Социальный инжиниринг в интернете
В век Интернета понятие социальной инженерии расширило свое значение. Оно дало жизнь новому явлению — технологии манипулирования сознанием и подсознательной сферой человека, использующего компьютер и всемирную сеть, в корыстных целях, например, ради инфицирования сервера. Здесь термины социальная инженерия и социальный инжиниринг применяются для обозначения техники компьютерного взлома. Словарь хакерского жаргона сообщает: «Социальная инженерия — термин, использующийся взломщиками и хакерами для обозначения несанкционированного доступа к информации иначе, чем взлом программного обеспечения; цель — обхитрить людей для получения паролей к системе или иной информации, которая поможет нарушить безопасность системы. Классическое мошенничество включает звонки по телефону в организацию для выявления тех, кто имеет необходимую информацию, и затем звонок администратору, эмулируя служащего с неотложной проблемой доступа к системе».
У пользователей сети Интернет под социальной инженерией понимается технология, позволяющая получить доступ к любому серверу и управлять с его помощью поведением человека. Специальная программа, которая, используя какую-либо брешь в Сети, предоставляет право доступа, называется эксплоитом. «Социальная инженерия — это одна из частей социальной психологии, направленная на то, чтобы манипулировать людьми или внедрять в их разум новую модель поведения. Она удивительна тем, что включает в себя очень широкий набор различных техник и методик, позаимствованных из нейролингвистического программирования, практической психологии, гипноза, и других техник воздействия на бессознательное человека»98. Социальная инженерия использует очень дешевые и не технологические средства для того, чтобы преодолеть препятствия, создаваемые механизмами информационной безопасности.
Существуют и другие определения новой технологии манипулирования человеческим поведением. Так, утверждается, что социальная инженерия — наука и методология, изучающая управление метамоделью поведения человека, а также изучающая разрушение и построение новых метамоделей. Соответственно социальный инженер — это человек, который в совершенстве освоил техники и методы социальной инженерии. Другие полагают, что социальная инженерия — это попытка выведать у легального пользователя системы информацию, необходимую для прохождения защитного барьера данной системы, этот метод еще назы-
Подробнее информацию см. на веб-сайте: http://www.lko.ru/instO.htm
Рудоманов В. Социальная инженерия // http://tricon.nnov.ru/obzor/article_20.shtml
вают «заболтать оператора». Социальную инженерию можно определить как действия, результатом которых является вхождение в доверие к легальным пользователям компьютерной системы до такой степени, что они раскрывают секреты компьютерной системы или неумышленно помогают кому-либо получить неавторизованный доступ к этой системе. Используя социальную инженерию, атакующий может узнать важную информацию или получить помощь, которая поможет ему легко обойти имеющиеся средства защиты в системе". Таким образом, социальная инженерия может принимать самые разные формы100.
Социальный инжиниринг вошел в моду и содержание современного компьютерного андерграунда. Social engineering (социальная инженерия) — использование обмана, мошенничества, своего актерского мастерства и владения словом для выманивания у легального пользователя системных секретов. Например, классическая тактика телефонных звонков в компанию от лица того, кто имеет право знать запрашиваемую информацию. В 1992 г. хакер Кевин Митник с помощью социального инжиниринга вынудил одного из сотрудников корпорации Novell выдать ему коды доступа к секретной информации о новой программе101. Вредоносные программы могут распространяться под видом новостей о самых актуальных политических или экономических событиях. В 2002 г. вирусописатели активно использовали дыры в программном обеспечении и методы социального инжиниринга: копирование исходного кода сотовой телефон ной службы, подслушивания телефонных разговоров агентов ФБР, а также пытались применить социальный инжиниринг, или мошенничество в отношении официальных представителей Министерства автомобилестроения. Эти опыты продолжаются. Очередной почтовый вирус предлагает пользователям кликнуть мышкой на безобидный с виду URL. Далее все происходит типичным образом — компьютер заражается вредоносной программой, которая загружается с указанного адреса, письмо автоматически рассылается всем адресам из книги контактов почтового клиента. Новизна этого способа заражения заключается в том, что в письме нет никакого присоединенного файла с программой, вместо этого весь расчет делается на психологию пользователя, который фактически своими руками и заражает компьютер102. Простодушный пользователь, заинтригованный содержанием файла-носителя вредоносной программы, собственноручно пропускал «заразу» в компьютер. Для манипулирования сознанием, используя социальный инжиниринг, надо хорошо разбираться в человеческой психологии, например, в желании практически всех людей, независимо от страны проживания, получить с помощью компьютера нечто (программу, новости) бесплатно или как можно дешевле.
Как писало в 2001 г. немецкое издание «Trojaner-Info», неизвестные хакеры создали сайт www.virus-research.org, на котором всем желающим предлагалось бесплатно скачать антивирусную программу VScan2001. Профессионально выполненная web-страница выглядела как корпоративный сайт американской компьютерной фирмы. После инсталляции Vscan2001 немедленно «обнаруживал» на компьютере пользователя два вируса и тут же их якобы удалял. Прием
( Веб-адрес: http://www.kgtu.runnet.ru/WD/USERSEC/usersec5.htm Дополнительную информацию см.: Дубнов А.П. Устойчивое развитие против глобальной катастрофы: утопия или социоинженерный проект? // Социальная философия и социальная инженерия. Новосибирск, 1998.
Рерих А. Митник пожал руку жертве своего социального инжиниринга // Нетоскоп/Новости/ 22.02.2002 Источник: http://upgrade.computery.ru/news/archive/2002/news20130.htm
рассчитан на то, что «счастливо спасенный» пользователь, уверовав в чудодейственную программу, начнет ее активно пропагандировать среди своих знакомых — новых потенциальных жертв. А тем временем VScan2001 в фоновом режиме (незаметном для пользователя) устанавливал шпионские программы, с помощью которых хакер получал возможность удаленно управлять компьютером, манипулировать данными. Циничные хакеры сыграли на человеческой слабости — нежелании платить много, если можно достать бесплатно (источник: PC WORLD). Более опасные примеры использования любопытства в ха-керских целях заключались в создании обманных серверов с заманивающими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли.
Используя эффективные приемы социального инжиниринга, хакеры маскируют вирусы под праздничные поздравления, равно как и под любовные послания. Известно, что 14 февраля — день святого Валентина, покровителя всех влюбленных. В этот праздник принято радовать подарками, так называемыми «валентинками», открытками и шоколадными конфетами в виде сердца. В эпоху высоких технологий под «валентинку» часто маскируют не признание в любви, а вирус. Более опасные примеры использования любопытства в хакерских целях заключались в создании обманных серверов с такими сообщениями, на которых доверчивые пользователи оставляли конфиденциальную информацию о себе, включая пароли.
Один из распространенных приемов социального инжиниринга состоит в следующем: позвонивший в корпорацию неизвестный человек представляется
Врезка