A4
A4
A4
Кузнецов
Социальная инженерия
и социальные хакеры
«БХВ-Петербург»
2007
Кузнецов М. В.
Социальная инженерия и социальные хакеры / М. В. Кузнецов —
«БХВ-Петербург», 2007
Прием, когда хакер атакует не компьютер, а человека, работающего
с компьютером, называется социальной инженерией. Социальные
хакеры – это люди, которые знают, как можно "взломать человека",
запрограммировав его на совершение нужных действий.В книге описан
арсенал основных средств современного социального хакера (трансактный
анализ, нейролингвистическое программирование), рассмотрены и подробно
разобраны многочисленные примеры социального программирования (науки,
изучающей программирование поведения человека) и способы защиты от
социального хакерства. Книга будет полезна IT-специалистам, сотрудникам
служб безопасности предприятий, психологам, изучающим социальную
инженерию и социальное программирование, а также пользователям ПК,
поскольку именно они часто выбираются социальными хакерами в качестве
наиболее удобных мишеней.Для широкого круга читателей.
© Кузнецов М. В., 2007
© БХВ-Петербург, 2007
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Содержание
Введение 5
Для кого и о чем эта книга 5
Благодарности 8
Часть I 9
Глава 1 10
Основная схема воздействия в социальной инженерии 13
Основные отличия социальной инженерии от социального 18
программирования
Глава 2 22
Об истории социальной инженерии 22
Основные области применения социальной инженерии 22
Финансовые махинации 23
Конец ознакомительного фрагмента. 29
4
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
тило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, коммента-
рии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как
мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело
здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто
есть другие люди, которые очень неплохо владеют языком программирования человеческих
поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по мно-
гим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой
системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник,
использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице
"Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб без-
опасности корпораций… По социальной инженерии стали устраивать конференции, в ряде
университетов собираются вводить курсы лекций на эту тему…
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы,
есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека
применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно
так – никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат
принципы нейролингвистического программирования", что, правда, запутывает еще больше.
Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно разви-
вать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приоб-
рести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток
публикуемых в настоящее время статей по социальной инженерии состоит в том, что боль-
шинство примеров, которые в них приводятся – надуманные ("киношные"), которые в реаль-
ной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится
такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему
приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга
призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологиче-
ский минимум, который лежит в основе "социального хакерства". С другой стороны, в книге
много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении мате-
риала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту
книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно
небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инже-
нерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам соци-
альной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенни-
чества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как
он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того,
чтобы суметь предвидеть опасность и предсказать дальнейшие действия.
Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-
специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих соци-
альную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого
широкого круга профессий: программистам, системным и сетевым администраторам, специ-
алистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной инфор-
мации из "недр компьютера" спрашивают именно с IT-специалистов. И именно им в первую
очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT-специали-
стов ложится и выяснение причин утечки информации. В силу этого многие зарубежные уни-
верситеты уже вводят для специалистов по компьютерной безопасности курс лекций по осно-
вам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК,
поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее
удобных мишеней.
6
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Психологам книга будет интересна по причине того, что в ней впервые изложены основ-
ные принципы социальной инженерии и показано, на каких психологических концепциях она
базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкци-
онированное проникновение на объект отвечают именно они, а такие проникновения очень
часто строятся на использовании "человеческого фактора".
Читатели книги смогут задать любой вопрос, посвященный методам социального про-
граммирования, на специальном форуме на сайте авторов.
7
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Благодарности
Авторы выражают признательность сотрудникам издательства "БХВ-Петербург", благо-
даря которым наша рукопись увидела свет.
8
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Часть I
Что такое социальная инженерия
и кто такие социальные хакеры
9
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Глава 1
Социальная инженерия – один из
основных инструментов хакеров XXI века
Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как
мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно
два. Первый путь, когда "взламывается компьютер", мы назовем техническим. А социальной
инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути
и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно
украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А
пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у
человека. Многие говорят, если правильно спросить.
По мнению многих специалистов, самую большую угрозу информационной безопасно-
сти, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут
представлять все более совершенствующиеся методы социальной инженерии, применяемые
для взлома существующих средств защиты. Хотя бы потому, что применение социальной инже-
нерии не требует значительных финансовых вложений и досконального знания компьютер-
ных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности
корпорации Gartner, говорит о том, что "социальная инженерия представляет из себя более
серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи
некоторые поведенческие наклонности, которые можно использовать для осторожного мани-
пулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут
происходить благодаря социальной инженерии, а не электронному взлому. Следующее десяти-
летие социальная инженерия сама по себе будет представлять самую высокую угрозу инфор-
мационной безопасности". Солидарен с ним и Роб Форсайт, управляющий директор одного
из региональных подразделений антивирусной компании Sophos, который привел пример "о
новом циничном виде мошенничества, направленного на безработных жителей Австралии.
Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком
12
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт,
представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse,
но в поддельной версии представлена форма для заполнения заявления о приеме на работу.
А за то, чтобы рассмотрели заявление, "банк" просил пусть символические, но деньги, кото-
рые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек,
сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что
экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что зло-
умышленники применили довольно хитрую комбинацию технологий. Их цель – самые нуждаю-
щиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться
на такого рода провокацию", – говорится в словах Форсайта. Энрике Салем, вице-президента
компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, –
это "проблемы вчерашнего дня", хотя компании обязательно должны защищаться и от них.
Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной
инженерии.
Примечание
Подробно о фишинге – в главе 2.
Почему же многие исследователи считают, что социальная инженерия станет одним из
основных инструментов хакеров XXI века? Ответ прост. Потому что технические системы
защиты будут все больше и больше совершенствоваться, а люди так и будут оставаться
людьми со своими слабостями, предрассудками, стереотипами, и будут самым слабым звеном в
цепочке безопасности. Вы можете поставить самые совершенные системы защиты, и все равно
бдительность нельзя терять ни на минуту, потому что в вашей схеме обеспечения безопасно-
сти есть одно очень ненадежное звено – человек. Настроить человеческий брандмауэр, иначе
говоря файрвол (firewall), – это самое сложное и неблагодарное дело. К хорошо настроенной
технике вы можете не подходить месяцами. Человеческий брандмауэр нужно подстраивать
постоянно. Здесь как никогда актуально звучит главный девиз всех экспертов по безопасности:
"Безопасность – это процесс, а не результат". Очень простой и часто встречающийся пример.
Пусть вы директор, и у вас очень хороший сотрудник, который, по вашему мнению, ну уж
никогда ничего никому не продаст и никого не продаст. В следующем месяце вы понизили ему
зарплату, скажем, по тем или иным причинам. Пусть даже эти причины весьма объективны. И
ситуация резко изменилась: теперь за ним глаз да глаз, потому что он места себе не находит от
обиды, он уже вас убить готов, что уж тут говорить о каких-то внутрикорпоративных секретах.
Замечу также, что для того, чтобы заниматься обеспечением безопасности, особенно в
части настройки "человеческих файрволов", нужно обладать устойчивой нервной и психиче-
ской системой. Почему, вы поймете из следующей прекрасной фразы А. Эйнштейна, которую
мы, вслед за Кевином Митником, не можем не повторить: "Можно быть уверенным только в
двух вещах: существовании вселенной и человеческой глупости, и я не совсем уверен насчет
первой".
Основная схема воздействия в социальной инженерии
Все атаки социальных хакеров укладываются в одну достаточно простую схему (рис. 1.2).
13
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Примечание
Эта схема носит название схема Шейнова. В общем виде она приведена
в книге белорусского психолога и социолога В.П. Шейнова, долгое время
занимавшегося психологией мошенничества. В немного измененном нами
виде эта схема подходит и для социальной инженерии.
Итак, сначала всегда формулируется цель воздействия на тот или иной объект.
Примечание
Под "объектом" здесь и далее мы будем иметь в виду жертву, на которую
нацелена социоинженерная атака.
Затем собирается информация об объекте, с целью обнаружения наиболее удобных
мишеней воздействия. После этого наступает этап, который психологи называют аттракцией.
Аттракция (от лат. attrahere – привлекать, притягивать) – это создание нужных условий для
воздействия социоинженера на объект. Принуждение к нужному для социального хакера дей-
ствию обычно достигается выполнением предыдущих этапов, т. е. после того, как достигнута
аттракция, жертва сама делает нужные социоинженеру действия. Однако в ряде случаев этот
этап приобретает самостоятельную значимость, к примеру, тогда, когда принуждение к дей-
ствию выполняется путем введения в транс, психологического давления и т. д.
Вслед за В.П. Шейновым, проиллюстрируем данную схему на примере рыбной ловли.
Мишень воздействия в данном случае – потребность рыбы в пище. Приманкой служит червяк,
кусок хлеба, блесна и т. д. А аттракция – это создание условий, необходимых для успешной
рыбной ловли: выбор нужного места ловли, создание тишины, выбор нужной насадки, прикорм
рыбы. Принуждение к действию, это, допустим, рывки удилищем, благодаря которым червяк
или другая насадка дергается и рыба понимает, что пища может и уйти и надо действовать
активнее. Ну а с итогом все понятно.
Другой пример: подкуп сотрудника. Здесь мишень – потребность сотрудника предприя-
тия в деньгах. О том, что он в них нуждается и что с большой вероятностью "примет предло-
жение", узнается на этапе сбора информации. Аттракцией может быть, к примеру, создание
таких условий, при которых сотрудник будет в деньгах очень нуждаться.
Примечание
Эти условия часто создаются умышленно. Банальный пример – ехал
сотрудник на машине и "слегка попал в аварию", после которой и машину
надо ремонтировать, и тому джипу, в который он врезался, деньги заплатить.
Количество таких "дорожных подстав" сейчас выросло неимоверно, и
исполнителей найти не сложно.
Теперь кратко остановимся на таком популярном виде преступлений, как кража баз дан-
ных.
14
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Примечание
Кража баз данных – это одна из основных областей применения
социальной инженерии. Разговор о кражах баз данных мы продолжим также
и в главе 2.
Каких только баз сейчас не найдешь: и базы МГТС, и базы Центробанка, и базы Пенси-
онного фонда, и базы БТИ, и базы МВД с ГИБДД, и базы по прописке… В настоящий момент
эксперты спорят о том, к какому виду преступлений относить кражу клиентских баз данных. С
одной стороны, данный вид преступлений, вроде бы, по мнению многих экспертов, относится
к преступлениям в области IT. Те, кто так считают, исходят из того простого положения, что
базы данных хранятся на жестких дисках серверов, и, значит, если их украли, то это преступ-
ление в IT. Но с другой стороны, это не совсем так, потому что большинство краж совершаются
с использованием методов социальной инженерии.
Кто и каким способом ворует базы данных? Если в ответ на этот вопрос вы услы-
шите, что их воруют хакеры, взламывая корпоративные серверы государственных органов и
крупных компаний – не верьте этому. Это не так. Все гораздо проще и прозаичнее. Воруют их
обыкновенные люди, не пользуясь, в большинстве случаев, никакими сложными приборами,
если таковым не считать обыкновенный накопитель Flash Drive, подключаемый к порту USB.
Как мы уже говорили, примерно в 80 случаях из 100 информацию воруют не по техни-
ческому каналу, а по социальному. Таким образом, это не хакеры сидят ночи напролет и взла-
мывают серверы, а, скажем, обидевшийся системный администратор уволился. Но не один, а
вместе со всеми базами данных и всей информацией о предприятии. Или за умеренную плату
сотрудник компании сам "сливает" на сторону информацию о компании. Или просто пришел
человек со стороны, представился лучшим другом системного администратора, и сел налажи-
вать "глючную" базу данных, потому что лучший друг нынче болен. После его ухода эта база
действительно стала работать лучше, но – в другом месте. Если вы считаете, что это очень три-
виально и проходит только в маленьких и совсем уж беспечных компаниях, то вы зря так счита-
ете. Совершенно недавно именно так похитили ценную информацию в одной из весьма круп-
ных питерских компаний, работающих в области энергетики. И таких примеров очень много.
Тот факт, что основной канал утечки информации – социальный, задачу защиты информации
крайне сильно усложняет. Потому что вероятность утечки по техническому каналу в прин-
ципе можно свести к нулю. Можно сделать сеть очень защищенной, что никакая атака извне ее
"не прошибет". Можно вообще сделать так, что внутренняя сеть учреждения не будет пересе-
каться с внешней, как это сделано в российских силовых ведомствах, к примеру, где внутрен-
ние сети не имеют выхода в Интернет. Кабинеты руководства и все кабинеты, в которых про-
водятся важные совещания, следует оборудовать средствами защиты от утечки информации.
Никто ничего на диктофон не запишет – мы поставили подавители диктофонов. По радиока-
налу и каналу побочных электромагнитных излучений никто ничего не прослушает – поста-
вили генератор радиошума. Виброакустический канал тоже перекрыли, невозможен и лазер-
ный съем информации по колебаниям оконного стекла, через вентиляционные шахты тоже
никто ничего не услышит. Телефонные линии защитили. …Итак, все сделали. А информация
все равно "сделала ноги". Как, почему? А люди унесли. Без всяких сложных технических мани-
пуляций. В очередной раз сработал тот самый пресловутый и навязший в зубах человеческий
фактор, о котором все вроде бы и знают, и о котором все стараются забыть, живя по принципу
"пока гром не грянет…". Заметьте: похитить информацию из сетей государственных органов
по техническому каналу практически невозможно. А она, тем не менее, похищается. И это
является еще одним доказательством того, что, в основном, информацию похищают с исполь-
зованием людей, а не технических средств. Причем похищают иногда до смешного просто. Мы
проводили аудит одного крупного предприятия нефтехимической отрасли на предмет органи-
15
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
зации в нем защиты информации. И выяснили интересную штуку: доступ к столу секретаря
генерального директора могла иметь любая ночная уборщица. И имела, судя по всему. Вот
такая демократия царила на этом предприятии. А бумаг на этом столе столько было разбро-
сано, что по ним можно было составить представление почти обо всей нынешней деятельности
предприятия и о планах его развития на ближайшие 5 лет. Оговоримся еще раз, что это дей-
ствительно крупное предприятие, с солидной репутацией и миллионными оборотами. В дол-
ларовом эквиваленте, конечно. А защита информации была поставлена… Впрочем, никак она
не была поставлена. Еще один интересный социоинженерный канал утечки информации – это
различные выставки, презентации и т. д. Представитель компании, который стоит у стенда, из
самых лучших побуждений, ради того, чтобы всем понравиться, нередко выдает самые сокро-
венные секреты компании, которые ему известны, и отвечает на любые вопросы. Я не раз это
говорил многим своим знакомым директорам, и один из них в шутку предложил мне подойти к
представителю его компании на ближайшей выставке и попытаться таким образом что-нибудь
этакое у него выведать. Когда я принес ему диктофонную запись, он, можно, сказать, плакал,
потому что одна из фраз звучала примерно так: "А вот недавно наш директор еще ездил в
Иран…". Этот способ добычи информации, кстати, используется немалым количеством фирм.
Примечание
Подробнее о том, как выведывается информация на презентациях – в
главе 2.
…К сожалению, многие люди крайне беспечны, и не хотят заботиться о сохранности
информации. Причем часто даже в очень крупных организациях это "не хотение" простира-
ется от самых рядовых сотрудников до генерального директора. И при таком раскладе один
системный администратор или начальник службы безопасности, будь они даже полными пара-
ноиками, помешанными на защите информации, ситуацию не спасут. Потому что на данный
момент, увы, даже те из руководителей, которые понимают, что информацию защищать надо,
не всегда осознают еще одну вещь: что защита информации должна быть системной, т. е. про-
водится по всем возможным каналам утечки. Вы можете сколько угодно защищать компьютер-
ную сеть, но если люди получают низкую зарплату и ненавидят предприятие, на котором они
работают, хлеще, чем советский народ гитлеровских оккупантов, то на эту защиту можно даже
не тратить денег. Другой пример несистемности можно нередко наблюдать, ожидая приема у
дверей какого-нибудь директора. Очень нередки случаи, когда те, кто конструирует систему
безопасности, не учитывают такую вещь: директора имеют свойство говорить громко, иногда
срываясь на крик. Двери же в кабинет генерального директора часто настолько звукопроница-
емы, что совещающихся в "генеральском" кабинете можно слушать, совершенно не напряга-
ясь, даже если они говорят шепотом. Как-то я1 приехал в Москву к одному "близкому к телу"
директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. А у
него как раз случилось важное незапланированное совещание, и меня попросили подождать.
Посидев 15 минут у его кабинета, я понял, что узнал гораздо больше того, что хотел узнать,
и в принципе можно уезжать. Остался только из приличия. Пикантность ситуации в том, что
когда дошла очередь до меня, на мои вопросы директор почти не ответил, говоря, что, мол,
сам понимаешь, очень конфиденциально, я и сам пока не очень-то в курсе… И так далее. Тем
не менее, я его очень горячо и любезно поблагодарил.
…Возвращаясь к базам данных, содержащих конфиденциальные сведения, следует отме-
тить, что после вышенаписанного полностью понятно, кто и как их крадет. Обыкновенные
люди их крадут. Очень часто – сами же сотрудники предприятий. Недавно вот осудили тамо-
женника в чине подполковника, который снабжал рынок таможенными базами данных. В
1
Здесь и далее, когда повествование ведется от первого лица, это означает, что либо приводимые примеры из коллекции
одного из авторов, либо излагается личный опыт одного из авторов. – Прим. авт.
16
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
соседнем регионе поймали за руку начальника отдела налоговой инспекции, который за уме-
ренную плату сливал данные местным криминальным браткам. И так далее.
Для чего их воруют и кому это нужно? Нужно это многим. От млада до велика.
Нужно как рядовым гражданам, так и "финансовым акулам". Если начать с граждан, то не вда-
ваясь в глубинные рассуждения об особенностях русского менталитета, скажем лишь, что пока
в справочных службах наших "телекомов" сидят крикливые и всем недовольные барышни, то
даже самому законопослушному и честному человеку гораздо проще для своих нервов пойти
и купить эту базу номеров телефонов организаций на рынке пиратского ПО, чем позвонить
на справочную службу.
Это по понятным причинам нужно всем тем, кто занимается конкурентной разведкой.
Это нужно криминалитету. К примеру, каждый уважающий себя угонщик автомобилей
имеет базу ГИБДД. Криминалу также немаловажно знать, не обделяют ли его те, кого он "кры-
шует". Домушники находят себе жертв с помощью баз данных.
Это нужно финансовым гигантам, практикующим практику рейдерских наездов.
Примечание
Рейдерские наезды – это такая практика в новой российской истории, при
которой, грубо говоря, большая компания прибирает к рукам те компании,
которые меньше с помощью так называемых рейдеров. Допустим, некая
большая компания захотела купить какую-то другую компанию, которая
поменьше. Для этого она делает заказ рейдерам, – людям, которые построят
план захвата компании и его исполнят. Подробно о рейдерах рассказано в главе
2.
…Продолжать можно долго. В общем, рынок обширен и спрос на продукцию есть. А
спрос всегда рождает предложение. Это один из основных законов экономики. Если есть спрос,
обязательно, рано или поздно, дорогое или дешевое, но предложение будет. Каким бы этот
спрос не был. Даже если этот спрос очень кощунственный, к примеру, спрос на детские органы.
Страшнее спрос сложно придумать. А все равно предложение есть. Что уж тут говорить про
какие-то базы данных.
Примечание
В настоящее время цена вопроса на воровство одной базы данных
крупного предприятия составляет около $2000.
Можно ли вообще прекратить воровство баз данных? На государственном уровне
это можно сделать, наверное, только ужесточив наказание за данное преступление. Хотелось
бы посмотреть на того, кто осмелился бы своровать какую-то базу в советские времена. Правда,
"ужесточив", это не совсем тот термин: дело в том, что сейчас базы данных можно красть прак-
тически безнаказанно. Ну чего стоит любому сотруднику практически любой структуры выне-
сти эту самую базу? Правильно – ничего не стоит. В худшем случае уволят. Но это еще надо
умудриться попасться. Дошло до того, что согласно публикации в "Комсомольской правде"
от 03.03.06 базами данных приторговывает даже Московский центр экономической безопас-
ности, который, судя из названия, должен эти самые базы охранять. Поэтому, как всегда, на
государство, конечно, стоит уповать, но рассчитывать на него не стоит. И некоторые компании
сами, не дожидаясь государства, пошли другими путями. К примеру, по пути дискредитации
этого рынка и тех, кто на нем работает. Проще говоря, сливают обыкновенную "дезу", действуя
по принципу, если государство не может нас защитить, то приходится самим учиться играть
в шпионские игры. И многие неплохо учатся. Я знаю случай, когда одна компания, узнав, что
ее "заказали", сама подготовила всю необходимую информацию, которую и украл злоумыш-
ленник. Когда "заказчик" понял, в чем дело, он, говорят, был вне себя. А цена вопроса была
высока. История умалчивает, что было с теми, кто эту информацию добывал, но, по слухам,
17
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
после этого случая количество желающих, в том числе и сотрудников, добывать конфиденци-
альную информацию о деятельности этой компании резко уменьшилось.
Кстати, хотя и говорят, что нет подзаконных актов, направленных на то, чтобы прекра-
тить воровство баз данных, дело, зачастую, совсем не в них. Да, с подзаконными актами дей-
ствительно проблема. Но в большинстве краж, как мы уже говорили ранее, виноваты сами
организации. Кстати, в судах практически нет обращений от организаций, у которых крадут
информацию. Что объясняется одной простой вещью: никто не хочет выносить сор из избы.
Что, в общем-то, понятно, но, с другой стороны, очень сильно упрощает дело злоумышленни-
кам. Дело еще и в том, что даже в том случае, когда фирме точно известно, что ее сотрудник
похитил информацию, и она желает подать на этого сотрудника в суд, вероятность того, что
фирма выиграет дело очень мала. По причине все той же беспечности: очень минимальное
количество фирм оформляет договоры с сотрудниками должным образом, т. е. так, чтобы в
нем было прописано, что сотрудник ознакомлен с тем, что имеет дело с конфиденциальной
информацией и что ему будет за то, если он эту информацию разгласит.
Основные отличия социальной инженерии
от социального программирования
Кроме социальной инженерии, мы будем еще употреблять термин "социальное програм-
мирование", которое, хотя и кажется на первый взгляд похожим на социальную инженерию,
на самом деле от нее очень отличается. Тому, чтобы прекратить эту путаницу в терминах, и
посвящен этот раздел.
Социальную инженерию можно определить как манипулирование человеком или груп-
пой людей с целью взлома систем безопасности и похищения важной информации. Соци-
альное программирование же может применяться безотносительно от какого-либо взлома, а
для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-
либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того,
чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или
иной ЭВМ нет и в помине. Таким образом, термин социальная инженерия мы будем употреб-
лять тогда, когда речь идет об атаке на человека, который является частью компьютерной
системы, как это показано на рис. 1.1.
Примечание
Иногда кроме термина социальная инженерия употребляется также
термин обратная социальная инженерия. Суть в том, что при обратной
социальной инженерии вы человека напрямую ни к чему не принуждаете, а
создаете такие условия, что он сам к вам обращается. К примеру, если вам
нужно прийти в организацию под видом телефонного мастера, вы можете
просто прийти и начать проверять телефонные коробки. Это в данной
терминологии – социальная инженерия. А можно поступить и по-другому. Вы
создаете такую ситуацию, при которой в какой-то конкретной организации вас
знают как телефонного мастера. После этого вы ждете, когда что-то случиться
с телефонами, или сами делаете с ними что-то, и спокойно ждете, когда вам
позвонят и попросят прийти. Это и есть обратная социальная инженерия.
Таким образом, не вы сами куда-то ни с того ни с сего приходите, а вас просят
прийти. Конечно, второй случай намного предпочтительнее, т. к. снимает с вас
вообще все подозрения. Грамотные социоинженерные подходы именно так и
строятся, поэтому этот термин мы считаем излишним, и его употреблять не
будем.
18
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
этого и производится расчет психофизических характеристик. Потому что иначе это было бы
не социальное программирование. Ведь, когда маньяк-убийца, к примеру, уже выбрал себе
жертву и собирается ее убить, он тоже знает о будущем поведении жертвы того, что она еще
сама о себе не знает (что ее скоро не будет на этом свете). Но, согласитесь, поведение жертвы в
этом случае вряд ли можно называть естественным: сложно представить, что встречи с манья-
ками это ее естественное времяпрепровождение. Таким образом, социальное программирова-
ние, это когда вы искусственно моделируете ситуацию под конкретного человека, в которой вы
знаете, как этот человек поступит, исходя из знания психотипа этого человека. То же самое
относится и к группе людей.
Примечание
В главе 3 мы рассмотрим еще несколько примеров именно социального
программирования, например, проанализируем, какими способами можно
усмирить агрессивную толпу, а также подумаем о том, каким образом
с помощью методов социального программирования можно было учинить
скандально известный недавний "соляной кризис".
Социальное программирование базируется на следующих психологических концепциях:
• трансактном анализе (см. главу 6);
• социологии (науке о поведении людей в группах) (см. главу 8);
• нейролингвистическом программировании (см. главу 7);
• сценарном программировании (см. главу 6);
• психологической типологии (см. приложение 2).
Социальное программирование, в отличие от социальной инженерии, имеет более
обширную область применения, т. к. работает со всеми категориями людей, независимо от
того, частью какой системы они являются. Социальная же инженерия всегда работает только
с человеком, который является частью компьютерной системы, хотя методы в том и другом
случае используются аналогичные.
Другое важное различие состоит в том, что социальная инженерия – это почти всегда
отрицательная область применения, социальное программирование же, как и любая область
знания, имеет и положительную и отрицательную область применения. Одним из примеров
отрицательной области применения социального программирования является как раз соци-
альная инженерия.
Поэтому, когда мы будем говорить о манипулировании человеком в том случае, когда он
является частью компьютерной системы, или просто носителем секретной информации, кото-
рую требуется похитить, мы будем говорить о социальной инженерии, а в том случае, когда
будет идти речь об управлении людьми вообще, мы будем говорить о социальном программи-
ровании. Наша книга – о социальной инженерии, но иногда, чтобы лучше была понятна суть
многих методов, мы будем делать набеги в социальное программирование.
В заключение разговора о социальном программировании приведем известный пример
о том, как искусно можно манипулировать людьми.
Однажды один гроссмейстер получил по почте письмо, в котором неизвестный ему чело-
век, представившись молодым начинающим шахматистом, предложил сыграть дистанционную
партию в шахматы. Дистанционную, потому что ходы отправлялись по почте. За выигрыш
гроссмейстеру была обещана очень большая сумма денег, а если будет ничья, или, упаси бог,
гроссмейстер проиграет, то деньги платит он. Правда, в два раза меньшую сумму, чем ту, кото-
рую получит он сам, если проиграет молодой шахматист. Гроссмейстер, не долго думая, согла-
сился. Заключили пари, и стали играть. Уже с первых ходов знаменитый гроссмейстер понял,
что "на халяву" заработать денежку не удастся, потому что уже первые ходы выдавали в моло-
дом шахматисте перспективного мастера. В середине мачта гроссмейстер потерял покой и сон,
20
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
21
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Глава 2
Примеры взломов с помощью
методов социальной инженерии
22
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Финансовые махинации
…Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно
влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним
случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город
получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки
золотые. "Ну и что, что слесарь", – рассуждала Наташа, – "выучится скоро и будет финанси-
стом". Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только
любовь и много всего приятного, что с этим связано. А при чем же здесь финансовые махина-
ции, спросите вы? А при том, что в планы Наташи жестко вмешалась реальная жизнь, в кото-
рой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера
был осуществлен перевод на счет некоей фирмы немалой суммы денег. Она точно помнила,
что ничего такого не делала, да и вообще девушка это была старательная и без вредных при-
вычек. В общем, шок. Который усугублялся тем, что ее любимый Илья вдруг куда-то исчез.
Между прочим, о том, что эту аферу провернул именно Илья, догадались не сразу, потому что
никому в голову не могло прийти, что такой обаятельный, такой милый, такой отзывчивый вот
так вот может.
Что же произошло? А произошел классический сюжет. Обаятельный Илья влюбил в себя
Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто про-
исходящая, только цели разные. В данном случае целью было воровство денег.
Примечание
23
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
ствия. Причем сделать все это не очень сложно: определяется психотип человека, на основании
чего выясняется, какие девушки (или юноши) ему (ей) нравятся – и через некоторое время
жертва находит "ту единственную и неповторимую любовь, о которой всю жизнь мечтала".
Излюбленный метод мошенников всех времен и народов. И очень действенный метод, потому
что является атакой, основанной на физиологических потребностях человека. О физиологиче-
ских потребностях мы здесь говорим более шире, чем принято, и понимаем под этими потреб-
ностями не только, скажем, потребность в еде, сексе и прочее, а также потребность в любви,
потребность в деньгах, потребность в комфорте и т. д. и т. п. И вот, когда мишенью является
одна из таких потребностей, дело плохо. В том смысле, что очень сложно. А умные социаль-
ные инженеры в качестве мишеней выбирают именно такие потребности. Рассмотренная нами
атака – как раз из этой категории, когда в качестве мишени воздействия была выбрана потреб-
ность в любви.
Давно известно, что в крупных городах России существуют целые агентства, которые
содержат обольстительниц самого разного вида на самый разный, в том числе и изощренный,
вкус. Цель их существования – получение прибыли путем "развода" богачей мужского пола.
Действительно, зачем строить достаточно сложную комбинацию, как в только что приведенном
примере, когда можно сделать все легче: влюбить в себя до беспамятства богатого человека,
который сам по своей доброй воле будет переводить денежки на твой счет. Незачем нанимать
орду хакеров, проворачивать финансовые аферы, балансировать на грани закона, – все можно
сделать так, что человек сам отдаст деньги и отдаст их добровольно. Схема работы такая. На
первом этапе сотрудники агентства выясняют все, что только можно о "клиенте": какую пищу
предпочитает, какие книги, каких девушек, какие машины, какую музыку, – в общем все. Здесь
действуют по принципу, что информация лишней быть не может. Это делается для того, чтобы
в соответствии со вкусами жертвы, подобрать для него ту единственную и неповторимую, от
которой он просто физиологически не сможет отказаться. Действительно, ну какой мужчина
откажется от женщины, которая мало того что в его вкусе и красоты неписанной, но и страстная
поклонница футбола (как и он сам, естественно), да еще и болеет за ту же самую команду. И, –
о ужас, когда он как-то раз подвез ее на машине, она с сожалением и с некоторым кокетством
констатировала:
– Володя, вот если бы не одно, но, я могла бы сказать, что ты мужчина моей мечты.
– Какое НО? – слегка насторожившись, но, придав тону игривость, спрашивает банкир
Володя.
– Ты не любишь классику…
– Почему? Почему ты так решила, – слегка запнувшись, и уже без всякой игривости в
голосе спросил он.
– А ты вечно крутишь какую-то попсу в машине, а классику ни разу не включил, а я
попсу терпеть не могу.
– Что же ты раньше не сказала, ведь я тоже люблю классику, просто боялся тебе в этом
признаться, думал, что сочтешь меня не современным.
– Какая, к чертям, современность, все эти "Муси-пуси, трали-вали, поцелуй меня же
Люся, пока нас не разорвали", – с ехидством пропела она, – от этой нынешней классики жить
не хочется. То ли дело Бетховен… Все эти трали-вали в сравнении с ним…
"Мой любимый композитор", – подумал он, а вслух спросил:
– А что тебе больше всего у Бетховена нравится?
– Соната до-минор, наверное, – ответила она, на мгновенье задумавшись.
"Моя любимая соната, – думает он, – о, ужас… Нет, таких совпадений не может быть.
Я первый раз встретил красивую и современную девушку, от которой я и так почти без ума,
и которой еще вдобавок нравится классика, и, более того, даже в классике наши вкусы сов-
пали. А, впрочем, почему я так думаю? Разве я не заслужил того, чтобы мне господь послал
25
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
– Что узнала?
– Что это мое любимое блюдо?
– Да?! Если честно, даже не подозревала. Володя, как, оказывается, у нас с тобой много
общего… А это, заметь, и мое любимое блюдо, меня научил готовить папа, он офицером слу-
жил на тихоокеанском флоте, и иногда по праздникам баловал нас этим деликатесом.
…Вот примерно так, все и происходит с некоторыми вариациями. Не буду дальше рас-
сказывать о том, как развивались отношения Володи и Марины. Скажем лишь о том, что потом
Володя добровольно перечислял огромные суммы на счет Марины, чтобы она себе ни в чем
не отказывала, бросил семью, и даже уговорил Марину оставить свое модельное агентство,
чтобы она как можно чаще была с ним. Его счастье бы очень омрачилось, узнай он о том,
что сорок процентов с перечисленных им сумм Марина переводила держательнице агентства,
"шахине", как они ее между собой называли. И ту машину, которую подарил ей Володя, она
тоже должна была продать, после разрыва с ним, или найти сорок процентов ее стоимости в
денежном эквиваленте, чтобы отдать их "шахине". Не знал Володя и того, что встреча его с
Мариной была подстроена по всем правилам разведки. Что неполадка в ее авто была сымити-
рована, и то, что он в этот момент оказался рядом с ней, тоже было подстроено. Не знал он и
того, что вариантов таких случайных встреч – масса. Не знал он и того, что скоро перестанет
быть управляющим банком, так как те данные, которые собрала на него Марина, уже переданы
"шахине", которая за приличную сумму продала их тем людям, которые спали и видели, чтобы
Владимир Анатольевич перестал быть богатым управляющим банком, а стал бы бедным двор-
ником. Ну, и, естественно, он не подозревал о том, что после того, как в его делах случится
крах, он станет очень раздражительным человеком, чем и воспользуется Марина, чтобы его
покинуть. Теперь уже очень состоятельной женщиной, так как тех денег, которые она "выка-
чала" из, теперь уже несчастного, Володи, ей хватит на очень долгое время безбедного суще-
ствования, даже за минусом тех процентов, которые отдавались "шахине".
Небольшой комментарий на тему "случайных встреч"
Социальные хакеры – доки в организации "случайных встреч". Ряд приемов заимствован
ими, в основном, из арсенала спецслужб, но и в собственной изобретательности многим не
откажешь. Конечно, за обольстительницами, о которых мы в данный момент говорим, стоит
немало "бойцов невидимого фронта", которые все эти спектакли и ставят. Потому что опера-
ция "случайная встреча" – немаловажный этап во всей этой большой игре и планируют ее с
учетом рекомендаций психологов, которые на основе данных первого этапа достаточно точно
прогнозируют психо– и социотип жертвы и предсказывают поведение клиента в той или иной
ситуации. Ведь один "клиент" может "поплыть" сразу после первой встречи, а к другому, более
упорному, и подозрительному подходец нужен, – с ним несколько раз нужно встречаться, с ним
во время первой беседы вообще ни о чем серьезном говорить не стоит. Значит, нужно, чтобы
девушка, которую жертва "случайно" подвозит, "случайно" забыла в его машине свой сотовый
телефон, к примеру. Желательно, той же самой модели, что и он предпочитает. Ну чтобы был
повод встретиться. А третий, скажем, вообще в свои машины никого не сажает. Значит, нужно
у ворот его дома подвернуть ножку или упасть в обморок. И падают, и хорошо падают, потому
это все заранее не раз репетируется. А четвертого чужие обмороки, даже в исполнении очень
красивых девушек, мало волнуют, потому как человек очень жестокий и предпочитает "стерв",
а не размазюнь, в обмороки шлепающихся в дело и не в дело. Этому устраивается автомобиль-
ная подстава, при которой автомобиль девушки врезается в его крутое авто. Он, конечно, сидит
в машине, ждет, пока его охрана разберется с "нарушившим правила дорожного движения", и
вдруг слышит гортанный женский голос: "Эй, вы бодигарды, кыш отседова. Говорите, сколько
я вашему папаше должна, берите деньги, и проваливайте, не мешайте мне наслаждаться моей
нелегкой женской долей. А вашему недоумку за рулем скажите, чтоб убирался на своем авто
27
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
крутом подальше, как только бабу за рулем увидит". Слушает жестокий человек Петр Семено-
вич, владелец нескольких крупных автозаправок в центре столицы и одного небольшого неф-
тезаводика, этот низкий гортанный голос и уже подсознательно понимает, что этот голос при-
надлежит "стерве его мечты". И решает он на нее своими глазами взглянуть. И после этого
он – пропал. Потому что, как взглянул, уже сознательно понял, что это именно та девушка,
которая снилась ему ночами. А для пятого, кроме денег помешенного еще на рукопашном
бое и чувстве собственной значимости, устраивается спектакль, в котором участвует девушка
его мечты и несколько крутых на вид и неопрятных мужланов. Эти мужланы пристают вон
к той красивой девушке, и о, боже, даже рвут на ней платье. Естественно, в зоне видимости
"клиента". И решает он броситься в драку и помочь девушке, и бросается и только зубы из-
под его кулаков тренированных вылетают, и разлетаются хулиганы в разные стороны от его
ударов (потому что проинструктированы на тему того, что "чем дальше и красивее улетят, тем
выше гонорар за выступление"). Девушка, естественно, его благодарит сквозь слезы, и он, ее,
естественно, подвозит (ну куда ж она в разорванном платье-то сама пойдет), и, конечно, всю
дорогу поет ему оды на тему "какой он мужественный, и как он ловко вон тех гадов, которые
ее чуть было не…".
28
И. В. Симдянов, М. В. Кузнецов. «Социальная инженерия и социальные хакеры»
Конец ознакомительного фрагмента.
Текст предоставлен ООО «ЛитРес».
Прочитайте эту книгу целиком, купив полную легальную версию на ЛитРес.
Безопасно оплатить книгу можно банковской картой Visa, MasterCard, Maestro, со счета
мобильного телефона, с платежного терминала, в салоне МТС или Связной, через PayPal,
WebMoney, Яндекс.Деньги, QIWI Кошелек, бонусными картами или другим удобным Вам спо-
собом.
29