Вот вам и доступ и зависимость. О чем еще мечтать. Наверное, о том, чтобы научиться делать такие программы.
Таким образом, обратная социальная инженерия позволяет управлять людьми, но для этого нужно много сил и знаний. Социальная инженерия воздействует в большинстве своем на более широкую аудиторию и более выгодна, хотя Вы и находитесь в зависимом состоянии.
Целью обратной социальной инженерии (reverse social engineering) является заставить цель самой рассказать о своих паролях, информацию о компании.
Пример:
1. Фильм "Хакеры" когда главный герой спрашивает у сотрудника телевизионной компании мак-адрес оборудования (якобы чтобы помочь данной компании) - и сотрудник сам называет его, тем самым открывая дверь хакеру.
2. При использовании почты многие делают секретным вопросом "девичья фамилия матери" - тогда хакер звонит жертве и представляется сотрудником социальной(опрашиваемой, государственной, муниципальной и др.) службы, проводит опрос о родителях - и одним из вопросов является вопрос о девичьей фамилии матери - жертва её называет и даже не предполагает что только это и нужно было злоумышленнику, т.к. человеческий мозг не сможет связать безопасность к своей почтовой системе, и опрос о родителях.
Нужно не только знать, как нападать, нужно знать и как защищаться
Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии.
Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.
С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.
Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.
Для защиты пользователей от социальной инженерии можно применять как технические, так и антропогенные средства.
5.1 Антропогенная защита
Простейшими методами антропогенной защиты можно назвать:
Данные средства имеют один общий недостаток: они пассивны. Огромный процент пользователей[1] не обращает внимания на предупреждения, даже написанные самым заметным шрифтом.
5.2Техническая защита
К технической защите можно отнести средства, мешающие заполучить информацию и средства, мешающие воспользоваться полученной информацией.
Наибольшую распространенность среди атак в информационном пространстве социальных сетей с использованием слабостей человеческого фактора получили атаки при помощи электронных писем, как то: e-mail и внутренняя почта сети. Именно к таким атакам можно с наибольшей эффективностью применять оба метода технической защиты. Помешать злоумышленнику получить запрашиваемую информацию можно, анализируя как текст входящих писем (предположительно, злоумышленника), так и исходящих (предположительно, цели атаки) по ключевым словам. К недостаткам данного метода можно отнести очень большую нагрузку на сервер и невозможность предусмотреть все варианты написания слов. К примеру, если взломщику становится известно, что программа реагирует на слово «пароль» и слово «указать», злоумышленник может заменить их на «пассворд» и, соответственно, «ввести». Так же стоит принимать во внимание возможность написания слов с заменой кириллических букв латиницей для совпадающих символов (a, c, e, o, p, x, y, A, B, C, E, H, K, M, O, P, T, X) и использование так называемого языка t].
Средства, мешающие воспользоваться полученной информацией, можно разделить на те, которые полностью блокируют использование данных, где бы то ни было, кроме рабочего места пользователя (привязка аутентификационных данных к серийным номерам и электронным подписям комплектующих компьютера, ip и физическому адресам), так и те, которые делают невозможным(или труднореализуемым) автоматическое использование полученных ресурсов (например, авторизация по системе Captcha, когда в качестве пароля нужно выбрать указанное ранее изображение или часть изображения, но в сильно искаженном виде). Как в первом, так и во втором случае известный баланс между ценностью требуемой информации и работой, требуемой для ее получения, смещается, вообще говоря, в сторону работы, так как частично или полностью блокируется возможность автоматизации. Таким образом, даже имея все данные, выданные ничего не подозревающим пользователем, например, с целью массово разослать рекламное сообщение (спам), злоумышленнику придется на этапе каждой итерации самостоятельно вводить полученные реквизиты.
ЗаключениеРазговор о секретах социальной инженерии можно продолжать бесконечно, но это все равно не защитит вас от злоумышленников и мошенников всех мастей. Среди них нередко попадаются весьма талантливые люди, проворачивающие на редкость изощренные комбинации, перед которым снял бы шляпу и сам Остап Бендер. Поэтому, типовых противодействий социальным инженерам не существует и не может существовать! Каждая ситуация требует индивидуального подхода и всестороннего рассмотрения.Единственная рекомендация - не допускайте бардака ни у себя дома, ни на работе. Расхлябанность, отсутствие дисциплины, халатность - вот главные дыры в системе безопасности, не компенсируемые ни какими, даже 1024-битными системами шифрования. Помните, что скупой платит дважды. Экономия на собственной безопасности до добра еще никого не доводила. |
1) Кевин Митник, Вильям Саймон «Искусство обмана»: Компания АйТи; 2004
2) Крис Касперски «Секретное оружие социальной инженерии»: Компания АйТи; 2005
3) Портал http://socialware.ru/
4) Домарев В. В. Безопасность информационных технологий. Системный подход — К.: ООО ТИД Диа Софт, 2004. — 992 с.
5) Информационная безопасность (2-я книга социально-политического проекта «Актуальные проблемы безопасности социума»). М.: «Оружие и технологии», 2009.
6) Гришина Н.В. – Организация комплексной защиты информации. – М: Гелиос АРВ, 2007. – 256.
7) Козиол Дж., Личфилд Д., Эйтэл Д., Энли К. и др. Искусство взлома и защиты систем. — СПб/ Питер, 2006. — 416 с: ил.
8) Официальный сайт «Лаборотории Касперского» http://www.securelist.com/ru/