантюрный. На обычного хакера работают подсобные программные и технические средства вроде клавиатурных шпионов и специальных скриптов для подбора паролей. Социальный инженер не пользуется ничем, кроме собственных мозгов, творческого воображения, изобретательности и, пожалуй, клавиатуры. Разница в установках приводит к конфликтам между наиболее убежденными представителями обеих сторон. Хакеры считают социальных инженеров "ламерами", которые неспособны написать простейшую программу и часами возятся со своими нетехническими проектами. Социальные инженеры называют своих идейных противников лентяями, отвыкшими думать и творить.

Мозг, воображение и клавиатура

"Визитной карточкой метода является самое банальное и действенное, что только может придумать социнженер, а именно письмо от администратора", - рассказывает К. Р. Уважаемый пользователь! С 25 апреля [Наша Почтовая Служба] производит проверку учетных записей. Если вы не хотите, чтобы ваша учетная запись была заблокирована, ответьте на это письмо в поле "Тема", указав ваши логин и пароль в формате 'username; password'. Приносим свои извинения за возможные сбои в работе сервера во время проверки. С уважением, корпорация ***.ru Самый ответственный, пожалуй, момент - скрыть адрес, на который будет выслан ответ, и заменить его ложным вроде webmaster@***.ru. Существует бесчисленное количество вариаций на эту тему - проблемы с базами данных, сбои в системах, переходы на новое оборудование, капризы провайдеров. Размеры этого списка напрямую зависят от воображения инженера.

-Как ни странно, на такие письма попадается больше людей, чем можно предположить, - говорит К. Р. - Более того, многие даже плохо представляют, чего от них хочет "администратор", и вместо того чтобы написать пароль в поле "Тема", пишут его в тексте письма. Очень трогательно, кстати. Уловки, полностью аналогичные описанной, часто заставляют пользователя поделиться паролем от ICQ или сайта, не говоря уже о том, что многие не заботятся удерживать в памяти множество паролей и используют один и тот же. За счет этого социальный инженер может обогатиться за один акт взлома eадресом, аськой, страничкой и какойнибудь дополнительной добычей вроде популярного ныне в массах ЖЖ.

Шило на мыло

К более продвинутым и вменяемым пользователям социальные инженеры применяют другие способы. Распространенная афера: наполнить свой собственный ящик спамом с email'а жертвы (манипуляция с заменой обратного адреса очень проста, описывать ее здесь я не буду из соображений законности), после чего написать слезную челобитную все тому же администратору почтового сервера. В результате ящик жертвы, как правило, удаляется, после чего может быть снова зарегистрирован - уже инженером.

-Для социального инженера важно знание человеческих слабостей и умение играть на них, - объясняет К. Р. - Пишется, к примеру, небольшая рассылка - мол, участники некой хакинггруппы только что обнаружили уязвимости на yandex.ru. Теперь пароль к любому ящику может получить каждый, и нужно для этого всего ничего - отправить письмо на какойнибудь xbot@yandex.ru, указав там среди прочего еще и свой пароль - якобы для проверки адресанта, - ради защиты от случайных писем. На это покупаются даже те, от кого не ожидаешь. По моей статистике - это тринадцать человек из пятнадцати. Широкие возможности для взлома предоставляет аська. Что может быть проще, чем узнать у виртуального знакомого его любимое блюдо или имя собаки - ответы на "секретный вопрос"! А дальше служба восстановления забытого пароля помогает инженеру получить желаемое. То же самое и с разговорами в чатах и IRC и даже по телефону.

От собственной глупости лекарства пока нет. Все, что можно посоветовать простому смертному пользователю, - быть наготове и не поддаваться на провокации!

Ирина КУНГУРЦЕВА, студентка НГУ

Как защититься от невидимой атаки:

  • все пароли - на email, ICQ, различные службы и форумы - должны быть разными. В таком случае потеря одного из них не лишит вас всего;
  • пароль вроде rtlujvn75_81kvgj гораздо лучше, чем vasia_super. И дело даже не в интеллектуальности, а в том, что его уж точно невозможно угадать. Впрочем, неплохо и чтонибудь вроде rty#bТ;
  • Булгаков был совершенно прав: никогда не разговаривайте с неизвестными! Уж по крайней мере, не следует слишком им доверять;
  • излишнее стремление узнать чужой пароль будет наказано свыше :);
  • рекомендуется проверять адреса писем, полученных от незнакомцев. Вдруг вам пишут не с putin@kremlin.gov, а с pupkin@pochta.ru! В Outlooke для проверки достаточно щелкнуть на письме правой кнопкой и выбрать "Свойства", а затем - "Подробно". Из открывшегося кода легко вычитать истинный обратный адрес;
  • быть всегда начеку! Ведь все мы - потенциальные жертвы.

Виртуальный экстрим

-Социальная инженерия гораздо интереснее обычного хакинга, - говорит К. Р. - Возможно, она отнимает больше времени и сил, но мне нравится ощущать, что я изучаю мир и людей, в чемто расту над собой, в чемто соревнуюсь с принятыми порядками. В социальной инженерии больше вызова, больше приключения. К тому же чисто практические соображения, это намного безопаснее, чем забить винчестер хакерскими программами и разбрасывать повсюду трояны. Что же до того, почему я вообще этим занялся... В чемто правы те, кто считает, что все это лишь развлечение. Суть именно такая: както разнообразить жизнь, внести в нее соревнование, адреналин. Но тут нужны другие слова. Может быть, я занимаюсь всем этим ради драйва.

Источник:"Студенческий город"