Zacząć trzeba od samej definicji social engineeringu.
Pierwsza definicja to ta najłatwiej przyswajalna:
SOCIAL ENGINEERING – The clever manipulation of the natural human tendency to trust.
INŻYNIERA SOCIALNA – sprytne manipulowanie naturalną tendencją człowieka do zaufania.
Wikipedia również bardzo ładnie definiuje:
Inżynieria społeczna, inżynieria socjalna, socjotechnika — w bezpieczeństwie teleinformatycznym zestaw metod mających na celu uzyskanie niejawnych informacji przez cyberprzestępcę. Crackerzy często wykorzystują niewiedzę bądź łatwowierność użytkowników systemów informatycznych, aby pokonać zabezpieczenia odporne na wszelkie formy ataku. Wyszukują przy tym najsłabszy punkt systemu bezpieczeństwa, którym najczęściej jest człowiek.
Odwiedźcie podlinkowany artykuł na wiki i doczytajcie więcej.
Ideą socjotechnik jest zdobycie maksimum interesujących nas informacji np. danych o konfiguracji sieci, używanych systemach, ich wersjach i wszystkim co może pomóc w potencjalnym włamaniu. Specjaliści od Social engineeringu to ludzie, którzy potrafią perfekcyjnie manipulować rozmówcą, dobierać argumenty i sformułowania, które naszego rozmówcę zdekoncentrują. Pytając o sprawy z pozoru błahe i nieistotne, chwaląc rozmówcę za np. udzieloną wcześniej pomoc czy w dowolny inny sposób zdobywając jak największe zaufanie osoby po drugiej stronie, mając zaufanie lub zdobytą uwagę – czymś zainteresowaliśmy naszego słuchacza i daje się wciągnąć w dyskusję – dochodzimy do etapu pytań właściwych, z których informacje są dla nas przydatne.
Jedną z najpopularniejszych metod socjotechnicznych jest metoda na telemarketera.
Dzwonimy do naszej potencjalnej ofiary, przedstawiamy się jako pan X.Y z firmy zzz, która produkuje jakieś tam super świetne rozwiązanie zabezpieczające np. antywirusa na serwery Linux. Mamy spore szanse zaintrygować naszego potencjalnego rozmówcę pod warunkiem, że uda nam się błyskawicznie zatrzymać go przy słuchawce dobrym argumentem. Tu najczęściej padają stwierdzenia:
– oprogramowanie jest bardzo atrakcyjne cenowo proszę tylko posłuchać co oferujemy
– produkt ma wysoką skuteczność potwierdzoną w testach i do tego świetną cenę
– lub analogiczne sformułowania, które przyciągają rozmówcę najłatwiejszym wabikiem – pieniądz. Dajemy rozmówcy pozór, że oszczędzi wybierając nasze rozwiązanie.
Jeśli udało nam się zwabić rozmówcę i chce nas wysłuchać to pora na manipulację. Zaczynamy od opowiedzenia szybko i zwięźle żeby człowieka nie zanudzić, ze program potrafi między innymi: tu podajemy kilka bardzo dobrych argumentów, które spotęgują ciekawość rozmówcy, że faktycznie to może być coś ciekawego. Jeśli dalej mamy szczęście to rozmówca nas słucha, a więc używamy naszego wabika – pieniędzy i tym samym ruszamy do ataku.
– Wie Pan program jest modularny i można dowolnie dobrać składniki aby uzyskać jak najlepszą funkcjonalność w najlepszej cenie. Mogę wycenę dla Pana przygotować tylko proszę podać mi: na jakim systemie będziemy produkt instalować, co będziemy zabezpieczać – serwer plików, poczty, bazodanowy, www – na przykład serwer bazodanowy.
Proszę zatem podać mi jakiego typu baz danych Pan używa żebym mógł potwierdzić, że takie rozwiązanie wspieramy – pada np. MySQL i Firebird,- proszę jeszcze podać mi wersje silników – MySQL 5, Firebird 2.1.2.
Klient zainteresowany zakupami podał nam na tacy system z jakiego korzysta serwer, co ten serwer robi i jakiej wersji oprogramowania używa. Skoro wyciągnęliśmy z rozmówcy co chcieliśmy to pora na odwet. Metody wyjścia z telemarketera mamy dwie:
– dokańczamy rozmowę:
podajemy cenę, która jest niestrawna dla nikogo i klient odpowie, że nie jest zainteresowany,
podajemy cenę, która jest atrakcyjna, bierzemy adres e-mail dla utrzymania wiarygodności całego procesu i obiecujemy przesłać ofertę mailem
– wycofujemy się natychmiast
przykro mi używanego przez Pana środowiska (cokolwiek by to nie było) nie wspieramy. Nasz produkt obsługuje tylko…. wymieniamy alternatywne rozwiązania. Dziękujemy ładnie za poświęcony czas i żegnamy się.
Którejkolwiek drogi byśmy nie wybrali zdobyliśmy to co nas interesowało.
Kolejna opcja socjotechniki zakłada zmuszenie naszego rozmówcy do interakcji z plikiem, linkiem do strony www. Popularny scenariusz to „na niezadowolonego klienta„. Dostałem od was fakturę/dokument/plik którego nie mogę otworzyć. Odsyłam go w załączniku i proszę sprawdzić.
Choć wydaje się to dość trywialne i szyte grubymi nićmi to socjotechniki naprawdę działają. Problemem jest ludzka ciekawość, naiwność i pogoń za pieniądzem. Tam, gdzie pojawi się widmo oszczędzenia kilku groszy jest spora szansa zdobycia zainteresowania – nie powiedzie się tylko jeśli trafimy na osobę kompetentną, która np. jest przywiązana do obecnie używanego systemu czy innego „towaru”, który oferujemy.
Jeśli kogoś temat zainteresował to serdecznie polecam lekturę Kevina Mitnicka „Sztuka podstępu. Łamałem ludzi nie hasła.” Mitnick to jeden z najbardziej doświadczonych socjotechników światka informatycznego. W swojej książce opisuje wiele ciekawych przykładów jak łatwo jest manipulować ludźmi dobierając odpowiednie argumenty i stosując odpowiedni wabik.
Na koniec zaś. Social Engineering to nie tylko branża IT. Socjotechnika jest wszędzie, nawet w naszym codziennym życiu. Tu macie przykład z tureckiej policji:
//niebezpiecznik.pl/post/turecka-policja-przebrana-za-lekarzy-ciekawy-eksperyment/