Социальный инжиниринг в интернете

В век Интернета понятие социальной инженерии расширило свое значение. Оно дало жизнь новому явлению — технологии манипулирования сознанием и подсознательной сферой человека, использующего компьютер и всемирную сеть, в корыстных целях, например, ради инфицирования сервера. Здесь термины со­циальная инженерия и социальный инжиниринг применяются для обозначения техники компьютерного взлома. Словарь хакерского жаргона сообщает: «Соци­альная инженерия — термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность систе­мы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок адми­нистратору, эмулируя служащего с неотложной проблемой доступа к системе».

У пользователей сети Интернет под социальной инженерией понимается тех­нология, позволяющая получить доступ к любому серверу и управлять с его по­мощью поведением человека. Специальная программа, которая, используя какую-либо брешь в Сети, предоставляет право доступа, называется эксплоитом. «Со­циальная инженерия — это одна из частей социальной психологии, направленная на то, чтобы манипулировать людьми или внедрять в их разум новую модель по­ведения. Она удивительна тем, что включает в себя очень широкий набор различ­ных техник и методик, позаимствованных из нейролингвистического програм­мирования, практической психологии, гипноза, и других техник воздействия на бессознательное человека»98. Социальная инженерия использует очень дешевые и не технологические средства для того, чтобы преодолеть препятствия, создава­емые механизмами информационной безопасности.

Существуют и другие определения новой технологии манипулирования чело­веческим поведением. Так, утверждается, что социальная инженерия — наука и методология, изучающая управление метамоделью поведения человека, а также изучающая разрушение и построение новых метамоделей. Соответственно соци­альный инженер — это человек, который в совершенстве освоил техники и мето­ды социальной инженерии. Другие полагают, что социальная инженерия — это попытка выведать у легального пользователя системы информацию, необходи­мую для прохождения защитного барьера данной системы, этот метод еще назы-

Подробнее информацию см. на веб-сайте: http://www.lko.ru/instO.htm

Рудоманов В. Социальная инженерия // http://tricon.nnov.ru/obzor/article_20.shtml

вают «заболтать оператора». Социальную инженерию можно определить как дей­ствия, результатом которых является вхождение в доверие к легальным пользо­вателям компьютерной системы до такой степени, что они раскрывают секреты компьютерной системы или неумышленно помогают кому-либо получить неав­торизованный доступ к этой системе. Используя социальную инженерию, атаку­ющий может узнать важную информацию или получить помощь, которая помо­жет ему легко обойти имеющиеся средства защиты в системе". Таким образом, социальная инженерия может принимать самые разные формы100.

Социальный инжиниринг вошел в моду и содержание современного компью­терного андерграунда. Social engineering (социальная инженерия) — использова­ние обмана, мошенничества, своего актерского мастерства и владения словом для выманивания у легального пользователя системных секретов. Например, клас­сическая тактика телефонных звонков в компанию от лица того, кто имеет право знать запрашиваемую информацию. В 1992 г. хакер Кевин Митник с помощью социального инжиниринга вынудил одного из сотрудников корпорации Novell выдать ему коды доступа к секретной информации о новой программе101. Вредо­носные программы могут распространяться под видом новостей о самых актуаль­ных политических или экономических событиях. В 2002 г. вирусописатели актив­но использовали дыры в программном обеспечении и методы социального инжини­ринга: копирование исходного кода сотовой телефон ной службы, подслушивания телефонных разговоров агентов ФБР, а также пытались применить социальный инжиниринг, или мошенничество в отношении официальных представителей Министерства автомобилестроения. Эти опыты продолжаются. Очередной почто­вый вирус предлагает пользователям кликнуть мышкой на безобидный с виду URL. Далее все происходит типичным образом — компьютер заражается вредо­носной программой, которая загружается с указанного адреса, письмо автомати­чески рассылается всем адресам из книги контактов почтового клиента. Новизна этого способа заражения заключается в том, что в письме нет никакого присое­диненного файла с программой, вместо этого весь расчет делается на психологию пользователя, который фактически своими руками и заражает компьютер102. Простодушный пользователь, заинтригованный содержанием файла-носителя вредоносной программы, собственноручно пропускал «заразу» в компьютер. Для манипулирования сознанием, используя социальный инжиниринг, надо хорошо разбираться в человеческой психологии, например, в желании практически всех людей, независимо от страны проживания, получить с помощью компьютера нечто (программу, новости) бесплатно или как можно дешевле.

Как писало в 2001 г. немецкое издание «Trojaner-Info», неизвестные хакеры создали сайт www.virus-research.org, на котором всем желающим предлагалось бесплатно скачать антивирусную программу VScan2001. Профессионально вы­полненная web-страница выглядела как корпоративный сайт американской компьютерной фирмы. После инсталляции Vscan2001 немедленно «обнаружи­вал» на компьютере пользователя два вируса и тут же их якобы удалял. Прием

( Веб-адрес: http://www.kgtu.runnet.ru/WD/USERSEC/usersec5.htm Дополнительную информацию см.: Дубнов А.П. Устойчивое развитие против глобальной катастро­фы: утопия или социоинженерный проект? // Социальная философия и социальная инженерия. Новосибирск, 1998.

Рерих А. Митник пожал руку жертве своего социального инжиниринга // Нетоскоп/Новости/ 22.02.2002 Источник: http://upgrade.computery.ru/news/archive/2002/news20130.htm

рассчитан на то, что «счастливо спасенный» пользователь, уверовав в чудодей­ственную программу, начнет ее активно пропагандировать среди своих знако­мых — новых потенциальных жертв. А тем временем VScan2001 в фоновом ре­жиме (незаметном для пользователя) устанавливал шпионские программы, с помощью которых хакер получал возможность удаленно управлять компьюте­ром, манипулировать данными. Циничные хакеры сыграли на человеческой слабости — нежелании платить много, если можно достать бесплатно (источ­ник: PC WORLD). Более опасные примеры использования любопытства в ха-керских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциаль­ную информацию о себе, включая пароли.

Используя эффективные приемы социального инжиниринга, хакеры маски­руют вирусы под праздничные поздравления, равно как и под любовные посла­ния. Известно, что 14 февраля — день святого Валентина, покровителя всех влюб­ленных. В этот праздник принято радовать подарками, так называемыми «вален­тинками», открытками и шоколадными конфетами в виде сердца. В эпоху высоких технологий под «валентинку» часто маскируют не признание в любви, а вирус. Более опасные примеры использования любопытства в хакерских целях за­ключались в создании обманных серверов с такими сообщениями, на кото­рых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли.

Один из распространенных приемов социального инжиниринга состоит в следующем: позвонивший в корпорацию неизвестный человек представляется

Врезка

Наши рекомендации