ОЩЕ ПО ТЕМАТА

---

В продължение на поредицата публикации за информациона сигурност ви предлагаме публикация за Социално инженерство с източник Elearning Blog (Знам и Мога – блогът за електронни обучения и HR )

„Можете да похарчите цяло състояние за техника и услуги, и сигурността на мрежата ви да бъде все така уязвима пред изтърканите похвати на манипулацията.“ – Кевин Митник (хакер известен като "най-издирвания компютърен престъпник в американската история", сега консултант по сигурността).

Макар все още в България да не се говори сериозно и открито за Социалното инженерство ще се опитаме накратко да ви запознаем с него. Като за начало ще ви разкажем действителен случай които звучи като приказка, но за съжаление е факт.

Голяма инвестиционна банка осигурява депозитни касети за своите клиенти. Понеже клиентите държат на свободата да разполагат със съдържанието на своите депозитни кутии 24 часа в денонощието, банката е обособила специално помещение с вход към него до които имат достъп само клиенти които притежават депозитна кутия. Помещението е защитено с кодова брава, и магнитна карта за идентификация на клиента. Самата депозитна кутия се отваря отново с индивидуален код. Вътре в самото помещение няма охранителни камери за да се опази тайната за имуществото на клиента. Охранителни камери са разположени в самия коридор водещ до помещението и пред самата врата за достъп.

 При едно рутинно посещение клиент открива, че съдържанието на депозитната му кутия липсва. Назначена е проверка по случая. Проверката установява, че това далеч не е единичен случай. Поради спецификата на съдържанието на депозитните кутии скандала с изчезналото съдържание е потушен набързо. Ще се запитате какво ли пък толкова съдържат кутиите ;-)?

Правилния отговор е  “Диаманти” не, не се шегуваме. Голяма част от клиентите наели депозитни кутии в тази банка са били търговци на диаманти. Ето затова е било нужно да им се осигури добра защита и 24 часов достъп до съдържанието на депозитните кутии.

Разследването по случая установява, че един от собствениците на кутии е изчезнал безследно отнасяйки със себе си и съдържанието на още десетина кутии. Как го е направил ли? Отговора е с помощта на социалното инженерство. Наема депозитна кутия. В продължение на 1 година влиза и излиза редовно в помещението за депозити. Разкрива си обслужващи сметки в банката. Сприятелява се с доста от служителите. Прави щедри подаръци и дава препоръки за доброто обслужване. Дори прави щедро дарение на една фондация която индиректно е свързана с банката. Всичко това му осигурява необходимият достъп и контакти със служители от различни нива на институцията. Започват да го канят по големи корпоративни събития, сприятелява се с тях, започват да излизат заедно. Всичко изглежда наред в рамките на нормалното. Щедър, добродушен, отзивчив клиент с добро възпитание. Рядкост в наши времена. Уважава и цени хората.

Но под тази привидна маска нашият социален инженер хитро е изплел своята паяжина. Множеството му познанства със служители от различни отдели и доброто му име му носят безценна информация. Макар и наглед “малка” и “незначителна” той търпеливо е сглобявал своята мозайка. Резултатът - десетки празни депозитни кутии. Не можете да повярвате, че е истина нали?

Основната цел на социалното инженерство е същата, като на хакерството: придобиването на неоторизиран достъп до системи или информация, с цел измама, кражба на идентичност, индустриален шпионаж, или причиняване на друга вреда.
Основната разлика е, че социалното инженерство използва главно психологически методи, а именно естествената за човека склонност да се доверява. (Дори за умели хакери много често е по-лесно да пробият сигурността и да получат желаната информация, като просто вдигнат телефона и попитат Иванка от счетоводството за паролата й, вместо да използват техническите си умения.) Типичните цели на подобни атаки са телекомите, известни корпорации и финансови институции, военни и правителствени организации, болници.

Атаките на социалното инженерство протичат на две нива: физическо и психологическо.
Физическото ниво са офиси, телефони, кошчета за боклук, служебна поща.
На работното място социалният инженер може просто да влезе, представяйки се за лице по поддръжката, и да се разходи, докато намери няколко въргалящи се по бюрата пароли. Или незабелязано да наблюдава как усърден служител въвежда паролата си (shoulder surfing).

Още по-лесни са атаките по телефона. Изключително уязвими звена и чудесна точка за прицел са служителите в хелп десковете, които са обучени да предоставят информация и да бъдат максимално полезни.

Кошчетата за боклук са друг богат източник на фирмена информация. Списъци с телефонни номера, организационни таблици, ръководства за фирмената политика, календари и мемота от срещи, разпечатки с лични данни или логин детайли – изхвърлените листове съдържат всичко необходимо, за да се възпроизведе структурата на организацията, начинът на функциониране, както и да се получи достъп до мрежата й.
Невероятно, но факт: дори изтърканият хакерски номер с изпращане на имейли до всички от името на системния администратор, с искане за паролите на служителите, все още работи.

Какво прави социалното инженерство толкова ефективно? Психологическият подход, използващ утвърдени методи за убеждаване: представяне за някой друг, конформизъм, позоваване на авторитетна фигура, разсейване на отговорността или просто дружелюбно отношение.

В компании със стотици и хиляди служители кражбата на идентичност не е трудна. Най-често използваните роли са: лица, отговарящи за техническата поддръжка, мениджъри, други служители или доверени трети лица (напр. асистент на генералния мениджър, който се обажда да каже, че генералният мениджър е разрешил предоставянето на поверителната информация).

Конформизмът също работи – когато служителят е убеден, че всички негови колеги вече са предоставили паролите си, напрежението намалява, отговорността се размива и получаването на паролата е много по-лесно.

Желанието да впечатлиш шефа е още една човешка слабост, която социалният инженер умело използва. Служителите по правило се чувстват длъжни да отговорят на всички въпроси на лицата, които са в позиция на власт в съответната организация.
Молбата за помощ, придружена от усмивка, лек флирт или ласкателство са други популярни методи за въздействие. Обичайната ни склонност да вярваме в доброжелателността на колегата отсреща и да му съдействаме, значително улеснява задачата на психо хакера.

Независимо от използвания метод, целта е жертвата да бъде убедена, че социалният инженер е човек, на когото може да има доверие при разкриването на поверителна информация.
И така, при всички скъпоструващи защити, сигурността на компанията много често може да се окаже в ръцете на Иванка от счетоводството, която се е опитала да съдейства на симпатичния нов „колега“ от ИТ отдела.

Ето още един пример:

Computer Security Institute прави живи демонстрации на лесни сценарии за социално инженерство в няколко стъпки: обаждане в телефонна компания, прехвърляне към служител от хелп деска и поредица от прости въпроси и инструкции. Един от разговорите протича приблизително по следния начин: „Кой е супервайзорът на смяна днес?” „О, днес е Бети.” „Моля те, свържи ме с нея.” (Разговорът е прехвърлен към Бети.) „Здравей, Бети, тежък ден, а?” „Не, защо…?” „Имаш срив в системата.” „Не, няма проблем, всичко работи нормално.” „Виж, сериозно е. По-добре е да излезеш от акаунта си.” (Тя го прави.) „Сега влез отново.” (Направено.) „Няма никаква промяна. Излез отново.” (Готово.) „Бети, ще трябва да вляза през твоя акаунт, за да разбера какъв е проблемът. Кажи ми какъв юзърнейм и парола използваш.” (Тя го прави.) В неколкоминутен телефонен разговор старши супервайзор дава достъп до акаунта си на напълно непознат.

Брилянтно.

Социалното инженерство на кратко:

1. Какво представлява “социалното инженерство” (social engineering)?

– Когато служител е  подмамен или заблуден, за да предостави вътрешна информация;

– Външни лица (социални инженери) се сдобиват с чувствителна информация или неоторизиран достъп като установяват отношения на доверие с вътрешни лица.

2. Какво трябва да правите вие?

– Задавайте въпроси! Бъдете нащрек!

3. Как действат социалните инженери?

– Претендират, че са ИТ администратори, хелп деск, служители от фирми доставчици);

– Използват желанието на служителите да помогнат (претендират, че имат голям проблем и за решаването му е необходима спешна информация);

– Стават близки приятели със набелязаната жертва;

– Тактика на сплашване (Обаждат се и претендират, че са важни личности. Крещят и се правят на ядосани, като обикновено заплашват да уволнят служителя, ако веднага не им предостави исканата информация).

4. Примери за социално инженерство:

– Създаване на проблем и възползване от ситуацията;

– Shoulder surfing: гледане “зад рамото” на служител, който си въвежда паролата;

– Dumpster diving: ровене в боклука на фирми с цел намиране на информация, която може да се окаже ценна по някакъв начин;

– Фишинг (Phishing): обикновено измамниците искат от жертвата да кликне върху линк, който отваря сайт на фирмата, която изпращачите на мейла претендират, че представляват (в действителност сайта наподобява истинския, но е фалшив). Жертвата въвежда парола и друга финансова информация, която отива направо при измамниците.

Източник https://elearningbg.wordpress.com/2010/09/09/социално-инженерство/