Магия социального взлома.

BMWm5

Ефрейтор
Сообщения
7
Реакции
0
Несмотря на то, что информационная безопасность бесконечно совершенствуется, данные и объекты, представляющие интерес для взлома, защищают, прежде всего, люди. Обычные люди со своими страхами, предрассудками, комплексами и слабыми местами, на которых хакер может сыграть.

Атакуя человека, который работает с нужной нам информацией, сервером или компьютером, мы пользуемся приемами социальной инженерии. Многие специалисты не без основания считают, что в ближайшем будущем социальная инженерия станет представлять наибольшую угрозу, так как технические средства все больше и больше совершенствуются, а люди так и остаются людьми. Человеческий фактор нужно учитывать постоянно. Например, работник честный, трудолюбивый, без видимых слабых сторон, надежный, как скала, – и ты думаешь, что его уже ничем нельзя взять. Уж он-то никогда не отдаст тебе корпоративные секреты своей компании! А тут вдруг по какой-то причине человеку понизили заработную плату, может, мировой финансовый кризис так сказался, а может, другие причины были у руководства, и все – человек уже обижен. На его обиде легко можно сыграть, добившись того, что ранее было невозможно.

Безусловно, применение приемов социальной инженерии требует не только знания психологии, но и умения собрать о человеке необходимую информацию. К счастью, блогосфера уже развита настолько хорошо, что такие сайты, как livejournal, «Одноклассники», «Вконтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Выплескивая обиду в постах и оставляя различные комментарии, мы выдаем некоторую информацию о себе, не подозревая, что это может кого-то интересовать. И все может быть использовано против нас!

Приведу пример из жизни не социального хакинга, а использования такой вот информации с целью выведения человека на чистую воду. Допустим, наш «объект» отправляется в другую страну, говорит: «улетаю 9-го числа». Проверить его слова невозможно. Но мы, зная, что у него есть жена, которая очень любит по секрету всему свету писать в ЖЖ, идем и ищем информацию в блоге. В одном из комментариев в чужом журнале она проговаривается, когда именно летит ее муж и она сама. Все, информация найдена, ее можно использовать с целью выведения человека на чистую воду.

Поймав «жертву» на лжи, можно использовать психологическое давление, совершить какую-нибудь манипуляцию, сыграть на чувстве вины – и так далее. Это примитивный бытовой пример. Или подумай, как можно использовать найденную информацию о том, что у человека нестандартная сексуальная ориентация? Пригрозив рассказать об этом его окружению, можно добиться не только пароля на защищенную область корпоративного сайта, но и плотно держать человека на крючке. Именно такими приемами и найденным компроматом пользуются спецслужбы, имея своих агентов там, где это нужно. Так что недооценка человеческого фактора службами безопасности может быть если не фатальной, то приносящей значительный урон.