Социальная инженерия: хакерство без границ

 

Xakep, номер #061, стр. 061-066-1

Недавно, проверяя одну из своих мыльниц, я наткнулся на трогательное письмо. Админ провайдера, услугами которого я пользуюсь, слезно жаловался, что хакеры разнесли к чертям всю контору, и от старой базы данных по клиентам остались рожки да ножки. «Мы пытаемся тут навести порядок, поэтому, дружище, не мог бы ты прислать мне свои логин и пароль», - робко предлагал собеседник. На дворе активно смеркалось.

Несмотря на то, что понятие «социальная инженерия» появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были пиплы, которые могли навешать на уши любую лапшу и убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры, а подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны. А насколько профессионально нас инженерят политики и кандидаты в депутаты (мэры, президенты) – вообще любо-дорого посмотреть. Хотя, по правде сказать, и я, и ты, и все мы от них не отстаем. Ты ведь не будешь отрицать, что когда-нибудь да пытался хитрожопой уловкой настроить чела на нужную тебе волну. Например, когда просил родителей купить мороженое, обещая пятерку в четверти по математике. Приемы социальной инженерии мы часто используем, даже не осознавая этого. В отличие от тех же агентов, депутатов и… хакеров.

В начале 70-х годов, в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где сбрехать, можно заставить техперсонал не просто оправдываться, а выдавать под влиянием эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все что хотели.

Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (синжеры) всегда действовали экспромтом, полагаясь на свое чутье. С помощью наводящих вопросов, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка – фрикер намекал на возможные неприятности с боссом, если это был самоуверенный тюфяк – достаточно было представиться наивным юзверем из фирмы, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии назовут заветное слово.

Содержание  Вперед на стр. 061-066-2
ttfb: 3.4518241882324 ms