Человек зачастую оказывается слабейшим звеном в системе защиты. В итоге даже самая совершенная система защиты может оказаться бесполезной.
«Искусство рассуждать — это искусство обманывать самого себя».
Антуан де Сент-Экзюпери, «Цитадель»
В роли объекта атаки может выступать не только машина, но и ее оператор. В англоязычной литературе атака на человека называется социальным инженирингом (social engineering) и в своем каноническом виде обычно сводится к попыткам злоумышленника получить по телефону конфиденциальную информацию (как правило, пароли) посредством выдачи себя за другое лицо. В данной статье термин «социальный инжениринг» рассматривается намного шире и обозначает любые способы психологического воздействия на человека, в том числе введение в заблуждение (обман) и игру на чувствах.
Собственно, подобные приемы не новы и известны со времен глубокой древности. Остается только удивляться, что за истекшие тысячелетия человечество так и не научилось противостоять мошенникам и отличать правду ото лжи. Еще удивительнее то, что арсенал злоумышленников не претерпел никаких принципиальных изменений. Напротив, с развитием коммуникационных технологий их задача значительно упростилась.
Общаясь по Internet, вы не видите и не слышите своего собеседника, более того, нет никаких гарантий, что сообщение действительно отправлено тем адресатом, имя которого стоит в заголовке. Атакующий может находиться в соседней комнате, городе, и даже на другом континенте! Все это значительно усложняет идентификацию личности, поиск и доказательство чьей-либо причастности к атаке. Стоит ли удивляться огромной популярности социального инжениринга?
К счастью, подавляющее большинство мошенников действуют по идентичным или близким шаблонам. Поэтому изучение приемов их «работы» позволяет распознать обман и не попасться на удочку. Автором этой статьи собрана обширная коллекция хакерского арсенала, наиболее популярные «экспонаты» которой представлены ниже. Конечно, на исчерпывающее руководство по обеспечению собственной безопасности публикация не претендует, но общее представление о методиках хищения денег и/или информации все же должна дать.
ВВЕДЕНИЕ В ЗАБЛУЖДЕНИЕ
Введение в заблуждение (обман) — основной «компонент» социального инжениринга, включающий в себя целый ряд всевозможных тактик: выдачу себя за другое лицо, отвлечение внимания, нагнетание психологического напряжения и т. д. Конечные цели обмана так же разнообразны. Ниже мы рассмотрим лишь наиболее распространенные: получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.
Хищение денег — достаточно рискованный вид мошенничества, поскольку в случае неудачи он может обернуться лишением свободы на длительный срок. Поэтому многие предпочитают воровать не деньги, а их материальное воплощение.
Предположим, кому-то потребовался некоторый программный пакет и/или техническая консультация. Взлом демоверсии или атака на локальную сеть компании-разработчика чревата неприятными последствиями. Намного проще, представившись журналистом, попросить один экземпляр программы в обмен на обещание опубликовать статью о ней в популярном журнале. Какая компания не клюнет на столь заманчивую перспективу? К тому же вместе с продуктом будет предоставлена квалифицированная техническая поддержка непосредственно от самих разработчиков, а не от девушек-операторов, обслуживающих рядовых клиентов.
Задача мошенника усложнится, если необходимый ему продукт настолько специфичен, что вообще отсутствует на рынке. Разработка «под ключ» обычно стоит очень дорого, но если проявить чуточку смекалки... На сайте а-ля www.jobs.ru появляется объявление о высокооплачиваемой работе по Internet. Прием сотрудников, естественно, проводится на конкурсной основе с предоставлением тестового задания, по результатам выполнения которого и судят о профессионализме кандидата. Вы не прошли тест? Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова, если, конечно, к тому времени не поймете, кто остался с носом, а кто — с готовым продуктом. Самое печальное, что предъявлять злоумышленникам гражданский иск бессмысленно, поскольку состав преступления отсутствует.
Защитить себя от подобных обманов очень трудно, поскольку аналогичная схема набора сотрудников широко используется и легальными компаниями. Напротив, очень немногие работодатели готовы оплачивать работу «котов в мешке». Поиск хорошей работы — это рулетка, и без разочарований здесь не обойтись.
НЕСАНКЦИОНИРОВАННЫЙ ДОСТУП
Приемы хищения паролей. Вероятно, самый известный способ похищения пароля — звонок жертве от имени администратора системы или, напротив, администратору — от имени пользователя. Просьба в обоих случаях одна — под каким бы то ни было предлогом выяснить пароль на некоторый ресурс. К счастью, актуальность таких атак за последнее время значительно снизилась — все-таки жизнь чему-то учит! Однако иллюзий по поводу своей защищенности питать не стоит. В большинстве случаев она мнимая.
Проще всего выведать пароль — не спрашивать его, а напротив, строго-настрого запретить говорить! Это может выглядеть, например, так: «Алло, здравствуйте! С вами проводит разъяснительную беседу эксперт по безопасности Иван Иванович. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А то, что пароль должен состоять из комбинации букв и цифр? Кстати, какой у Вас пароль?» Поразительно, но многие, пропуская «разъяснительную беседу» мимо ушей, называют свой действительный пароль! Причем мошенник в случае провала ничем не рискует, так как последний вопрос можно понимать двояко — какой именно пароль и какой пароль вообще (длиннее восьми символов, является словарным словом или нет и т. д.).
А если пользователи окажутся достаточно сообразительными, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая привычку многих из нас назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы — выбирает ли она в качестве паролей словарные слова, и если да, то по какому принципу. Разумеется, для подобного анализа ему придется провести несколько проверок, но никаких подозрений у пользователя (даже самого квалифицированного!) это не вызовет. Поэтому никогда не назначайте одинаковые или близкие пароли на различные ресурсы!
Для не слишком квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но всем ли сообщили, где он хранится и как его можно найти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные на неискушенный взгляд, действия: например, переслать файл PWL по такому-то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает.)
Кстати, частая смена паролей создает больше проблем, чем их решает. Никто и не попытается запоминать длинные, постоянно меняющиеся да к тому же лишенные всякого смысла пароли! Все будут их... записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, усугубят ее. Теперь вообразите, что некий «доброжелатель» из «соседнего отдела» звонит вам и сообщает, что грядет тотальный обыск на предмет поиска парольных «памяток» с последующим увольнением всех, у кого что-либо подобное обнаружится. Кто-то сожжет свою бумажку, кто-то запьет ее молоком, но немало найдется тех, кому захочется избавиться от изобличающих его улик через окно или мусорную корзину. Интересующемуся чужими секретами остается лишь хорошо порыться в мусоре или исследовать газон под окнами офиса. Поэтому любые приказания или служебные инструкции должны составляться осмысленно с учетом реальной ситуации, а не теоретических измышлений. Люди — не компьютеры!
Не так уж редко у злоумышленника имеется возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное — уследить за быстрым набором клавиш, к тому же частично загораживаемых работающим пользователем. Каким-либо образом инициировав смену паролей (например, путем имитации атаки), нарушитель существенно упростит свою задачу. Ведь новый пароль уже не введешь «на автомате»!
Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникновение в систему.
Атака на администратора системы. В том случае, если пароль заполучить не удастся, злоумышленнику останется лишь прибегнуть к атаке на технические средства (т. е. непосредственно на компьютеры). Однако правильно сконфигурированную и хорошо защищенную систему взломать «в лоб» практически невозможно. Вот если бы в ней была «дыра»...
Один из нетехнических способов пробивания «дыр» выглядит приблизительно так: администратору по телефону сообщается, что из достоверных источников стало известно о готовящейся (или уже совершенной) атаке. Никаких деталей звонящий, естественно, не сообщает (он ведь не взломщик, а «знакомый» взломщика), но приблизительное местонахождение бреши все же указывает. С некоторой долей вероятности администратор попытается повысить безопасность своей системы и допустит при этом несколько ошибок, упрощающих атаку (и эта вероятность тем больше, чем сильнее волнуется администратор).
Для отвлечения внимания злоумышленники часто прибегают к имитации атаки, выполняя различные бессмысленные, но в действительности целенаправленные действия. Автору известно несколько случаев, когда в ответ на «мусор», направленный в порт 80, администраторы просто отключали сервисы Web, поскольку, получив предупреждение об «атаке», предпочитали на время остаться без этих служб, чем позволить хакерам проникнуть в локальную сеть и похитить конфиденциальную информацию. Естественно, простой сервера Web обернулся внушительными убытками, хотя никакой опасности на самом деле и не было. Так что не стоит шарахаться от каждой тени и любое непонятное действие расценивать как вторжение в систему.
Развивая идею дальше, злоумышленники поняли, что выдавать себя за человека, знакомого со злоумышленником и согласного за определенное вознаграждение быть осведомителем, гораздо выгоднее, чем атаковать систему. К тому же «осведомителя» чрезвычайно трудно привлечь к ответственности, поскольку факт обмана практически недоказуем, а имитация атаки, не повлекшая за собой несанкционированного доступа к системе (блокирования системы), вообще не подлежит наказанию. Причем для такой «атаки» не требуется по сути никакой квалификации, и стать «хакером» может буквально любой! Поэтому не следует торопиться оплачивать услуги осведомителя, даже если он согласен «работать» почти задаром, — сначала убедитесь, что против вас действительно проводят атаку, а не создают ее видимость! Но не забывайте, что упускать из рук настоящего осведомителя (а такие — не редкость среди хакеров) очень глупо.
УХОД ОТ ОТВЕТСТВЕННОСТИ
Успешно выполнить атаку — означает решить лишь половину задачи. Злоумышленнику еще предстоит замести следы — уйти от ответственности и не попасться. А это, кстати, намного сложнее! Матерые мошенники, похитив определенную сумму денег, без тени жалости переводят большую ее часть на счет одного из сотрудников компании, который потенциально подходит на роль похитителя. Причем это должен быть жадный, азартный и недалекий человек, который, обнаружив на своем счету «лишние» деньги, с высокой степенью вероятности не пойдет в милицию, а решит прикарманить добро, само идущее к нему в руки. Затем директору компании направляется анонимный звонок (письмо) с сообщением, где следует искать пропавшие средства, и... жертве будет чрезвычайно трудно доказать, что ее подставили. Конечно, путь денег на счет подозреваемого проследить вполне возможно (особенно если это крупная сумма), но злоумышленник может осуществить перевод через подставное лицо. А кроме того, даже будучи пойманным, он сможет назвать себя исполнителем, ничего не знавшим о криминальной подоплеке финансовой операции. При условии, что злоумышленник оставит себе меньшую часть награбленного, такая легенда будет звучать весьма убедительно. Поэтому при «разборе полетов» ни в коем случае не хватайте первого попавшегося под руку обвиняемого — нередко он действительно ни в чем не виноват.
Другой способ «перевода стрелок» заключается в психологической обработке лиц, «помешанных» на подражательстве хакерам, но хакерами не являющимися. Сначала их убеждают, что пребывание в тюрьме — вполне нормальная ситуация для хакера, затем демонстрируют целую серию эффективных «взломов», чем вызывают глубокое уважение к себе. Наконец, когда «клиент готов», мошенник предлагает обучить его необходимым «премудростям», после чего руками ученика осуществляет реальный взлом. В случае раскрытия преступления ученик может и не выдать своего «наставника» (а при правильной психологической обработке и не выдаст, хоть режь его на куски). Но если даже и сознается, следствию будет не так-то легко уличить зачинщика, который без особых трудов сможет представить все это невинной игрой. Он-де просто забавлялся, не причиняя никому никакого вреда. А о том, кто руководил «учеником» в настоящей атаке, не имеет ни малейшего представления.
Впрочем, есть разные способы заставить исполнителя молчать, тем же шантажом, скажем, но об этом позже.
КАК ЗЛОУМЫШЛЕННИКИ ВЫДАЮТ СЕБЯ ЗА ДРУГОЕ ЛИЦО
Электронная почта — конечно, штука хорошая, но слишком уж небезопасная. Неудивительно, что многие предпочитают все более или менее важные дела решать по телефону (так, по крайней мере, слышен хотя бы голос собеседника). Злоумышленника, выдающего себя за другое лицо, можно серьезно озадачить просьбой оставить свой телефон. Конечно, несложно подключиться к «лапше» на лестничной площадке или прибегнуть к помощи таксофона (многие таксофоны умеют принимать и входящие звонки). Однако встречаются и более изощренные приемы. Рассмотрим два наиболее популярных.
Захват телефона. Допустим, злоумышленник выдает себя за сотрудника такой-то компании. Он находит телефон секретаря этой компании в справочнике и просит соединить с охранником, а заодно — сообщить его телефонный номер (зачем — придумать большого труда не составит). Затем разыгрывается следующая комбинация. Сообщив жертве телефон компании и «добавочный» охранника (но умолчав, что это — охранник), злоумышленник под каким-либо предлогом предлагает созвониться в строго определенное время. Незадолго до назначенного срока он заходит в интересующий его офис, где и встречается у входа с охранником. Рассказав какую-нибудь душещипательную историю (по ошибке дал своему партнеру по бизнесу ваш телефон), злоумышленник спрашивает: а вот сейчас, когда позвонят и попросят «Васю», нельзя ли ему взять трубочку? Поскольку на первый взгляд никакого криминала в этом нет, охранник может исполнить эту просьбу (особенно если посетитель — девушка привлекательной наружности). В результате жертва будет считать, что злоумышленник действительно работает в этой компании.
В качестве альтернативного варианта вахтера могут попросить, чтобы он сообщил звонящему номер «васиного» телефона. И если обойдется без подробностей, жертва опять-таки подумает, что раз Васю знают, то он, несомненно, штатный сотрудник этой компании. Конечно, охранник может запомнить внешность злоумышленника (и запомнит наверняка, если он профессионал), но внешность — это не паспортные данные, и мошенника еще предстоит найти. К тому же личная встреча с охранником абсолютно необязательна. Злоумышленник может просто позвонить и попросить сообщить звонящему, по какому телефону можно найти Васю. Практика показывает, что люди (особенно занятые) редко вдаются в подробности и вместо того, чтобы сказать: «Ах, Васю? А Вася здесь не работает! Он дал наш телефон по ошибке...» — ограничиваются кратким: «Васю? Позвоните по такому-то номеру».
Поэтому ни в коем случае не стоит считать телефон надежным средством идентификации личности.
Место встречи изменить нельзя. В некоторых случаях возможностей телефонных и компьютерных сетей оказывается недостаточно, и злоумышленнику приходится прибегать к встречам «вживую». Как убедительно выдать себя за другое лицо, чтобы у жертвы не возникло и тени сомнения? Ведь в противном случае могут попросить предъявить документы, а качественно их подделать очень сложно (во всяком случае, для одиночки).
Допустим, злоумышленник выдает себя за сотрудника некоторой организации и для пущей убедительности договаривается встретиться с вами в здании офиса. Чтобы не тратить время на выписывание пропусков, он предлагает подождать вас на проходной. Для усиления эффекта проходящие мимо «сотрудники» могут здороваться с ним и жать ему руку. Зима — кстати, лучший помощник злоумышленника. Сняв верхнюю одежду и спрятав ее, например, в припаркованной рядом машине, он окончательно развеет ваши сомнения относительно его личности.
Техника проникновения на охраняемый объект без отмычек. Попасть на охраняемую территорию предприятия зачастую проще простого. Предъявив паспорт, злоумышленник называет себя и говорит, к кому идет. Причем названное имя необязательно должно совпадать с именем в паспорте — тот, к кому мы идем, знает нас под сетевым псевдонимом. Охранник звонит указанному лицу и сообщает, что его хочет видеть такое-то лицо. Получив «добро» (а «добро» очень часто дается без уточнения подробностей), охранник дает мошеннику «зеленый свет». Разумеется, вовсе не обязательно быть сетевым другом одного из сотрудников. Достаточно лишь знать имена его знакомых, выяснить которые не составит никакого труда (особенно если сотрудник злоупотребляет ICQ или форумами Internet).
На первый взгляд знание паспортных данных позволяет без труда найти любого человека. Это так, но не стоит обольщаться, — доказать его причастность к грамотно спланированной атаке будет очень непросто! Ведь не компьютер же будет выносить в кармане злоумышленник! Вероятнее всего, он постарается подсмотреть набираемый пароль или, обнаружив в пустующем кабинете включенный компьютер, запустит туда «троянского коня».
Для предотвращения подобных инцидентов следует сопровождать всех посторонних лиц от самого входа до места назначения, не позволяя им самостоятельно бродить по помещению.
СПАМ И ВСЕ, ЧТО С НИМ СВЯЗАНО
Массовая рассылка — идеальное средство для поиска простаков. А чужая глупость — отличное средство наживы. В последнее время в сети стало появляться все больше и больше предложений о вложении денег в акции. Поразительно, но урок, преподнесенный МММ, так ничему и не научил. Многие по-прежнему обращают внимание лишь на рост котировок, совершенно не интересуясь источником прибыли. А источник-то прост! Выкинув на биржу акции, компания через некоторое время сама же скупает их по завышенной цене, чем и привлекает к себе клиентов. Вложения же клиентов идут на очередную закупку акций... Так происходит до тех пор, пока приток клиентов не начинает мельчать, после чего компания ликвидируется, и все акционеры остаются с носом.
Про всевозможные финансовые пирамиды и обещания заработать огромные деньги в кратчайшие сроки не стоит и говорить. Если, вовремя продав акции, вы еще можете хоть что-то заполучить, то «сетевой заработок» — просто откровенное надувательство, не приносящее никакого дохода вообще. Поскольку это печальное обстоятельство наконец-то стало доходить до любителей легкой наживы, интерес к супербизнесу начал мало-помалу ослабевать. Не нужно быть ясновидцем, чтобы предсказать скорое появление сообщений, где предлагался бы небольшой заработок. На фоне остальных они будут выглядеть весьма убедительно, но тем не менее останутся той же самой ложью.
Кстати, ни в коем случае не попадайтесь на объявления о продаже дорогих вещей, по сильно заниженной цене. Этот трюк широко используется мошенниками для поиска богатых людей со всеми вытекающими отсюда последствиями (в лучшем случае просто ограбят, а о худшем даже говорить не стоит...).
Вообще, массовую рассылку лучше игнорировать и не отвечать ни на какие сообщения спаммеров. По-настоящему хорошие товары и способы заработка никогда не рекламируются таким дешевым способом.
ШАНТАЖ
Если попытки получить требуемое путем обмана ни к чему не приведут, то злоумышленник может отважиться на прямой шантаж сотрудников компании. Статистика показывает, что угроза физической расправы встречается довольно редко, и в подавляющем большинстве случаев лишь угрозой и остается.
На первом месте стоят обещания рассказать ревнивому мужу (жене) о супружеской измене, — неважно, насколько это соответствует действительности. Для достоверности вовсе не обязательно устанавливать скрытые камеры или заниматься фотомонтажом — достаточно быть хорошим рассказчиком, умеющим убедить собеседника. Опасаясь семейных разладов, многие из нас идут на мелкие (с нашей точки зрения) должностные преступления, оборачивающиеся тем не менее значительными убытками для компании. Второе место по популярности занимают угрозы убедить сына (дочь) в том, что вы не настоящие родители. Поскольку в подростковом возрасте между детьми и родителями часто случаются серьезные конфликты, вероятность того, что ребенок поверит постороннему дяде и получит тяжелую душевную травму, отнюдь не так уж мала!
Способ борьбы с такими шантажистами только один — полное взаимное доверие между членами семьи. Руководители должны осознавать, что семейное благополучие сотрудников — залог их, руководителей, безопасности. В любом случае — никогда не идите на поводу у шантажиста. Этим вы лишь глубже затягиваете себя в его сети. Напротив, проявив безразличие, вы обезоруживаете мошенника, тем самым делая бессмысленным его шантаж и заставляя искать другие пути.
Кстати, достаточно широко распространенный способ имитации шантажа для проверки моральной устойчивости сотрудников юридически неправомочен. И «подопытный» сотрудник имеет полные основания для подачи иска за нанесенный ему моральный ущерб.
ИГРА НА ЧУВСТВАХ
Поскольку шантаж — дело наказуемое, злоумышленники, по возможности, используют более законные пути. Например, покорив сердце служащей компании, мошенник в один прекрасный день может заявить, что он-де проигрался в карты и теперь вынужден долгие годы отрабатывать долг батраком в Казахстане. Правда, есть один вариант... Если его пассия скопирует такие-то конфиденциальные документы, он сумеет их продать, — тогда никуда уезжать не потребуется, и любовный роман продолжится... Впрочем, играть именно на любовных чувствах необязательно. Ничуть не хуже толкают на преступление алчность, желание отомстить руководству или попытка самоутвердиться.
Множество подобных авантюр совершаются по ICQ, что чрезвычайно осложняет поиски злоумышленника. Поэтому администраторам настоятельно рекомендуется запретить пользоваться ICQ всему персоналу или, на худой конец, хотя бы контролировать содержимое разговоров. (Безнравственно, конечно, но что поделаешь.) Разумеется, не стоит забывать и об электронной почте. А еще лучше не принимать на ответственные должности романтических или психологически неуравновешенных лиц, даже если они хорошие специалисты.
ЗАКЛЮЧЕНИЕ
Разговор о секретах социального инжениринга можно продолжать до бесконечности, но это все равно не защитит от злоумышленников и мошенников всех мастей. Среди них нередко попадаются весьма талантливые люди, проворачивающие на редкость изощренные комбинации, перед которым снял бы шляпу и сам Остап Бендер. Поэтому типовых противодействий социальным инженерам не существует и не может существовать! Каждая ситуация требует индивидуального подхода и всестороннего рассмотрения.
Единственная рекомендация — не допускайте кавардака ни у себя дома, ни на работе. Расхлябанность, отсутствие дисциплины, халатность — вот главные «дыры» в системе безопасности, не компенсируемые никакими, даже 1024-разрядными, системами шифрования. Помните, что скупой платит дважды! Экономия на собственной безопасности до добра еще никого не доводила.
Крис Касперски — независимый эксперт. С ним можно связаться по адресу: kpnc@programme.ru.