Опубликован: 03.08.2011 | Уровень: для всех | Доступ: платный
Лекция 5:

Противодействие методам социальной инженерии

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >

Метод от противного

Злоумышленники иногда могут воспользоваться методом якорения или методом от противного, чтобы заставить пользователя сделать то, что необходимо злоумышленнику. При этом злоумышленник предлагает пользователю вначале вариант действий, который является абсолютно неприемлемым для пользователя, а затем предлагает более мягкий вариант, который пользователь интуитивно сравнит с предыдущим вариантом и решит, что второй вариант является наиболее подходящим. Хотя на самом деле злоумышленник создает лишь мнимую иллюзию выбора у пользователя, на самом деле злоумышленник точно знает, что захочет выбрать пользователь. Один из примеров такого мнимого выбора будет представлен ниже(ICQ разговор):

- Привет, как дела?

- Привет, нормально, а ты кто?

- Я специалист по безопасности фирмы "АКСНМВ".

- Да, и что тебе нужно?

- Мы являемся региональными работниками и хотели бы провести небольшие исследования с вашего позволения.

- Но я не хочу никаких исследований, проваливайте.

- Зачем так грубо, вы же не знаете, что каждому, кто пройдет наше исследование, будет бонус.

- И какой же?

- Каждый, кто пройдет исследование, будет приглашен в заграничное путешествие.

- Ну ладно, это все-таки интересно. Говори, в чем суть исследования?

- В общем, мы проводим тестирование своего нового антивируса, и если вы поучаствуете в этом тестировании, то это будет очень полезно для нас.

- Каким образом я должен участвовать?

- Вы должны загрузить копию нашего антивируса и установить к себе на компьютер.

- Мммм, а как же мой антивирус?

- Ваш антивирус необходимо будет временно удалить с компьютера.

- Что? Я не буду этого делать.

- Но почему? Мы же не предлагаем вам зловредную программу!

- Откуда я знаю, я первый раз слышу о вашей компании? Кто знает, чем вы там занимаетесь на самом деле?

- Да нет, ну что вы, как вы могли такое подумать? Ничего страшного не будет с вашим компьютером.

- Я в этом не уверен, к сожалению.

- Ладно, хорошо, у нас есть запасной выход из этого положения.

- То есть?

- Вы говорите, что вы не будете устанавливать неизвестный вам антивирус, но все равно хотите поучаствовать в нашем розыгрыше с поездкой за границу?

- Да, если честно, очень хотелось бы.

- Отлично, тогда предлагаю вам другой вариант действий.

- Какой?

- У нас есть виртуальная копия нашего антивируса, которая установлена на нашем сервере.

- Да? И что надо делать?

- Вы зайдете на наш сервер (это будет примерно то же, что и зайти на обычный сайт), далее вы введете свои данные, которые попросит у вас виртуальный установщик антивируса, а затем проведете виртуальную установку антивируса и будете его виртуально тестировать.

- О, вот это уже гораздо лучше, что ж вы сразу об этом не сказали?

- Ну дело в том, что не все клиенты на это соглашаются.

- Почему?

- Не знаю, спросите у клиентов. Хочу вам также напомнить, что при такой установке ваш компьютер останется в абсолютной безопасности, и ваш собственный антивирус будет великолепно работать.

- Я это понимаю, спасибо.

Достаточно яркий пример, который показывает, как именно осуществляется взаимодействие злоумышленника с пользователем с помощью метода от противного. Вначале злоумышленник пытается заманить пользователя каким-либо интересным предложением (в данном случае пользователя заманивают, используя вымышленные путевки за границу). Затем пользователю предлагают вариант с установкой какой-то непонятной программы. При этом злоумышленник знает, что пользователь не будет предпочитать этот вариант, но все равно делает вид, что это абсолютно безопасно и необходимо для пользователя. Тут ключевым моментом является то, что злоумышленник хочет добиться полного отвращения к первому предложенному варианту (установки непонятной программы к себе на компьютер). Когда пользователь окончательно и наотрез отказывается от первого варианта предложенных действий, злоумышленник как бы вспоминает, что у него есть еще один вариант, который просто никто не применял. Он предлагает этот вариант пользователю. Пользователь в свою очередь очень доволен таким развитием событий и готов пойти на второй вариант. Хотя, изначально, злоумышленник именно на это и рассчитывал. В этой истории вторым вариантом предлагалось поставить программу виртуально, при этом внеся свои данные. Естественно, что опрашиваемые данные у пользователя являются персональными данными, которыми хотел завладеть злоумышленник. Пользователь же ничего не заподозрит, так как будет думать, что он избежал опасности, не установив подозрительную программу к себе на компьютер. Здесь со стороны злоумышленника главным является то, что он должен собрать максимум сведений о своей жертве, о ее компьютерной грамотности, а также об ее умении предвидеть различные ситуации. В данном случае жертва попалась достаточно грамотная, чтобы не установить себе незнакомую программу, но вместе с тем достаточно наивная, так как позволила провести себя по другому варианту. Другим примером использования метода от противного будет являться следующий пример:

- Алло, это с АТС вас беспокоят.

- Да, а что-то произошло?

- Да, тут, в общем, такое дело, все линии перегружены, и мы решили отключить часть линий на время.

- Вот это плохая новость.

- Скажите, вам нужен телефон и Интернет в течение дня?

- Ну, вы знаете, вообще-то нужен.

- Я понимаю, сейчас все пользователи так говорят, но мне необходим честный ответ. Поймите, мы должны предоставлять качественное обслуживание нашим клиентам.

- В таком случае предоставьте это качественное обслуживание и мне.

- И все-таки вы настаиваете на том, что вам нужна ваша линия?

- Да, черт возьми, я настаиваю, за что я вам деньги плачу? За то, чтобы вы могли отключать меня, когда вздумается?

- Не горячитесь, мы понимаем ваше затруднительное положение.

- Понимают они, а мне что прикажете делать, понятливые вы мои?

- Ладно, хорошо, мы оставим вам вашу линию, но нужен один нюанс.

- Какой???

- Мы напишем от вашего имени заявление, что вы отказываетесь от отключения своей линии. Хорошо, так можно сделать? Вас устроит?

- Да, меня вполне устроит.

- Единственное, продиктуйте мне свои паспортные данные, тут они нужны в заявлении, хорошо?

- Нет, я на это не согласен.

- Ну, тогда нам придется отключать вашу линию.

- Да кто вы такие, черт вас возьми? Неужели нет других вариантов?

- Есть, у вас же есть интернет?

- Да. Вы пока еще его не выключили.

- Зайдите на сайт нашей АТС и сделайте следующие действия: пройдите регистрацию и заполните краткую форму отказа, там не нужны паспортные данные.

- Ну, это уже более приемлемый вариант.

- Вот видите, всегда же можно как-то договориться.

- Согласен.

История достаточно ярко показывает, как злоумышленник "ведет" пользователя по той тропе, которую он сам создал. Сначала, чтобы не было лишних вопросов у пользователя, злоумышленник сразу говорит о возникшей проблеме (необходимо отключить множество линий для освобождения других линий). Затем злоумышленник пытается предложить пользователю вариант с согласием того, чтобы ему отключили линию. Естественно, пользователь против такого поворота событий, он не хочет, чтобы какой-то незнакомец отключал его от сети Интернет только потому, что кто-то другой нуждается в этом (пользователь проявляет элементарную жадность). Далее злоумышленник предлагает решить вопрос по-другому: заполнить заявление на отказ в остановке работы линии. При этом он ссылается на то, что ему нужны некоторые данные пользователя, в частности паспортные данные. Естественно, пользователь отказывает новоиспеченному работнику АТС в требовании предоставить ему свои паспортные данные. Злоумышленник делает вид, что уговаривает пользователя все-таки предоставить ему свои паспортные данные. Здесь следует отметить, что злоумышленник ведет своеобразную игру, нацеленную на истощение психической устойчивости пользователя, "раскачивает" психику пользователя. Пользователь, конечно же, начинает нервничать и ругаться на то, почему он должен позволять делать со своей линией что угодно, ведь он платит за это деньги. В результате злоумышленник получает то, что ему нужно, он подготавливает пользователя к третьему заготовленному варианту. Именно на этот вариант (регистрация на сайте и оформление отказа без паспортных данных) соглашается пользователь. В результате злоумышленник получит персональные данные пользователя через его регистрацию на подставном сайте. Пользователь всегда должен помнить о том, что с ним могут вести игру, специально пытаться выбить его из психического равновесия. Пользователь должен всегда обдумывать свое решение прежде, чем выполнить его, особенно если это решение было подсказано кем-то со стороны.

Смешанные методы социальной инженерии

Описанные выше методы были основными методами, которые используются злоумышленниками в охоте за персональными данными пользователя. Чаще всего ни один из этих методов не используется в чистом виде (это видно даже по приведенным примерам), многие из этих методов комбинируются друг с другом, образуя достаточную мощную систему по выуживанию персональных данных у пользователя. Также есть некоторые методы, которые не вошли в рамки отдельных абзацев, а будут приведены тут. Одним из таких методов является умение слушать собеседника. При этом подразумевается, что злоумышленник будет внимательно слушать свою жертву, а потом путем надавливания на нее, заставит ее сделать все, что необходимо злоумышленнику. Например, злоумышленник может подослать вирус на компьютер пользователя, который действительно принесет пользователю какие-либо опасные последствия (например, удалит различные медиафайлы), а затем злоумышленник притворится работником антивирусной компании, внимательно выслушает своего собеседника, который расскажет ему про то, как на его компьютере стали происходить странные вещи. Далее злоумышленник предложит пользователю лекарство от опасного вируса, и пользователь, естественно, послушается и установит это лекарство себе на компьютер. Только на самом деле это будет еще более опасная зловредная программа, которая будет нацелена уже на кражу персональных данных пользователя. Когда может потребоваться такой трюк? Он может понадобиться в тех случаях, когда необходимо сделать так, чтобы пользователь сам отключил антивирус. При этом первоначальная программа является своеобразным отводом глаз от настоящей зловредной программы, которая будет бушевать на компьютере пользователя.

Также вежливость является одним из главных дополняющих методов. Именно благодаря вежливости злоумышленник может входить в доверие к пользователю. Именно благодаря вежливости злоумышленник может заставлять пользователя делать то, что на самом деле необходимо злоумышленнику. Только благодаря вежливости злоумышленник может выдать себя за сотрудника какой-либо крупной компании, так как только сотрудники крупных компаний общаются очень вежливо со своими клиентами, ведь подобное общение заложено в правилах этикета компании. Для того, чтобы понять всю важность вежливости, будет приведено два диалога, в которых злоумышленник хочет, по сути, одно и то же, но выражать свои мысли он будет по-разному:

- Мне нужно, чтобы ты установил на свой комп вот эту прогу.

И:

- Мне нужно, чтобы вы установили на свой компьютер вот это программное обеспечение для обеспечения вашей безопасности.

Как видно из этих двух предложений, гораздо приятнее на вид второе предложение в диалоге, чем первое. Причем, основная разница в них в том, что во втором предложении злоумышленник хочет, чтобы поставили программное обеспечение на компьютер, но делает это максимально вежливо, чтобы пользователь не смог заподозрить какой- либо подвох в этой просьбе. По сравнению с этой просьбой, первая просьба выглядит грубой, некрасивой. Такую окраску придает использование жаргонных слов, которые используются в первом предложении. Все это дает негативную окраску самой просьбе, и пользователь вряд ли согласится на выполнение просьбы, которая задана в подобном тоне и с подобной окраской. При этом злоумышленник всегда постарается выбрать тон и уровень вежливости в зависимости от предпочтений самого пользователя, от его культурной развитости. Кроме того, может потребоваться некоторое время на изучение привычек и предпочтений в области культуры общения у пользователя, но эти данные будут окупаться с головой при охоте на данные пользователя. Об этом должен помнить сам пользователь и обращать внимание на то, когда у него пытаются что-либо выманить очень вежливым тоном. Вежливый тон, это, конечно, очень положительный фактор, который хорошо характеризует человека, использующего этот тон, но также необходимо помнить, что если человек незнаком пользователю, а общается с ним чересчур вежливо, то нужно быть всегда настороже, так как непонятно, чего на самом деле хочет незнакомец. Возможно, он очень хочет заставить пользователя сделать такие действия, которые приведут к потере персональных данных пользователя.

Другим важным методом, которым пользуется злоумышленник, называется метод податливости к пользователю. Злоумышленник может показаться несколько наивным для пользователя, чтобы достичь своих целей. Он может показаться глупым и даже беспомощным в каком-либо перекрестном вопросе. Он также может дать пользователю выиграть в каком-либо быстро начавшемся споре, чтобы затем сманить пользователя в ту сторону, которая необходима злоумышленнику. Этот метод является одновременно и качеством злоумышленника быстро ориентироваться в ситуации, предвидеть ее. Ведь пользователь не должен что-либо подозревать в отношении к себе. Он должен думать, что все идет естественным чередом, что собеседник пользователя на самом деле глуп, спокоен и не имеет никаких тайных желаний по отношению к пользователю. Вся эта иллюзия, естественно, расслабляет пользователя, и он становится психологически внушаем к любым просьбам злоумышленника. Пользователи должны всегда быть настороже и "чувствовать" разговор. Если сначала пользователю дают выиграть какую-либо моральную ценность, то необходимо задуматься, а не собирается ли его собеседник что-то забрать взамен за этот небольшой моральный выигрыш? Если пользователь будет спокойнее относиться к подобным проявлениям, то его психологическая внушаемость резко упадет, и злоумышленник уже не сможет умело манипулировать пользователем, чтобы добиться своих целей по краже пользовательских персональных данных.

< Лекция 4 || Лекция 5: 12345 || Лекция 6 >
Екатерина Дюбко
Екатерина Дюбко

Как сделать так, чтобы данные о прохождении курса "Основы информационной безопасности при работе на компьютере" появлялись в зачетке. Нужен список полных оценок за каждый тест. 

Александр Мишин
Александр Мишин
Юлия Мартюшева
Юлия Мартюшева
Россия, Сыктывкар, Сыктывкарский государственный университет, 2011
Светлана Майорникова
Светлана Майорникова
Россия