Социальная инженерия – нестареющий метод атаки.
Мировой практикой доказано, что самой слабой частью защиты от взломов является человеческий фактор.
Нестареющий метод.
Системы защиты находятся на пути постоянного совершенствования. Эти изменения касаются как железа, так и софта. Чтобы быть на плаву и не подвергаться всем маломальским атакам, или иметь возможность самому провести такую атаку, нужно следить за всеми новинками в этом деле. Именно этим путем и движутся хакеры.
Обратите внимания на отделы безопасности в уважающих себя компаниях. Там работают люди, обладающие склонностями к паранойе и циники. И объединяет их одно – неверие в людей. Они могут обеспечить защиту в разных сферах, но это вряд ли затронет человеческий фактор, так как поведение людей слабо подвержено изменениям, что несет в себе сильную уязвимость.
Основная модель.
Системы безопасности, зачастую, руководствуются схемой, в которой каждый сотрудник принадлежит к своему уровню безопасности и соответствующим уровнем доступа. Таким образом, простые рабочие или исполнители не осведомлены об информации, которая не относится их непосредственной работы. Сначала, кажется, что нет смысла атаковать нижние планки в защите, но они могут принести пользу. Как минимум тем, что с их помощью облегчается переход на следующий уровень безопасности.
Это можно описать простым примером. Злоумышленник регулярно входит в контакт с представителем нижнего уровня безопасности. Контакт простой, но постоянный. Постепенно такой контакт становится обычным для человека, и в один прекрасный момент он готов «сболтнуть лишнего».
Обратная социнжинерия.
Тут происходит аналогичная ситуация. Тут все происходит в 3 шага (возможны вариации):
Подстраивается неприятная ситуация, в результате которой, пользователю нужно выйти на контакт со злоумышленником;
Происходит сам контакт;
Проводится атака.
Суть схемы в том, что человек сам обращается к вам за помощью, а значит, не возникнет никаких проблем с доверием. Этот вариант может сработать и при внедрении в компании, и для простого банковского мошенничества.
Итог.
Действуя через человеческий фактор, можно достичь разных целей:
Получить нужную информацию о цели;
Собрать общие данные;
Получить доступ к системе.
И это далеко не все возможности социальной инженерии.
