Социальная инженерия

Термин «социальная инженерия» часто применяют… компьютерные хакеры, взломщики электронной почты и аккаунтов в соцсетях. Для тех, кто не умеет писать сложные программы для перехвата паролей и создавать фишинговые странички, самый простой метод взлома – восстановление пароля. А поскольку такая процедура требует определённых знаний об «объекте», то начинается сбор информации. Разными методами – от «прочёсывания» интернета до прямых контактов с потенциальной жертвой. Это и есть социальная инженерия (СИ).

Как ни удивительно, методы СИ подходят и даже успешно применяются угонщиками автомобилей. Приведём несколько ситуационных примеров.

Вы наблюдаете за жертвой два-три дня и выясняете примерный (или даже точный) распорядок её жизни: когда уезжает на работу, когда приезжает, куда ездит по выходным. В один из дней к машине жертвы вы подгоняете свою, предварительно поменяв в ней аккумулятор на полностью разряженный и изображаете хлопоты по запуску двигателя. Когда жертва выходит из дома, просите «прикурить»; редкий автовладелец откажет в пятиминутной помощи собрату. Естественно, жертва открывает капот. Всё, теперь остаётся только наблюдать и запоминать: какими манипуляциями владелец снял с охраны свой автомобиль, вводил ли какие дополнительные коды, какой замок стоит на крышке капота и в каком месте. Далее при попытке «прикурить» можно сымитировать неудачу и сослаться на «постоянные глюки сигнализации, которая задолбала». Завяжется разговор о сигналках в ходе которого довольно просто выяснить, что стоит на машине жертвы («посоветуй что-нибудь понадёжнее, а?»). Спустя десять минут вы расстанетесь друзьями.

Или так. Вам известен номер мобильника «жертвы» (узнать его – тоже задача СИ), вы подходите к его машине и разбиваете стекло, желательно без свидетелей. Теперь внимание: до того, как владелец обнаружит повреждение, нужно позвонить ему и представиться оперативным работником или следователем какого-нибудь местного ОВД. Сказать, что «двор патрулировал экипаж ППС, который заметил попытку угона. Задержать преступников на месте не удалось, но мы непременно их найдём, нужно только провести некоторые следственные действия». И попросить владельца в ближайшее время подойти к своей машине для их совершения.

На принтере распечатываете бланк объяснения (благо, никакой защиты для него не предусмотрено) и даёте жетве его заполнить: я такой-то, оставил машину там-то и тогда-то, вышел – стекло разбито. И да, – говорите вы как-бы невзначай, – укажите, какие стоят охранные системы и есть ли спутниковая сигнализация или маячок.

В стрессе никто не обратит внимания на то, что вы не предъявили удостоверения. Но если стрёмно, удостоверение можно и подделать («при современном развитии печатного дела на Западе…»). А вот на форму тратиться не придётся – следователи не носят формы. Главное - выглядеть аккуратно и уверенно, но без надменности: надменность присуща ГАИшникам, а простые менты ближе к народу.

Берете у жертвы объяснение и заявление (дескать, сами передадите его в дежурную часть). Если автовладелец сам свяжется с ОВД, то быстро выяснит, что разговаривал с самозванцем. Поэтому важно максимально изменить свою внешность и характерные приметы, дабы потом, после угона, словесный портрет был далеко от вашего реального.

Ещё пример: почти всё много можно узнать о машине, представившись её потенциальным покупателем. Выбираем подходящее объявление о продаже, смотрим, договариваемся, гоним машину на «свой» сервис якобы для детальной диагностики, оставляем небольшой залог. Через пару дней звоним и извиняемся: машина нравится, да, но в ближайшее время выкупить её не смогу, поэтому продавайте дальше, залог можете не возвращать. Теперь следим, когда исчезнет объявление и вновь звоним продавцу: продали? Ах, как жалко! А у меня как раз появились деньги! Дайте координаты того, кому продали, может, я у него перекуплю. Далее по номеру телефона устанавливается владелец и его место регистрации, едем туда и смотрим – стоит ли перед домом машина. Если стоит, то далее дело техники, если нет, то вновь используем методы СИ: шерстим интернет, смотрим социальные сети, используем поиск по картинкам. Ну и классический Номер.орг никто не отменял, равно как и более свежие базы данных. Устанавливаем реальное местожительство нового владельца и местонахождение машины. Всё, дело сделано.

Ещё способ узнать местожительство: позвонить и, представившись ди-джеем какого-нибудь радио, задать любой вопрос, типа, сколько будет трижды шесть. После чего объявить: только что в прямом эфире вы выиграли книгу (диск, билет на концерт etc), назовите адрес, курьер вам доставит в удобное время.

Отдельный вариант – стать наводчиком, устраиваясь в автосервисы и пункты установки сигнализаций. Кроме чисто технической возможности подготовить машину к угону, это открывает шикарный простор для применения социальной инженерии. Можно поинтересоваться, где живёт владелец (выяснив, совпадает ли местожительство с местом прописки) на том якобы основании, что районы делятся на криминальные и некриминальные. Можно узнать все его контактные данные и использовать их впоследствии в розыгрыше сценок, аналогичных вышеописанным. Да много чего можно, соблюдая осторожность: собирать информацию лучше по тем машинам, что находятся в работе у коллег (иначе ниточка следствия приведёт к вам), устраиваться на работу по поддельным документам и без «белого» оформления, не угонять машины сразу после посещения сервиса, увольняться до угона.

Итак, социальная инженерия – это способ создать вам проблемы используя вашу же невнимательность. Публикация в открытом доступе своих данных, хвастовство новой машиной в Одноклассниках с обилием фотографий, обсуждение своей машины на профильных форумах с подробным описанием её состояния и качества защиты – всё это может быть использовано в чужих интересах. Как сказал знаменитый специалист по информационной безопасности Стив Рамбам: ни один байт информации, попавшей в сеть, не исчезает навсегда, даже если вы что-то написали и тут же удалили, это осталось в кэше. Вот, рекомендую прочесть текст его выступления на конференции Hackers On Planet Earth. Замечу: это 2007 год. Сейчас всё гораздо хуже: социальные сети проникли в частную жизнь абсолютного большинства, а стоимость хранения данных упала ещё ниже. Смартфоны уже у всех, определить местоположение абонента – не проблема, не по GPS, так по IP.

Задумайтесь.

Автор: Макар Алтынов
Дата публикации: 22 января 2013
Просмотров: 2091