Искусство рассуждать – это искусство обманывать самого себя

Искусство рассуждать – это искусство обманывать самого себя

Даже самая совершенная система защиты бесполезна, если ею управляет психологически неустойчивый, наивный и/или доверчивый человек. Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты. На хакерском жаргоне атака на человека называется социальной инженерией (social engineering) и в своем каноническом виде обычно сводится к звонкам по телефону с целью получения конфиденциальной информации (как правило, паролей) посредством выдачи себя за другое лицо. В данной статье термин "социальная инженерия" рассматривается намного шире и обозначает любые способы психологического воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах (любви, ненависти, зависти, алчности, в том числе и шантаж). Собственно, подобные приемы не новы и известны еще со времен глубокой древности. Остается только удивляться тому, что за истекшие тысячелетия человечество так и не научилось противостоять мошенникам и отличать правду от лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких принципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась. Общаясь по Интернет, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адреса том, имя которого стоит в заголовке. Атакующий может находиться и в соседней Крис Касперски 2 комнате, и в соседнем городе, и даже на соседнем континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство причастности злоумышленника к атаке. Стоит ли удивляться огромной популярности социальной инженерии среди молодежи? К счастью, подавляющее большинство мошенников действует по идентичным или близким шаблонам. Поэтому, изучение приемов их "работы" позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные "экспонаты" которой представлены ниже. Конечно, на исчерпывающее руководство по обеспечению собственной безопасности данная публикация не претендует, но общее представление о методиках хищения денег и/или информации все же дает.


Введение в заблуждение – основной "компонент" социальной инженерии, включающий в себя целый ряд всевозможных техник: выдача себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. Конечные цели обмана так же весьма разнообразны. Ниже мы рассмотрим лишь наиболее популярные из них: отъем денег, получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо

Отъем денег. Это только в американских боевиках одетые в маски грабители вламываются в какой нибудь банк и, угрожая оружием, требуют деньги на бочку. В России же все происходит гораздо проще. Вездесущий бардак и халатное отношение к собственным обязанностям позволяют присвоить чужую зарплату простой росписью в ведомости. Автор этой статьи был до глубины души поражен, когда обнаружил, что многие издательства выплачивают гонорары, не требуя ни паспорта, ни другого удостоверения личности! Просто заходишь в бухгалтерию, говоришь что ты за северный олень такой, царапаешь фамилию в ведомости (не обязательно свою и не обязательно ту же самую, что в прошлый раз), получаешь наличные и, не забыв сказать "до свидания", уходишь. Ситуацию серьезно осложняет то обстоятельство, что далеко не всех своих корреспондентов издатель знает в лицо, т.к. многие из них проживают в другом го роде или даже стране. Для пресечения обмана все денежные вопросы следует решать не по электронной почте, по телефону, а еще лучше – выплачивать гонорар только после заключения договора. (Договор же можно переслать обычной почтой или, на худой конец, по факсу).

Несанкционированный доступ. Приемы хищения паролей. Вероятно, самый из вестный прием похищения пароля – это звонок жертве от имени администратора системы или, напротив, администратору – от имени некоторого пользователя. Просьба в обоих случаях одна, – под каким бы то ни было предлогом сообщить па роль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась – все таки жизнь чему то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая. Лучший способ выведать пароль – не спрашивать его. Напротив, строго на строго запретить говорить! Это может выглядеть, например, так: "Ало, здравствуй! те! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому!никому не дол! жны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяс нительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" мож но понимать двояко – какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.). 
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предло жит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы – выбирает ли она в качестве паролей словар ные слова, и если выбирает, то по какому принципу. Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозре ний жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы! Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обой ти? Злоумышленник может попросить (а от имени начальника и приказать) выпол нить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому то адресу или создать нового пользователя с пу стым паролем. (Причем, выполняя по шагам расписанные действия, жертва, воз можно, даже не осознает, что она вообще делает). Помните, низко квалифицирован! ный оператор – все равно, что обезьяна с гранатой! Кстати, постоянная смена паролей – это худший выход из ситуации, создаю щий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся, да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем. А теперь вообразите, что некий "доброжела тель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или за пьете ее молоком, но есть ненулевая вероятность того, что кто то избавится от изо бличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказа! ние и любая служебная инструкция должна составляться осмысленно с учетом реаль! ной ситуации, а не теоретических измышлений. Люди – не компьютеры! В некоторых, не таких уж редких случаях, злоумышленник имеет принципи альную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании)

Атака администратора системы. В том случае, если пароль заполучить не удаст ся, злоумышленнику ничего не останется, как прибегнуть к атаке на технические средства (т.е. непосредственно на компьютеры). Однако правильно сконфигуриро ванную и хорошо защищенную систему ломать "в лоб" практически бесполезно. Вот если бы в ней была дыра… Один из нетехнических способов пробивания дыр выглядит приблизительно так: злоумышленник звонит администратору и сообщает, что из достоверных ис точников ему стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а "знакомый" взломщика), но приблизительное местонахождение дырки все же указывает. Суще ствует ненулевая вероятность того, что администратор, пытаясь повысить безопас ность своей системы, допустит несколько ошибок, упрощающих атаку. (И эта веро ятность тем больше, чем сильнее волнуется администратор). Для отвлечения внимания злоумышленники часто прибегают к имитации ата ки, выполняя различные бессмысленные, но целенаправленные действия. Автору этой статьи известно несколько случаев, когда в ответ на мусор, направленный в 80 й порт, администраторы просто "срубали" WEB сервисы, поскольку, будучи предупрежденными об "атаке", считали: лучше на время остаться без WEB'а, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой WEB серверов обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит ша! рахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему. Развивая идею дальше, злоумышленники догадались, что выдавать себя за знакомого злоумышленника, согласного за определенное вознаграждение быть ос ведомителем, гораздо выгоднее, чем атаковать систему. К тому же, "осведомителя" чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практи чески не доказуем, а имитация атаки, не влекущая несанкционированного доступа к системе (блокирования системы), вообще не наказуема. Причем, для такой "ата ки" злоумышленнику не требуется практически никакой квалификации, и стать "хакером" может буквально любой! Поэтому, не спешите оплачивать услуги осведо! мителя, даже если он согласен "работать" почти задаром сначала убедитесь, что это действительно осведомитель, и что вас действительно атакуют, а не создают лишь видимость атаки! Но не забывайте, что упускать из рук настоящего осведоми теля (а такие – не редкость среди хакеров) очень глупо. 

Уход от ответственности. Успешно выполнить атаку – означает решить лишь по ловину задачи. Злоумышленнику еще предстоит замести за собой следы – уйти от ответственности и не попасться. А это, кстати, намного сложнее! Поэтому, матерые мошенники, похитив энную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников фирмы, который в принципе подходит на роль похитителя. Причем, это должен быть жадный, азартный и умственно недалекий человек, который, обнаружив на своем счете "лишние" деньги, с высокой степенью вероятности рискнет прикарманить добро, само идущее к нему в руки, а не побе жит в милицию. Затем следует анонимный звонок (письмо) директору фирмы с со общением: где следует искать пропавшие деньги и… жертве будет чрезвычайно трудно доказать, что она тут ни при чем, и убедить остальных, что ее подставили. Конечно, путь денег (кто именно перевел их жертве) проследить вполне возможно (особенно, если это крупная сумма), но, во первых, злоумышленник может пере водить деньги через подставное лицо. А, во вторых, даже будучи пойманным, он сможет заявить, что он не главарь, а пешка и вообще не знал, что деньги ворован ные. При условии, что злоумышленник оставит себе меньшую часть награбленно го, такая легенда будет звучать весьма убедительно. Поэтому, при "разборе полетов" ни в коем случае не хватайте первого попавшегося под руку обвиняемого – в боль шинстве случаев он действительно ни в чем не вино

Маска, я тебя знаю или как злоумышленники выдают себя за другое лицо. Электронная почта, конечно, штука хорошая, но слишком уж небезопасная. Неу дивительно, что многие из нас предпочитают все более или менее важные дела ре шать по телефону (так, по крайне мере, слышен хотя бы голос собеседника). Злоу мышленника, выдающего себя за другое лицо, могут серьезно озадачить просьбой оставить свой телефон. Конечно, можно просто подключиться к "лапше" на лест ничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако существуют и более изощренные приемы. Рассмотрим два, наиболее популярных, из них. 

Захват телефона. Допустим, злоумышленник выдает себя за сотрудника такой то компании. В телефонном справочнике он находит телефон секретаря этой компа нии и просит соединить его с охранником, а заодно – сообщить его телефонный номер (зачем – мошеннику придумать большого труда не составит). Если охранник действительно имеет телефон (а, что, встречаются охранники без телефона?), разы грывается следующая комбинация. Дав жертве телефон секретаря фирмы, и, сооб щив "добавочный" охранника (но, умолчав, что это – охранник), злоумышленник под каким либо предлогом просит жертву позвонить ему в строго определенное время. Незадолго до назначенного срока злоумышленник заходит в фирму, где и встречается с охранником, сидящим у входа. Рассказав какую нибудь душещипа тельную историю (типа по ошибке дал своему партеру по бизнесу ваш телефон), злоумышленник спрашивает: а вот сейчас, когда позвонят и попросят "Васю", нельзя ли будет ему взять трубочку? Поскольку, с точки зрения охранника никако го криминала в этом нет, существует определенная вероятность того, что он испол нит эту просьбу (особенно, если злоумышленник – девушка привлекательной на ружности). В результате, жертва будет считать, что злоумышленник действительно работает в этой фирме. В качестве альтернативного варианта злоумышленник может попросить ох ранника сказать звонящему: "Перезвоните Васе по такому!то телефону". Если ох ранник не будет вдаваться в подробности, жертва опять таки подумает, что, раз Васю знают, то он, несомненно, подлинный сотрудник этой фирмы. Конечно, ох ранник может запомнить внешность злоумышленника (и запомнит наверняка, если он профессионал), но внешность – это не паспортные данные и мошенника еще предстоит найти. К тому же, личная встреча с охранником абсолютно необя зательна. Злоумышленник может позвонить по любому телефону и попросить его владельца сообщить звонящему по какому телефону можно найти Васю. Практи ка показывает, что люди (особенно занятые) редко вдаются в подробности и вме сто того, чтобы сказать: "Ах, Вам Васю? А Вася здесь не работает! Он, знаете ли, наш телефон дал Вам по ошибке…" ограничиваются кратким: "Васю? Позвоните по та! кому!то телефону". Поэтому, ни в коем случае не стоит считать телефон надежным средством идентификации личности. 

Место встречи изменить нельзя. В некоторых случаях возможностей телефонных и компьютерных сетей оказывается недостаточно и злоумышленнику приходится прибегать к встречам "в живую". Как убедительно выдать себя за другое лицо, да так, чтобы у жертвы не возникло и тени сомнения? Ведь, в противном случае она запросто может попросить предъявить документы, а качественно подделать доку менты очень сложно (во всяком случае, для одиночки). Допустим, злоумышленник выдает себя за сотрудника некоторой фирмы и, чтобы вы окончательно поверили в это, договаривается встретиться с вами в здании фирмы. Чтобы не возиться с выписыванием пропусков, он предлагает подождать вас на проходной. Для усиления эффекта проходящие мимо "сотрудни ки" могут здороваться со злоумышленником и жать ему руку. Зима, кстати, луч ший помощник злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной рядом машине, он окончательно развеет ваши сомнении отно сительно его личности.

Искусство рассуждать – это искусство обманывать самого себя анализ рассуждение аналитическое мышление

jewes

11 окт 2018 в 23:36

Похожие материалы
Оставить комментарий
Комментарии (0)

Пока нет комментариев