Далеко не все утечки данных и взломы корпоративных сетей являются результатами атак гениальных хакеров. Очень часто за ними стоят люди, которые и вовсе не умеют программировать, а компьютером владеют на уровне простого пользователя. Для описания таких случаев и возникло понятие «социальной инженерии». Главный принцип такого взлома – самым уязвимым звеном является не техника, а ее пользователь. Злоумышленники манипулируют чувствами и страхами людей, от желания помочь до боязни перед начальством.
Самый очевидный способ получить доступ к не предназначенной для чужих глаз информации — выдача себя за лицо, имеющее доступ к системе: работника, контрагента, даже ночного сторожа. Широко известен случай, когда сотрудники компании Verisign, проводящей аудит по обеспечению безопасности, просто вошли в офис клиента, представившись сотрудниками компании (предварительно позвонив в отдел кадров, чтобы узнать подходящие имена), беспрепятственно попали в кабинет технического директора, когда он отлучился, и, сев за невыключенный компьютер, получили доступ с правами администратора к внутрикорпоративной сети.
Еще один уязвимый элемент – это техподдержка. Главной задачей сотрудников поддержки является помощь клиентам и забота об их удобстве. Такой подход делает их уязвимыми для злоумышленников, которые обращаются в компанию как клиенты, рассчитывая на выдачу им необходимых для взлома сведений. Целая череда недавних громких примеров «социальной инженерии» относится к действиям с операторами мобильной связи. Например, абонент «Билайна» столкнулась с тем, что дубликат ее сим-карты был выдан третьим лицам 4 раза в течение 6 недель. Каждый раз злоумышленники получали доступ через сим-карту к ее электронной почте, а также пытались взломать электронные кошельки. Как выяснилось впоследствии, выдачи сим-карт были произведены на основании оформленной через нотариуса-сообщника доверенности. Несмотря на просьбы абонента запретить выдачу дубликатов ее номера, сотрудники «Билайна» каждый раз «шли навстречу» злоумышленникам и выдавали тем сим-карты. Помимо конкретно этого случая существуют множество других, также использующих несовершенство процессов взаимодействия с пользователями у операторов мобильных сетей. Иногда сообщниками злоумышленников становятся и сотрудники операторов, ведь в таком большом штате найти недобросовестного и падкого до наживы работника не слишком трудная задача.
Иногда главный элемент угрозы безопасности настолько неочевиден, что остается в открытом доступе месяцами. Пример — случайно опубликованная в статье о погрузочных терминалах аэропортов газеты The Washington Post фотография универсальных ключей от багажа. Никто не обратил на нее внимания, но спустя год неизвестный пользователь выложил на GitHub модель для печати аналогичных ключей на 3D-принтере. Газета удалила с сайта фотографию, но слишком поздно. Теперь каждый желающий волен распечатать себе мастер-ключ, с помощью которого можно открыть практически любой чемодан.
Еще один способ получить доступ к конфиденциальным данным — простой интернет-серфинг. Не имея прямого входа в систему, злоумышленник может найти среди данных, находящихся в открытом доступе (соцсети, форумы и т.д.), обрывки информации, которые в совокупности могут помочь ему получить цельную картину. Однажды американский комик Эрик Столханске поспорил в твиттере с экспертом кибербезопасности Брэнданом Гейзом, что тот не сможет взломать его аккаунт, зная только имя. После непродолжительного интернет-серфинга Гейз нашел адрес электронной почты и домашний адрес комика. Через сервис поиска виш-листов друзей с помощью этих данных он нашел его профиль на Amazon.com. Позвонив в техподдержку Amazon он привязал к аккаунту Столханске новую кредитную карту, а буквально через полчаса он позвонил опять и попросил прислать пароль от аккаунта на новый почтовый адрес. Чтобы подтвердить личность у него спросили домашний адрес (который он знал с самого начала), последние четыре цифры кредитной карты (которую он привязал к акккаунту за полчаса до этого) и назвать последнюю покупку (о свежекупленном DVD с новым сезоном «Игры Престолов» Гейз узнал из твиттера комика). Получив доступ к аккаунту Столханске на Amazon, Гейз узнал последние четыре цифры его настоящей кредитной карты, с помощью которых он получил доступ к целому ряду сервисов, на которых был зарегистрирован комик, в том числе и к его твиттеру.
Иногда личного общения не требуется. Злоумышленники рассчитывают на некомпетентность и невнимательность жертвы. Один из самых известных и популярных видов «социальной инженерии» — так называемый фишинг. На почту высылается электронное письмо от имени компании или человека, которому доверяет предполагаемая жертва и в котором содержится ссылка, пройдя по которой пользователь либо скачает вредоносное приложение, либо попадет на сайт с просьбой ввести персональные данные. Сюда же относятся «письма от нигерийских принцев», в которых злоумышленники играют на человеческой жадности. Злоумышленники обещают в письме огромные деньги, для получения которых требуется всего ничего — оплатить небольшой сбор в африканском банке. Каждый год, в связи с массовостью рассылок, от такого вида мошенничества страдают миллионы доверчивых людей, а в 2005 году нигерийские спамеры даже получили шутливую антинобелевскую премию по литературе.
Существуют разнообразные методы борьбы с «социальным хакингом». Во-первых, обычным пользователям следует по возможности использовать двухфакторную аутентификацию. Во-вторых, банальная внимательность помогла бы избежать проблем в половине вышеперечисленных случаев. Компаниям же следует серьезно озаботиться обучением сотрудников хотя бы простейшим правилам информационной защиты и созданием в корпоративной сети полноценной комплексной системы безопасности.