По каким каналам утекает нужная информация? Возьмем, к примеру, выставки и през
Получение результата.
Понуждение к действию (я тебе деньги ты мне пароль, или я тебе компрометирующие фотографии, а ты забудешь на ночь закрыть нужный мне порт);
Создание необходимых условий для воздействия на объект (здесь могут использоваться как приемы гипноза, психологического давления, так и создание условий, при которых «жертва» окажется в компрометирующей ее ситуации; можно использовать и банальный подкуп, если в предыдущем этапе выяснилось, что человек в этом слаб);
Сбор информации об объекте попросту компрометирующие данные, слабые стороны, стереотипы;
Определение цели воздействия;
В одном из номеров ][акера мы уже рассматривали схему воздействия актуальна она и для воздействия в социальной инженерии. Вспомним, из чего состоит схема:
Воздействие на жертву
Поймав «жертву» на лжи, можно использовать психологическое давление, совершить какую-нибудь манипуляцию, сыграть на чувстве вины и так далее. Это примитивный бытовой пример. Или подумай, как можно использовать найденную информацию о том, что у человека нестандартная сексуальная ориентация? Пригрозив рассказать об этом его окружению, можно добиться не только пароля на защищенную область корпоративного сайта, но и плотно держать человека на крючке. Именно такими приемами и найденным компроматом пользуются спецслужбы, имея своих агентов там, где это нужно. Так что недооценка человеческого фактора службами безопасности может быть если не фатальной, то приносящей значительный урон.
Приведу пример из жизни не социального хакинга, а использования такой вот информации с целью выведения человека на чистую воду. Допустим, наш «объект» отправляется в другую страну, говорит: «улетаю 9-го числа». Проверить его слова невозможно. Но мы, зная, что у него есть жена, которая очень любит по секрету всему свету писать в ЖЖ, идем и ищем информацию в блоге. В одном из комментариев в чужом журнале она проговаривается, когда именно летит ее муж и она сама. Все, информация найдена, ее можно использовать с целью выведения человека на чистую воду.
Безусловно, применение приемов социальной инженерии требует не только знания психологии, но и умения собрать о человеке необходимую информацию. К счастью, блогосфера уже развита настолько хорошо, что такие сайты, как livejournal, «Одноклассники», «Вконтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Выплескивая обиду в постах и оставляя различные комментарии, мы выдаем некоторую информацию о себе, не подозревая, что это может кого-то интересовать. И все может быть использовано против нас!
Атакуя человека, который работает с нужной нам информацией, сервером или компьютером, мы пользуемся приемами социальной инженерии. Многие специалисты не без основания считают, что в ближайшем будущем социальная инженерия станет представлять наибольшую угрозу, так как технические средства все больше и больше совершенствуются, а люди так и остаются людьми. Человеческий фактор нужно учитывать постоянно. Например, работник честный, трудолюбивый, без видимых слабых сторон, надежный, как скала, и ты думаешь, что его уже ничем нельзя взять. Уж он-то никогда не отдаст тебе корпоративные секреты своей компании! А тут вдруг по какой-то причине человеку понизили заработную плату, может, мировой финансовый кризис так сказался, а может, другие причины были у руководства, и все человек уже обижен. На его обиде легко можно сыграть, добившись того, что ранее было невозможно.
Несмотря на то, что информационная безопасность бесконечно совершенствуется, данные и объекты, представляющие интерес для взлома, защищают, прежде всего, люди. Обычные люди со своими страхами, предрассудками, комплексами и слабыми местами, на которых хакер может сыграть.
Жанна mehovushka Кондратьева ( )
Магия социального взлома. Социальная инженерия: тонкая игра на людских слабостях
Сейчас ОС безоговорочно доверяют устройствам вроде мыши или клавиатуры и если собрать девайс, эмулирующий их ввод, можно творить все что угодно. Из этой статьи ты узнаешь, как можно собрать зловредное USB-устройство за 24 доллара!... Если ты все еще считаешь, что для мощного развода по СМС на короткие номера обязательно заморачиваться с чем-то вроде сайтов-платников, то спешим тебя переубедить: достаточно одной газели, пары Bluetooth-антенн и ноута...
Магия социального взлома. Социальная инженерия: тонкая игра на людских слабостях
Комментариев нет:
Отправить комментарий