Атаки в социальной инженерии строятся на таких же математических и логических моделях, как и технические атаки хакеров. Только вместо серверов и компьютеров здесь выступают люди, а вместо протоколов и драйверов - их эмоции и психологические реакции. В этом посте я приведу свой перевод хорошей статьи про структуру общения, Позиции Защиты и построение векторов социальных атак, используя их.
Структура общения
Общение в общем случае можно условно разделить на 3 компонента:
Я
Это то, что происходит с вами: ваше восприятие, ощущения при общении, настроение и общее психоэмоциональное состояние
ОНИ
Люди, с которыми у вас происходит общение и их психоэмоциональное состояние
КОНТЕКСТ
Конкретная, текущая ситуация в который находитесь вы и они. Например спор из-за денег, обсуждение политики, первое знакомство и прочее.
Понимание такой упрощённой структуры, позволит социальному инженеру быстро разбираться в ситуации и управлять общением в нужном ему русле, вызывая нужные эмоции у собеседника (цели атаки).
Ниже рассмотрены типы возможного воздействия на людей при использовании этой модели. Формально их можно назвать Позиции для Общения. Другое подходящее название - Позиции Защиты, т.к. они используются людьми для защиты себя в ситуациях, выведших их из так называемой зоны комфорта. Эти позиции могут быть использованы для разрешения какой-то трудной ситуации или для построения вектора социальных атак.
COPYRIGHT
За основу взята статья с сайта http://www.social-engineer.org/.
При копировании этого материала или его фрагментов в обязательном порядке указывать ссылку на вышеуказанный сайт и этот блог.
Позиции Защиты
ОБВИНЕНИЕ: Воздействие на Я и Контекст
Определение:
Когда кто-то сталкивается с Обвинением, он ищет человека или то, что могло бы нести ответственность за возникшую проблему. Это происходит не для того, чтобы извлечь урок из ошибки или не для предотвращения подобной ситуации в будущем. Это происходит из-за стремления сохранить лицо и убеждённость в собственной непогрешимости, равно как и в том, что другие ошибаются не меньше.
Примеры:
Часто вам потребуется вывести цель из её зоны комфорта. Чувство дискомфорта заставляет человека вернуться к зоне комфорта как можно скорее. При чём для этого могут совершаться действия, которые бы цель не совершила в иной, более спокойной ситуации. Она может выдать какую-то информацию, чтобы оправдаться, например. Вы также можете использовать ситуацию, в которой обвинителем является кто-то другой, а вы просто передаёте его послание.
Рассмотрим атаку через обслуживающий персонал (HVAC-type attack). Вы можете одеться в магазине специализированной одежды в механика по кондиционерам и подготовить фальшивые документы (беджик, удостоверение, предписание на ремонт) Ваше общение с целью будет гораздо безопаснее, если вы будете объяснять свой приход, обвиняя какие-то внешние силы (отложенное обслуживание, чья-то ошибка в расписании и т.д.)
Это позволит вам говорить такие вещи, как:
ЗАДОБРЕНИЕ: Воздействие на Они и Контекст
Определение:
Эта ситуация связана с обеспокоенностью возможными негативными последствиями. Человек настолько хочет избежать дискомфорта прямо сейчас, что готов обменять его даже на неизбежный дискомфорт, но когда-то в будущем. Когда человек пытается задобрить кого-то, он всячески старается избежать конфронтации с этими людьми или обстоятельствами, предпочитая вместо этого взять на себя ответственность за дальнейшие возможные проблемы. Такое поведение часто можно наблюдать при пассивно-агрессивных действиях (прокрастинация, упёртость, угрюмость, при повторяющихся ошибках).
Примеры:
При таком воздействии, ваша цель будет зависеть от ваших потребностей и полностью забудет о своих собственных. Это идеальная ситуация. Если кто-то готов на коленях выпрашивать ваше прощение, самое время спросить у них логин\пароль или даже что-то получше. Отличным примером будет классическая атака"Важный человек". Когда социальный инженер (СИ) представляется важной персоной, он будет использовать общие и простые методы (поддельный номер телефона, ID, названия подразделения и должности) для подтверждения своих властных полномочий. После этого, СИ ставит цель в позицию Задобрения с помощью различных техник манипуляции. Хорошим способом будет создание ощущения срочности, под ложным предлогом.
РАЦИОНАЛЬНЫЙ: Воздействие на Контекст
Определение:
Рациональный человек привержен важности Контекста, как правило из-за преданности объективности, логике или очевидным фактам, мысля при этом общими соображениями или исходя из "человеческих отношений". Попытки урегулировать проблему у "супер-рациональных" людей могут привести к негативным для себя решениям, просто потому что это имеет смысл, логично или подчёркивает какие-то конкретные организационные, корпоративные приоритеты.
Примеры:
Контекст всегда важен в социальной инженерии и используется почти во всех атаках. Особенно он важен для технических специалистов. Для успешной атаки требуется серьёзная предварительная подготовка. Идея этой позиции заключается в том, чтобы "зажать" цель в углу, заставляя её полагаться на факты или статистику, чтобы разрешить ситуацию. Вот две идеи о том, как использовать эту технику.
1. Выигарть Контекст: Этот метод заключается в использовании статистически верного утверждения или темы. Простейший пример, когда вы запрашиваете у цели информацию об организации, а они сообщают вам, что это "не согласуется с правилами нашей организации по предоставлению подобной информации". После этого вы указываете им на организационную документацию, чтобы показать их заблуждение по этому вопросу. Особенно это отлично работает, если вы заранее создадите фальшивый сайт с поддельной документацией, где эта информация будет указана.
2. Проиграть Конекст: Этот метод заключается в создании ситуации, когда социальный инженер становится "учеником" цели. Будет хорошо занять изначально проигрышную позицию, предпочтительно связанную с интересующим вас объектом. Обладая собранной заранее информацией, можно пожаловаться, что некоторые технические вещи в инфраструктуре не работают или работают не правильно. Это даст цели возможность показать, что вы неправы и рассказать "как всё обстоит на самом деле". После этого вы можете задавать различные уточняющие вопросы и собрать информацию о том, "как сделать так, что бы это заработало, потому что я пробовал и у меня не получилось".
НЕУМЕСТНЫЙ: Отсутствие воздействия на компоненты
Определение:
Позиция заключается в организации атаки "на бегу". Когда проблема крайне неуместна, человек попытается не только избежать её, но и часто предпочтёт просто не признавать её существование.
Пример:
Для создания "неуместности" используются множество возможностей. Если вы не можете быть уверены в том, что методики, описанные выше, сработают на вашей цели, эта будет вашим "планом Б". Когда цель запутана или не в курсе того, что вообще происходит, она может не обнаружить в ваших действия ничего подозрительного. Примером этой позиции в социальной инженерии может быть использование спешки. Обычно руководитель всегда спешит, бегает от офиса к офису и со встречи на встречу. После сбора информации о нём, можно выбрать точку встречи в то место и время, когда руководитель будет находится в спешке (не слишком, чтобы он просто вас не послал, но и не имел достаточно времени для вникания в ситуацию). Можно создать дополнительный фон суеты, предварительно прямо перед встречей позвонив на мобильный телефон цели с номера другого руководителя и удерживая его на телефоне (на паузе). Вы удивитесь как много информации может выдать человек, когда вы задаёте ему вопросы в крайне неуместной для него ситуации.
Разработка правильной модели атаки потребует от вас исследований, планирования и практики. Но совершенствуясь, вы сможете определять потенциальную возможность каждой из них.
Так как сама статья, так и мой перевод являются интеллектуальной собственностью, прошу не копипастить без указания первоисточников.
Структура общения
Общение в общем случае можно условно разделить на 3 компонента:
Я
Это то, что происходит с вами: ваше восприятие, ощущения при общении, настроение и общее психоэмоциональное состояние
ОНИ
Люди, с которыми у вас происходит общение и их психоэмоциональное состояние
КОНТЕКСТ
Конкретная, текущая ситуация в который находитесь вы и они. Например спор из-за денег, обсуждение политики, первое знакомство и прочее.
Понимание такой упрощённой структуры, позволит социальному инженеру быстро разбираться в ситуации и управлять общением в нужном ему русле, вызывая нужные эмоции у собеседника (цели атаки).
Ниже рассмотрены типы возможного воздействия на людей при использовании этой модели. Формально их можно назвать Позиции для Общения. Другое подходящее название - Позиции Защиты, т.к. они используются людьми для защиты себя в ситуациях, выведших их из так называемой зоны комфорта. Эти позиции могут быть использованы для разрешения какой-то трудной ситуации или для построения вектора социальных атак.
COPYRIGHT
За основу взята статья с сайта http://www.social-engineer.org/.
При копировании этого материала или его фрагментов в обязательном порядке указывать ссылку на вышеуказанный сайт и этот блог.
Позиции Защиты
ОБВИНЕНИЕ: Воздействие на Я и Контекст
Определение:
Когда кто-то сталкивается с Обвинением, он ищет человека или то, что могло бы нести ответственность за возникшую проблему. Это происходит не для того, чтобы извлечь урок из ошибки или не для предотвращения подобной ситуации в будущем. Это происходит из-за стремления сохранить лицо и убеждённость в собственной непогрешимости, равно как и в том, что другие ошибаются не меньше.
Примеры:
Часто вам потребуется вывести цель из её зоны комфорта. Чувство дискомфорта заставляет человека вернуться к зоне комфорта как можно скорее. При чём для этого могут совершаться действия, которые бы цель не совершила в иной, более спокойной ситуации. Она может выдать какую-то информацию, чтобы оправдаться, например. Вы также можете использовать ситуацию, в которой обвинителем является кто-то другой, а вы просто передаёте его послание.
Рассмотрим атаку через обслуживающий персонал (HVAC-type attack). Вы можете одеться в магазине специализированной одежды в механика по кондиционерам и подготовить фальшивые документы (беджик, удостоверение, предписание на ремонт) Ваше общение с целью будет гораздо безопаснее, если вы будете объяснять свой приход, обвиняя какие-то внешние силы (отложенное обслуживание, чья-то ошибка в расписании и т.д.)
Это позволит вам говорить такие вещи, как:
"Блин, я так извиняюсь! Это постоянно происходит! Они заставляют меня ехать по вызову, говоря, что меня здесь уже давно ждут. А когда я приезжаю, никто не в курсе, что я должен был приехать, и никому нет дела до меня!"
Это позволит вам обоим оказаться в положении жертв каких-то третьих сил. И развивая это положение можно даже добиться дружеского отношения.
ЗАДОБРЕНИЕ: Воздействие на Они и Контекст
Определение:
Эта ситуация связана с обеспокоенностью возможными негативными последствиями. Человек настолько хочет избежать дискомфорта прямо сейчас, что готов обменять его даже на неизбежный дискомфорт, но когда-то в будущем. Когда человек пытается задобрить кого-то, он всячески старается избежать конфронтации с этими людьми или обстоятельствами, предпочитая вместо этого взять на себя ответственность за дальнейшие возможные проблемы. Такое поведение часто можно наблюдать при пассивно-агрессивных действиях (прокрастинация, упёртость, угрюмость, при повторяющихся ошибках).
Примеры:
При таком воздействии, ваша цель будет зависеть от ваших потребностей и полностью забудет о своих собственных. Это идеальная ситуация. Если кто-то готов на коленях выпрашивать ваше прощение, самое время спросить у них логин\пароль или даже что-то получше. Отличным примером будет классическая атака"Важный человек". Когда социальный инженер (СИ) представляется важной персоной, он будет использовать общие и простые методы (поддельный номер телефона, ID, названия подразделения и должности) для подтверждения своих властных полномочий. После этого, СИ ставит цель в позицию Задобрения с помощью различных техник манипуляции. Хорошим способом будет создание ощущения срочности, под ложным предлогом.
"Я сейчас провожу презентацию для нашего партнёра XXX (можно узнать через предварительную разведку). И у меня опять ничего не работает из-за этого глючащего VPN. Почему вы постоянно блокируете меня, ребята!? Я уже устал от этих вечных проблем. Сделайте всё НЕМЕДЛЕННО! "За счёт спешки и важности созданного образа, вы легко переведёте вашу цель в режим "Я сделаю всё для вас!"
РАЦИОНАЛЬНЫЙ: Воздействие на Контекст
Определение:
Рациональный человек привержен важности Контекста, как правило из-за преданности объективности, логике или очевидным фактам, мысля при этом общими соображениями или исходя из "человеческих отношений". Попытки урегулировать проблему у "супер-рациональных" людей могут привести к негативным для себя решениям, просто потому что это имеет смысл, логично или подчёркивает какие-то конкретные организационные, корпоративные приоритеты.
Примеры:
Контекст всегда важен в социальной инженерии и используется почти во всех атаках. Особенно он важен для технических специалистов. Для успешной атаки требуется серьёзная предварительная подготовка. Идея этой позиции заключается в том, чтобы "зажать" цель в углу, заставляя её полагаться на факты или статистику, чтобы разрешить ситуацию. Вот две идеи о том, как использовать эту технику.
1. Выигарть Контекст: Этот метод заключается в использовании статистически верного утверждения или темы. Простейший пример, когда вы запрашиваете у цели информацию об организации, а они сообщают вам, что это "не согласуется с правилами нашей организации по предоставлению подобной информации". После этого вы указываете им на организационную документацию, чтобы показать их заблуждение по этому вопросу. Особенно это отлично работает, если вы заранее создадите фальшивый сайт с поддельной документацией, где эта информация будет указана.
2. Проиграть Конекст: Этот метод заключается в создании ситуации, когда социальный инженер становится "учеником" цели. Будет хорошо занять изначально проигрышную позицию, предпочтительно связанную с интересующим вас объектом. Обладая собранной заранее информацией, можно пожаловаться, что некоторые технические вещи в инфраструктуре не работают или работают не правильно. Это даст цели возможность показать, что вы неправы и рассказать "как всё обстоит на самом деле". После этого вы можете задавать различные уточняющие вопросы и собрать информацию о том, "как сделать так, что бы это заработало, потому что я пробовал и у меня не получилось".
НЕУМЕСТНЫЙ: Отсутствие воздействия на компоненты
Определение:
Позиция заключается в организации атаки "на бегу". Когда проблема крайне неуместна, человек попытается не только избежать её, но и часто предпочтёт просто не признавать её существование.
Пример:
Для создания "неуместности" используются множество возможностей. Если вы не можете быть уверены в том, что методики, описанные выше, сработают на вашей цели, эта будет вашим "планом Б". Когда цель запутана или не в курсе того, что вообще происходит, она может не обнаружить в ваших действия ничего подозрительного. Примером этой позиции в социальной инженерии может быть использование спешки. Обычно руководитель всегда спешит, бегает от офиса к офису и со встречи на встречу. После сбора информации о нём, можно выбрать точку встречи в то место и время, когда руководитель будет находится в спешке (не слишком, чтобы он просто вас не послал, но и не имел достаточно времени для вникания в ситуацию). Можно создать дополнительный фон суеты, предварительно прямо перед встречей позвонив на мобильный телефон цели с номера другого руководителя и удерживая его на телефоне (на паузе). Вы удивитесь как много информации может выдать человек, когда вы задаёте ему вопросы в крайне неуместной для него ситуации.
Разработка правильной модели атаки потребует от вас исследований, планирования и практики. Но совершенствуясь, вы сможете определять потенциальную возможность каждой из них.
Так как сама статья, так и мой перевод являются интеллектуальной собственностью, прошу не копипастить без указания первоисточников.
Комментариев нет:
Отправить комментарий