Искусство обмана


Пример атаки:


Социальный инженер использует фактор власти, когда, например, представляется работником IT-департамента, начальником или исполняющим некоторое распоряжение администрации.


Во время разговора атакующий старается выяснить хобби и интересы своей жертвы, а далее проявляет нескрываемый энтузиазм в обсуждении этих вещей. Он может сказать, что учился в той же школе, или приехал из того же штата или имеет такую же цель в жизни или в карьере. Кроме того, социоинженер, несомненно, попытается скопировать поведение своей жертвы, что создает видимость схожести характеров.


Сотруднику поступает звонок от коллеги из IT-отдела. Звонящий объясняет, что на фирме появился опасный вирус, с которым не справляется антивирусная система. Коллега предлагает проконсультировать вас по телефону – сказать, что надо сделать, чтобы файлы остались целы. И вслед за этим просит проверить одну программку, которая недавно была обновлена «и теперь пользователь может в ней сменить пароль». Сотрудник вряд ли откажется, так как только что получил «неоценимую» помощь от специалиста, спасшего его файлы от опасного вируса.


Атакующий звонит сравнительно недавно устроившемуся сотруднику и заявляет, что на фирме существуют некоторые правила безопасности, которых необходимо придерживаться и с которыми надо согласиться, чтобы впредь иметь доступ к корпоративным системам. И после небольшого диалога о правилах, звонящий просит сотрудника огласить свой пароль «чтобы проверить его на соответствие правилу стойких паролей пользователей». Жертва говорит свой пароль и атакующий рекомендует использовать сложные и непредсказуемые пароли. В данном случае сотрудник раскрыл свой пароль только потому, что это не идет в разрез с его заявлением в начале разговора о согласии придерживаться правил безопасности. Кроме того, сотрудник может подозревать, что собеседник просто проверяет его лояльность.


Звонящий говорит, что проводит опрос и называет имена ваших коллег, которые уже заполнили анкету. Жертва верит, что если другие пошли навстречу опрашивающему, то это позволяет или даже обязывает ответить и ему. Далее атакующий задает серию вопросов, с помощью чего получает ключ к нужной информации.


Атакующий отсылает жертве письмо, где говорится, что первые 500 зарегистрировавшихся на сайте получат бесплатные билеты на новейший блокбастер. Ничего не подозревающий сотрудник заходит на сайт, где ему предлагается ввести свой адрес электронной почты и пароль. Далее, исходя из того факта, что пользователи для удобства обычно пользуются одним и тем же или похожими паролями в разных системах, атакующий пытается проникнуть на домашнюю и рабочую станции жертвы.

Содержание раздела