Глава 4. Социальная инженерия

Обратная социальная инженерия: Он нуждается в вашей помоши.

Социальная инженерия: ваша жертва обычно остается в недоумении.

Обратная социальная инженерия: все проблемы устраняются, вопросов не остается.

Социальная инженерия: вы почти не контролируете ситуацию.

Обратная социальная инженерия: вы полностью контролируете направление и предмет беседы.

Социальная инженерия: подготовительной работы практически не требуется.

Обратная социальная инженерия: тщательное предварительное планирование; требуется предварительное получение доступа к месту действия.

Социальная инженерия: может применяться где угодно.

Обратная социальная инженерия: применяется только в определенных условиях.

Социальная инженерия в основном исходит из предпосылки, что вы самозванец, притворяетесь, что у вас возникли затруднения и вам требуется помошь другого оператора. А вот обратная ситуация: проблемы возникают у легального пользователя системы, и он (или она) просит вас, хакера, о помоши. Помогая пользователю разрешить возникшие проблемы, хакер без особенных усилий может узнать рабочие имена и пароли. Атака с помощью ОСИ состоит из трех частей: диверсия; реклама; помошь.

Диверсия — это первый краткий контакт с определенным компьютером, во время которого хакер создает какую-либо неполадку, требующую устранения.

Реклама — информирование пользователя о том, что вы разбираетесь в вопросах из области компьютеров.

Помошь — общение с пользователем, в процессе которого вы решаете проблемы пользователя, а тот, сам того не ведая, решает ваши.

Прежде чем я начну объяснять, как применять этот метод и что он может дать, вам следует уяснить для себя, почему лучше, когда пользователь обращается к вам за помошью, а не наоборот. Давайте рассмотрим по пунктам список недостатков социальной инженерии, приведенный в предыдущей главе, чтобы показать, как обратная социальная инженерия преодолевает эти препятствия.

Преодоление недостатков социальной инженерии

Пользователь может быть предупрежден об утечках информации или знать о тактике СИ

Пытаясь подвергнуть социальной инженерии того, кто о ней знает, особенно квалифицированных программистов и других хакеров, вы вряд ли многого добьетесь. Даже если собеседник не знает о СИ как таковой, он (или она) может достаточно серьезно относиться к предупреждениям «Храните в тайне свой пароль», чтобы не купиться на вашу болтовню. Социальная инженерия рассчитана на наивных пользователей. Но ведь не все являются таковыми.

В случае ОСИ легальный пользователь обращается к вам за советом. Следовательно, он считает вас человеком, которому можно доверять, — членом компании или ее доверенным лицом, то есть тем, кто уже и так знает все пароли и протоколы. Так что у него нет причин не давать вам такую информацию. У него даже мысли подобной не возникнет — ведь ему так или иначе придется, обратившись за помошью, выложить всю подноготную.

Следует отметить, что обратная социальная инженерия не является социальной инженерией. Она подходит к проблеме разговора с пользователем с другой стороны, и пользователь, знакомый с обычными ха-керскими уловками, вряд ли сможет ее раскусить. Более того, даже если ваша жертва достаточно умна, чтобы распознать ОСИ, этот человек будет настолько озабочен возникшей у него проблемой, что не заметит происходящего. Ему (или ей) нужна ваша помощь, чтобы устранить неполадку; он понимает, что, если он не договорится с вами, вы ему не поможете.