Информационный сайт ГК "Tangara"     

 

 

Адрес:
https://t.me/TheTangaraNews
___________________________________________

2024 год Июнь (June;Junio;六月;يونيو)

 

Главная \ Контент-анализ \ Страх подавляет разум

Страх подавляет разум

Страх подавляет разум

С появлением у людей первых ценных секретов появилась и социальная инженерия – метод получения доступа к конфиденциальной информации путем психологического воздействия. Жертвой в данном случае становится не компьютер пользователя, а сам пользователь. Поэтому атаки социальной инженерии и не теряют свою актуальность. Они приобретают новые формы, адаптируясь под новые технологии, но главный тотализатор — особенности психологии человека — неизменны. Социальная инженерия будет работать до тех пор, пока обладатель тайны остается человеком: то есть принимает решения на основании инстинктов или эмоций, а не тщательно обдумывая поступивший запрос и действуя согласно прописанным правилам.

Основные понятия

Кто использует методы социальной инженерии?

  1. blackhat-хакеры: обладают мощной технической базой, продвинутыми навыками социальной инженерии и хакинга информационных систем, как правило, действуют в собственных корыстных интересах
  2. whitehat-хакеры, aka пентестеры: сотрудники компаний в сфере информационной безопасности, а также независимые исследователи, осуществляют тестирование информационной системы заказчика на наличие уязвимостей
  3. промышленные шпионы: ведут незаконную деятельность, направленную на похищение конфиденциальной информации конкурентов заказчика
  4. частные детективы: легально осуществляют поиск информации для заказчика

Из этого списка видно, что социальный инженер не равно злоумышленник: есть специалисты, использующие приемы социальной инженерии вполне законно и даже во благо. Но, конечно, преимущество на «темной стороне»: этих атак большинство, именно они наносят ущерб и волнуют как бизнес, так и простых пользователей.

Атаку социального инженера можно разбить на основные этапы:

  1. Сбор информации о целевом объекте
  2. Подготовка сценария действий и необходимых средств атаки (фишинговые ресурсы, вредоносные вложения и др.)
  3. Установление связей и завоевание доверия жертвы
  4. Достижение цели атаки (получение необходимой информации)

Атака начинается со сбора информации о целевом объекте (здесь и далее будем иметь в виду атаку не на физическое лицо, а на компанию). Например, будет полезна такая информация:

  • списки имен и должностей сотрудников
  • адреса электронной почты, номера мобильных телефонов сотрудников, внутренние телефонные номера
  • внутренняя структура организации
  • архитектура вычислительной сети организации
  • используемые технические средства и программно-аппаратное обеспечение
  • терминология и принятый жаргон
  • информация о конкурентах, партнерах и клиентах компании

Чем больше информации имеет атакующий, тем выше вероятность успеха. Первичная информация, как правило, добывается с помощью разведки из открытых источников (OSINT – Open Source Intelligence): номера телефонов и адреса электронной почты часто указаны на сайте или в рекламе компании. Полезные сведения также можно купить у информационных брокеров, действующих в даркнете или в криминальных сообществах. Сами сотрудники легко делятся информацией, которая не считается конфиденциальной, например, в телефонном разговоре с атакующим, который представился коллегой из другого отдела, журналистом, клиентом/подрядчиком организации.

Когда информация собрана, социальный инженер разрабатывает сценарий действий. Он заранее определяет:

  • с кем будет общаться (сведениями о себе мы охотно делимся в соцсетях)
  • какими средствами установит контакт (личный разговор, телефонный звонок, электронная переписка)
  • кем представится
  • что будет говорить
  • как войдет в доверие (основы психологии влияния рассмотрим в заключительной части статьи)
  • какую информацию или выполнение какого действия запросит

Чтобы не вызвать подозрений, атакующий совершает стандартный запрос, на который человек будет отвечать не задумываясь. Текст запроса готовится на основании выбранного сценария атаки, должности жертвы и имеющейся о ней информации. Опытный социальный инженер чувствует своего оппонента и быстро понимает, готов ли тот с ним сотрудничать. В случае абсолютного отказа выполнять запрос, атакующий попытается выйти из разговора так, чтобы оппонент не обнаружил факт атаки. Пример: «Я уточню у ребят из отдела X, вдруг они ошиблись или я не так понял».

Существует также обратная социальная инженерия. Ее особенность в том, что инициатором контакта выступает сама жертва. Задача – создать у атакуемого сотрудника проблему, из-за которой он обратится к социальному инженеру. Чтобы сотрудник обратился именно к атакующему, а не к легитимному лицу, социальный инженер должен убедить жертву, что он и есть то самое легитимное лицо, и оставить контакт для обратной связи. В процессе «решения проблемы» атакующий обеспечивает себе доступ к информации, например, заразив компьютер сотрудника его же руками (сотрудник загружает шпионское программное обеспечение под видом сервисного).

Важный момент. Помимо сбора информации, подготовки сценария и технических средств атаки, социальный инженер пытается выявить особенности психики жертвы, на которую атака направлена (т.е. конкретного сотрудника). Злоумышленник может играть на самых разных эмоциях и склонностях:

  1. Тщеславие: чтобы выслужиться перед начальством, сотрудник охотнее пойдет на контакт с атакующим, если тот сообщит о срочном поручении руководства
  2. Трусость: страх провиниться перед руководством опять-таки толкнет на необдуманный шаг
  3. Зависть: зависть к материальному положению коллег может стать причиной того, что человек взболтнет лишнего
  4. Доброта: излишняя доброта и альтруизм могут побудить помочь «коллеге» в трудной ситуации
  5. Алчность: жертва готова продать чужие секреты, вопрос только в цене
  6. Обидчивость: обиженный на коллег или руководителей сотрудник склонен к мести

Вывод: каждый человек, потерявший бдительность, может стать жертвой социального инженера, если найти нужные рычаги воздействия.

Успех атаки во многом зависит от личных качеств не только жертвы, но и самого социального инженера.

Они очаровательны, вежливы и просты – социальные качества, необходимые для установления быстрой связи и доверия.

Кевин Митник, известный социальный инженер

 

Популярные виды атак социальной инженерии
Фишинг

Фишинг обычно направлен на кражу учетных или других данных жертвы, представляющих ценность. Жертва переходит на созданный атакующим фишинговый ресурс, где и оставляет данные. Контакт с жертвой устанавливается через электронную почту, социальные сети или мессенджеры. Рассмотрим популярный кейс — атака на сотрудников компании через электронную почту.

Чтобы ввести получателя в заблуждение, атакующий создает email адрес, подобный адресу самой организации или, например, компании-контрагента. Злоумышленник изменяет одну неприметную букву (не первую и не последнюю, а например: examplebank.ru => exanplebank.ru) или доменную зону (часто можно встретить замену .ru на .su).

Далее выбирается тема, которая с большой вероятностью зацепит получателя и заставит открыть письмо, а не отложить его на потом. Лучше всего люди реагируют на темы, связанные с финансами: ЗП, премии, штрафы. Также эффективны письма с информацией о доступе к рабочим ресурсам (переезд на новый почтовый сервер, запуск корпоративного портала или системы конференц-связи для удаленных совещаний).

Если социальный инженер играет роль коллеги, он постарается оформить свое письмо как настоящее корпоративное: стандартная структура, логотип компании, установленный формат подписи. Получить эти параметры корпоративного письма легко: достаточно связаться со справочным отделом/написать с запросом на info.

И, конечно, ключевая задача — написать убедительный текст, чтобы жертва перешла по ссылке на поддельную страницу и ввела свои данные. В сообщении, как правило, сказано, что по ссылке находится счет/документы/важная информация. Поддельные страницы умело маскируются под страницы официальных сайтов (могут быть практически идентичны), а среди фишинговых ссылок могут быть и ссылки на легитимные источники. В случае успеха атакующий получает («ловит») данные пользователя и затем с их помощью авторизуется на настоящем ресурсе, получая незаконный доступ.

Пример реального фишингового письма:

2

Внедрение программной (программно-аппаратной) закладки

Цель данной атаки — доставить на компьютер жертвы вредоносное вложение и заставить активировать его. Для этого также используются электронные письма, оформленные в стиле корпоративных. Письмо содержит вредоносное содержимое: ссылки на подменные веб-ресурсы, офисные документы с вредоносными макросами, шпионское программное обеспечение. Другой популярный способ внедрения закладки — «дорожное яблоко». Это подброс носителей информации (например, флешек) с вредоносным содержимым.

Наиболее популярные виды вредоносного вложения:

  1. Excel-файлы с макросами (.xlsm)
  2. Word-файлы, отправляющие NTLM-хэш
  3. HTA-файлы для Internet Explorer
  4. Подписанные исполняемые файлы (.exe)

Встречаются реже: bat, com, scr, vb, vbe, vbs, js, jse, ps1, ps2, psc1, psc.

Хитрости, которые может использовать атакующий:

Если вредоносное вложение с макросом приложено к сообщению, то оно откроется в браузере. Чтобы жертва именно скачала вложение и затем открыла его, к письму прикладывается не сам файл, а картинка со ссылкой. Клик на картинку приведет к загрузке вредоносного файла:

3.1.

В случае с подписанным exe-файлом этот трюк тоже сработает: в письмо вставляется картинка, которая ведет на скачивание исполняемого файла из другого места:

4

Вишинг

Вишинг (от voice phishing) – тот же фишинг, только контакт с жертвой устанавливается с помощью средств голосовой связи. Атакующий представляется коллегой из другого отдела/ сотрудником технической поддержки/ деловым партнером или клиентом. Часто применяется в комплексе с предыдущими видами атак.

Пример из практики тестирования на проникновение: заметив фишинговую рассылку, служба безопасности забила тревогу и разослала сотрудникам предупреждение. Чтобы не провалить атаку, социальный инженер тут же применил вишинг, позвонив одному из сотрудников. Далее приведен примерный диалог, где А – атакующий, а Ж – жертва:

А: «Добрый день, это Артур из службы безопасности. Вы сейчас получали предупреждение о фишинговой атаке?»
Ж: «Добрый, да»
А: «Хорошо. Вам необходимо скачать и установить защитное ПО, ссылку я сейчас отправляю на почту»
Ж: «Хорошо. Сейчас все сделаю»

Жертва послушно скачивает и запускает «бэкдор».

Случаи из практики тестирования на проникновение
Акция в кафе

Проводилась email рассылка от имени близлежащего к офису кафе с предложением корпоративной скидки. В текст и картинку — рекламный баннер кафе — были зашиты ссылки, которые вели сотрудников на фишинговый ресурс, предлагающий ввести учетные данные корпоративного доменного аккаунта. В случае перехода на сайт и ввода учетных данных эти данные логировались, а пользователь перенаправлялся на настоящий сайт кафе.

Сообщение с баннером от «кафе»

Любители скидок на обеды сделали свое дело. Посмотрите на результаты сценария атаки «Акция в кафе»:

Программа мотивации сотрудников

Рассылка представляла собой письмо от бухгалтерии. По сценарию, изменились условия программы мотивации сотрудников, ознакомиться с которыми можно в файле, приложенном к письму.

Фишинговое сообщение от «бухгалтерии»

Вложенный Excel-файл с макросом

Результаты сценария атаки «Программа мотивации»:

Дорожное яблоко

Для реализации сценария были подготовлены флешки с вредоносами, замаскированными под различные файлы и папки, запуск любого из которых отправлял имя компьютера и информацию о сетевых интерфейсах на C&C сервер (Command and Control server, используемый атакующим).

Вариант файлов на флешке

Флешки были разбросаны под видом забытой/утерянной вещи в общественных местах, где ждали своих любопытных жертв. В итоге одна из них сработала.

Переезд на новый почтовый сервер

От пользователей требовалось перейти по ссылке на фишинговую страницу аутентификации почтового сервера и проверить его работоспособность. В результате были получены учетные данные нескольких пользователей. Однако при попытке атакующего залогиниться на настоящем сервере появился второй фактор аутентификации (по коду из SMS). Выяснилось, что он настроен на всех доступных сервисах компании. Атака была бы провалена, но случилось так, что у одного из пользователей возникли проблемы с аутентификацией, и он сам связался с атакующим, ответив на фишинговое письмо (вспоминаем обратную социальную инженерию):

Недолго думая, атакующий ответил:

Ну а дальше:

 

Почему это работает? Психологические аспекты социальной инженерии

Обман — главное оружие социального инженера. Чтобы применить его эффективно, необходимо понимать, как люди принимают те или иные решения. Человеческий мозг – это сложный центр принятия решений. Систему принятия решений можно разбить на две составляющие: разум и инстинкты. Доминирование некоторых инстинктов подавляет возможности разума, что и делает человека уязвимым к методам социальной инженерии. Разум же активизируется в случае конфликта между инстинктами (например, между инстинктом самосохранения и альтруизмом в ситуации, когда человек решает оказать помощь попавшему в беду под угрозой для собственной жизни).

Разумную составляющую также можно условно разделить на логическую (или аналитическую) и автоматическую. Именно аналитическая часть использует всю мощь человеческого мозга, когда человек объективно оценивает ситуацию, мыслит критически, оперируя всей доступной информацией, и принимает обоснованное решение. Этот способ мышления требует гораздо большего времени и энергии, чем автоматическое.

Автоматическое мышление значительно повышает продуктивность человека, так как позволяет выполнять большое количество операций за короткое время. Но в то же время оно может быть источником ошибок и порождает уязвимости к психологическим атакам. Так, чтобы завоевать доверие жертвы, атакующему зачастую достаточно убедительно представиться коллегой, используя характерную для сферы лексику и демонстрируя осведомленность в вопросе. Кстати, простые слова имеют большую силу убеждения, а вот сложные формулировки вынуждают слушателя подключать аналитическое мышление, что совсем не на руку злоумышленнику.

В начале статьи мы упомянули, на каких чувствах играет социальный инженер, рассмотрим подробнее, как это происходит.

Использование авторитета

Атакующий ссылается на поручение от топ-менеджмента. Жертва, услышав имена начальства, откидывает возможные подозрения и помогает выполнить поручение.

Игра на жалости

Это излюбленный прием социальных инженеров. Атакующий обращается за помощью, представившись новичком. Жертва может выполнить просьбу, вспомнив себя в первые трудовые дни.

Угроза

Угрозой опять-таки может быть ссылка на авторитет начальства или упоминание о возможных негативных последствиях неподчинения (страх подавляет разум).

Симпатия

Расположить к себе жертву — действенный прием для завоевания доверия. Социальный инженер общается вежливо, старается создать атмосферу неформального разговора. В разговоре может употреблять фразы: «мы работаем на благо нашего комьюнити…», «мы в одной команде…», «я замолвлю за вас слово» и т.д.

Чувство вины

Манипуляции, основанные на чувстве вины, испытывал на себе практически каждый человек. Злоумышленнику необходимо, чтобы невиновный в действительности почувствовал себя виноватым. Приведем пример в контексте обратной социальной инженерии. Социальный инженер отвечает на телефонный звонок и изображает, что звонящий причинил ему неудобства — авария, пролитый кофе и т.д. — но не заканчивает разговор, или обещает перезвонить. В результате звонивший испытывает чувство вины и с большей вероятностью выполняет просьбу атакующего.

Заключение

В этой статье мы рассмотрели основные аспекты социальной инженерии и привели примеры наиболее популярных атак. Однако тема эта очень обширная, а разнообразие возможных сценариев ограничено лишь фантазией атакующих. Большинство успешных атак на информационные системы включали в себя методы социальной инженерии и будут включать до тех пор, пока человек остается человеком со всеми свойственными ему инстинктами и эмоциями. Тем не менее, помимо инстинктов, у нас есть разум: нужно пользоваться его возможностями. Старайтесь всегда сохранять бдительность. Не поленитесь лишний раз позвонить коллеге и убедиться, что полученный email — действительно от него, а также обращайте внимание на ссылки, по которым переходите.

https://dsec.ru/blog/posts/strah-podavlyaet-razum-ili-kak-izolirovatsya-ot-soczialnogo-inzhenera/

 

Теги фишинг вишинг
Элита, контрэлита, антиэлита современной России
Элита, контрэлита, антиэлита современной России
Русский особый путь… к фашизму
Русский особый путь… к фашизму
Алгоритмы Путина – не бином Ньютона. В самой общей форме, ему очень хочется пройти между струй.
Алгоритмы Путина – не бином Ньютона. В самой общей форме, ему очень хочется пройти между струй.
Белоусов и попытка ревизии Путинизма на фоне СВО и саркомы государственной ткани
Белоусов и попытка ревизии Путинизма на фоне СВО и саркомы государственной ткани
Мир в полнолуние...?
Мир в полнолуние...?
Если вы купили ненужную вам козу ...
Если вы купили ненужную вам козу ...
Игорь Сечин как призрак бродит... Или вопросы деприватизации по Сечину.
Игорь Сечин как призрак бродит... Или вопросы деприватизации по Сечину.
Хоть чучелом, хоть тушкой... Или не более двух сроков подряд...
Хоть чучелом, хоть тушкой... Или не более двух сроков подряд...
Ослольвы как новые украинские Наполеоны.Или когда лев уехал на сафари
Ослольвы как новые украинские Наполеоны.Или когда лев уехал на сафари
Оппенгеймер: отравленное яблоко, ядерная бомба и НКВД
Оппенгеймер: отравленное яблоко, ядерная бомба и НКВД
Тимур и его команда. Увидит ли Шойгу небо в клеточку?
Тимур и его команда. Увидит ли Шойгу небо в клеточку?
РУССКОЕ БАРСТВО – МОРАЛЬНЫЙ СИФИЛИС XXI ВЕКА.Или кто и как захватил Россию!
РУССКОЕ БАРСТВО – МОРАЛЬНЫЙ СИФИЛИС XXI ВЕКА.Или кто и как захватил Россию!
"Спаситель мира" в 1958 г., когда его продали на аукционе Sotheby’s стоил смешные £45
"Спаситель мира" в 1958 г., когда его продали на аукционе Sotheby’s стоил смешные £45
Microsoft представила VASA-1, которая быстро превращает обычные изображения в видео с говорящими лиц
Microsoft представила VASA-1, которая быстро превращает обычные изображения в видео с говорящими лиц
Украина для Европы становится чемоданом без ручки. Или евреи Израиля показали свое истинное звериное
Украина для Европы становится чемоданом без ручки. Или евреи Израиля показали свое истинное звериное
Звездные войны: может ли ракета-носитель «Ангара» стать конкурентом Falcon 9
Звездные войны: может ли ракета-носитель «Ангара» стать конкурентом Falcon 9
Новая реальность коммуникаций. Фиджитал рядом с нами
Новая реальность коммуникаций. Фиджитал рядом с нами
Стратег Диванного Легиона. Или возможно другая концепция ведения СВО
Стратег Диванного Легиона. Или возможно другая концепция ведения СВО
Золотое ралли с обычными откатами.Физические лица стали раскупать через банки золото, и у нас практи
Золотое ралли с обычными откатами.Физические лица стали раскупать через банки золото, и у нас практи
Ждем доллар по 130? А этот вопрос решается просто тремя телефонными звонками из ЦБ.
Ждем доллар по 130? А этот вопрос решается просто тремя телефонными звонками из ЦБ.
Стоит ли русским бояться таджиков?
Стоит ли русским бояться таджиков?
Большой куш. Или макароны вне закона. Или Михаил Юревич в роли Шуры Балаганова.
Большой куш. Или макароны вне закона. Или Михаил Юревич в роли Шуры Балаганова.
Теракт в Крокус Сити Холле – кто заказчик? Или Теракт в Крокус Сити Холле – это еще цветочки!
Теракт в Крокус Сити Холле – кто заказчик? Или Теракт в Крокус Сити Холле – это еще цветочки!
Крокус. Грандиозный скандал который пытаются замять!
Крокус. Грандиозный скандал который пытаются замять!
Увидеть Тимбукту и умереть. Или Диснейленд для больших мальчиков.
Увидеть Тимбукту и умереть. Или Диснейленд для больших мальчиков.
Алан Уотс "Книга о табу на знание о том, кто ты есть"
Алан Уотс "Книга о табу на знание о том, кто ты есть"
«Чем больше охраны тем более причудливыми должны быть ваши методы побега». Или побег как стиль жизни
«Чем больше охраны тем более причудливыми должны быть ваши методы побега». Или побег как стиль жизни
Спаситель мира
Спаситель мира
"Спаситель мира" в 1958 году, когда его продали на аукционе Sotheby’s стоил смешные £45.
Фотоннный отражатель
Фотоннный отражатель
Во всем мире политическая сатира - это инструмент общества, который нивелирует ошибки политических персоналий и их деструктивных действий. И кстати хорошо оплачивается! Но, не у нас!
Альтернативная история мира
Альтернативная история мира
ТОЧКА ВХОДА…Или ЭПОХА СУРКА…Или Кто Мы? Зачем Мы? Откуда Мы?
Поющий волк
Проект - поющий волк
Мы просто балуемся)
Мир в полнолуние
Мир в полнолуние...?
Парjход с которого нет возможности сойти.
"Книга о табу на знание о том, кто ты есть"
Познай себя
"Книга о табу на знание о том, кто ты есть"
Побег как стиль жизни
Люди и события
Побег как стиль жизни
WSJ узнала о планах Samsung вложить в производство чипов в Техасе $44 млрд.
Новости экономки
WSJ узнала о планах Samsung вложить в производство чипов в Техасе $44 млрд.
Создание своих танкерного и контейнерного флотов потребует двух триллионов рублей
Новости экономки
Создание своих танкерного и контейнерного флотов потребует двух триллионов рублей
Такси за четыре таблетки до продцедурной комнаты ...
Мир сошел с ума
Такси за четыре таблетки до продцедурной комнаты ...
 

Фото дня 02

 

Олимпийский огонь.

В Парижской мэрии приняли носительницу олимпийского огня

Первый помощник мэра Парижа Эммануэль Грегуа. 


Всё что связано с интеллектом )

Мышь на приеме у психиатра:
- Я влюбилась в слона.
- В слона или слониху?
- За кого вы меня принимаете?

 

 

 

 

 

 

 

Новая информация за последний период
 

Элита, контрэлита, антиэлита современной России


Русский особый путь… к фашизму


Новый железный поток.Или алгоритмы Путина – не бином Ньютона.Или сплошные именины сердца. Или не одним Остером единым …


Белоусов и попытка ревизии Путинизма на фоне СВО и саркомы государственной ткани


Мир в полнолуние...?


Хоть чучелом, хоть тушкой... Или не более двух сроков подряд...


Ослольвы как новые украинские Наполеоны.Или когда лев уехал на сафари


Оппенгеймер: отравленное яблоко, ядерная бомба и НКВД


Тимур и его команда. Увидит ли Шойгу небо в клеточку?


РУССКОЕ БАРСТВО – МОРАЛЬНЫЙ СИФИЛИС XXI ВЕКА.Или кто и как захватил Россию!


Вагнер. Существование компании и проблемы бойцов

 

паситель мира" в 1958 году, когда его продали на аукционе Sotheby’s стоил смешные £45.
 

Как хорошо мы плохо жили...И про ежика с дырочкой в правом боку ребенку больше петь нельзя.

 

 

 

 

 

 


 


 

Телефон ; E-mail: