Искусство обмана
Шрифт:
В мире, где в результате развития технологий мы научились общаться с помощью смайликов и сообщений, состоящих из менее чем 280 символов, нарабатывать навыки общения становится все сложнее. И уж совсем сложно выявлять ситуации, в которых эти навыки используются против нас. К тому же благодаря социальным сетям изменилось наше общество: стало нормальным и даже поощряемым рассказывать о себе абсолютно все всем подряд.
Итак, когда я говорю об использовании социальной инженерии в мошеннических целях, я обычно подразумеваю следующие направления деятельности:
СМС-мошенничество (SMiSHing), или фишинг с использованием текстовых сообщений. Когда в 2016 году атаке подверглась банковская компания Wells Fargo, я получил СМС-сообщение, скриншот которого изображен на илл. 1.2.
Самое смешное, что я даже не пользовался услугами Wells Fargo и тем не менее якобы попал в список этой рассылки (и нет, названия своего банка я вам ни за что не выдам, даже не спрашивайте).
Всего один клик – и мошенники получали возможность собрать ваши идентификационные данные и/или загрузить на ваше мобильное устройство вирус.
Вишинг, или голосовой фишинг, о котором мы уже говорили выше. С 2016 года этот тип мошенничества стали применять намного чаще. Это простой, дешевый и очень выгодный для мошенников прием. Злоумышленников, использующих поддельные номера из других стран, практически невозможно найти и привлечь к ответственности.
Фишинг – самая обсуждаемая тема из мира социальной инженерии. Мы подробно писали о ней с техническим консультантом этой книги, Мишель Финчер, в другой нашей совместной работе – книге под названием «Темные воды фишинга: Нападение и защита» (Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails; Wiley, 2016). (Ладно, признаю, я только что беззастенчиво прорекламировал другую свою книгу.) С помощью фишинга закрывали целые заводы, взламывали системы числового программного управления (ЧПУ), обманывали системы безопасности Белого дома и десятков крупнейших корпораций, крали миллионы долларов. На данный момент фишинг считается самым опасным из четырех форм СИ.
Имперсонация [8] , или подражание. Метод можно отнести к числу самых эффективных. А в конец этого списка он попал лишь потому, что отличается от остальных. Однако не стоит наивно полагать, будто вы не столкнетесь с ним в жизни. За последний год мы собрали сотни историй о том, как злоумышленники изображали полицейских, агентов федеральных служб или сотрудников еще каких-то ведомств, чтобы совершать поистине ужасные преступления. Например, в апреле 2017 года один из них попался на том, что выдавал себя за полицейского: сначала находил покупателей детского порно, а потом шантажировал их, пользуясь «служебным положением».
ДОПОЛНИТЕЛЬНАЯ ИНФОРМАЦИЯ
На момент публикации книги подробности этой отвратительной истории можно найти здесь (на английском): http://www.sun-sentinel.com/local/broward/pembroke-pines/fl-sb-pines-man-child-porn20170418-story.html.
8
Имперсонация. От англ. impersonation – перевоплощение. Выдача себя за другого человека, подделка чужого профиля в социальной сети для получения информации, нанесения ущерба репутации или шантажа. Например, подделка сайта органа власти или учетной записи известного человека. – Прим. науч. ред.
Любой громкий случай СИ-атаки, который попадает в новости, можно отнести к одной из этих четырех категорий. В последнее время злоумышленники все чаще комбинируют эти методы для достижения максимальной эффективности.
Анализируя случаи подобных атак, я ищу в них общие схемы – не только для того, чтобы понять, какие инструменты и процессы задействовал преступник. Я стараюсь разобраться, как объяснить механизмы реализации атаки специалистам по безопасности, чтобы эту информацию можно было в дальнейшем использовать для саморазвития и защиты. Процесс анализа я выстраиваю по так называемой пирамиде СИ.
СИ-пирамида
Давайте я сразу объясню суть схемы, а уже потом расскажу, почему выделяю именно эти элементы и что означает каждый из них. Сама пирамида изображена на илл. 1.3.
Как видите, у нее есть нескольких ступеней и составлена она с точки зрения специалиста по безопасности, а не преступника.
Ниже я поясню общее значение каждой ступени пирамиды, а в дальнейшем, по ходу книги, мы будем разбирать их подробнее.
Сбор данных из открытых источников [9] – фундамент деятельности социального инженера. На этот этап стоит закладывать больше всего времени при планировании атаки, поэтому он занимает первую и самую значимую ступень пирамиды. Однако одной из важных составляющих этого этапа редко достается должное внимание. Речь идет о подготовке документации: как следует записывать, хранить и каталогизировать собранную информацию? Подробнее мы обсудим этот вопрос в следующей главе.
9
В текстах по системной инженерии распространен также термин OSINT – Open Source Intelligence. Между профессиональным жаргоном и сочетанием, понятным широкой аудитории, мы выбрали последнее. – Прим. науч. ред.
Основываясь на данных, собранных из открытых источников, логично предпринять следующий шаг: начать разработку повода для атаки. Эта часть работы социального инженера должна основываться на собранной ранее информации. На этом этапе подготовки становится понятно, какие изменения и дополнения необходимо внести в исходный план атаки, а также какими дополнительными инструментами и реквизитом придется обзавестись.
Проработкой легенды подготовка, конечно же, не ограничивается. Следующая стадия – планирование по модели трех «К»:
• Каков ваш план? Какова ваша цель? Какова цель клиента? Определившись с целями, вы легко ответите на следующие вопросы;
• когда лучше провести атаку;
• кто должен быть рядом на случай, если потребуется помощь?
Вот где начинается настоящее веселье. Завершив все этапы подготовки, вы сможете ринуться в бой. Вам нужно быть готовыми ко всему, но при этом не надо ограничивать свои действия слишком подробным сценарием. Я всегда рекомендую составлять план, потому что обычно это помогает сэкономить кучу времени и сил. Однако в плане не стоит описывать каждое движение – это только помешает вам, если случится какая-то неожиданность. Когда ваш мозг поймет, что сценарий вам больше не помощник, вы начнете запинаться и нервничать. Вы покажете свой страх, а это может помешать вам достигнуть цели операции. Поэтому я предлагаю писать не подробный сценарий действий, а скорее план, которому можно будет следовать, сохраняя творческую свободу.
Погодите, не пролистывайте этот раздел! Прочитайте внимательно, о чем идет речь. Знаю, писать отчеты никто не любит. Но подумайте вот о чем: ваш клиент отстегнул вам кругленькую сумму за оказание неких услуг, с которыми вы, скорее всего, справились на ура. Но клиент платил вам не потому, что хотел казаться крутым. Он платил, чтобы вы разобрались, что надо делать с выявленной проблемой. Именно поэтому написание отчетов я поместил на вершину пирамиды – по сути, это кульминация, ради которой и нужны все предыдущие этапы.
Если последовательно выполнить каждый из описанных шагов, вас ждет успех не только как социального инженера, но и как специалиста по системам безопасности, который взял на себя обязательства перед клиентом. Потому что злоумышленники со всего света, занимающиеся социальной инженерией, готовят атаки по этой самой схеме. Только вот отчетов не составляют, конечно же.
В 2015 году на портале Dark Reading был опубликован материал об атаке, подготовленной по такой же пирамиде. (Прочитать этот текст на английском языке под названием «Соискатели атакуют: рассылка зараженных резюме» можно по адресу:
1. Сначала, на стадии сбора данных из открытых источников, атакующие изучили возможные направления воздействия на объекты. Оказалось, что для этого был использован популярный сайт под названием Career Builder.
2. По завершении фазы сбора открытых данных злоумышленники перешли к разработке легенды. В результате появился образ претендента на вакансию, якобы готового устроиться на любую позицию в компании-объекте. Когда этот этап был пройден, стало понятно, какие инструменты потребуются в ходе атаки: зараженные файлы и правдоподобные резюме.