“Несмотря на интеллект, мы люди – вы, и любой другой – остаемся самой серьезной угрозой для любой другой защиты”
– Кевин Митник
Несмотря на то, что термин «Социальный инжиниринг» в области информационной безопасности достаточно распространен, в Интернете вы не найдете единого всеобъемлющего определения. В сети существует масса мнений, чем является социальный инжиниринг от психологического манипулирования людьми до ряда методов или способов получения информации.
Одна из причин существования разновекторных мнений кроется в том, что люди часто путают методы, способы и инструменты социального инжиниринга, принимая отдельные его составные части за целое явление. Все что обывателю доступно в информационном поле – это разрозненные описания отдельных частей, но весь диапазон возможностей, и инструментарий структурировано нигде не описан. Нет комплексного взгляда на явление ни в книгах, ни в сети.
Информация, представленная в статье, поможет лучше разобраться в вопросах: чем же на самом деле является социальный инжиниринг и почему он настолько эффективен? Статья написана на базе научных исследований, которые проводились под эгидой Института Информационной Безопасности на стыке наук психологии и прикладной науки. Результаты исследования были представлены на закрытой встрече в киевском офисе Европейской академии Наук Украины.
Чем является социальный инжиниринг?
Сам термин “Социальный инжиниринг” активно начал использоваться в 90-х годах прошлого столетия с легкой руки одного из самых известных хакеров в мире Кевина Митника – человека, который мог взломать все и всех, и практически всегда использовал социальный инжиниринг как элемент “взлома”. В данный момент Кевин Митник — знаковая фигура в сфере информационной безопасности, писатель, консультант по ИБ.
Вопреки расхожему стереотипу, что атаки злоумышленников нацелены на компьютерные системы и девайсы с целью получения закрытых и секретных данных, несущих особую ценность, такие ведущие эксперты по безопасности как Джон Макафи, Кевин Митник, Брюс Шнайер убеждены в обратном:
главная угроза – это люди. В первую очередь, “взламывают” людей, а не системы технологической защиты.
Зачем “взламывать” систему, если можно “взломать” человека, который вам и так скинет пароль. Зачем тратить круглые суммы денежных средств на технические методы, если можно найти человека, которого можно “взломать”? Все атаки, которые мы знаем, содержат в себе элементы социальной инженерии.
“Несмотря на интеллект, мы люди – вы, и любой другой – остаемся самой серьезной угрозой для любой другой защиты”
– Кевин Митник
“Сегодня хакеры взламывают живых людей, вместо того чтобы взламывать систему и подбирать пароли. 99% атак сейчас выглядит именно так.”
– Джон Макафи
“Только атаки дилетантов нацелены на машины: атаки профессионалов нацелены на людей”
– Брюс Шнайер
Социальный инжиниринг, что это такое на самом деле? Это специальная область закрытых знаний, которые применяются далеко не во благо. Если простым языком, когда одна группа недоброжелательных персон, обращает внимание на другую группу лиц, с целью использования их в своих интересах, чтобы всегда получать тот результат и тот итог, который ей угодно.
Исходя из модели можно рассматривать главный аспект “взлома” в ключе изменения траектории движения жизни человека с помощью психологического воздействия на него третьих лиц с целью побуждения человека к определенных действий, в частности разглашения инсайдерской информации. Но перед тем, как человек начинает совершать действия в пользу злоумышленников с ним, что-то должно произойти.
Диапазон применения
Область применения социального инжиниринга находится в диапазоне от примитивных “технических взломов” с целью получения конфиденциальной информации – вплоть до уровня использования “взлома” как инструмента терроризма. Когда в руках третьих лиц психологические методы воздействия социального инжиниринга превращаются в грозное и опасное оружие.
Одно из наиболее ярких проявлений такого явления, пример с Абу Мухаммад Аль-Аднани – официальным представителем ИГИЛ по работе со СМИ. Г-н Аднани, территориально располагаясь где-то в Нью-Йорке писал в сети Интернет под разными фейками, для кого-то он стал другом, для кого-то братом, для кого-то наставником, а для кого-то просто поддержкой. Общаясь в социальных сетях, завоёвывая людское доверие, он становился к ним все ближе и ближе. И умел таким способом воздействовать на людей, что они беспрекословно выполняли его поручения, на счету г-на Аднани более 20-ти терактов в различных точках мира.
Если представить на модели, диапазон технологичности социального инжиниринга, располагается по принципу айсберга. Видимая верхушка айсберга очень малая часть, а то, что спрятано под водой невидимо. Вот так и здесь видимая верхушка социального инжиниринга – стереотипные технические методы, все остальное – технологическая глубина, которая доходит вплоть до уровня специальных знаний для применения терроризма, скрывающаяся в толще воды от посторонних глаз. Опасность этой субстанции в том, что она всепроникающая. Ей все равно с какими лицами работать, неприкасаемых нет. Она не мыслит такими категориями как родственники, партнеры, друзья, коллеги, приятели. Она мыслит категориями замков, человек – это замок, который можно “взломать”. Любой замок можно взломать. Неприкасаемых людей не существует!
Стоит подчеркнуть, что людей “взламывают” не только ради куша, но пока его нет, человек менее привлекателен.
Почему “взлом” возможен и как это происходит?
В практической части социального инжиниринга существует параметр соединения – психологическая и техническая составляющие, которые находятся в руках недобросовестных персон.
Если перейти на модель замка, можно попытаться объяснить следующим образом. У человека присутствует 4 уровня сложности замков и своя собственная комбинация замковой системы. “Взлом” человека возможен, когда подобрана верная комбинация, вставлен и провернут психологический ключ, подходящий уровню замка.
Первый самый низший уровень замка – простой уровень сложности, эффект от его “взлома” может быть кратковременный, имеет прямую зависимость от менталитетной составляющей.
Второй уровень замка, имеет более высокую степень защиты, когда люди позволяют использовать себя в качестве запчасти одной большой системы, не владея данными о всей системе.
Третий и четвертый уровни замков имеют наивысшую степень защиты, только профессионалы высокого класса, обладающие специальными навыками и знаниями, смогут их “взломать”, подобрав верный психологический ключ. Это сама суть человека то, что лежит не на поверхности.
Почему возможны провороты этих замков? Вероятно, должны существовать некие механизмы, которые заставляют замок провернуться, и такие механизмы есть.
Что стоит за каждым из замков и толкает людей на действия?
Такие категории, как стереотип, вероятности, необходимость и страх отвечают за то, что толкает людей совершать определенные действия угодные злоумышленникам. Рассмотрим подробнее каждую из категорий.
Страх – самая распространенная точка “взлома”. Пусковая, которая реализует у человека страх – это ответственность. В 98% случаев из 100% он на себя ответственность брать не хочет в силу психологических характеристик современного человека. И готов сделать все, чтобы эту ответственность переложить на кого-то другого. Пружина ответственности запускается в психике тогда, когда человек себе сказал, что не хочет заниматься каким-то делом, что в свою очередь запускает по цепной пружину страха.
Вероятности – очень частое явление, проявляется как: “получится/не получится”, “выйдет/не выйдет”, “будет/не будет”, “а если…”, “а вдруг…” и так далее. Когда у человека нет плана и ориентировки, вероятности одолевают его как течение реки и начинают нести в какую-то сторону, потому как нет ясности и понимания, что делать дальше. Как только плана не стало и глаза в паволоке не понимают, что здесь и сейчас происходит, возникает множество вероятностей.
Необходимость, в этом механизме ключевой фактор – время. У каждого человека есть своя комфортная зона времени. Например, заработать 10 000 в неделю комфортно, но если 7 дней сокращают до 12 часов, то тут необходимость искусственно взвинчивается. В этот момент “необходимости” чаще всего сам человек начинает искать “помощников”. И тогда появляется рука дающего, чтоб “помочь” закрыть эту “необходимость”. Чаще всего вектор помощи в этом случае самый играющий. Как только вам “помогли”, вы становитесь должны. А долг в нашем менталитете выше, чем жизнь. Если должен, будешь делать. Не захочешь, с тебя спросят. И это уже другой сценарий в жизни “взломаного” человека.
Стереотип – общее представление, как что-либо делали до меня. Если человек чего-то не знает, не умеет, он начинает смотреть по сторонам. И тут может подойти человек со словами: “я уже был в такой ситуации, как и ты. И я сделал определенные вещи… Пойдем я тебя познакомлю с…”. И человек в этот момент идет с удовольствием туда, куда его ведут. Потому что там уже лежит готовый шаблон того, как эта ситуация автоматически разрешается. Система стереотипа работает безотказно.
Весь вопрос в том, с какого уровня 4-х замков будут заходить для “взлома” человека и с какой точки: страха, вероятностей, необходимости или стереотипа. Чаще всего происходит следующим образом одна точка входа защелкивается и возникает цепная реакция по оставшимся трем точкам, круг замыкается и человек становится белкой, которая попадает в это колесо. Колесо, из которого нет выхода. И человек вынужден играть в пользу третьих лиц. И чаще всего работает вся четверка, но возможны и другие конфигурации.
Рассмотрим, как механизмы прикладной науки и психологии также демонстрируют работу “взлома” на фишинге – самом примитивном “техническом” уровне.
Все происходит на уровне все тех же 4 замков:
Необходимость – все что связано с укороченным временем и побуждением действовать прямо сейчас. “Только 3 минуты”. “Успей сейчас”. “Осталось всего 3 места” …
Стереотип – зеркала сайтов, похожие домены, знакомые ссылки, верифицированные аккаунты.
Вероятности – “Вероятна ваша карта была взломана!”. “Подозрительная активность!”. “Подтверждение аккаунта” и прочее
Страх – совершение действий во избежание последствий – “Ваш аккаунт будет заблокирован, если…”
Если вы не будете этого понимать, вы никогда не сможете распознать попытку “взлома” и как следствие противостоять ему!