T13pro
Премиум
- Регистрация
- 9 Янв 2021
- Сообщения
- 58
- Реакции
- 164
- Тема Автор Вы автор данного материала? |
- #1
Голосов: 0
Социальная инженерия - интересный феномен нашего мира. Она позволяет взломать любую систему безопасности, используя самую уязвимую ее часть - человека. За последние два года с помощью социальной инженерии похищено 2 миллиарда $ из ста банков.
По правде говоря, не все социальные инженеры — мошенники. Кто-то может вернуть репутацию компании после атаки конкурентов, например, узнав данные анонимного комментатора или информатора и попросить удалить негативный отзыв или заявление, клевету. На форумах соц.инженеры вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.
Ниже я опишу реальные случаи из жизни, это действительно очень крутые аферы. Начну с афер, в ходе которых не взламывали системы безопасности, а пользовались "взломом человеческого сознания".
Виктор Люстиг (1890-1947)
В 20-30х годах XX века жил такой человек, по имени Виктор Люстиг. Он вообще был очень крутым аферистом, владел 5 языками и использовал много разных документов и имен для проведения своих афер. Про некоторые из них будет ниже.
Об обмане Аль Капоне.
Есть одна легенда, как он сотрудничал с Аль Капоне. Одной из легенд, связанных с именем Люстига, стала история его «сотрудничества» с Аль Капоне. В 1926г., хорошо одетый, высокий молодой человек посетил известного гангстера. Мужчина предстваился графом Виктором Люстигом. Суть его встречи была в следующем: он предложил Капоне удвоить 50 тыс долларов, который тот бы ему дал. Ну, для бандита сумма была не такая и большая, но удвоить ее он был не против, не знаю, долго ли он решал, но все-таки решил проверить действительно ли незнакомец смог бы сделать то, что обещал. В крайнем случае, убить его он бы всегда успел). Срок мероприятия был - 2 месяца. Ну что ж, незнакомец полоижил все деньги в банк в Чикаго, а потом отправился в Нью-Йорк. Естественно, ничего удваивать он не собирался. Но через два меяца вернулся к Аль Капоне, вернул его деньги и сказал, что ничего сделать ему не удалось. Гангстер ответил «Я ожидал 100 тысяч долларов или ничего. Но… вернуть мои деньги назад… Да, вы честный человек! Если у вас затруднения, возьмите хоть это». И дал графу 5 тысяч долларов. Стоит ли говорить, но эти 5 тысяч и были целью всей аферы.
Продажа Эйфелевой башни.
Эта афера уже погениальнее. Уже намного серьезнее, чем какие-то 5 000 долларов. И вот однажды Виктору подвернулся случай заработать действительно крупную сумму. В мае 1925 года Виктор Люстиг со своим приятелем и компаньоном Дэном Коллинсом прибыл в Париж. В первый же день по приезду их внимание привлекла статья в местной газете. В ней рассказывалось о том, что знаменитая Эйфелева башня находится в ужасном состоянии и городские власти рассматривают вариант ее демонтажа.
Идея гениальной аферы родилась мгновенно. Для ее реализации был снят шикарный номер номер в дорогом отеле и сделаны документы, утверждающие, что Виктор Люстиг – заместитель начальника Министерства Почты и Телеграфа. Затем были разосланы приглашения пяти самым крупным торговцам металлом. В письмах содержалось приглашение на важную и абсолютно засекреченную встречу с заместителем генерального директора департамента в отель «Криллон», в то время — самую престижную гостиницу Парижа.
Встретив гостей в роскошных апартаментах, Люстиг начал вести пространную речь о том, что содержание Эйфелевой башни обходится государству в копеечку. Что она была построена как временное сооружение для Всемирной выставки в Париже, и теперь, спустя 30 лет, обветшала настолько, что просто представляет угрозу для Парижа и городские власти рассматривают возможность сноса башни. Поэтому среди присутствующих был объявлен своего рода тендер на покупку башни.
Такое предложение вызвало огромный интерес у приглашенных, но особенно им заинтересовался Андре Пуассон. Его воодушевляла не только очевидная финансовая выгода от сделки, но и возможность войти в историю. Может именно этот тщеславный интерес был замечен Люстигом и именно он стал причиной того, что спустя некоторое время именно мсье Пуассону была назначена конфиденциальная встреча.
Во время этой встречи Виктор Люстиг держался несколько неспокойно. Он сказал Пуассону, что у того есть все шансы выиграть тендер и для полной победы нужно лишь немного «продвинуть» свою кандидатуру при помощи небольшого вознаграждения лично Виктору. До этой встречи у мсье Пуассона возникали подозрения: почему все встречи, связанные с тендером, происходят в такой секретной обстановке, да еще не в кабинетах министерства, а номере отеля. Но подобное вымогательство со стороны чиновника, как ни странно, развеяло последние сомнения Пуассона относительно подозрительной сделки. Он отсчитал несколько крупных купюр и уговорил Люстига взять их, потом выписал чек на четверть миллиона франков, получил документы на Эйфелеву башню и отбыл довольный. Когда мсье Пуассон начал подозревать неладное, Виктор Люстиг уже скрылся в Вене с чемоданом наличных денег, полученных по выписанному им чеку.
Как твит повлиял на экономику страны
В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.
Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»
На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение. Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.
Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.
Социальная инженерия в России
Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.
Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.
Никакие обычные средства защиты (антивирусы, файерволы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.
Развод от топ-менеджеров.
В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт. Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству.
Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.
Взлом банка
В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.
Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.
Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.
По правде говоря, не все социальные инженеры — мошенники. Кто-то может вернуть репутацию компании после атаки конкурентов, например, узнав данные анонимного комментатора или информатора и попросить удалить негативный отзыв или заявление, клевету. На форумах соц.инженеры вступают в беседы с негативно настроенной аудиторией и техниками нейролингвистического программирования влияют на её мнение.
Ниже я опишу реальные случаи из жизни, это действительно очень крутые аферы. Начну с афер, в ходе которых не взламывали системы безопасности, а пользовались "взломом человеческого сознания".
Виктор Люстиг (1890-1947)
В 20-30х годах XX века жил такой человек, по имени Виктор Люстиг. Он вообще был очень крутым аферистом, владел 5 языками и использовал много разных документов и имен для проведения своих афер. Про некоторые из них будет ниже.
Об обмане Аль Капоне.
Есть одна легенда, как он сотрудничал с Аль Капоне. Одной из легенд, связанных с именем Люстига, стала история его «сотрудничества» с Аль Капоне. В 1926г., хорошо одетый, высокий молодой человек посетил известного гангстера. Мужчина предстваился графом Виктором Люстигом. Суть его встречи была в следующем: он предложил Капоне удвоить 50 тыс долларов, который тот бы ему дал. Ну, для бандита сумма была не такая и большая, но удвоить ее он был не против, не знаю, долго ли он решал, но все-таки решил проверить действительно ли незнакомец смог бы сделать то, что обещал. В крайнем случае, убить его он бы всегда успел). Срок мероприятия был - 2 месяца. Ну что ж, незнакомец полоижил все деньги в банк в Чикаго, а потом отправился в Нью-Йорк. Естественно, ничего удваивать он не собирался. Но через два меяца вернулся к Аль Капоне, вернул его деньги и сказал, что ничего сделать ему не удалось. Гангстер ответил «Я ожидал 100 тысяч долларов или ничего. Но… вернуть мои деньги назад… Да, вы честный человек! Если у вас затруднения, возьмите хоть это». И дал графу 5 тысяч долларов. Стоит ли говорить, но эти 5 тысяч и были целью всей аферы.
Продажа Эйфелевой башни.
Эта афера уже погениальнее. Уже намного серьезнее, чем какие-то 5 000 долларов. И вот однажды Виктору подвернулся случай заработать действительно крупную сумму. В мае 1925 года Виктор Люстиг со своим приятелем и компаньоном Дэном Коллинсом прибыл в Париж. В первый же день по приезду их внимание привлекла статья в местной газете. В ней рассказывалось о том, что знаменитая Эйфелева башня находится в ужасном состоянии и городские власти рассматривают вариант ее демонтажа.
Идея гениальной аферы родилась мгновенно. Для ее реализации был снят шикарный номер номер в дорогом отеле и сделаны документы, утверждающие, что Виктор Люстиг – заместитель начальника Министерства Почты и Телеграфа. Затем были разосланы приглашения пяти самым крупным торговцам металлом. В письмах содержалось приглашение на важную и абсолютно засекреченную встречу с заместителем генерального директора департамента в отель «Криллон», в то время — самую престижную гостиницу Парижа.
Встретив гостей в роскошных апартаментах, Люстиг начал вести пространную речь о том, что содержание Эйфелевой башни обходится государству в копеечку. Что она была построена как временное сооружение для Всемирной выставки в Париже, и теперь, спустя 30 лет, обветшала настолько, что просто представляет угрозу для Парижа и городские власти рассматривают возможность сноса башни. Поэтому среди присутствующих был объявлен своего рода тендер на покупку башни.
Такое предложение вызвало огромный интерес у приглашенных, но особенно им заинтересовался Андре Пуассон. Его воодушевляла не только очевидная финансовая выгода от сделки, но и возможность войти в историю. Может именно этот тщеславный интерес был замечен Люстигом и именно он стал причиной того, что спустя некоторое время именно мсье Пуассону была назначена конфиденциальная встреча.
Во время этой встречи Виктор Люстиг держался несколько неспокойно. Он сказал Пуассону, что у того есть все шансы выиграть тендер и для полной победы нужно лишь немного «продвинуть» свою кандидатуру при помощи небольшого вознаграждения лично Виктору. До этой встречи у мсье Пуассона возникали подозрения: почему все встречи, связанные с тендером, происходят в такой секретной обстановке, да еще не в кабинетах министерства, а номере отеля. Но подобное вымогательство со стороны чиновника, как ни странно, развеяло последние сомнения Пуассона относительно подозрительной сделки. Он отсчитал несколько крупных купюр и уговорил Люстига взять их, потом выписал чек на четверть миллиона франков, получил документы на Эйфелеву башню и отбыл довольный. Когда мсье Пуассон начал подозревать неладное, Виктор Люстиг уже скрылся в Вене с чемоданом наличных денег, полученных по выписанному им чеку.
Как твит повлиял на экономику страны
В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.
Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»
На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение. Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.
Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.
Социальная инженерия в России
Немало прецедентов краж методами социальной инженерии и в России. В 2016 году такими схемами с карт россиян было украдено 650 миллионов рублей. Это, по данным ИА «Известия», на 15% меньше, чем в 2015 году. Но к концу 2017 года, по прогнозам, эта цифра подскочит до 750 миллионов рублей.
Преступники разрабатывают новые схемы, — представляются налоговыми инспекторами и вымогают деньги для «погашения долга», или представляются сотрудниками банка и требуют пин-коды.
Никакие обычные средства защиты (антивирусы, файерволы) не помогут спасти от таких атак. Важно создать различные варианты политики безопасности, обучить пользователей, определить правила пользования девайсами внутри компании. А также создать систему оповещения о возможности угрозы, назначить ответственных за техподдержку и организовать двойную проверку.
Развод от топ-менеджеров.
В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники. Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт. Этот метод социальной инженерии играет на слабостях человека. Например, стремлении услужить начальству.
Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.
Взлом банка
В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.
Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей.
Мораль истории: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
Зачастую, как в примере выше, социальному инженеру даже не требуется завоёвывать доверие «жертв» и управлять ими. Достаточно грамотно использовать информацию, которая у всех на виду: почта на рабочем столе, оповещения на экране телефона или мусор. Социальный инженер может получить данные, не оказывая давления на людей.