Если служащий открыл файл в домашнем каталоге другого служащего какой тип атаки он выполнил
Однако есть еще один тип злоумышленников, которые используют разные тактики, чтобы обойти наши инструменты и решения. Их называют «социальными инженерами», потому что они используют одну слабость, которая есть в каждой организации: человеческая психология. Используя телефонные звонки и другие средства общения с пользователями, эти злоумышленники вынуждают людей передавать доступ к конфиденциальной информации организации.
Социальная инженерия —термин, который охватывает широкий спектр вредоносных действий. Для целей этой статьи давайте сосредоточимся на пяти наиболее распространенных типах атак, которые используют социальные инженеры.
1. Фишинг
Фишинг является наиболее распространенным типом атаки социальной инженерии, которая происходит сегодня. Но что именно? На высоком уровне большинство фишинг-мошенников пытаются выполнить три вещи:
Получить личную информацию, такую как имена, адреса и номера социального страхования.
Использовать сокращенные или вводящие в заблуждение ссылки, которые перенаправляют пользователей на подозрительные веб-сайты, на которых размещаются фишинговые целевые страницы.
Включить угрозы, страх и чувство срочности в попытке заставить пользователя реагировать как можно быстрее.
2. Предлоги
Предлог — это еще одна форма социальной инженерии, где злоумышленники концентрируются на создании хорошего предлога или сфабрикованного сценария, который они используют, чтобы попытаться украсть личную информацию своих жертв. В этих типах атак мошенник обычно говорит, что им нужно определенное количество информации от своей цели, чтобы подтвердить свою личность. На самом деле они крадут эти данные и используют их для совершения кражи личных данных или проведения вторичных атак.
Более продвинутые атаки иногда пытаются обмануть своих целей, делая что-то, что злоупотребляет цифровыми и / или физическими недостатками организации. Например, злоумышленник может выдать себя за внешнего аудитора ИТ-услуг, чтобы он мог убедить группу физической безопасности целевой компании пустить их в здание.
В то время как фишинговые атаки в основном используют страх и срочность в своих интересах, атаки с предлогом основываются на создании ложного чувства доверия к жертве. Это требует от злоумышленника построить достоверную историю, которая оставляет мало места для сомнений со стороны их цели.
Предлог может принимать и принимает различные формы. Несмотря на это, многие субъекты угроз, принимающие этот тип атаки, решают маскироваться под кадры или сотрудников отдела развития финансов. Эта маскировка позволяет им ориентироваться на руководителей уровня С, как Verizon нашел в своем Отчете о расследованиях нарушений данных за 2019 год (DBIR) .
3. Приманка
Приманка во многом похожа на фишинговые атаки. Однако то, что отличает их от других видов социальной инженерии, — это обещание какого-либо предмета или блага, которые злоумышленники используют для соблазнения жертв. Приманки могут использовать предложение бесплатной загрузки музыки или фильмов, например, чтобы обманом заставить пользователей передать свои учетные данные для входа.
Злоумышленники могут также сосредоточиться на использовании человеческого любопытства с помощью физических средств.
Например, еще в июле 2018 года KrebsOnSecurity сообщил о кампании по нападению на государственные учреждения и органы местного самоуправления в Соединенных Штатах. Операция разослала китайские почтовые маркированные конверты, которые содержали запутанное письмо вместе с компакт-диском (CD). Цель состояла в том, чтобы разбудить любопытство получателей, чтобы они загружали компакт-диск и тем самым непреднамеренно заражали свои компьютеры вредоносным ПО.
Подобно травле, нападения quid pro quo обещают выгоду в обмен на информацию. Эта выгода обычно принимает форму услуги, тогда как травля обычно принимает форму пользы.
Один из наиболее распространенных типов атак «quid pro quo», появившихся в последние годы, — это когда мошенники выдают себя за Администрацию социального обеспечения США (SSA) . Эти поддельные сотрудники SSA связываются со случайными лицами, сообщают им, что с их стороны возникла проблема с компьютером, и просят, чтобы эти лица подтвердили свой номер социального страхования, все это направлено на кражу личных данных. В других случаях, обнаруженных Федеральной торговой комиссией (FTC), злоумышленники создают поддельные веб-сайты SSA, которые говорят, что могут помочь пользователям подать заявку на новые карты социального обеспечения, но вместо этого просто воруют их личную информацию.
Тем не менее, важно отметить, что злоумышленники могут использовать предложения quid pro quo, которые гораздо менее изощренны, чем уловки на тему SSA. Как показали предыдущие атаки, офисные работники более чем готовы отдать свои пароли за дешевую ручку или даже плитку шоколада .
5. Tailgating
Наш последний тип социальной атаки на сегодняшний день известен как «Tailgating». В этих типах атак кто-то без надлежащей аутентификации следует за проверенным сотрудником в ограниченную область. Злоумышленник может выдать себя за водителя службы доставки и подождать снаружи здания, чтобы начать работу. Когда сотрудник получает одобрение службы безопасности и открывает дверь, злоумышленник просит сотрудника придержать дверь, тем самым получая доступ в здание.
Tailgating не работает во всех корпоративных условиях, таких как крупные компании, входы в которые требуют использования карты-ключа. Однако на средних предприятиях злоумышленники могут завязать разговор с сотрудниками и использовать эту демонстрацию знакомства, чтобы обойти стойку регистрации.
Рекомендации по социальной инженерии
Злоумышленники, которые участвуют в атаках социальной инженерии, охотятся на человеческую психологию и любопытство, чтобы поставить под угрозу информацию. Помня об этом ориентированном на человека фокусе, организации должны помочь своим сотрудникам противостоять атакам такого типа.
Вот несколько советов, которые организации могут включить в свои обучающие программы по безопасности, которые помогут пользователям избежать схем социальной инженерии:
Не верьте предложениям от незнакомых людей. Сомневайтесь! Если предложения кажутся слишком хорошими, чтобы быть правдой, они, вероятно, это мошенничество.
Заблокируйте свой ноутбук, когда вы находитесь покидаете рабочее место.
Купить антивирусное программное обеспечение. Ни одно AV-решение не может защитить от любой угрозы, которая ставит под угрозу информацию пользователей, но они могут помочь защитить от некоторых атак.
Прочитайте политику конфиденциальности вашей компании, чтобы понять, при каких обстоятельствах вы можете или должны впустить незнакомца в здание.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
1. Как называется этап, в ходе которого вирусный код может воспроизводить
себя в теле других программ?
2. Как, одним словом можно назвать вредоносную программу?
3. Как называются вирусы, использующие для распространения сетевые
ресурсы?
4. От какого типа вирусов заражение компьютера происходит при открытии
файла?
5. Как называется класс вирусов, которые при воздействии не мешают работе
компьютера?
6. Как называется программа, предназначенная для устранения вирусов?
7. К какому виду антивирусных программ относится Аvast?
1 Заражение
2 Вирус
3 Спам?
4
5 скрытая угроза
6 антивирус
7 а какие виды вы проходили? не понятен вопрос этот
Программа, внутри которой находится вирус, называется зараженной программой.
Вредоносные программы можно разделить на три класса: черви, вирусы и троянские программы.
Черви — это класс вредоносных программ, использующих для распространения сетевые ресурсы. Используют сети, электронную почту и другие информационные каналы для заражения компьютеров.
Вирусы — это программы, которые заражают другие программы — добавляют в них свой код, чтобы получить управление при запуске зараженных файлов.
Троянские программы — программы, которые выполняют на поражаемых компьютерах несанкционированные пользователем действия, т. е. в зависимости от каких-либо условий уничтожают информацию на дисках, приводят систему к зависанию, воруют конфиденциальную информацию и т. д.
У вирусов 3 этапа действия (Слайд 14):
Заражение (попадание в компьютер)
Размножение (вирусный код может воспроизводить себя в теле других программ)
Вирусная атака (после создания достаточного числа копий программный вирус начинает осуществлять разрушение: нарушение работы программ и ОС, удаление информации на жестком диске, самые разрушительные вирусы вызывают форматирование жесткого диска)
1. Заражение
2. Вирус, malware
3. Черви
4. Троян
5. Шпион
6. Антивирус
7. Аvast - пакет программ безопасности: антивирус, сканер, монитор, брандмауэр и др.
Иногда, во время работы информационных систем возникают различные сбои. Некоторые из них - по чьей-то оплошности, а некоторые, как результат злонаправленных действий. Как бы то нибыло эти действия причиняют ущерб. Поэтому будем называть такие события атаками, независимо от причин их возникновения.
Существуют четыре основных категории атак:
◾атаки доступа;
◾атаки модификации;
◾атаки на отказ в обслуживании;
◾атаки на отказ от обязательств.
Имеется огромное множество способов выполнения атак: при помощи специально разработанных средств, через уязвимые места компьютерных систем. При социальном инжиниринге для получения несанкционированного доступа к системе не используются технические средства. Злоумышленник получает информацию через обычный телефонный звонок или проникает внутрь организации под видом ее служащего. Атаки такого рода наиболее разрушительны.
В основном атаки, нацеленные на захват информации, хранимой в электронном виде, имеют одну интересную особенность: информация не похищается, а копируется. Она остается у исходного владельца, но при этом ее получает и злоумышленник. Таким образом, владелец информации несет убытки, а обнаружить момент, когда это произошло, очень трудно.
Атаки доступа
Атака доступа - это попытка злоумышленика получить информацию, на просмотра которой у него нет разрешений. Выполнение такой катогории атаки возможно везде, где существует информация и средства для ее передачи . Атака доступа направлена на нарушение конфиденциальности информации.
Подсматривание
Подсматривание (snooping) - это просмотр файлов или документов для поиска интересующей злоумышленника информации. Подсматривать можно не только физически существующие данные (распечатки), но и информацию хранящуюся в электронном виде.
Подслушивание
Когда злоумышленник слушает разговор, участником которого он не является, это называется подслушиванием (eavesdropping). Для подслушивания злоумышленник должен находиться поблизости от информации, хотя иногда достаточно использовать специальные электронные устройства.
Используемые в последнее время беспроводные сети увеличили вероятность выполнения успешного прослушивания. Теперь злоумышленнику не нужно находиться внутри системы или физически подключать подслушивающее устройство к сети. Вместо этого во время сеанса связи он располагается в зоне действия беспроводных систем, например находясь на стоянке автомобилей или вблизи здания.
Перехват
В отличие от подслушивания перехват (interception) - это активная атака. Злоумышленник перехватывает информацию в процессе доставки к месту назначения. После ее анализа принимается решение о разрешении / запрете ее дальнейшей передачи.
Выполнение атаки доступа на электронные документы
Информация в электронном виде как правило хранится:
◾на рабочих станциях;
◾на серверах;
◾в портативных компьютерах;
◾на внешних носителях;
◾на резервных магнитных лентах.
Злоумышленник может украсть носитель данных (дискету, компакт-диск, резервную магнитную ленту или портативный компьютер). Иногда это сделать легче, чем получить доступ к файлам, хранящимся в компьютерах.
Правильно настроенные разрешения предотвратят случайную утечку информации. Однако серьезный взломщик постарается обойти систему контроля и получить доступ к нужной информации. Существует большое количество уязвимых мест, которые помогут ему в этом.
При прохождении информации по сети к ней можно обращаться, прослушивая передачу. Взломщик делает это, устанавливая в компьютерной системе сетевой анализатор пакетов (sniffer). Анализатор настроен на захват любой информации, проходящей по сети, но особенно злоумышленнику интересны - пользовательские идентификаторы и пароли.
Как уже говорилось выше, появление беспроводной технологии позволяет взломщикам перехватывать трафик без физического доступа к системе. Беспроводные сигналы считываются на довольно большом расстоянии от их источника.
Подслушивание выполняется и в глобальных компьютерных сетях типа Интернет, но такой тип перехвата требует наличия соответствующей аппаратуры и специальных знаний. В этом случае наиболее удачным местом для размещения специального оборудования, может стать этажный шкаф оборудования провайдера.
Перехват возможен даже в системах оптико-волоконной связи (в которой отсутствует электомагнитное излучение) с помощью специализированного оборудования.
Информационный доступ с использованием перехвата - одна из сложнейших задач для злоумышленника. Чтобы добиться успеха, он должен поместить свою систему в линии передачи между отправителем и получателем информации. В интернете это выполняется посредством изменения имени, в результате чего при выполнении разрешения имени компьютера его имя преобразуется в неправильный адрес. Трафик перенаправляется к системе атакующего вместо реального узла назначения. При соответствующей настройке такой системы отправитель так и не узнает, что его информация не дошла до получателя.
Атака модификации
Атака модификации - это попытка неправомочного изменения информации. Такая атака возможна везде, где существует или передается информация; она направлена на нарушение целостности информации
Замена
Одним из видов атаки модификации является замена существующей информации, например, изменение заработной платы служащего. Атака замены направлена как против секретной, так и общедоступной информации.
Добавление
Другой тип атаки - добавление новых данных, например, в информацию об истории прошлых периодов. Взломщик выполняет операцию в банковской системе, в результате чего средства со счета клиента перемещаются на его собственный счет.
Удаление
Атака удаления означает перемещение существующих данных, например, аннулирование записи об операции из балансового отчета банка, в результате чего снятые со счета денежные средства остаются на нем.
Выполнение атаки модификации
Как и атаки доступа, атаки модификации выполняются по отношению к информации, хранящейся в виде бумажных документов или в электронном виде на компьютере
Документы
Документы сложно изменить так, чтобы этого никто не заметил: при наличии подписи (например, в контракте) нужно позаботиться о ее подделке, скрепленный документ необходимо аккуратно собрать заново.
Примечание
При наличии копий документа их тоже нужно переделать, как и исходный. А поскольку практически невозможно найти все копии, подделку заметить очень легко.
Очень трудно добавлять или удалять записи из журналов операций. Во-первых, информация в них расположена в хронологическом порядке, поэтому любое изменение будет сразу замечено. Лучший способ - изъять документ и заменить новым. Для атак такого рода необходим физический доступ к информации.
Информация, хранящаяся в электронном виде
Изменить информацию, хранящуюся в электронном виде, значительно легче. При наличии соответствующего доступу к системе, такая операция оставляет после себя минимум улик. При отсутствии санкционированного доступа злоумышленник первоначально обеспечивает себе вход в систему или снимает разрешения с файла. Атаки такого рода используют уязвимые места систем, например, "бреши" в безопасности сервера , позволяющие заменить домашнюю страницу.
Изменение файлов базы данных или списка транзакций должно выполняться очень осторожно. Транзакции нумеруются последовательно, и удаление или добавление неправильных операционных номеров будет замечено. В этих случаях необходимо основательно поработать во всей системе, чтобы воспрепятствовать обнаружению.
Труднее произвести успешную атаку модификации при передаче информации. Лучший способ - сначала выполнить перехват интересующего трафика, а затем внести изменения в информацию перед ее отправкой к пункту назначения.
Выполнение атаки на отказ в обслуживании
Атаки на отказ в обслуживании (Denial-of-service, DoS) - это атаки, приводящие к невозможности получения информации легальным пользователям. В результате DoS-атаки злоумышленник обычно не получает доступа к компьютерной системе и не может оперировать с информацией, он просто делает систему или находящуюся в ней информацию недоступной.
Отказ в доступе к информации
В результате DoS-атаки, направленной против информации, последняя становится непригодной для использования. Информация уничтожается, искажается или переносится в недоступное место.
Отказ в доступе к приложениям
Другой тип DoS-атак направлен на приложения, обрабатывающие или отображающие информацию, или на компьютерную систему, в которой эти приложения выполняются. В случае успеха подобной атаки решение задач, выполняемых с помощью такого приложения, становится невозможным.
Отказ в доступе к системе
Общий тип DoS-атак ставит своей целью вывод из строя компьютерной системы, в результате чего сама система, установленные на ней приложения и вся сохраненная информация становится недоступной.
Отказ в доступе к средствам связи
Как выполняются атаки на отказ в обслуживании
DoS-атаки обычно направлены против компьютерных систем и сетей.
Существует много способов выполнения DoS-атак, способных повредить информацию, хранящуюся в электронном виде. Ее можно удалить, а для закрепления успеха злоумышленник удалит и все резервные копии этой информации. Он может привести файл в негодность, зашифровав его и затем уничтожив ключ шифрования. Доступ к информации будет потерян, если не существует резервной копии файла.
Физическая атака DoS - это и физическое уничтожение компьютера (или его кража). Пример кратковременной атаки DoS - отключение компьютера, в результате которого пользователи лишаются доступа к своим приложениям.
Существуют атаки DoS, нацеленные непосредственно на компьютерную систему. Они реализуются через эксплоиты, использующие уязвимые места операционных систем или межсетевых протоколов.
Злоумышленникам хорошо известны и "бреши" в приложениях. С их помощью атакующий посылает в приложение определенный набор команд, который оно не в состоянии правильно обработать, в результате чего приложение выходит из строя. Перезагрузка восстанавливает его работоспособность, но на время перезагрузки работать с приложением становится невозможно.
Самый легкий способ привести в нерабочее состояние средства коммуникации - это перерезать сетевой кабель. Для такой атаки требуется физический доступ к проводке, но, как мы увидим дальше, ковш экскаватора является мощным инструментом DoS-атак.
DoS-атаки, направленные на средства связи, выполняют отправку на сайт непомерно большого трафика. Этот трафик буквально переполняет коммуникационную инфраструктуру, лишая доступа к сети легальных пользователей.
Но не все DoS-атаки являются преднамеренными, иногда случайность играет большую роль в возникновении подобных инцидентов. Экскаватор, о котором говорилось выше, может оборвать оптико-волоконную линию передачи во время выполнения своей обычной работы. Такой обрыв уже служил поводом множества DoS-инцидентов для пользователей телефонных сетей и интернета. Разработчики, тестирующие новый программный код, иногда выводили из строя большие системы, совершенно того не желая. Даже дети становятся причиной случайной DoS-атаки. Во время экскурсии по центру обработки данных ребенок будет настолько очарован мерцающими повсюду огоньками, что не удержится от соблазна нажать на красивую кнопку - и остановит или перезагрузит всю систему.
Атака на отказ от обязательств
Эта атака направлена против возможности идентификации информации, другими словами, это попытка дать неверную информацию о реальном событии или транзакции.
Маскарад
Маскарад - это выполнение действий под видом другого пользователя или другой системы. Такая атака реализуется при связи через персональные устройства, при осуществлении финансовых операций или при передаче информации от одной системы к другой.
DoS-атаки против интернета
Целью DoS-атак обычно является отдельная компьютерная система или линия связи, но иногда они направлены против всего интернета! Так в 2002 г. произошла атака на серверы корневых имен интернета. Они были буквально "завалены" запросами на разрешение имен. Запросов было так много, что некоторые компьютеры вышли из строя. Но атака не имела полного успеха, так как многие серверы не потеряли работоспособность, и интернет продолжал функционировать. Если бы удалось вывести из строя все серверы, то интернет стал бы недоступным по большинству разрешенных имен.
Отрицание события
Отрицание события - это отказ от факта совершения операции. Например, человек делает покупку в магазине при помощи кредитной карты. Когда приходит счет, он заявляет компании, предоставившей ему кредитную карту, что никогда не делал этой покупки.
Выполнение атаки на отказ от обязательств
Это справедливо и для информации, передаваемой компьютерными системами. Система может назначить себе любой IP-адрес и замаскироваться под другую систему.
Итак, обнаружение атак - дело нелегкое. Вы можете использовать для этого электронные средства, но не пренебрегайте проблемами физической безопасности и персоналом своей организации.
Наконец, при выработке стратегии не ограничивайтесь компьютерами и сетями. Подумайте о том, как злоумышленник может использовать физические средства для получения информации или для ее уничтожения.
varb: array [1..8] of integer; r,q: integer; begin for r: =1 to 8 do begin q: =0; read(b[r]); end; for r: =1 to 8 do if b[r] mod 2=1 then q: =q+b[r]; writeln; writeln('сумма нечетных чисел равна ',q); end.
скорость в мб/c 100/8 = 12,5 мб/c
переведем в кб/с = 12,5 * 1024 = 12800 кб/с
тогда время передачи будет равно t= 100/12800 = 0,0078125 секунд
Похожие вопросы:
Рассмотри буквы. и н п м ш элементы, из которых состоят эти буквы: и i надо из каждой буквы выбрать один символ, но чтоб этот символ отличался от других букв.
Внебольшом канадском городке, часть жителей умеет говорить только на , часть на французком. по говорит 85%, на французком 75%. какой процент жителей говорит на двух языках.
Вычислите, результат представьте в десятичной системе счисления: 77(10)-7d(16)/100(2)+21(8) (10) (16) (2) (8) это системы счисления
Согласно рекомендации классного руководителя, должен был выполнить такой объем работы, что на сон времени вообще не остается. поэтому работа должна выполняться не вся . если первая работа занимает 1 объем
времени, вторая -2 объема, третья 4, четвертая 8 и т. д. , то какие работы надо выбрать, что бы выполнить работу объемом n?
После преобразования растрового 256 цветного графического файла в чёрно-белый (2 цвета) его размер уменьшился на 70 байт. каков был размер исходного файла?
Однажды утром, несколько лет тому назад, группа незнакомцев вошла в большую фирму и вышла с доступом ко всей корпоративной сети фирмы. Как они сделали это? Получая маленькие количества доступа, понемногу от множества служащих в той фирме. Сначала они в течение двух дней изучили компанию перед тем, как войти в нее. Например, они узнали имена ключевых служащих. Затем они притворились, что потеряли ключ от парадной двери, и кто-то впустил их. Затем они «потеряли» свои идентификационные карточки при входе на третий защищенный уровень, улыбнулись, и добрый служащий открыл им дверь.
Правдивая история.
Однажды утром, несколько лет тому назад, группа незнакомцев вошла в большую фирму и вышла с доступом ко всей корпоративной сети фирмы. Как они сделали это? Получая маленькие количества доступа, понемногу от множества служащих в той фирме. Сначала они в течение двух дней изучили компанию перед тем, как войти в нее. Например, они узнали имена ключевых служащих. Затем они притворились, что потеряли ключ от парадной двери, и кто-то впустил их. Затем они «потеряли» свои идентификационные карточки при входе на третий защищенный уровень, улыбнулись, и добрый служащий открыл им дверь.
Незнакомцы знали, что главного финансового администратора (ГФА) не было в городе, так что они могли проникнуть в его офис и получить финансовую информацию с его разблокированного компьютера. Они перерыли мусор корпорации в поисках полезных документов. Попросив у швейцара мусорное ведро, они поместили туда все, что насобирали, и вынесли в руках из здания. Незнакомцы изучили голос ГФА, поэтому смогли позвонить от его имени и срочно потребовать его сетевой пароль. Далее, они использовали обычные инструменты взлома, чтобы получить суперпользовательский доступ в систему.
В данном случае, незнакомцы оказались сетевыми консультантами, проверяющими безопасность в корпорации по заказу ГФА. Они не получали никакой привилегированной информации от ГФА, но смогли получить требуемый им доступ с помощью социотехники. (Подробно эта история изложена Kapil Raina, экспертом по безопасности в Verisign и соавтором mCommerce Security: A Beginner's Guide, основанной на реальном опыте с предыдущим работодателем.)
Определения.
Большинство статей на тему социотехники, начинаются с определений типа "искусство и наука подчинения людей вашим желаниям" (Bernz 2), "использование хакером психологических уловок на легитимных пользователях компьютерной системы с целью получения информации, необходимой для доступа к системе" (Palumbo), или "получение необходимой информации (например, пароля) от человека вместо взлома системы" (Berg). В действительности, социотехника может быть чем угодно из этого, в зависимости от того, в какой ситуации вы находитесь. Единственное, с чем должен согласится каждый, это что социотехника обычно есть умная манипуляция хакера на естественной человеческой черте – доверии. Цель хакера – получить информацию, которая позволит ему получить неавторизованный доступ к ценной системе и информации, которая находится на ней.
Безопасность держится на доверии. Природная человеческая готовность принимать что-то на слово делает многих из нас уязвимыми к атаке. Многие опытные эксперты по безопасности подчеркивают этот факт. Независимо от того, как много статей опубликовано о сетевых дырах, патчах, firewall’ах, мы можем только значительно уменьшить угрозу…, а затем она возрастет из-за Мэгги из бухгалтерии или ее друга, Вилла, дозванивающегося с удаленного компьютера.
Цель и атака
Основные задачи социотехники – те же, что и у взлома вообще: получить неавторизованный доступ к системе или информации для совершения мошенничества, сетевого вторжения, промышленного шпионажа, или просто для разрушения системы или сети. В типичные цели входят телефонные компании, крупные корпорации и финансовые институты, военные и правительственные агенства, и больницы.
Что касается того, почему организации подвергаются этим атакам – зачастую это более легкий путь получения незаконного доступа, чем многие виды технического взлома. Даже для людей-техников зачастую гораздо проще просто поднять трубку телефона и спросить у кого-либо его пароль. Именно это хакер зачастую и делает.
Социотехнические атаки применяются на двух уровнях: физическом и психологическом. Сначала мы сосредоточимся на физических способах атаки: рабочее место, телефон, мусорная корзина, и даже компьютерная сеть. На рабочем месте, хакер может просто войти в дверь, как в кино, и изобразить рабочего из обслуживания или консультанта, который имеет допуск к организации. Затем он начнет расхаживать по офису, пока не найдет несколько паролей, лежащих вокруг, затем покинет здание с информацией, достаточной для вторжения в сеть из дома ближайшей ночью. Другой способ получения паролей – просто встать рядом и наблюдать, как рассеянный пользователь вводит свой пароль.
Социотехника по телефону
Наиболее распространенный способ проведения социотехнических атак – по телефону. Хакер звонит и имитирует кого-то (например, начальника), постепенно вытягивая информацию из пользователя. Телефоны помощи особенно склонны к таким атакам. Хакер может сымитировать внутренний телефонный звонок в компании (например, позвонить, и несколько раз попросит перевести его с номера на номер), и в конце концов сказать: “Переведите меня, пожалуйста, на номер 98… (где … это - еще 7 цифр)”. Так как на большинстве офисных мини-АТС цифра 9 – это выход на внешнюю линию, а 8 – это выход на междугороднюю линию, то хакер за счет компании позвонит в другой город.
Или вот еще один пример получше. Вам позвонят в полночь и спросят “Вы звонили в Египет в течение последних 6 часов?” – “Нет”. Тогда они скажут “у нас есть активный звонок, звонят по вашей карте в Египет. Сумма уже составляет около 2000 долларов. Вам нужно это оплатить”. Вы начнете возмущаться. Далее они скажут “Я готов рискнуть своей работой, но избавить вас от этого. Для этого вы должны сказать мне номер и PIN своей карты”. Люди не устоят перед этим.
Телефоны помощи уязвимы в частности потому, что они предназначены специально для помощи, что и используется людьми, пытающимися получить недозволенную информацию. Сотрудники, отвечающие на этих телефонах, обучены быть дружелюбными и выдавать информацию, так что это золотая жила для социотехники. Большинство сотрудников на этих телефонах имеют минимум образования в области безопасности, так что стараются просто отвечать на вопросы и переходить к следующему телефонному звонку. Это может создать огромную дыру в безопасности.
Live Computer Security Institute демонстрирует такой пример уязвимости телефонов помощи, когда хакер звонит в компанию и просит соединить его со справочной. “Кто сегодня дежурный администратор?” – “Бэтти.” – “Соедините меня с Бэтти.” Его соединяют. “Привет, Бэтти, плохой день сегодня?” – “Да нет, почему это?” – “У вас система не работает.” Она отвечает “Да нет, у нас все работает.” Он говорит “попробуйте выйти из системы.” Она выходит. Он говорит “а теперь снова войдите.” Она входит. Он говорит “мы не видим никаких изменений. Попробуйте еще раз выйти.” Она выходит. – “Бэтти, мне придется войти в систему под вашим именем, чтобы понять, что происходит с вашим эккаунтом. Скажите мне имя и пароль.” После этого администратор говорит ему нужный пароль. Дело сделано!
Разновидность телефонной темы – оплата по телефону. Хакеры стоят за спиной, чтобы узнать номера кредитных карт и PIN-коды. В людных местах около телефонов-автоматов всегда много народа – так что нужно быть очень осторожными.
Копание в мусоре
Копание в мусоре – еще один популярный метод социотехники. В мусоре компании можно собрать огромное количество информации. The LAN Times перечислил следующие предметы, которые могут создать угрозу безопасности компании, оказавшись в мусоре: телефонные книги компании, структура организации, записки, руководства политики компании, календари встреч, событий и отдыха, системные руководства, распечатки чувствительных данных или логинов и паролей, распечатки исходного текста программ, дискеты и пленки, фирменные бланки компании, устаревшее оборудование.
Эти источники могут обеспечить богатую информацию для хакера. Телефонные книги могут дать могут дать имена и номера телефонов людей, которых можно “обработать”. Структура организации содержит информацию о людях, имеющих власть в организации. Записки содержать маленькие кусочки информации, необходимой для создания подлинности своего статуса. Руководства политики показывают хакерам уровень безопасности в компании. Календари тоже очень полезны – они могут сказать хакерам, кого из сотрудников не будет в городе в определенное время. Системные инструкции, чувствительные данные и другие источники технической информации могут дать хакерам то, что им нужно для взлома компьютерной сети. Наконец, устаревшее оборудование, в частности жесткие диски, могут быть восстановлены для получения разнообразной полезной информации.
Социотехника в Сети
Интернет – богатая почва для социотехники в поисках паролей. Наибольшая уязвимость в том, что многие пользователи часто используют один и тот же простой пароль во всех эккаунтах: будь то e-mail или что-то еще. Таким образом, если хакер получил один пароль, он наверняка сможет войти во множество эккаунтов. Один известный способ, которым хакеры получают пароли – через онлайновые формы: они могут послать некоторую интересную информацию и попросить вас ввести имя (включая e-mail адрес – в этом случае они даже могут получить корпоративный эккаунт человека) и пароль. Эти формы могут посылаться как через e-mail, так и через обычную почту. Обычная почта даже предпочтительней, так как вызывает большее доверие.
Другой путь получения хакерами информации онлайн – притвориться сетевым администратором и послать e-mail пользователю с запросом на его пароль. Этот способ атаки обычно не работает, поскольку пользователи в сети, как правило, более информированы о хакерах, однако об этом не следует забывать. Кроме того, хакеры могут создать самооткрывающиеся окна, выглядящие вполне естественно и запрашивающие повторно ввести имя пользователя и пароль, чтобы устранить некоторые проблемы. Большинство пользователей уже должны знать, что не желательно посылать пароль как простой текст, но не повредит, если системный администратор напомнит об этой простой мере безопасности. Даже лучше, если сисадмины предупредят своих пользователей, чтобы они не раскрывали свои пароли за исключением случаев беседы лицом к лицу с сотрудником, который уполномочен на это, и которому можно доверять.
E-mail также может использоваться для более прямых средств получения доступа к системе. Например, почтовые вложения, посланные от известного вам человека, могут содержать вирусы, сетевых червей и троянских коней. Хорошим примером этого является взлом AOL, описанный VIGILANTe. Хакер позвонил в отдел технической поддержки AOL и около часа разговаривал с сотрудником поддержки. Во время беседы хакер упомянул, что он дешево продает свой автомобиль. Сотрудник тех. поддержки заинтересовался, и хакер послал ему e-mail с вложением “фото машины”. Вместо фотографии, из письма запустился троянский конь, который открыл в firewall доступ к AOL.
Убеждение
Хакеры изучают социотехнику с психологической точки зрения, обращая особое внимание на то, как создать совершенную психологическую среду для атаки. Основные методы убеждения включают: олицетворение, покорение, соответствие, разделение ответственности, и простое дружелюбие. Вне зависимости от используемого метода, основная цель состоит в том, чтобы убедить человека, раскрывающего информацию, в том, что хакер и есть тот человек, которому он может доверить эту информацию. Другой важный момент – никогда не запрашивать слишком много информации сразу, а спрашивать понемногу у каждого человека, чтобы не вызвать подозрений.
Олицетворение обычно означает создание и игра определенной роли. Чем проще роль, тем лучше. Иногда это мог бы быть просто звонок со словами: “Привет, это Джо из административной информационной системы, мне нужен ваш пароль”, но это не всегда работает. В другой раз хакер изучит реального сотрудника из организации, а затем дождется, когда того не будет в городе, чтобы исполнить его роль по телефону. Согласно Bernz, хакеры, которые тщательно прорабатывают роль, используют маленькие коробочки для маскировки своего голоса и изучают манеру говорить и структуру организации. Я бы сказал, это наименее типичный способ атаки олицетворения, поскольку требует длительной подготовки, но все же такое случается.
Список стандартных ролей, которые могут играть имитаторы, включает: ремонтник, IT-поддержка, менеджер, доверенное третье лицо (например, исполнительный помощник Президента, который звонит со словами, что Президент дал ей согласие на получение определенной информации), или такого же служащего. В огромной компании это не так сложно сделать. Невозможно знать всех – поэтому и легко обмануться относительно личности имитатора. Большинство этих ролей попадает под категорию кого-то, имеющего власть, что заставляет людей подчиниться. Большинство сотрудников хотят впечатлить босса, так что они сделают все, чтобы обеспечить требуемой информацией кого-то из руководства.
Соответствие – это групповое поведение, но иногда может использоваться в индивидуальном порядке путем убеждения пользователя, что все давали хакеру такую же информацию, которую он сейчас запрашивает. Таким образом, хакеры распространяют ответственность служащего, отдающего пароль, на других служащих, что снижает его беспокойство.
Зачастую лучший способ для получения информации с помощью социотехнической атаки – просто быть дружелюбным. Идея в том, что средний пользователь хочет верить коллеге, с которым говорит по телефону и хочет помочь, таким образом, хакеру только требуется действовать более-менее правдоподобно. Более того, большинство сотрудников отвечают охотно, в особенности женщинам. Небольшая лесть или флирт могли бы даже помочь смягчить служащего для дальнейшего сотрудничества, но умный хакер знает, когда прекратить вытягивать информацию до того, как служащий заподозрит что-либо странное. Например, наверняка сработает следующее: “Извините (взмах ресницами), я попала в затруднительную ситуацию, не могли бы вы помочь мне?”
Обратная социотехника
Более продвинутый метод получения запрещенной информации известен как “обратная социотехника”. В данном случае хакер создает персону, которая оказывается в авторитетном положении, так что сотрудники сами будут обращаться за помощью к нему, а не куда-либо еще. Если атака обратной социотехники хорошо разработана и исполнена, она может дать хакеру больше шансов в получении ценной информации от сотрудников; однако, это требует огромной работы по подготовке, исследованию и предварительному взлому.
Согласно Methods of Hacking: Social Engineering, статье Рика Нельсона, существуют три части обратной социотехнической атаки: саботаж, реклама и помощь. Хакер подрывает деятельность сети, создавая определенные проблемы. Затем он представляется тем специалистом, который может решить проблемы, а когда приходит выполнить эту работу, он запрашивает у сотрудников требуемую ему информацию, получая таким образом то, для чего в действительности он сюда пришел. Они никогда не узнают, что это был хакер, поскольку их проблема с сетью исчезла и все счастливы.
Заключение
Как бороться с социотехническими атаками? Читайте в следующей части.
Один хакер может причинить столько же вреда, сколько 10 000 солдат! Подпишись на наш Телеграм канал, чтобы узнать первым, как выжить в цифровом кошмаре!
Читайте также: