Статья Изучение методов социальной инженерии для защиты организаций

Вы уверены, что ваши сотрудники не станут целью социальной инженерии? Реальные кейсы доказывают обратное. Узнайте, как могут обойти даже самых опытных специалистов и какие слабые звенья вы часто игнорируете.

Введение​

Социальная инженерия (СИ) — это мощное оружие для хакеров, которое эксплуатирует человеческий фактор, обходя технические системы защиты, такие как межсетевые экраны или антивирусы. Обратная социальная инженерия (ОСИ) делает шаг вперёд, заставляя жертву не только раскрыть данные, но и сделать это добровольно, считая, что она спасает ситуацию. Мы проанализируем несколько реальных, хоть и обобщенных, случаев, чтобы вы могли лучше понять, как работают эти методы. Основное внимание уделим не только атакующим стратегиям, но и рекомендациям по предотвращению подобных угроз, ведь зачастую самые уязвимые места кроются там, где их меньше всего ждут. Кстати, о заблуждениях в сфере безопасности – знаете ли вы, какие мифы мешают новичкам в кибербезопасности? Подробнее об этом можно прочитать в статье на Codeby.net: Мифы в кибербезопасности: реальность и заблуждения.

Основные техники социальной инженерии​

Прежде всего, посмотрим, что такое СИ и почему она работает. Большинство методов связаны с эксплуатацией человеческих эмоций и психологических принципов, таких как:

• Любопытство — подкинутые флешки или ссылки на "секретные" внутренние данные.
• Страх — шантаж или манипуляции, угрожающие личной или профессиональной жизни жертвы.
• Желание помочь — ситуации, где жертва думает, что исправляет проблему, но запускает вредоносное ПО.
• Авторитет — злоумышленник выдаёт себя за руководителя, сотрудника техподдержки или представителя власти.
• Взаимность — оказание небольшой "услуги" жертве для получения большей выгоды в ответ.
• Дефицит / Срочность — создание ощущения нехватки времени или возможности, требующей немедленных действий.

Эти тактики можно разделить на несколько категорий.

Пример 1: Социальные сети как источник уязвимостей​

Кейсы: использование манипуляций через соцсети и доксинг​

Кейс Люды: Люда, общительная и доверчивая сотрудница, активно вела свои социальные сети. Атакующий, изучив её профиль и круг общения, вычислил её интересы и профессиональную деятельность. Он создал фальшивый аккаунт "тролля", который начал агрессивно комментировать один из её постов. Вскоре появился "защитник", который вступился за Люду, начал вести с ней личную переписку, выражая поддержку и сочувствие. Установив доверительные отношения, "защитник" постепенно перевёл общение в плоскость работы, якобы столкнувшись с "проблемами" в корпоративной сети, похожими на те, что были у Люды в прошлом (информацию об этом он также нашел в её соцсетях). Он попросил Люду "помочь" ему, предложив загрузить на её рабочий компьютер "полезную утилиту для диагностики", которая на самом деле была трояном. Люда, чувствуя себя обязанной "другу" и желая помочь, запустила файл.

Разбор: Здесь комбинируются несколько аспектов атаки:

• Эмпатия и чувство безопасности жертвы: Атакующий позиционирует себя как "друг", играя на потребности в социальной поддержке и доверии.
• Доксинг (сбор информации): Социальные сети стали золотой жилой для хакеров, позволяя им собирать информацию о личных интересах, связях, привычках, даже профессиональных проблемах сотрудника. Эти данные используются для создания правдоподобного сценария атаки.
• Непрямой доступ к критическим данным: Атакующий не действует напрямую, а работает через третье лицо, используя манипуляции и обходные пути.

Пример кода: Скрытие вредоносного файла и его запуск​

Хотя автоматический запуск с флешек устарел, для реализации подобных атак по-прежнему могут использоваться техники сокрытия вредоносного кода. Например, вредоносный файл может быть упакован в безобидно выглядящий архив или исполняемый файл, замаскированный под изображение или документ.

import os
import shutil

def create_fake_document(original_file, malicious_payload, output_name):
    # В реальной атаке, это мог бы быть самораспаковывающийся архив
    # или исполняемый файл с иконкой документа.
    # Здесь просто имитация переименования и скрытия вредоносного файла.
 
    # Создаем фиктивный документ
    with open(f"{output_name}.doc", "w") as f:
        f.write("Это безобидный документ. Пожалуйста, откройте его.")
 
    # В реальной жизни, malicious_payload будет встроен или запущен
    # при открытии файла или через уязвимость.
    print(f"Создан фиктивный документ: {output_name}.doc")
    print(f"Вредоносный 'запуск' ассоциирован с этим документом (имитация): {malicious_payload}")

# Использование: троян замаскирован под "Отчет о зарплатах"
# Жертва должна запустить этот "документ"
create_fake_document("salary_report_template.docx", "trojan.exe", "СекретныйОтчетПоЗарплатам")

Пример 2: Шантаж личной информации – самое уязвимое звено​

Кейс Юли: Юля, ключевой менеджер, оказалась в ловушке. Атакующий, проведя глубокий доксинг, обнаружил компрометирующую информацию о её личной жизни — давние личные тайны, которые она тщательно скрывала от мужа и коллег. Угроза раскрыть эти данные супругу и вынести их на публичное обсуждение в компании заставила её действовать в ущерб компании. Под давлением, Юля предоставила доступ к корпоративной базе данных, изменила отчётные данные и даже помогла в перенаправлении платежей на сторонние счета.

Тактика:​

Этот метод атакующий усиливает эмоциональное давление, играя на страхе потери репутации, семьи или карьеры. Атака не всегда требует наличия самой компрометирующей информации — достаточно только уверенно её представить и убедить жертву в её подлинности. Именно здесь личные уязвимости сотрудника становятся прямым вектором атаки на компанию.

Рекомендации:​

• Внедрение корпоративной культуры конфиденциальности и поддержки: Создание среды, где сотрудники могут обратиться за помощью в случае шантажа или давления, не боясь осуждения.
• Регулярные тренинги для сотрудников на тему киберугроз, включая обучение управлению стрессом под давлением: Важно учить персонал не только распознавать угрозы, но и знать, как действовать в стрессовых ситуациях, к кому обращаться.
• Политики BYOD (Bring Your Own Device) и приватности: Чёткое разграничение личного и рабочего пространства. Повышение осведомленности о рисках излишней публикации личной информации в сети.

Пример 3: Физические носители и подброшенные данные — классика, которая до сих пор работает​

Сценарий флешек и CD: Злоумышленники прибегают к похожим приёмам, подбрасывая заражённые носители с привлекательными и ложными названиями, такими как: "Список зарплат руководства", "Фотографии с корпоратива", "Новые тарифы для клиентов (срочно)". Любопытство часто берёт верх, и ничего не подозревающий сотрудник подключает флешку к рабочему компьютеру. Даже если автозапуск отключен, вероятность того, что жертва откроет файл с интригующим названием, очень высока.

Симуляция работы вредоносного файла на флешке (через запуск пользователем)​

Современные ОС блокируют autorun.inf, но социальная инженерия убеждает пользователя самостоятельно запустить файл. Например, маскировка под документ:

# Пример для PowerShell, имитирующий создание файла и призыва к действию
# Это не автоматический запуск, а побуждение пользователя к действию

# Создаем файл-заглушку, который выглядит как документ
New-Item -Path ".\ДокументыДляДиректора.docx.exe" -ItemType File
# (В реальной атаке, это был бы вредоносный исполняемый файл с иконкой .docx)

# Отображаем сообщение, которое пользователь мог бы увидеть при открытии флешки
Write-Host "Обнаружен новый файл: 'ДокументыДляДиректора.docx.exe'"
Write-Host "Внимание! Возможно, требуется запуск файла для просмотра содержимого."
Write-Host "Для защиты вашей информации, убедитесь, что вы доверяете источнику!"
# На практике, атакующий рассчитывает, что пользователь проигнорирует предупреждение

Пример 4: Обратная социальная инженерия — когда жертва сама ищет хакера​

Суть ОСИ: Здесь атакующий искусственно создаёт проблему, чтобы жертва сама обратилась к нему за помощью. Например, сотрудник компании может столкнуться с внезапным "зависанием" его корпоративной почты или системы. В это же время, по почте или внутреннему чату, он получает сообщение о "временных технических неполадках" и контакт "специалиста", который может помочь. Атакующий, представляющийся "техспециалистом", предлагает свои услуги. Поскольку проблема реальна (хотя и создана хакером), жертва с готовностью следует всем его инструкциям, раскрывая пароли, устанавливая "обновления" или предоставляя удалённый доступ.

Кейсы:​

• Фиктивная блокировка: Использование фальшивых сообщений о сбоях системы, блокировке аккаунта или утечке данных, чтобы вынудить сотрудника искать "помощь".
• Ложные технические инструкции: Жертва, столкнувшись с "проблемой", обращается к "специалисту", который даёт команды для ввода в командной строке или предлагает установить "заплатку", активирующие вредоносное ПО или предоставляющие хакеру удаленный доступ.

Как защититься:​

• Строгая регламентация контактов с техподдержкой: Никогда не следовать советам "неофициальных" техников. Всегда обращаться за помощью только по официальным каналам связи (проверенные номера телефонов, внутренние порталы, известные электронные адреса).
• Осуществление проверок доступов и действий сотрудников по индивидуальным учётным данным: Системы мониторинга и логирования должны отслеживать необычную активность.
• Политика "нулевого доверия": Никому не доверять по умолчанию, даже внутренним сотрудникам или устройствам. Каждая попытка доступа к ресурсам должна быть проверена и аутентифицирована. К слову, одним из продвинутых инструментов для обнаружения и анализа действий злоумышленников являются "медовые горшки" (Honeypot). Подробнее об их установке, мониторинге и реагировании на инциденты можно узнать в статье на Codeby.net: Honeypot Setup: Установка, Мониторинг и IR.

Инструменты хакеров: Симуляция атак​

Для подбора методов, используемых злоумышленниками, часто применяется автоматическое построение атак и их симуляция. Это позволяет компаниям проверять свою устойчивость.

# Имитация фишингового email, подделывающего письмо от IT-отдела
def simulate_phishing_email(recipient_email):
    subject = "Срочное уведомление: Проблемы с вашей учетной записью!"
    body = f"""
    Здравствуйте, {recipient_email.split('@')[0]}!

    Мы заметили подозрительную активность в вашей корпоративной учетной записи.
    Для предотвращения блокировки и восстановления доступа, пожалуйста, немедленно перейдите по следующей ссылке:

    [http://login-corporate.fake-security-update.com/restore_account?user={recipient_email}](http://login-corporate.fake-security-update.com/restore_account?user={recipient_email})

    Игнорирование этого письма может привести к постоянной блокировке вашей учетной записи.

    С уважением,
    Отдел информационной безопасности
    [it-support@yourcompany.com](mailto:it-support@yourcompany.com)
    """
    print(f"Отправка фишингового письма на: {recipient_email}")
    print(f"Тема: {subject}")
    print(f"Содержание:\n{body}")

simulate_phishing_email("employee.name@company.com")

Такие симуляции позволяют оценить, насколько сотрудники внимательны к деталям и следуют ли они протоколам безопасности. К слову, о скрытых действиях: если вас интересует, как именно злоумышленники или даже специалисты по безопасности могут скрывать свои следы в системах Windows, рекомендуем ознакомиться со статьей: Скрытие следов в Windows 10/11: настройка и инструменты.

Заключение​

Методы социальной инженерии становятся всё более изощрёнными, подчёркивая необходимость повышения осведомлённости среди сотрудников. Хакеры используют не только технические, но и психологические уязвимости, что делает их особенно опасными. Игнорирование человеческого фактора — это самая большая ошибка, которая может привести к катастрофическим последствиям.

Рекомендации компании:​

1. Обучение персонала методам распознавания социальной инженерии: Регулярные тренинги, интерактивные семинары и рассылки о новых угрозах.
2. Повышение уровня киберграмотности через регулярные тренинги и тесты: Внедрение программ фишинговых симуляций, чтобы сотрудники на практике учились распознавать подозрительные письма. Для тех, кто только начинает свой путь в кибербезопасности или хочет углубить свои знания, полезным ресурсом станет статья: Мой путь в кибербезопасность: советы и ресурсы.
3. Жёсткая сегментация полномочий и принцип наименьших привилегий: Минимизация урона от ошибок или злонамеренных действий сотрудников путём предоставления им только того доступа, который абсолютно необходим для выполнения их работы.
4. Внедрение системы для отчётов о подозрительных действиях (анонимно и безопасно): Создание культуры, где сотрудники не боятся сообщать о своих ошибках или подозрениях.
5. Внедрение многофакторной аутентификации (MFA) везде, где это возможно: Даже если пароль скомпрометирован, MFA значительно усложняет доступ злоумышленнику.
6. План реагирования на инциденты: Чёткий протокол действий на случай компрометации, чтобы минимизировать ущерб.

Часто задаваемые вопросы​

1. Как избежать угрозы, связанной с подброшенными носителями?Никогда не подключайте незнакомые устройства к корпоративным компьютерам. Если вы нашли флешку, сдайте её в IT-отдел для проверки. Используйте корпоративные инструкции о физической и информационной безопасности.

2. Как распознать обратную социальную инженерию?Обратная СИ часто сопровождается внезапными, искусственно созданными техническими проблемами и предложениями "быстрой помощи" от неизвестных лиц или даже "знакомых" с необычным поведением. Всегда уточняйте статус проблем у официальной техподдержки, используя только заранее известные и проверенные контакты. Никогда не доверяйте контактам, которые вам предлагают "решатели проблем".

3. Можно ли полностью защититься от социальной инженерии?Полностью исключить угрозу, которая эксплуатирует человеческий фактор, невозможно. Однако вы можете минимизировать риски, обучая персонал, внедряя строгие процедуры доступа к данным, используя современные средства защиты и создавая культуру безопасности, где каждый сотрудник понимает свою роль в защите информации. Главное — это осознание того, что каждый сотрудник является потенциальной мишенью. Если вы или ваши сотрудники заинтересованы в более глубоком понимании методов атаки и защиты с практической стороны, изучить эти аспекты поможет курс по пентесту и системному анализу: Специалист по тестированию на проникновение в информационные системы.

Мы рассказали о том, как хакеры используют ваши эмоции и доверие. Но что, если вы или кто-то из ваших коллег уже столкнулись с подобной атакой, но побоялись об этом рассказать? Как вы думаете, какая самая неочевидная уязвимость вашей компании перед социальной инженерией? Поделитесь своими мыслями и опытом в комментариях – анонимно, если необходимо, но честно.

 

[BadBlackHat]

Ага и люди начинают камеры бумажками, а микрофоны жвачками залепливать)

 

[Dmitry88]

Ага и люди начинают камеры бумажками, а микрофоны жвачками залепливать)

и не безосновательно. интернет помнит все

 

[Sniff]

Да, мне нужны деньги, прооперировать позвоночник и поставить имплант. Вы здоровый человек? И дай Бог вам, чтоб не пришлось идти на любые доступные способы, а иногда и на криминальные, чтоб заработать на своё здоровье, которое взяло и вмиг испортилось. То диск межпозвоонковый разорвало, то инсульт. А знаете, вот я сильно против того, чтобы лежать и гадить под себя, хочу быть как все, ходить своими ногами и башкой своей, соображать не хуже, общей массы людей., а то и чуть лучше. Ходить научился, бошука вроде восстановилась, но не совсем. Когда то, "Светлая голова", которая что то вечно придумывала, всякие хитрости, мастерить помогала итд, не совсем потухла.))) По меркам работяг из провинции, многовато надо заработать. Но я не влезу в кредит, все своими слабыми силами стараюсь. И пока получается, здоровье постепенно улучшать, насколько это возможно. Думаю, на ваши вопрос и последующие, вами держащие ещё в мыслях, я ответил.
[doublepost=1505506187,1505505953][/doublepost]
Ничего из этого не читал. Митника, тоже, увы.( Люблю наблюдать за людьми, смотреть как к другим относятся, всё это сопоставлять и анализировать. На телефоне доверия работал некоторое время. Потом завязал с этой работой. Хоть и хорошо оплачиваемая, но люди звонили круглосуточно, особенно ночью, что мешало спокойствию моей семьи.
[doublepost=1505506344][/doublepost]
Раздел или подраздел по СИ, дмаю, нужен.

Очень нужен, не отрицаю.
[doublepost=1506465346][/doublepost]

Ага и люди начинают камеры бумажками, а микрофоны жвачками залепливать)

Камеры - бумажками, еще ничего. А микрофоны жвачками, уже вредит технике. Глушилки на что? Правда, обычные пользователи о них не знают. Поправьте, если что не так сказал.
[doublepost=1506465853][/doublepost]

Эх это хацкерское чувство паранои... после того как узнашеь откуда можна слить инфу, оно просто Взлетает до небес, и стремиться все выше и выше...

Изучаю, стремлюсь. И моя паранойя, никуда не девается.)

 

[Twix]

И моя паранойя, никуда не девается

У тебя не паранойя, а жажда знаний, стремление к совершенствованию ))

 

[Sniff]

Шикарная, прекрасная статья. Про ОСО - слышу впервые. Побольше таких статей

Спасибо.
[doublepost=1509148127,1509147966][/doublepost]

Ага и люди начинают камеры бумажками, а микрофоны жвачками залепливать)

Жертвы об этом не думали, броситься залеплять все камеры.
[doublepost=1510183885][/doublepost]

Эх это хацкерское чувство паранои... после того как узнашеь откуда можна слить инфу, оно просто Взлетает до небес, и стремиться все выше и выше...

Пусть сливают, если где накосячил. Моя вина, больше на кого кивать. А статью растаскали на околохакерские форумы. Понравилась парням.

 

[Bringer_the_Light]

Прекрасная статья,не смог пройти мимо и не оставить свой отзыв,надеюсь автору польстит!
Что же касаемо СИ,я твердо уверен в том,что понимание психологии человека,его образ мысли и как сказал автор "постоянное наблюдение за окружающим тебя" есть самое грозное оружие,ведь сегодня миллионы примеров когда людей разводят на бабки не применяя каких то особых навыков в ИБ,для достижения цели достаточно понять суть человека,его интересы и пожалуй самое важное слабости,сегодня люди слабы и зависимы как никогда раньше,а все потому что весь информационный антураж на столько крепко вошел в нашу жизнь,что люди уже не могут без всего этого г***а,хотя казалось бы еще 15 лет тому назад мобилы то не у всех были,а 20-25 все это было за гранью фантастики и если раньше для того,чтобы создать представление какое то о человеке надо было потратить кучу времени на пробив,сегодня все в открытом доступе,по его соц.страничке он сам тебе вывалит практически всю инфу о себе,но самое ужасное то,что мало кого заботит это,это хуже любых болезней и эпидемий,потому что видимых причин поражения личности не видно на первый взгляд,но они есть и они внутри него,это все называется простым словом "психология"...кто то из Мыслителей сказал такую вещь "Люди в гонке жизни забывают о самом главном,они пытаются познать ремесла,культ материального,но вот только не свою природу в этом Мире!"
Жалеть таких людей или не жалеть дело каждого,по мне так невежество стоит порицания и урока,мы все учимся или стараемся научиться мудрости помимо каких то навыков,а жалость как по мне одна из самых страшных вещей которая растляет человека...по себе уж точно могу сказать лучше пережить какое то мнимое унижение твоего достоинства от незнания или глупости и научиться чему то новому нежели быть "обласканным" жалостью окружающими или близкими и остаться на том же "месте"!
Еще раз спасибо автору,отличная статья!!!Мое уважение!

 

[Foksa]

Статья для конкурса 01.09 - 30.09​

Разговор о соц. инженерии можно продолжать бесконечно, но это не защитит от злоумышленников всех мастей. Среди них попадаются настолько талантливые парни, которые используют нестандартные и изощрённые методы. Типовых противодействий социоинженерам не существует. Каждая ситуация требует индивидуального подхода. Расхлябанность, халатность сотрудников и любительство потрещать в соцсетях с рабочей машины - главные дыры в системе безопасности фирмы/компании.

Многие компании, которые думают, что проблема безопасности решается просто, аппаратными и программыми средствами, заблуждаются. Технологии защиты, которым привыкли доверять - фаерволлы, средства идентификации и шифрования, системы обнаружения атак итд, малоэффективны против хакеров, использующих СИ и ОСИ (социальная и обратная социальная инженерия). Современные тех. средства защиты достигли уровня, когда на взлом затрачивается очень много времени, либо цена защищаемой инфы, меньше расходов на её добывание.

Берём реальный пример. Есть парочка знакомых ребят, которые отошли от хакерских дел, зарабатывают тем, что проводят разного рода атаки на серваки фирм, в том числе с применением СИ по заказу директоров и после дают рекомендации по защите. В одном увлекательном дельце пригласили поучавствовать - посмотреть как это происходит.


Дано: небольшая фирма, по оптовой продаже нижнего белья. Сотрудников - 22 человека, включая директора. Он же и нанял этих ребят, ввиду своей параноидальной боязни конкурентов, которые так и стремятся, любыми способами, добыть супер - пупер секретную информацию фирмы.

Два очень толковых одмина, которые не были поставлены в известность своим начальством, успешно справились и отразили все атаки. Тогда пошли другим путём, стали искать слабое звено среди сотрудников и нашли. Путём наблюдения в соцсетях и общения в дальнейшем, было выявлено несколько подходящих человек. Для установления контакта, немалую роль сыграло то, что узнали взгляды, привычки людей и многое другое, что относится к характеру. С каждым проводилась отдельная работа с индивидуальным подходом. В ход шло всё, и подлые приёмы в том числе. Имена сотрудникам я придумаю, чтоб не запутались.

Люду отловили в контактике. Разыгрался целый спектакль. Сначала к ней прицепился гадкий "тролль" который ходил следом и цеплялся ко всему. Затем, на сцену выступает "защитник", который виртуозно размазывает тролля и тот посрамлённый, исчезает с её поля зрения. Люда рассыпается спасителю в благодарностях и между ними завязывается непринуждённая переписка. Как и нужно по сценарию, у спасителя находятся общие интересы. Хотя, в высоком искусстве, он не в зуб ногой, но Гугель в помощь! Женщина даёт свою почту, которая очень понадобилась в дальнейшем. Выбирается момент, когда Люда заходит с рабочего компа, "друг" просит её достать через свою фирму комплект именно такого белья для жены, как на картинке. К ней прикручен приватный троян.

Трусливая и осторожная Юля. Нашлось с чем подкопться и к ней - шантаж. Эта овечка разблеивала в привате, своей надёжной виртуальной подружке о своих гулянках от мужа. Опасаясь за распад семьи, она была согласна пойти на мелкое должностное преступление, которое могло вылиться в ощутимые убытки для фирмы. Метод, рассказать всё об изменах ревнивым мужу/жене, один из распространённых. И не важно, было это на самом деле или нет. Для этого не обязательно устанавливать скрытые камеры или заниматься фотомонтажом, достаточно быть хорошим расказчиком и суметь убедить собеседника. А ревность супруга (супруги) сослужит хрошую службу. У ревнивых людей, зачастую мозги отключаются напрочь, стоит только наменуть об измене.

Наглая и хамовитая Надя... которой всё до п*ды и до дверцы. Троллингом не прошибить, мужа она на ... видала. Зацепка и у неё нашлась - 14 летняя дочь, с которой у неё серьёзные конфликты. Шантажировали тем, что расскажут девочке, что она не родная - удочерённая. Вероятность того, что ребёнок поверит постороннему, далеко не нулевая, что нанесёт глубокую душевную травму. Додавили этим и женщина дала согласие сливать полезную инфу.

Как бы не был хорош начальник, всегда найдётся кто то им недовольный. Назовём Светой. Не получилось у неё стать старшим менеджером, директор выдвинул другого сотрудника. Раз не получилось подняться на ступеньку выше, значит и зарплата осталась прежняя. Жадная Света, поколебавшись и поторговавшись, согласилась помогать "конкурентам".

А такой, как вороватый и недалёкий бухгалтер Миша, просто находка для хакеров! Этот сотрудник пригодится, когда нужно украсть деньги фирмы, не только информацию. Которого попросят о мелкой услуге, пообещав приличную сумму, угонят все деньги, часть из них, положат ему на счёт и после сообщат директору фирмы/компании, у кого искать пропавшее. И ему будет чрезвычайно трудно доказать, что он не брал и не сможет объяснить, откуда у него взялась та крупная сумма, которая была переведена за услугу. В этом случае не побежит в милицию. Так что, кругом останется виноват. Путь денег, кто перевёл, отследить трудно, но можно. Но, такие дела проворачиваются через подставные лица. Даже будучи пойманным, хакер заявит, что он не главарь, а всего лишь исполнитель, если он оставит себе меньшую часть сворованного, эта легенда будет звучать весьма убедительно. И загремит Мишаня по полной!

Вот так теперь стало модно проверять сотрудников на вшивость.

Теперь переходим к самому интересному...

ОБРАТНАЯ СИ. Это вид атаки, в которой атакующий создаёт ситуацию, где жертва сталкивается с проблемой и бежит к атакующему за помощью. Производится диверсия. К примеру, зависает жертва в рабочее время в своей любимой соцсети и вдруг не может туда зайти или в почту. Атакующий уже знаком с ней заранее, общается и позиционирует себя, как компьютерный гуру. Хоть одмином представится. Не побежит же человек с этими траблами к своему одмину, от которого может легко огрестись люлей, а попросит помочь виртуального знакомого. Он и поможет "добрыми советам", влезь туда то, выполни команды такие то и запустит с помощью жертвы троян или вирус в системе компании... Организация этого вида атаки, особенно привлекательна для атакующего.

Рассмотрим ещё несколько методов...

Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или флэш, в месте, где носитель может быть легко найден (туалет, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью "Заработная плата руководящего состава Q1 2013". Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство, или просто добрый самаритянин отнесёт диск в компанию - вот, ваше валялось.

Если компания крупная, где все не знают друг друга или разные офисы в одном здании, хакер запросто может зайти в нужный кабинет с диском/флешкой и сказать - Вам передала МарьВанна или Пётр Иваныч, документы, софт, да что угодно. И высока вероятность, что не спросят, почему не перекинули по внутренней сети и вставит заражённый носитель. Хотя и здесь можно отбрехаться, у МарьВанны с сетью проблемы, а начальник просил, чтоб Вам файло доставили.

Срабатывает в крупных и не очень фирмах. Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их "решения" цель вводит команды, которые позволяют хакеру запустить вредоносное программное обеспечение.

А еще было так, устроился разносчиком обедов. Обслуживали как раз ту компанию, которая интересовала и как бы мимоходом общался с женщинами. В разговорах проскакивало, жена похудела по супер методе - упражнения на видеоуроке записаны. Полные женщины очень заинтересовались, просили скопировать диск и пожелали купить. Вирус был внедрён, причем куплен за деньги.) Толстожопым барышням не терпелось узреть волшебный видеоурок и поспешили зарядить диски в рабочие машины.) Больше меня не видели...
Я ж говорил, про подлые схемы, от которых люди пострадали? Ну вот, читайте.
В результате: "слабые звенья", были уволены.
Ну как то так, паскудно и говнисто.
[doublepost=1505006433,1505005308][/doublepost]Люди работу потеряли, и всё потому, что они стали жертвами СИ. Представляю, сколько людей кляли не свою глупость, а нашу команду. И жалко и не жалко их. Двойственное чувство. Да, хочется тупым курам по голове настучать. Кули толку то, если оно по жизни такое.

Это самая лучшая статья, который я читал и Примеры о*уенные

 

[JIBRIL]

СИ никогда не устареет, никогда не стоит ее сбрасывать со счететов.

Полностью согласен, Как развивается общество так же развивается и Социальная инженерия.
Пока у людей есть эмоции и характер социальная инженерия не исчезнет!

Бывают те кто говорит что социальная инженерия это бесполезная вещь, я думаю что просто у таких людей нету опыта и они не осознают всю пользу данного вектора атаки!

 

[Сергей Попов]

Статья обновлена и актуальна на июнь 2025 года.