ифыафыв. Максим Кузнецов Игорь Симдянов СанктПетербург бхвпетербург 2007

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
24 программирование, это когда вы искусственно моделируете ситуацию под конкретного человека, в которой вызнаете, как этот человек поступит, исходя из знания психотипа этого человека. Тоже самое относится и к группе людей.
Ïðèìå÷àíèå В главе 3 мы рассмотрим еще несколько примеров именно социального программирования, например, проанализируем, какими способами можно усмирить агрессивную толпу, а также подумаем о том, каким образом с помощью методов социального программирования можно было учинить скандально известный недавний "соляной кризис. Социальное программирование базируется наследующих психологических концепциях
 трансактном анализе (см. главу 6);
 социологии (науке о поведении людей в группах) (см. главу 8);
 нейролингвистическом программировании (см. главу 7);
 сценарном программировании (см. главу 6);
 психологической типологии (см. приложение 2). Социальное программирование, в отличие от социальной инженерии, имеет более обширную область применения, т. к. работает со всеми категориями людей, независимо оттого, частью какой системы они являются. Социальная же инженерия всегда работает только с человеком, который является частью компьютерной системы, хотя методы в томи другом случае используются аналогичные. Другое важное различие состоит в том, что социальная инженерия это почти всегда отрицательная область применения, социальное программирование же, как и любая область знания, имеет и положительную и отрицательную область применения. Одним из примеров отрицательной области применения социального программирования является как раз социальная инженерия. Поэтому, когда мы будем говорить о манипулировании человеком в том случае, когда он является частью компьютерной системы, или просто носителем секретной информации, которую требуется похитить, мы будем говорить о социальной инженерии, а в том случае, когда будет идти речь об управлении людьми вообще, мы будем говорить о социальном программировании. Наша книга — о социальной инженерии, но иногда, чтобы лучше была понятна суть многих методов, мы будем делать набеги в социальное программирование. В заключение разговора о социальном программировании приведем известный пример о том, как искусно можно манипулировать людьми. Однажды один гроссмейстер получил по почте письмо, в котором неизвестный ему человек, представившись молодым начинающим шахматистом, предложил сыграть дистанционную партию в шахматы. Дистанционную, потому что ходы отправлялись по почте. За выигрыш гроссмейстеру была обещана очень большая сумма денег, а если будет ничья, или, упаси бог, гроссмейстер проиграет, то деньги платит он. Правда, в два раза меньшую сумму, чем ту, которую получит он сам, если проиграет молодой шахматист. Гроссмейстер, недолго думая, согласился. Заключили парии стали играть. Уже с первых ходов знаменитый гроссмейстер понял, что "на халяву" заработать денежку не удастся, потому что уже первые ходы выдавали в молодом шахматисте перспективного мастера. В середине мачта гроссмейстер потерял покой и сон, постоянно просчитывая следующие ходы противника, который оказался непросто перспективным мастером, а очень большим мастером. В конце концов, через немалое время, гроссмейстеру едва удалось свести партию вничью, после чего он обрушил на молодого человека кучу комплиментов и предложил ему не деньги, а свою поддержку, сказав, что с такими талантами сделает его чемпионом мира. Но молодой шахматист сказал, что всемирная слава ему ненужна, и что просит всего лишь выполнить условия парите. выслать выигранные им деньги. Что гроссмейстер и сделал, скрепя сердце. А где же здесь манипулирование, спросите вы А манипуляция здесь в том, что против гроссмейстера играл немолодой человека другой великий гроссмейстер, который получил от молодого человека точно такое же письмо и точно также согласился "быстренько подзаработать. На точно таких же условиях за выигрыш ему платит

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
26 большую сумму молодой человека за проигрыш или ничью платит гроссмейстер молодому человеку. В результате два великих шахматиста около полугода сражались между собой, а молодой "талантливый шахматист, выражаясь современным языком, работал почтовым ретранслятором, те. лишь пересылал их письма друг другу. А потом, в результате ничьи, оба гроссмейстера отправили деньги этому молодому человеку.

ÃËÀÂÀ
2
Ïðèìåðû âçëîìîâ
ñ ïîìîùüþ ìåòîäîâ
ñîöèàëüíîé èíæåíåðèè В этой главе мы немного поговорим об истории социальной инженерии, а потом продолжим проводить примеры того, как действуют социальные инженеры.
Îá èñòîðèè
ñîöèàëüíîé èíæåíåðèè Очень часто "отцом социальной инженерии" называют известного хакера К. Митника, что не совсем верно. Митник одним из первых стал применять искусство манипулирования человеком применительно к компьютерной системе, взламывая не "программное обеспечение, а человека, который работает за компьютером. И сего легкой руки все, что связано с кражей информации посредством манипулирования человеком, стали называть социальной инженерией. Мы в этой книге, вслед за Митником, тоже придерживаемся подобной терминологии. На самом же деле, все методы манипулирования человеком известны достаточно давно, ив основном эти методы пришли в социальную инженерию, большей частью, из арсенала различных спецслужб.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
28
Èñòîðè÷åñêîå ïðèìå÷àíèå Первый известный случай конкурентной разведки относится к
VI веку до нашей эры, и произошел в Китае, когда китайцы лишились тайны изготовления шелка, которую обманным путем выкрали римские шпионы.
Îñíîâíûå îáëàñòè ïðèìåíåíèÿ
ñîöèàëüíîé èíæåíåðèè Авторы многих статей на тему социальной инженерии обычно сводят ее применение к звонкам по телефону с целью получения какой-либо конфиденциальной информации (как правило, паролей) посредством выдачи себя за другое лицо. Однако области применения социальной инженерии гораздо шире. Основные области применения социальной инженерии показаны на рис. 2.1. Рассмотрим подробнее на примерах каждую из этих областей. Рис. 2.1. Основные области применения социальной инженерии

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
29
Ôèíàíñîâûå ìàõèíàöèè Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки золотые. "Ну и что, что слесарь, — рассуждала Наташа, — "выучится скоро и будет финансистом. Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только любовь и много всего приятного, что с этим связано. А причем же здесь финансовые махинации, спросите вы А притом, что в планы Наташи жестко вмешалась реальная жизнь, в которой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера был осуществлен перевод насчет некоей фирмы немалой суммы денег. Она точно помнила, что ничего такого не делала, да и вообще девушка это была старательная и безвредных привычек. В общем, шок. Который усугублялся тем, что ее любимый Илья вдруг куда-то исчез. Между прочим, о том, что эту аферу провернул именно Илья, догадались не сразу, потому что никому в голову не могло прийти, что такой обаятельный, такой милый, такой отзывчивый вот так вот может. Что же произошло А произошел классический сюжет. Обаятельный Илья влюбил в себя Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто происходящая, только цели разные. В данном случае целью было воровство денег.
Ïðèìå÷àíèå Мишень воздействия в данном случае — потребность Наташи в любви. Аттракция, естественно, любовные ухаживания Ильи за Наташей. Кроме того, аттракцией здесь также является и показ серьезности своих намерений (как помним, готовилась свадьба. И вот, дождавшись удобного момента, когда он был один в рабочий день в кабинете Наташи, он перевел деньги туда, куда хотел. О том, как это делается, она сама ему рассказала, потому что он спрашивал, мотивируя свои вопросы тем, что ему это интересно

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
30 для образования (он же, как помним, на финансовом факультете учился, да и вообще, все, что связано с легендированием, в данном случае сделано очень грамотно. Вовремя же этих бесед Илья выяснил, где лежат дискеты с ЭЦП (Электронно-цифровая подпись) главбуха и директора. Была ли Наташа дурочкой Нет, не была. Хотя бы потому, что в Илью за те несколько месяцев, что он был рядом с Наташей, влюбились почти все сотрудники фирмы, включая директора, который лично благословил их быструю свадьбу и готов был в скором будущем взять Илью в штат своей фирмы. И потому, что она, по большому счету не виновата в том, что деньги во многих наших фирмах переводятся по упрощенной процедуре. Как по правилам должен происходить перевод денег Нужно, к примеру, перевести какую-то сумму. Приходит главный бухгалтер, вставляет дискетку со своей ЭЦП, потом вставляет свою дискету директор. И только после этого деньги переводятся, так как наличие ЭЦП и директора и главбуха — необходимое условие для перевода денег. И если бы все делать по правилам, то такая атака, конечно же, немыслима. Но даже самая мелкая фирма может делать вдень до десяти переводов. А теперь представьте, что директор каждый раз будет бегать и вставлять свою дискету. А если фирмане мелкая Да он фирму скорее закроет, чем таким самоистязанием будет заниматься. Поэтому очень нередко, когда обе дискетки с ЭЦП просто лежат в столе у того бухгалтера, который переводит деньги. Как было ив описанном случае. А что было Илье А ничего не было. Потому что он после того, как все сделал, сразу куда-то уехал. Толи в другой город, то ли в другую страну. Паспорт, естественно, был поддельным, у него вообще этих паспортов было больше, чем в паспортном столе.
Ïðèìå÷àíèå Оставим за скобками дальнейшее развитие или возможное развитие этой ситуации, так как нам оно, в принципе, неважно. Деньги могли быть и переведены, а потом обналичены, а могли и не успеть их обналичить, потому что сотрудники фирмы оперативно "откатили ситуацию. История финансовых махинаций знает примеры итого и другого вариантов развития событий. Для нас важен сам факт доступа к компьютеру, с которого осуществлялись банковские переводы, и факт осуществления этого перевода, те. тот

Ãëàâà 2. Ïðèìåðû âçëîìîâ ñ ïîìîùüþ ñîöèàëüíîé èíæåíåðèè
31 этап работы, который связан с социальным хакерством был сделан, и сделан успешно. Разговор же о том, какими способами можно успеть обналичить деньги до того, как фирма (И/ИЛИ компетентные органы, если им сообщили об инциденте) начнет принимать меры, как можно сделать так, чтобы успеть обналичить деньги и т. д, выходит за рамки данной книги. Честно сказать, универсальных рекомендаций, позволяющих защититься отданного вида атак, не существует. Эта история с точностью до небольших вариаций не раз происходила и наверняка еще не раз произойдет. Многие авторы в похожих случаях говорят мол, нужно быть внимательнее, нужно четко следовать инструкциями подобные вещи просто будут невозможны. Мыс этими словами, конечно же, полностью согласны, но, увы, это только слова. Не имеющие никакого отношения к реальной жизни слова. А если дело поставлено серьезно, и им занимаются серьезные люди, знающие, как такие дела делаются, можно гарантировать, что на эту удочку попадутся процентов 90 населения. А многие — еще и не один раз. Поэтому не будем опускаться до банальностей и честно скажем гарантированных способов защиты нет. А теперь представьте на секунду, что влюбили не девушку Наташу, а директора. И представьте последствия. Причем сделать все это не очень сложно определяется психотип человека, на основании чего выясняется, какие девушки (или юноши) ему (ей) нравятся — и через некоторое время жертва находит "ту единственную и неповторимую любовь, о которой всю жизнь мечтала. Излюбленный метод мошенников всех времени народов. И очень действенный метод, потому что является атакой, основанной на физиологических потребностях человека. О физиологических потребностях мы здесь говорим более шире, чем принято, и понимаем под этими потребностями не только, скажем, потребность веде, сексе и прочее, а также потребность в любви, потребность в деньгах, потребность в комфорте и т. д. и т. п. И вот, когда мишенью является одна из таких потребностей, дело плохо. В том смысле, что очень сложно. А умные социальные инженеры в качестве мишеней выбирают именно такие потребности. Рассмотренная нами атака — как раз из этой категории, когда в качестве мишени воздействия была выбрана потребность в любви.

×àñòü I. ×òî òàêîå ñîöèàëüíàÿ èíæåíåðèÿ è ñîöèàëüíûå õàêåðû
32 Давно известно, что в крупных городах России существуют целые агентства, которые содержат обольстительниц самого разного видана самый разный, в том числе и изощренный, вкус. Цель их существования — получение прибыли путем "развода" богачей мужского пола. Действительно, зачем строить достаточно сложную комбинацию, как в только что приведенном примере, когда можно сделать все легче влюбить в себя до беспамятства богатого человека, который сам по своей доброй воле будет переводить денежки на твой счет. Незачем нанимать орду хакеров, проворачивать финансовые аферы, балансировать на грани закона все можно сделать так, что человек сам отдаст деньги и отдаст их добровольно. Схема работы такая. На первом этапе сотрудники агентства выясняют все, что только можно о "клиенте какую пищу предпочитает, какие книги, каких девушек, какие машины, какую музыку, — в общем все. Здесь действуют по принципу, что информация лишней быть не может. Это делается для того, чтобы в соответствии со вкусами жертвы, подобрать для него ту единственную и неповторимую, от которой он просто физиологически не сможет отказаться. Действительно, ну какой мужчина откажется от женщины, которая мало того что в его вкусе и красоты неписанной, но и страстная поклонница футбола как ион сам, естественно, да еще и болеет за туже самую команду. Ио ужас, когда он как-то раз подвез ее на машине, она с сожалением и с некоторым кокетством констатировала