Что такое социальная инженерия
Наиболее досадной брешью в системах компьютерной безопасности являются не аппаратное и программное обеспечение, а пользователи. В этом уверены лучшие хакеры мира и специалисты по кибербезопасности.

Социальная инженерия (СО) - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит.

Несколько техник социальной инженерии

Претекстинг - это действие, отработанное по заранее составленному сценарию (претексту). В результате цель должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: дата рождения, сумма последнего счёта и др.), с тем, чтобы обеспечить доверие цели. К этому же виду относятся атаки и по онлайн мессенджерам, например по icq.
Вероятно, самый известный прием похищения пароля - это звонок жертве от имени администратора системы или, напротив, администратору - от имени некоторого пользователя. Просьба в обоих случаях одна, - под каким бы то ни было предлогом сообщить пароль на некоторый ресурс.
Лучший способ выведать пароль - не спрашивать его. Напротив, строго-настрого запретить говорить! Это может выглядеть, например, так: "Ало, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяснительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" можно понимать двояко - какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).

Фишинг - техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо - от банка или платёжной системы - требующее "проверки" определённой информации, или совершения определённых действий. Это письмо обычно содержит линк на фальшивую веб-страницу, имитирующую официальную, с корпоративным логотипом и контентом, и содержащую форму, требующую ввести конфиденциальную информацию - от домашнего адреса до пин-кода банковской карты.

Троянский конь
Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении "клёвый" или "сексуальный" скрин-сейвер, важный апгрейд антивируса, или даже свежий компромат на сотрудника.

Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.

Кви про кво
Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

Обратная социальная инженерия (ОСИ)
Целью обратной социальной инженерии (reverse social engineering) является заставить цель саму обратиться к злоумышленнику за "помощью".
Помогая пользователю разрешить возникшие проблемы, хакер без особенных усилий может узнать рабочие имена и пароли. Атака с помощью ОСИ состоит из трех частей:
- диверсия;
- реклама;
- помошь.
Диверсия — это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения.

Реклама — информирование пользователя о том, что вы разбираетесь в вопросах из области компьютеров.

Помощь — общение с пользователем, в процессе которого вы решаете проблемы пользователя, а тот, сам того не ведая, решает ваши.

Лучше, когда пользователь обращается к вам за помощью, а не наоборот.
Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вы вряд ли многого добьетесь. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям “Храните в тайне свой пароль”, чтобы не купиться на вашу болтовню. Социальная инженерия рассчитана на наивных пользователей.

В случае ОСИ легальный пользователь обращается к вам за советом. Следовательно, он считает вас человеком, которому можно доверять, - членом компании или ее доверенным лицом, то есть тем, кто уже и так знает все пароли и протоколы. Так что у него нет причин не давать вам такую информацию. У него даже мысли подобной не возникнет - ведь ему так или иначе придется, обратившись за помощью, выложить всю подноготную.
Следует отметить, что обратная социальная инженерия не является социальной инженерией. Она подходит к проблеме разговора с пользователем с другой стороны, и пользователь, знакомый с обычными хакерскими уловками, вряд ли сможет ее раскусить. Более того, даже если ваша жертва достаточно умна, чтобы распознать ОСИ, этот человек будет настолько озабочен возникшей у него проблемой, что не заметит происходящего. Ему (или ей) нужна ваша помощь, чтобы устранить неполадку; он понимает, что, если он не договорится с вами, вы ему не поможете.
Уязвимое место социальной инженерии в том, что вы являетесь для собеседника темной лошадкой, поскольку он не знаком с вами лично. Кроме того, если человек на другом конце провода узнал о том, что вы не тот, за кого себя выдаете, возможно, воспользовался ID, или телефоном с определителем номера, то в этом случае, пароли вы не узнаете. НО! При обратной СИ у тех, кто знает волшебные слова, нет причин подозревать или обманывать вас — ведь это они обращаются к вам за советом. Это вы помогаете им в их несчастье. В самом деле, когда они звонят вам, вы вправе спросить, кто они, собственно, такие. Безопасность — прежде всего.
Если бы я, не покладая рук, трудился в какой-нибудь конторе, или был секретарем, я просто пришел бы в ярость, если бы посередине хлопотного дня какой-то идиот позвонил мне по телефону и попросил уделить ему несколько минут моего драгоценного времени и сообщить некую информацию, которую он, скорее всего, вообще не должен знать! Я мог бы просто брякнуть в трубку, что на ум взбредет, только бы отделаться. При обратной же инженерии вы знаете, что ваши собеседники нуждаются в вашей помощи. Даже самый великий гуру из числа знающих пользователей обратился бы к вам, зная, что вы сможете быстро и эффективно определить суть проблемы и разрешить ее, не тратя времени зря. Этот пользователь знает, что ключ к решению задачи находится у вас, и если он его получит, в следующий раз сможет справиться с такой проблемой самостоятельно.
Пользователь может сообщить о вашем звонке менеджеру по безопасности
Опытный пользователь мгновенно догадается, если вы попытаетесь подвергнуть его социальной инженерии. Он может пойти и рассказать остальным, что вы пытались выманить у него пароль. “Остальные” — коллеги, боссы, менеджеры по компьютерам, человек, роль которого вы пытались сыграть, охранники либо офицеры безопасности. Ни один из них не станет помогать вам в дальнейшем, даже если вас не поймают сразу или не сведут к нулю ваши шансы на взлом. Разоблачение, конечно, совсем не подарок. Но при обратной инженерии вы неизменно приобретаете друзей. Когда вы помогаете людям преодолеть какие-то затруднения, они радостно пустят слух о вашей любезности и отзывчивости — а это означает еще больше звонков и паролей.
Обычные пользователи стали больше читать о том, как хакеры взламывают системы. Они посещают лекции по компьютерной безопасности, которые устраивают их компании. В системы стали включать предупреждения о недопустимости разглашения любой информации; об этом твердят их работодатели и их собственный рассудок.

Диверсионные методы обратной социальной инженерии
Первый шаг ОСИ — создать неполадку в избранном вами компьютере или сделать так, чтобы пользователь не смог на нем работать. Обычно это означает создание такой неполадки на рабочей станции, терминале или компьютере, чтобы пользователь не мог войти в систему так, как положено. Неполадку должно быть трудно, обнаружить, но легко исправить. Вот небольшой список:
- Изменение какого-либо параметра, неизвестного новичкам или такого, о котором они не подумают. Например: устанавливаемые по умолчанию порты принтера, цвета экрана, макросы, скрытые коды принтера, периферийные технические установки. Установить файлы в режим “только для чтения”, или переименовать их, или сделать невидимыми в их директориях.
- Вмешательство в аппаратное обеспечение. Например: переключить цветной монитор в монохромный режим; поменять дисководы; отключить клавиатуру, выташить из компьютера предохранитель.
- Инсталлировать большие резидентные программы, занимающие уйму памяти. Пользователь не поймет, почему ему не удается запустить программу.
- Запустить модель программы, которая станет выдавать кучу ужасных сообщений об ошибках.
ВНИМАНИЕ! Диверсия не должна причинять неустранимого вреда компьютеру или пользователю! НЕ УНИЧТОЖАЙТЕ файлы и директории: не исключено, что их будет невозможно восстановить впоследствии. НЕ ИНСТАЛЛИРУЙТЕ вирусы: они легко выходят из-под контроля. НЕ делайте изменений, благодаря которым операционная система откажется загружаться: когда пользователь позовет вас на подмогу, у него может не оказаться под рукой дискеты для загрузки DOS!

Разрешение диверсии
Допустим, уловка сработала и вам позвонили. После того, как система загрузится и вы обнаружите, что неполадка никуда не делась, вы должны сообщить пользователю, что он (или она) должен делать, чтобы устранить возникшую проблему. Конечно, можно просто дать ему недвусмысленные инструкции вроде:
“Войдите в директорию текстового процессора, наберите “SETUP” и нажмите Return. Теперь попытайтесь запустить программу еще раз”. В данном случае SETUP— это файл, который вы разместили на диске; он содержит инструкцию по переименованию, а также команду по самоуничтожению после выполнения.
Проблемы, связанные с аппаратным обеспечением, бывает трудно определить или объяснить по телефону, но, вообще-то, в ОСИ редко используется аппаратное обеспечение. Если на месте у вас окажется достаточно времени для создания физических неполадок на искомом компьютере, у вас должно хватить времени и на то, чтобы отобрать необходимую вам информацию.

рекламные методы оси
Существуют несколько методов которые позволят ваших пользователей позвать на помощь именно вас:
- Замена пометок. Если вы увидите приклеенный рядом с компьютером или непосредственно на нем листочек бумаги с номером телефона компьютерного отдела, снимите его и приклейте взамен записку с вашим собственным номером (или номером какого-то другого телефона, возле которого вы сможете сидеть в ожидании звонка).
- Размещение объявления. Поместите на доске объявлений (обычной, а не электронной!) большое, яркое, солидное объявление с содержанием типа:
Служба Технической Помощи
У ВАС ВОЗНИКЛИ ПРОБЛЕМЫ С КОМПЬЮТЕРОМ? ЗВОНИТЕ НАМ БЕСПЛАТНО ПО НАШЕМУ НОВОМУ НОМЕРУ:
Не забудьте поместить название и адрес компании, в которую вы хотите проникнуть, где-нибудь в углу объявления — чтобы можно было подумать, что объявление имеет какое-то отношение к ней. Расклейте такие объявления повсюду, или просто разбросайте по рабочим столам, особенно рядом с теми компьютерами, на которых вы произвели свою диверсию.
- Социальная инженерия. Позвоните за день, или даже за несколько часов до совершения диверсии, и сообщите тому, кто подойдет к телефону, новый номер вызова помощи из компьютерного отдела (т. е. ваш номер). Попросите держать его под рукой, чтобы не искать, если понадобится. Спросите, является ли ваш собеседник единственным пользователем данного терминала; если ответ отрицательный, попросите сообщить о новом номере другим пользователям.
- Перекройка каталога. Достаньте внешний телефонный каталог компании и добавьте ваш номер в список, либо вырезав существующий номер технической помощи, вставив вместо него свой собственный, либо разборчиво напечатав свой номер в конце каталога.

Занимаясь обратной инженерией, вы приобретаете друга на искомом предприятии. Приступив к взлому вплотную, вы не узнаете, не сидит ли кто-то у вас на хвосте, пока не свяжетесь с теми, кто находится “внутри”. Если вы хорошо зарекомендовали себя какому-нибудь пользователю, вы сможете позвонить ему немного спустя после взлома и поинтересоваться: “Алло, вы помните меня? Я помог вам справиться с проблемой... Хотел спросить, не слышно ли у вас о чем-нибудь подобном, или еще о каких-то странностях с системой?”. Если ваш собеседник слышал о попытках проникновения в систему или сбоях в ее работе, он в первую очередь сообщит об этом вам. Можно попросить его передавать вам все слухи о “хакерах” и т. п. А если ваш взлом обнаружат и, например, разошлют всем работникам сообщения с просьбой сменить пароли, поскольку в систему проник хакер, ваш ничего не подозревающий приятель опять же позвонит вам и расскажет о случившемся. Благосклонность одного из сотрудников избранного вами объекта, право же, стоит тех первоначальных трудностей, которые могут у вас возникнуть при совершении диверсии.

Теперь я хотел бы перечислить некоторые реальные примеры применения тех или иных техник/видов социнженерии, все они были взяты из СМИ
1 статья
Три хакера пытались перевести 229 миллионов фунтов стерлингов, находящиеся на счетах Toshiba, Nomura Asset Managements и других фирм, на подставные счета, но не смогли этого сделать.
Двое злоумышленников поздним вечером 1 октября 2004 года проникли в банк и до утра успели сделать десять попыток перевода средств. Все эти попытки окончились неудачей. Они вернулись на следующий день и сделали еще 11 попыток с аналогичным исходом.
Хакеры начали работать над взломом банковских систем в сентябре, подкупив охранника, который пустил их внутрь банка, позволив установить на компьютеры программы, перехватывающие данные, набираемые сотрудниками на клавиатуре. Эта информация позднее использовалась для подбора паролей. Причиной их последующих неудач стала опечатка в одном из паролей.
Сотрудники Sumimoto Mitsui, придя на работу после попытки взлома, обнаружили изменения, а также перерезанные злоумышленниками кабели систем наблюдения. Они обратились в полицию. Одного хакера арестовали в 2004 году, второго в 2006, третьего - в 2008.

2 статья
«Лаборатория Касперского» обнаружила вредоносные спам-рассылки через систему обмена мгновенными сообщениями ICQ, в которых используется новый метод социальной инженерии.
Так, на днях многие пользователи ICQ получили письмо следующего содержания: «Здравствуйте я собираю народ для проведении Ддос атаки на Российские сайты если вы желаете мне помочь вот я выложу программу http://XXX.su/load/0-0-0-1-20 для проведения ддос атак! Программа может палиться антивирусом если вы хотите помочь скачайте и свяжитесь я скажу как ее настроить заранее спасибо!» (орфография автора сохранена).
В действительности никаких DDoS-атак автор рассылок не планировал - по указанной ссылке специалисты «Лаборатории Касперского» обнаружили троянскую программу Trojan-PSW.Win32.LdPinch.bgj. Данный троянец предназначен для кражи всевозможных паролей с зараженных ПК и их отправки через интернет.
После запуска программа собирает конфиденциальные сведения (логины и пароли доступа к электронной почте, ICQ и другим интернет-службам) и впоследствии сама себя удаляет.
Особенность данной спам-рассылки заключается, прежде всего, в ее провокационном характере - хакер предлагает получателям принять участие в противозаконных действиях. В результате, человек, который поддался на эту провокацию и решил «внести свой вклад» в DDoS-атаку на российские сайты, сам становится жертвой злоумышленника.
По мнению вирусных аналитиков «Лаборатории Касперского», предупреждение о возможности обнаружения загружаемой программы антивирусом предназначено для того, чтобы недальновидный пользователь сам отключил систему защиты своего ПК.
Примечательно, что первый вариант Trojan-PSW.Win32.LdPinch обнаружил еще летом 2003 года руководитель антивирусных исследований компании Евгений Касперский. До сих пор «Лаборатория Касперского» ежедневно детектирует 3-5 его новых версий. Такое количество модификаций вирусные аналитики объясняют тем, что исходный код данной программы некогда попал в интернет. Семейство Trojan-PSW.Win32.LdPinch далеко не в первый раз распространяется через массовые рассылки - при этом каждый раз используются новые методы социальной инженерии.

3 статья
Имена знаменитостей часто используются в качестве приманки для распространения вредоносного ПО, сообщает Panda Security. За последние месяцы имена сразу несколько известных всем людей стали орудием в руках киберпреступников.
По данным PandaLabs, имя Джорджа Буша, президента США, встречается чаще других. Такие черви, как MSNDiablo.A, Nuwar.A и Wapplex.C, распространяются по электронной почте и интернет-пейджерам, предлагая пользователям посмотреть карикатуры или видеозаписи с выступлениями президента Буша.
Червь Piggy.A, например, распространяется в сообщениях с предложением посмотреть фотографии таких знаменитостей, как Кармен Электра или Бритни Спирс, а backdoor-троян Haxdoor.PL предлагает пользователям пикантные фото Анджелины Джоли и Николь Кидман. Другой червь, Mops.A, завлекает пользователей именами Пэрис Хилтон и Николь Ричи.
«Это типичная технология, используемая в социальной инженерии. Пользователя уговаривают открыть соблазнительный файл, содержащий вредоносные программы, или перейти по ссылке, ведущей к зараженному файлу, просто в данном случае в качестве приманки используются фотографии знаменитостей», - объясняет Луис Корронс (Luis Corrons), технический директор PandaLabs.
В социальной инженерии подобным образом используется и музыка. «Музыкальный червь» TelnetOn.A, например, распространяется через файлообменные программы. Он копирует себя в папки совместного доступа под такими названиями, как Eminem.exe, Evanescence.exe или Linkin Park.exe. Когда доверчивый пользователь скачивает один из этих файлов, вместо музыки он получает установленную копию червя.
Однако, не только знаменитости становятся приманками для вредоносных программ. Имена Саддама Хусейна и Усамы Бен Ладена, например, также использовались для распространения несколькими вариантами семейства Bobax. «Создатели вредоносного ПО воспользовались даже именем Адольфа Гитлера. Червь Saros.C, например, взял на вооружение имена Билла Гейтса и Памелы Андерсон», - отмечает г-н Корронс.
Кроме всего прочего, на арену выходят и имена вымышленных персонажей. Чаще других используется имя Гарри Поттера, которое стало приманкой для распространения таких червей, как Hairy.A и Harrenix.A. Недавно вредоносные коды RogueMario.A и Downloader.PSJ для собственного распространения воспользовались даже именами Марио Броса и Лары Крофт из известных видеоигр.

4 статья
Хакеры прячут вирусы в «липовых» жалобах
Хакеры пытаются играть на страхе компаний к судебным искам со стороны клиентов, завлекая бизнесменов к загрузке вредоносных программ по ссылкам в электронных письмах, сообщает организация разрешения юридических споров между поставщиками и клиентами в США и Канаде, Better Business Bureau (BBB).
В спаме с вложенным вредоносным документом в формате Microsoft Word говорится о том, что на компанию жалуются клиенты. Заинтригованный получатель обращается за подробностями ко вложенному файлу, в котором они якобы описаны, и таким образом заражает свой компьютер, предупредила компания Websense.
Вредоносный код внедряется в систему и отправляет данные, включая ввод с клавиатуры, на сервер в Малайзии, сообщил CSOOnline.com
Это уже как минимум второй случай, когда для социальной инженерии используется судебная тема: в феврале BBB уже предупреждало о появлении жалобного спама со ссылкой на зараженную веб-страницу.

5 статья
Хакеры обманули 1400 топ-менеджеров компаний
Новая технология социальной инженерии - игра на страхах руководства компаний перед жалобами клиентов, сработала на членах высшего руководства как минимум 1400 компаний, сообщил старший исследователь SecureWorks Джо Стюарт (Joe Stewart).
Схема заключается в присылании компании писем якобы от наблюдательного бюро за честным ведением бизнеса, Better Business Bureau (BBB), в котором говорится о жалобах со стороны клиентов. Для получения подробной информации о жалобе, бизнесмену предлагают перейти по ссылке на страницу, которая содержит эксплоит, заражающий браузер Internet Explorer. Как вариант, письмо содержит троянский документ Word, сообщает The Register.
Проанализировав код эксплоита и выявив адрес сервера, куда троян пересылает информацию с зараженного компьютера, Стюарт обнаружил, что жертвой мошенников стали как минимум 1400 членов высшего руководства компаний.
В отличие от тактики «ковровой бомбардировки», которой подвергают клиентов банков, в отношении к руководству компаний проводят «точечные удары»: к ним приходят личные письма.
По иронии судьбы, среди потенциальных жертв оказались и руководители компаний ИТ-безопасности, в частности, вице-президент по маркетингу Sunbelt Software Стю Сьюверман (Stu Sjouwerman). Атаке подвергся и один из руководителей SecureWorks.
Трояны, содержащиеся по ссылкам или во вложении, крадут информацию о кредитных картах, номера социального страхования, учётные записи.
Некоторые данные, обнаруженные на сайте-накопителе, лежали там уже больше трёх недель. Что интересно, троян, используемый хакерами, определяется 80% антивирусных программ. Это Troj/Iwebho.

6 Статья
Спамеры подделывают ссылки с помощью Google
Новый прием социальной инженерии для привлечения пользователей на вредоносные сайты обнаружили ИБ-специалисты Trend Micro. В перехваченных компанией письмах указываются ссылки на поисковые запросы Google.
Для обмана пользователей хакеры используют ссылки на поисковый запрос Google с функцией «Мне повезет». Эта функция позволяет сразу перейти на сайт, указанный первым в списке результатов, минуя сам список, сообщает Heise-security.co.uk.
Существует гораздо большая вероятность того, что пользователь перейдет по ссылке на Google, нежели по ссылке на неизвестный сайт. Поисковый запрос типа «Мне повезет» отличается от обычного запроса одной переменной: -- и -- Наличие переменной btnI вызывает автоматическое перенаправление.
Хакерам остается лишь сделать так, чтобы их сайт отображался первым в результатах поискового запроса. Для этого они используют сложные редкие слова, по запросу которых в списке результатов отображается единственная ссылка – на вредоносный сайт.