Социальная инженерия

Говоря понятнее, социальная инженерия - это мошенничество, которое представляет собой универсальный и всемогущий инструмент, применяемый практически при всех сценариях вторжения. К социальной инженерии относится рассылка электронной почты с вирусами и Троянами, телефонные звонки в атакуемую организацию с целью выведать полезную для вторжения информацию, переговоры в чатах с целью выведать нужные хакеру данные и многое другое.

В Уроке 1 мы уже приводили пример письма, с помощью которого разного рода личности «напаривают лохов» с целью халявного доступа к Интернету. Другие примеры писем подобного рода можно найти в журналах «Хакер»; их содержание меняется в зависимости от наклонностей авторов, но есть и нечто общее. Суть этих писем одна - заставить «ламера» раскрыться и выдать конфиденциальную информацию или выполнить действия, разрушающие систему защиты компьютера, к примеру, запустить прикрепленное к письму вложение с хакер-ской программой, скажем, троянского коня.

Что удивительно, так это простота, с помощью которой можно обойти все препятствия системы защиты, воспользовавшись доверчивостью сотрудников атакуемой фирмы. Например, в [3] приводится пример взлома почтового ящика сотрудника фирмы, выполненный с помощью звонка в справочный отдел организации. Выдав себя за директора информационного отдела, «забывшего» свой пароль, позвонивший в справочный отдел один из авторов книги [3] тут же получил пароль прямо по телефону!

Еще более интересный метод взлома почтового ящика предлагается в [1]. Общаясь в чатах, хакер выведывает адрес почтового ящика своей жертвы (якобы для последующего общения). Далее хакер пытается открыть этот ящик и, не зная пароля, прибегает к услуге, часто предоставляемой почтовыми серверами забывчивым клиентам - предоставлению пароля при ответе на контрольный вопрос. Как правило, список этих вопросов невелик, и включает такие пункты, как «Любимое блюдо», «Имя вашей собачки», «Девичья фамилия матери» и тому подобное. Допустим, при попытке взлома почтового ящика будет задан вопрос «Любимое блюдо». Все, что теперь нужно сделать хакеру - это, общаясь в чате, выведать у своей жертвы гастрономические пристрастия.

По мере изложения материала мы будем постоянно обращаться к теме социальной инженерии, поскольку эта тема неисчерпаема. Всем, кто захочет еще больше углубить свои познания в этой области, рекомендуем обратиться к выпускам журнала «Хакер», все время преподносящего новинки в деятельности такого рода. Главное условие для их применения - наличие определенных специфических наклонностей и некоторые познания в человеческой психологии.