Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности. Злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись от имени служащего, он просит напомнить свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

Многие из нас использовали в своей практике Социальную Инженерию. Но, имхо, мало кто знает об Обратной СИ. Возможно вы использовали ОСИ, но не знали об этом...

Пожалуй начну с пояснения. ОСИ, как и СИ, это попытка выведать у легального пользователя системы пароли (ключи и т.д.), необходимые для преодоления защитного барьера его системы. НО. Но ОСИ отличается от СИ тем, что в СИ ТЫ пытаешься "подмазаться" к юзеру, а в ОСИ наоборот - ЮЗЕР к тебе. Такого эффекта можно добиться, главным образом, с помощью диверсии... Короче, статья об этом в свое время появится, а пока, для того чтобы понять, приведу свой жизненный пример:

Это довольно старый развод, но я думаю есть еще много людей которые не знают
о нем. Я не знаю кто и когда придумал этот вид развода, но в свое время он был
очень популярен.
Итак, приступим...

1) Идем на первый попавшийся сайт знакомств.
2) Создаем аккаунт девушки. Пишем правдоподобно. Не надо пистать "Моя киска
все мокрая, я хачу тебя трахнуть, приди камне"(орфография сохранена).
Просто придумываем более-менее реальные данные.
3) Находим в Интернете фотки симпатичной девушки. Желательно чтоб их было
несколько штук(4-5). Вывешиваем на сайте 2-3.

4) Ждем того самого принца....

Наконец-то вы начали получать сообщения от принцев, которые желают с вами
познакомится. Теперь все зависит от вашего умения "быть девушкой".
Этому не возможно научить, надо просто уметь мыслить как девушка, и вести себя
подобающе.
Наша основная задача - получить от нашего принца карточку для пополнения
мобильного телефона. Что может быть проще?
В процессе переписки надо заинтересовать принца, вышлите ему еще своих
фоток(желательного хорошего качества, чтобы он увидел вас во всей красе).

Метод взлома почты использующий социальную инженерию рассчитан на глупость, жадность, доверчивость и любопытство пользователя. Основная задача обмануть жертву и заставить ее отдать пароль без боя. (Или с боем - вспомним про ломик). Как это работает. Пишем письмо жертве примерно такого содержания:

Здравствуйте! Поздравляю, Вы выиграли! Вы признаетесь самым любопытным пользователем интернета. Вы выиграли модем USR Courier 56K. Ваш выигрыш мы с радостью доставим Вам домой. Отправьте нам свои данные по этому адресу obmanuli@duraka.ru.

Или такого: FREE!!! Заполните форму, введите ваш домашний адрес, ФИО, а также логин/пароль для авторизации на нашем сервере. Вы получите абсолютно бесплатно майку, куртку, шапку, сапоги и электрогубозакоталку.

Читая издания о хакерстве, вы еще многое узнаете об оборудовании, программном и аппаратном обеспечении и о том, что необходимо хакерам, специализирующимся в конкретных областях. Но пока вам необходимо понять...

Читая литературу по защите данных, можно всерьез обеспокоиться. Прошли времена ошибок и лазеек в системах и времена наивных пользователей. Прошли, казалось бы, времена благоговейного страха перед хакером-одиночкой, среди ночи проникающим в секретные правительственные базы данных, и времена самих хакеров-одиночек.

Так кажется.

Но это не так! Всего несколько лет назад Роберту Моррису-младшему удалось проникнуть в систему, используя ошибки, которые никто не потрудился заметить и исправить. Кто знает, сколько еще таких ошибок ждет своего часа? Не забывайте и о глупости: существуют демонстрационные режимы, меры по безопасности, которые никто не уничтожил и не изменил.

В июле 1987 года группа членов клуба Chaos Computer Club взломала компьютерную сеть системы NASA SPAN. Эти хакеры использовали изьян в инфраструктуре VMS

Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, – межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие – малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам – только тогда ваша система безопасности будет комплексной.

Введение

Даже самая совершенная система защиты бесполезна, если ею управляет психологически неустойчивый, наивный и/или доверчивый человек. Помните анекдот о диссертации на тему "зависимость скорости перебора паролей от температуры паяльника (утюга)"? Многие почему-то забывают, что в роли объекта атаки может выступать не только машина, но и ее оператор. Причем, оператор зачастую оказывается слабейшим звеном в системе защиты.

На хакерском жаргоне атака на человека называется социальной инженерией (social engineering) и в своем каноническом виде обычно сводится к звонкам по телефону с целью получения конфиденциальной информации (как правило, паролей) посредством выдачи себя за другое лицо.

В данной статье термин "социальная инженерия" рассматривается намного шире и обозначает любые способы психологического воздействия на человека, как то: введение в заблуждение (обман), игра на чувствах (любви, ненависти, зависти, алчности, в том числе и шантаж).