Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 5:

Противодействие методам социальной инженерии

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >
Аннотация: В лекции приведены понятия и положения, касающиеся социальной инженерии. Основные аспекты подробно разобраны на различных примерах для более легкого восприятия читателями.

Цель лекции: Предоставить читателю знания о методах социальной инженерии, а также научить читателя противодействовать этим методам.

Злоумышленник прекрасно знает, что одними техническими методами не обойтись, если необходимо добыть персональные данные пользователя. Он понимает, что необходимы психологические навыки для оказания влияния на пользователя. Иногда бывает так, что одних психологических уловок (которые носят название социальная инженерия (определение было дано в первой лекции)) бывает вполне достаточно, чтобы добыть персональные данные пользователя. При этом добычу персональных данных в этом случае можно сравнить с мошенничеством или обычным вымоганием чего-либо, используя психические особенности человека. Есть некоторые психологические аспекты, которым подвержены в некоторой мере все люди, есть и те, которые влияют только на определенные категории лиц в определенных обстоятельствах. Но как бы то ни было, различные психологические аспекты, которыми пользуется злоумышленник в своем деле, существуют, и о них необходимо знать.

Как подбираются пароли

Как было сказано ранее, пароль можно подобрать методом брутфорса (полного перебора), но иногда этот метод непригоден, так как неизвестно, сколько именно он будет длиться. В этом случае альтернативой являются психологические методы подбора пароля пользователя. При этом злоумышленник надеется на шаблонность действий пользователя при установке пароля, а также на его психологическую и техническую безграмотность. Если обратиться к статистике, можно выяснить, что многие пользователи относятся к созданию своего пароля несерьезно и могут поставить достаточно шаблонные комбинации букв и цифр. Это объясняется тем, что сложный пароль необходимо держать в голове постоянно, чтобы не забыть его, простой же пароль запоминается гораздо легче и его сложнее забыть. Одними из самых распространенных паролей являются следующие пароли: 123456, 0000000, qwerty, йцукен (аналог qwerty на русской раскладке), password, pass, pass1234, 7777777, qazwsx и другие подобные пароли. Как можно увидеть, такие пароли достаточно просто запомнить. Но вместе с этим кроется опасность, что такой пароль может быть легко подобран. Также пользователь может подумать, что он обезопасит себя, если в качестве пароля будет использовать комбинацию в виде своего дня рождения или номера телефона, или еще каких- либо символов, которые являются по большей части личными для него. Но и в этом случае пользователь ошибается. Для наглядности этого будет приведен небольшой пример. Злоумышленника назовем именем Андрей, а его жертву назовем Михаилом:

Михаил всегда переживал за свои персональные данные, так как по работе ему приходилось писать достаточно серьезные документы на свое имя. Он решил сделать запароленный архив со всеми своими документами внутри. Но тут сразу возник вопрос, а какой пароль необходимо поставить на такой архив? С одной стороны нужен длинный и сложный пароль, но ведь архив будет обновляться практически постоянно, а значит, пароль придется вводить постоянно. Надо бы попроще что- то придумать. После внутренних рассуждений Михаил пришел к выводу, что паролем ему будет служить комбинация цифр его дня рождения, а именно 10101985.Тем временем, Андрей долгое время искал документы этой фирмы. И наткнулся на странный архив с названием "документы" в локальной сети фирмы. Но архив оказался запаролен. Андрей не стал унывать, он скачал себе архив на компьютер, по свойствам архива выяснил его владельца и стал думать, как использовать полученную информацию. Использовать брутфорс не хотелось, так как перебор мог составить слишком большой промежуток времени, а документы нужны были срочно. Андрей решил попробовать найти Михаила в какой- либо из социальных сетей. И он смог найти его (действительно по статистике из 10 человек уже 6 можно найти хотя бы в одной из существующих социальных сетей). А там естественно кроме его имени и фамилии содержалась контактная информация, а также дата его рождения - десятое октября тысяча девятьсот восемьдесят пять. Андрей подумал, что, может, численная комбинация дня рождения Михаила окажется паролем, и так оно и было на самом деле. Пароль подошел, и Андрей получил доступ к документам Михаила.

Из этого примера наиболее четко видно, как составленный пароль влияет на сохранность персональных данных пользователя. В данном случае лень Михаила при составлении пароля сыграла на руку злоумышленнику, который нехитрым способом смог получить необходимые документы. Также здесь показано и то, что нельзя использовать в качестве пароля те комбинации, которые можно легко узнать через сеть Интернет (в рассмотренном случае данные были узнаны через социальную сеть, что является достаточно распространенной практикой). Интересным фактом здесь также является и то, что сам архив с документами назывался как "документы" и такое название естественно моментально приковало внимание злоумышленника. Подобные детали сыграли на руку злоумышленнику, и он смог осуществить запланированную кражу.

Вместо дней рождения в некоторых случаях многие пользователи ставят в качестве пароля свой номер телефона, номер кредитной карты или другие легко запоминающиеся вещи. Интересен и тот факт, что пользователь может поставить один и тот же пароль на все сервисы и различные архивы, папки и документы, что, конечно же, является неправильным и позволяет злоумышленнику не тратить лишние силы на разгадку других паролей. Ведь если он узнает пароль к какому- либо одному сервису, то он узнает пароль и ко всему остальному. К сожалению, пользователи часто забывают об этом и пренебрегают подобными мерами предосторожности. В качестве примера можно рассмотреть прошлую историю, но с пояснением того, что пароль Михаила был одинаков и к его учетной записи на компьютере на локальной сети, и к той же социальной сети, которой он пользовался. В этом случае Андрей может пойти дальше и воспользоваться почтой Михаила, чтобы просмотреть его переписку с другими сотрудниками фирмы и точно также вычислить их пароли. Более того, зная пароль к почте Михаила, Андрей может выдать себя за Михаила и воспользоваться его корпоративными привилегиями, если таковые имеются у Михаила. Это, безусловно, является опасным для Михаила, а также для всей корпорации в целом. На практике встречаются случаи, когда фирма-производитель может поставить на свои выпускаемые продукты какой- нибудь стандартный четырехзначный пароль (например, внутренним кодом многих телефонов является 0000, 1234, 1111 и. т. д) в надежде на то, что пользователи потом сами изменят этот пароль на более сложный. Но, к сожалению, банальная лень обычного человека не позволяет ему сделать этого, и это может стать причиной утечки данных. Для наглядности будет приведен пример (действующие лица носят те же имена, что и в прошлом примере):

У Михаила в мобильном телефоне хранятся различные контакты важных лиц. Андрей разыскивает эту информацию. Андрей узнает, что Михаил располагает этой информацией, и решает удаленно вывести телефон из строя, а затем представиться сервисным представителем. Михаил верит в то, что Андрей является сервисным представителем, и отдает ему свой телефон на ремонт. Андрей, естественно, исправляет "поломку", которую он сам удаленно вызвал, но также пытается просмотреть контакты Михаила, которые защищены стандартным телефонным паролем 0000. Путем быстрого ручного перебора Андрей подбирает этот пароль и сохраняет к себе контакты. Кроме того, зная стандартный телефонный пароль, Андрей ставит на мобильный телефон программу, которая будет записывать все звонки Михаила. Потом он возвращает телефон Михаилу, и тот ничего не подозревает о том, что на самом деле произошло с его телефоном.

Такой пример ярко показывает, как можно легко отдать свои персональные данные злоумышленнику, если не изменять заводских паролей, которые можно легко посмотреть в открытой документации производителя. Для иллюстрации будет представлен еще один пример на подобную тематику (действующие лица по-прежнему те же):

У Михаила есть частная wi- fi сеть из нескольких компьютеров. В сети, естественно, хранится некая личная информация Михаила (например, его фотографии). Андрею очень необходима эта информация, и он пытается подключиться к wi- fi сети, но обнаруживает, что сеть защищена паролем. После раздумий Андрей решает попробовать несколько стандартных заводских паролей, которые ставятся по умолчанию на защиту сети (если пользователь не менял подобную настройку вручную). В результате стандартный пароль 1111 подошел, и Андрей попал в сеть Михаила и взял оттуда всю необходимую информацию.

Этот пример еще раз показывает, что обыкновенная лень пользователя может нанести ему ущерб. Впрочем, пользователь может не знать о том, что к некоторым техническим устройствам существуют стандартные пароли (незнание в силу технической безграмотности). Злоумышленник же всегда старается проверить любой пароль на наличие шаблонного пароля, либо если это пароль к техническому устройству, то злоумышленник попытается воспользоваться подбором стандартных заводских паролей.

Доверчивость пользователя

Многие люди доверчивы сами по себе, но особенно эта черта проявляется ярко, если речь заходит об информационных технологиях. Многие пользователи не удосуживаются проверять информацию на предмет ее подлинности, и, если человек представляется кем- либо в сети Интернет, этому безоговорочно верят, так как считают, что обмана в этом случае быть не может. Такую ситуацию можно проиллюстрировать следующим банальным примером (разговор в ICQ (системы обмена мгновенными сообщениями)):

- Привет.

- Привет, а ты кто?

- Я ваш представитель вашего Интернет- провайдера. У нас тут проблемы возникли.

- Какие проблемы?

- Дело в том, что наши базы данных уничтожились, и нам необходимо восстановить их в короткие сроки, чтобы пользователи не потеряли Интернета.

- О, как жаль, чем я могу вам помочь?

- Сообщите, пожалуйста, ваш логин и пароль к вашему аккаунту.

- Конечно, логин: ABCD пароль PASSWORD654789.

- Спасибо большое, вы только что ускорили процесс восстановления наших баз данных.

- Не за что, всего доброго.

- До свидания.

Теперь разберем этот пример подробнее. Некий человек постучал к пользователю в ICQ и представился как представитель Интернет- провайдера. Доверчивый пользователь поверил в это, хотя он должен был спросить у так называемого представителя о том, как он узнал номер ICQ, какого именно провайдера он представляет. Далее пользователь поверил в историю про базы данных и в то, что представителю нужен логин и пароль пользователя. В этом случае использовалась компьютерная безграмотность пользователя, ведь известно, что Интернет- провайдер никогда не запросит логин и пароль (отдельно логин могут запросить, а вот пароль точно нет). Если бы на самом деле уничтожилась база данных, все пользователи остались бы без Интернета. Но даже в этом случае провайдер не запрашивал бы данные у каждого пользователя по отдельности, он бы просто восстановил базу данных с помощью восстанавливающих программ. Но пользователь счел, что новоиспеченный провайдер говорит ему абсолютную правду, и решил рассказать ему свои данные. В результате у злоумышленника есть данные пользователя, которые он может использовать по своему усмотрению. Другим примером подобного рода может быть следующий пример (данный пример любезно предоставлен пользователем с ником _ALI_BABA_(орфография и стиль полностью сохранены)):

- Приветик, это новая рассылка тем про кошек. Интересно?

- Привет, ух ты, у меня как раз есть кошка! А вы уже по аське (примечание - русское разговорное название ICQ) рассылаете?

- Да, завоевываем сердца клиентов. Кстати, твоя аватарка просто супер, это ты на ней?

- Да, я, спасибо за комплимент. Действительно, завоевываете сердца.

- А как тебя зовут? Меня - Леша.

- А меня - Алена.

- Очень приятно. Ален, так говоришь, у тебя есть кошка?

- Да, персидская, такая хорошенькая.

- Мммм, чистокровная?

- Да, да , да. Приятно, когда молодой человек разбирается в кошках.

- Стараюсь, а чем вы ее кормите? Кормом или "домашним"?

- О, домашним, кормам не доверяем.

- Согласен, у нас как раз в рассылке иногда есть рецепты.

- Ой, супер. А как получить-то рассылку?

- Тут надо, чтоб ты ответила на несколько вопросов.

- Хорошо.

- 1) Ты замужем? )))))))

- Ой, ну засмущал….

- Ладно, теперь серьезно – сколько лет твоей кошке?

- 4.

- Отлично, как ее зовут?

- Ладка.

- Ой, какое милое имя. Ну вот в принципе и все, раз в неделю тебе будет приходить наша рассылка. Приходить будет сюда, ок?

- Да, договорились, конечно.

- Пока, Ален

- Пока.

После этого, Леша, которого на самом деле звали Дмитрием, вышел из аськи и зашел на почту Алены, указав в качестве ответа на секретный вопрос "Какое имя моей кошечки?" имя Ладка. На самом деле парень Дмитрий хотел посмотреть, с кем еще общается Алена. Получив доступ к почте Алены, он смог получить доступ и к ее страничке от любимой социальной сети, а также от аськи и других мест, где Алена общалась с другими людьми.

Проанализировав эту историю, можно понять, что сначала Дима попытался проникнуть в почту Алены методом брутфорса, но потом понял, что это можно сделать простым способом - узнать ответ на секретный вопрос Алены в почте (секретный вопрос существует для того случая, если пользователь вдруг забыл свой "родной" пароль. Ответ на секретный вопрос, по сути, является вторым паролем пользователя). Так как он увидел вопрос про кошку, то логически решил, что у Алены есть кошка. Немного подумав, Дима решил зарегистрировать новый номер ICQ и представиться Лешей, который делает рассылку тем про кошек. Он знал, что тема кошек обязательно заинтересует Алену, и она навряд ли откажется от такой рассылки. А далее были применены обычные навыки вежливости, которые присущи любому злоумышленнику. Исходя из этого, пользователь должен помнить, что любые наводящие вопросы о чем-либо могут быть заданы с целью узнать какую-либо информацию. Пользователь всегда должен думать о том, что может принести сказанная им информация, куда ее можно будет применить. Злоумышленники часто пользуются доверчивостью пользователей, а также тем, что иногда, для ответа на свой вопрос, они могут требовать моментального ответа, чтобы пользователь не мог правильно оценить ситуацию. Примером последнего предложения может являться следующая история:

Звонок в фирму 10 часов утра.

- Алло, здравствуйте, секретарь Кристина, чем могу помочь?

- Привет, Кристин, я - Петр, из отдела техподдержки сетей. У нас тут сеть перестала работать на вашем узле.

- Да? Странно, 5 минут назад работала.

- А сейчас не работает. В общем, тут серьезная неполадка. Меня начальник на куски разорвет, если узнает.

- Да, я понимаю.

- Ты не могла бы мне сказать свой пароль к сети?

- А зачем, она же не работает.

- Дело в том, что мы потеряли свои пароли в отделе….

- Что?

- Да, да , я поэтому и говорю, что начальник нас разнесет.

- Ого….. Так зачем мой пароль?

- Я быстро зайду под твоим паролем в сеть и поменяю нам наши пароли.

- Ну, мммм, я не знаю.

- Слушай, Кристин, тут, правда, плохо дело, простой сети сейчас обратит внимание начальника, и мы получим. Пожалуйста, помогай.

- Ладно, хорошо, gasdas мой пароль.

- Спасибо, сейчас мы быстро управимся, и можешь через 10 минут пользоваться сетью.

- Хорошо, не за что.

Как уже мог догадаться читатель, это представление было сделано для того, чтобы узнать пароль пользователя корпоративной сети. Впоследствии злоумышленники могут за 10 минут сделать лазейку в сеть и находиться там достаточно долгое время. При этом администратор сети может ничего не заподозрить, так как он будет видеть, что пользователь Кристина сидит в сети. Что бы подобный случай не мог произойти, Кристина должна была обязательно спросить и записать контактные данные звонящего, а также проверить их на присутствие человека с такими данными. В приведенной выше ситуации злоумышленник сыграл на том, что запросил данные очень быстро, он рассказал ошеломляющую историю про то, что были утеряны пароли, и начальник скоро заметит неполадки, и будет очень зол на своих работников. Злоумышленник заставил Кристину принять решение быстро (причем решение было сконцентрировано на том, что надо срочно помочь сотруднику с другого отдела).

Помимо вышеуказанных уловок существует и масса других уловок, которые помогают злоумышленнику сыграть на доверчивости пользователя. Одной из таких уловок считается уловка с рассылкой на электронную почту пользователя сообщения о том, что администрация какого-либо сервиса потеряла доступ к аккаунту пользователя, и необходимо сообщить данные аккаунта пользователя, чтобы решить подобное недоразумение. Пользователь должен помнить, что администрация любого сервиса не будет запрашивать пароль пользователя ни при каких обстоятельствах. Поэтому пользователь должен игнорировать подобные сообщения в своем электронном ящике. В качестве доказательств вышесказанным обстоятельствам будет приведено еще несколько примеров, иллюстрирующих то, как легко можно манипулировать доверчивым пользователем:

Звонок Интернет- провайдеру.

- Але, здравствуйте, я решил уехать на пару дней по делам, хотел отключить Интернет.

- Здравствуйте, конечно, вы можете это сделать. Скажите свой логин к доступу в Интернет.

- Ммм, я не знаю, мне мастер все настраивал.

- Ладно, тогда продиктуйте ваши Имя, Фамилию и серию, номер паспорта.

- Иван Иванов. А серию с номером я не помню, мой паспорт сейчас у жены, она берет билеты.

- Тогда спросите у нее и потом свяжитесь с нами.

- Девушка, меня такси уже ждет, я опаздываю, давайте без этих формальностей, пожалуйста.

- Ладно, хорошо, ваша линия будет отключена через 5 минут. Когда надо будет включить, сделайте нам звонок.

- Конечно, спасибо вам огромное, всего хорошего.

- Всего доброго.

Звонок Ивану Иванову.

- Здравствуйте Иванов Иван, я из службы поддержки Интернет провайдера.

- Ах, я как раз хотел вам позвонить, тут у меня интернет оборвался.

- Я знаю, мы отключили вас, потому что с вашего ip были зафиксированы атаки на компьютеры других пользователей.

- …… Неужели? Как? У меня и антивирус, и файерволл стоит.

- Не знаю, как так могло получиться, но это так. Мы были вынуждены вас отключить от Интернета.

- И что же мне делать??? Мне письма отсылать надо, господа!

- Не волнуйтесь, наша блокировка - это временная мера, но мы можем включить вам Интернет сейчас, если вы предоставите удаленный доступ к вашему компьютеру, и наши специалисты из технического отдела все проверят. При этом вы ничего не заметите, будете работать как обычно. Если не хотите так, то мы будем проверять ваши отправленные пакеты с вашего ip адреса, но это долгая процедура. Может потребоваться несколько дней.

- О, ну, конечно, я лучше предоставлю доступ.

- Хорошо, я перезвоню вам через пару минут.

Звонок к Интернет- провайдеру.

- Алло, здравствуйте еще раз, я сегодня отключал Интернет на имя Иванова Ивана. В общем, так получилось, что я не смог уехать сегодня. Вы не могли бы включить Интернет заново?

- Добрый день еще раз, конечно, мы можем сделать подобную процедуру. Через 5 минут Интернет будет включен.

- Спасибо вам большое, всего доброго.

- Всего хорошего.

Это был наглядный пример, как была использована доверчивость сразу двух людей, в данном случае представителя Интернет-провайдера и пользователя. Естественно, целью всех этих манипуляций у злоумышленника являлось получение доступа к чужому компьютеру и управление им издалека. И в какой- то момент, даже, кажется, что у Ивана Иванова есть выбор между двумя развитиями событий (предоставить доступ сейчас или подождать несколько дней и Интернет появится), но на самом деле это всего лишь мнимая иллюзия выбора, так как его на самом деле нет, и злоумышленник прекрасно знает, что Иван Иванов выберет вариант с предоставлением доступа к своему компьютеру. Этому предшествовала фраза "мне письма отсылать надо господа". Злоумышленник именно после этой фразы предоставил выбор своему собеседнику, так как теперь злоумышленник стал абсолютно уверен в том, что пользователю нужен Интернет, и нужен он ему именно в этот момент времени. Другим моментом этих диалогов является диалог с провайдером Интернета, который вначале не хотел просто так отключать Интернет не совсем опознанному пользователю. Но злоумышленник смог убедить человека в том, что он действительно является владельцем этой услуги. В этом ему помогла фраза "меня такси уже ждет, я опаздываю", которая заставила собеседницу поверить в то, что он действительно является владельцем данного Интернет-канала. Можно сделать вывод, что, ведя разговор шаблонными фразами ("паспорт у жены", "такси ждет, я опаздываю", "мне необходимо сделать это как можно быстрее", "я тороплюсь, давайте без этих формальностей"), можно заставить идентифицировать себя с другим человеком и успешно выдавать себя за него некоторое время. В противодействие всем этим методам можно поставить метод следующих контр-фраз: "я понимаю, что вы спешите, но без этой информации ничего не получится", "расскажите свои контактные данные вплоть до номера отдела, где вы работаете", "мы ничего не сможем сделать сейчас, перезвоните (напишите) немного попозже", "я никогда не слышал о вас", а также других подобных фраз, цель которых - поставить что-либо в противовес действиям злоумышленника, заставить его неожиданно импровизировать, придумывать новые факты и запутываться в них. Сам же пользователь должен относиться с опаской к появлению каких-либо личностей, с которыми он раньше не имел дела.

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >
Екатерина Дюбко
Екатерина Дюбко

Как сделать так, чтобы данные о прохождении курса "Основы информационной безопасности при работе на компьютере" появлялись в зачетке. Нужен список полных оценок за каждый тест. 

Александр Мишин
Александр Мишин
Юлия Мартюшева
Юлия Мартюшева
Россия, Сыктывкар, Сыктывкарский государственный университет, 2011
Светлана Майорникова
Светлана Майорникова
Россия