Социальная инженерия

С подачи хитрого еврея Кевина Митника симбиоз виртуозного обмана и технических средств был назван красивым словом "социальная инженерия". Сочетание получилось настолько удачным, что в наше время, социальную инженерию называют главным оружием хакеров. И вправду - как бы ни была совершенна система безопасности компьютера, за ним сидит человек, у которого есть свои заморочки, комплексы и предубеждения. Многие приёмы, описанные в книгах Митника "Искусство обмана" и "Искусство вторжения" неприменимы к российской действительности. Но некоторые векторы атак вполне имеют место быть. Никуда не делись глупые секретарши, тётки-бухгалтера, и хвастливые сисадмины. Достаточно надавить на определённую струну их характера, и они выдадут нужные вам сведения, а то и вообще посадят за сервер, собственноручно введя пароль. В основном все приёмы социальной инженерии делятся на несколько видов: Подмена. Подменяют всё что угодно - личность, голос по телефону, форму авторизации на любимом сайте, номер телефона написанный на страничке банка. Играют в случае подмены на разных психологических факторах - нехватка времени, спровоцированная чрезвычайная ситуация, боязнь начальства, невнимательность, привычка нажимать "OK" во всех всплывающих окнах. Диалог по телефону. Именно телефонный разговор наиболее сильно влияет на человеческую психику, и если грамотно всё спланировать, можно получить любые сведения. Физическое вторжение. Под видом социального опроса, милиции, спецслужб, коммунальщиков, или богатых клиентов, хакеры проникают в компанию, и устанавливают прослушку, клавиатурные шпионы, или вирусы, если есть возможность сесть за какой-то из компьютеров. Дорожное яблоко. На территории офиса компании случайно забывают флешку, диск, или внешний жесткий диск с информацией, зараженной вирусами. Также подобные носители могут прийти в посылке домой к сотрудникам офиса, под видом рекламной акции или как диск-вкладыш к какому-то бесплатно распространяемому журналу. Человек нашедший диск, в силу своего природного любопытства подключит носитель информации к своему компьютеру, и система будет незаметно заражена вирусами, которые позволят хакеру украсть пароли для входа в сеть компании. Дезинформация. Хакеры устраивают дезинформационную атаку, с целью заставить людей делать определенные действия. Вам могут сообщить что у вас беда с родственниками, проблемы с налоговой, о том, что ваша жена изменяет вам с вашим другом и многое другое. Главное, чтобы это было трудно сейчас же проверить, и вызывало сильные эмоции. Эмоции отключают здравый смысл, и если хакер скинет вам фото вашей якобы изменяющей жены, вы можете открыть файл, не обратив внимание что он имеет опасное расширение .jpg.exe Обратная социальная инженерия. Создаётся ситуация,когда компания или человек нуждается в вашей помощи. Вы приходите и помогаете, параллельно установив в систему бэкдор. Классической схемой студентов было дать красивой девочке флешку с рефератом, при этом упомянув что вы классный компьютерщик. Через недельку другую компьютер девушки зависал намертво, и она звонила вам, а вы шли к ней в гости на чай, ставя винду, и скатывая на флешку пароли утилитками от Nirsoft. Если вы заинтересовались темой социальной инженерии, советую прочесть книги Кевина Митника, а также посмотреть фильм "Кто я?"(Who am I?), где главный герой мастерски вешает лапшу на уши агенту ФБР.