Взломай меня, если сможешь

Сейчас такое время, когда никому нельзя верить, как говаривал когда-то Штирлицу партайгеноссе Мюллер. Все данные, которые человек хранит в электронном и аналоговом виде, могут быть украдены и использованы злоумышленниками в своих целях. Всевозможные системы безопасности, разумеется, развиваются и скрывают ценную информацию за паролем, пин-кодом, отпечатком пальца или сканом сетчатки. Но самым уязвимым звеном по-прежнему остаются люди.

В фильме «Кто я» один из двух главных героев, обаятельный хакер Макс, описывает своему новому другу — и жертве — Бенджамину принципы социальной инженерии. «Нет никакой безопасности... Самая большая уязвимость не в программах и не на серверах. Самое уязвимое — это люди. Самый эффективный метод взлома, вершина обмана — это социальная инженерия. Человек доверчив и избегает конфликтов...». И тут же учит, как с помощью найденного в мусорке чека из кафе получить бесплатную еду.

Среди методов социальной инженерии выделяют фишинг и его разновидности, претекстинг, «троянского коня» и плечевой серфинг. Чуть менее распространены методы «кви про кво» и обратная социальная инженерия, но их тоже ни в коем случае нельзя списывать со счетов.

Пример действия вредоносной программы мы видим в фильме «Пароль рыба-меч»: хакер Стэнли, уже осужденный за взлом ФБР, попадает в лапы мошенников. А они, как положено отрицательным героям, замышляют украсть миллионы из международных банковских систем. Стэнли пишет вредоносную программу и использует ее, чтобы получить доступ к деньгам. Правда, внедрение «червя» в систему под угрозой прикончить любимую женщину героя обычным поведением не назовешь, но принцип тот же: заставь человека сделать то, что тебе нужно. Обычно все-таки действуют потише — ну так и фильм сплошная клюква.

Фильм «Хакер», снятый в 2018 году, начинается с эпизода типичного фишинга: юный герой захотел попасть в сообщество хакеров и заодно насолить своему школьному недругу. Он создал простенький сайт по продаже того, что могло заинтересовать жертву (пищевых добавок для роста мышечной массы по совсем бросовым ценам), и тот попался — ввел данные кредитки отца.

В фильме «Кибертеррор» (2014) показано, как совсем юная барышня, чтобы отомстить бывшему за негативный твит, уговаривает своего друга взломать аккаунт бывшего. После того, как друг вроде бы и отказался, от него приходит ссылка на взломанный аккаунт. Девочка идет по ссылке, пишет гадкое сообщение, и только тогда понимает, что это не друг прислал эту ссылку, а неизвестный хакер. И тут у нее начинаются неприятности.

А еще огромное количество информации о себе вы самостоятельно выкладываете в сеть — в социальных сетях. Да и знакомства там заводятся порой не слишком подходящие.

В том же фильме «Кибертеррор» хакеры используют против главной героини ее сообщения и файлы, посланные в мессенджере. В том числе и фотографии «ню», которые получил ее бывший.

С помощью плечевого серфинга можно получить данные для успешного использования претекстинга. Пожалуй, это самый гибкий и часто применимый метод социальной инженерии.

В фильме «Хакеры», снятом больше 20 лет назад, показан отличный пример претекстинга: один из героев звонит ночью (помните, что сонный человек уязвим вдвойне!) в телевизионную компанию, связывается с менеджером и просит о помощи: погиб важный файл, начальник убьет, пожалуйста, дайте номер корпоративного модема (кто, кстати, помнит, что такое модем?). Вот так он и получил доступ в сеть компании. Дальше смотрите фильм.

Даже в детской киношке «Один дома» грабитель Гарри выдает себя за полицейского. Разумеется, если бы он представился кем-то еще, ему бы не сказали, какие системы защиты установлены в домах, из которых на Рождество уехали хозяева.

В фильме «Поймай меня, если сможешь» Фрэнк, герой Леонардо ди Каприо, начинает свои подвиги с того, что в школе — сам еще ученик — становится как будто бы учителем французского и две недели ведет занятия. Без диплома, без методики, без поурочных планов — видела бы его моя преподавательница педагогики! После, уже всерьез занявшись мошенничеством, он представляется бывшему пилоту авиакомании Pan America журналистом школьной газеты. А полученную в ходе якобы интервью информацию использует для получения формы пилота. Подделываясь на этот раз под летчика, работает в компании и даже получает значительную сумму. А когда его приходят арестовывать, то называется секретным агентом, сообщает, что уже арестовал самого себя и благополучно исчезает. Фильм основан на реальных событиях, кстати.

Совсем как в фильме «Взлом», повествующем о великом хакере Кевине Митнике. Правда, по-настоящему все было, конечно, совершенно не так, но зато широкие народные массы из этой картины узнали, что был такой человек, который взламывал компьютерные системы ради забавы и действовал, в основном, методами социальной инженерии. Кстати, это ему приписывается цитата «Для человеческой глупости нет патча».

Есть в фильме эпизод, когда один из героев звонит в офис компании – мол, у вас проблемы, не проходят важные документы от компании такой-то. Сначала нагнетает умело: мол, бизнес рушится, все пропало, надо действовать! Но тут же успокаивает – пришлю вам человека, зовут так-то, скоро будет и все поправит. И так в конце похвалил, подмаслил — мол, мы-то с вами не плетемся в хвосте прогресса! А тут как раз отрекомендованный человек приходит. К нему уже относятся со всем доверием, а он, разумеется, это доверие обманывает.

Последствия бездумного отношения к данным бывают очень неприятны и иногда даже трагичны. Несколько успешных похищений с целью получения выкупа удались только потому, что потерпевший сам описывал распорядок дня в социальных сетях. Цена всего одного клика по фишинговой ссылке — погибшие данные, в том числе весьма ценные, на корпоративном компьютере. Милый мальчик, который представился сотрудником поддержки бухгалтерской программы, может получить доступ к вашей зарплате... Как говорят безопасники старой закалки — «паранойя должна быть!»

Оценивать работы будут главы крупнейших российских корпораций: основатель ИКС Холдинга Антон Черепенников, генеральный директор USM Management Иван Стрешинский, индустриальный директор радиоэлектронного комплекса Госкорпорации «Ростех» Сергей Сахненко, управляющий партнер Almaz Capital Partners Александр Галицкий, генеральный директор ПАО «МегаФон» Геворк Вермишян, генеральный директор Mail.ru Group Борис Добродеев, а также старший партнёр и управляющий директор, председатель BCG Россия Владислав Бутенко.

Там же с распростертыми объятиями ждут команды и индивидуальные проекты в таких областях, как криптография и квантовые вычисления, машинное обучение, обработка и хранилища больших данных, безопасность телекоммуникационных стандартов, искусственный интеллект и нейросети, а также технологии распознавания лица и речи.

P.S. Если вы не хотите, чтобы все ваши деньги украли с банковского счета, на странице в социальной сети не появились ваши — а хоть бы и чужие — интимные фотографии, а злоумышленники не нашли вас в реальной жизни, вам жизненно необходимо узнать ВСЮ ПРАВДУ о социальной инженерии. Читайте в этом документе!