Игорь Симдянов - Социальная инженерия и социальные хакеры

Другое важное различие состоит в том, что социальная инженерия – это почти всегда отрицательная область применения, социальное программирование же, как и любая область знания, имеет и положительную и отрицательную область применения. Одним из примеров отрицательной области применения социального программирования является как раз социальная инженерия.

Поэтому, когда мы будем говорить о манипулировании человеком в том случае, когда он является частью компьютерной системы, или просто носителем секретной информации, которую требуется похитить, мы будем говорить о социальной инженерии, а в том случае, когда будет идти речь об управлении людьми вообще, мы будем говорить о социальном программировании. Наша книга – о социальной инженерии, но иногда, чтобы лучше была понятна суть многих методов, мы будем делать набеги в социальное программирование.

В заключение разговора о социальном программировании приведем известный пример о том, как искусно можно манипулировать людьми.

Однажды один гроссмейстер получил по почте письмо, в котором неизвестный ему человек, представившись молодым начинающим шахматистом, предложил сыграть дистанционную партию в шахматы. Дистанционную, потому что ходы отправлялись по почте. За выигрыш гроссмейстеру была обещана очень большая сумма денег, а если будет ничья, или, упаси бог, гроссмейстер проиграет, то деньги платит он. Правда, в два раза меньшую сумму, чем ту, которую получит он сам, если проиграет молодой шахматист. Гроссмейстер, не долго думая, согласился. Заключили пари, и стали играть. Уже с первых ходов знаменитый гроссмейстер понял, что "на халяву" заработать денежку не удастся, потому что уже первые ходы выдавали в молодом шахматисте перспективного мастера. В середине мачта гроссмейстер потерял покой и сон, постоянно просчитывая следующие ходы противника, который оказался не просто перспективным мастером, а очень большим мастером. В конце концов, через немалое время, гроссмейстеру едва удалось свести партию вничью, после чего он обрушил на молодого человека кучу комплиментов и предложил ему не деньги, а свою поддержку, сказав, что с такими талантами сделает его чемпионом мира. Но молодой шахматист сказал, что всемирная слава ему не нужна, и что просит всего лишь выполнить условия пари, т. е. выслать выигранные им деньги. Что гроссмейстер и сделал, скрепя сердце. А где же здесь манипулирование, спросите вы? А манипуляция здесь в том, что против гроссмейстера играл не молодой человек, а …другой великий гроссмейстер, который получил от молодого человека точно такое же письмо и точно так же согласился "быстренько подзаработать". На точно таких же условиях: за выигрыш ему платит большую сумму молодой человек, а за проигрыш или ничью платит гроссмейстер молодому человеку. В результате два великих шахматиста около полугода сражались между собой, а молодой "талантливый шахматист", выражаясь современным языком, работал почтовым ретранслятором, т. е. лишь пересылал их письма друг другу. А потом, в результате ничьи, оба гроссмейстера отправили деньги …этому молодому человеку.

В этой главе мы немного поговорим об истории социальной инженерии, а потом продолжим проводить примеры того, как действуют социальные инженеры.

Очень часто "отцом социальной инженерии" называют известного хакера К. Митника, что не совсем верно. Митник одним из первых стал применять искусство манипулирования человеком применительно к компьютерной системе, взламывая не "программное обеспечение", а человека, который работает за компьютером. И с его легкой руки все, что связано с кражей информации посредством манипулирования человеком, стали называть социальной инженерией. Мы в этой книге, вслед за Митником, тоже придерживаемся подобной терминологии.

На самом же деле, все методы манипулирования человеком известны достаточно давно, и в основном эти методы пришли в социальную инженерию, большей частью, из арсенала различных спецслужб.

Историческое примечание

Первый известный случай конкурентной разведки относится к VI веку до нашей эры, и произошел в Китае, когда китайцы лишились тайны изготовления шелка, которую обманным путем выкрали римские шпионы.

Авторы многих статей на тему социальной инженерии обычно сводят ее применение к звонкам по телефону с целью получения какой-либо конфиденциальной информации (как правило, паролей) посредством выдачи себя за другое лицо. Однако области применения социальной инженерии гораздо шире.

Основные области применения социальной инженерии показаны на рис. 2.1.

Рассмотрим подробнее на примерах каждую из этих областей.

Рис. 2.1.Основные области применения социальной инженерии

…Была весна, была любовь. Бухгалтер фирмы средней руки Наташа была беззаветно влюблена в юношу Илью. Такого прекрасного, такого милого, такого обаятельного. Они с ним случайно встретились в ночном клубе, и там она узнала, что Илья недавно приехал в их город получать образование на вечернем отделении финансового факультета. Бывший слесарь, руки золотые. "Ну и что, что слесарь", – рассуждала Наташа, – "выучится скоро и будет финансистом". Коллега, можно сказать. В общем, затевалась большая свадьба, а впереди была только любовь и много всего приятного, что с этим связано. А при чем же здесь финансовые махинации, спросите вы? А при том, что в планы Наташи жестко вмешалась реальная жизнь, в которой кроме любви бывает еще и жестокий обман. И однажды она узнала, что с ее компьютера был осуществлен перевод на счет некоей фирмы немалой суммы денег. Она точно помнила, что ничего такого не делала, да и вообще девушка это была старательная и без вредных привычек. В общем, шок. Который усугублялся тем, что ее любимый Илья вдруг куда-то исчез. Между прочим, о том, что эту аферу провернул именно Илья, догадались не сразу, потому что никому в голову не могло прийти, что такой обаятельный, такой милый, такой отзывчивый вот так вот может.

Что же произошло? А произошел классический сюжет. Обаятельный Илья влюбил в себя Наташу для того, чтобы воспользоваться ее служебным положением. История очень часто происходящая, только цели разные. В данном случае целью было воровство денег.