Взломай меня, если сможешь

Социальная инженерия: примеры в кино
Сейчас такое время, когда никому нельзя верить, как говаривал когда-то Штирлицу партайгеноссе Мюллер. Все данные, которые человек хранит в электронном и аналоговом виде, могут быть украдены и использованы злоумышленниками в своих целях. Всевозможные системы безопасности, разумеется, развиваются и скрывают ценную информацию за паролем, пин-кодом, отпечатком пальца или сканом сетчатки. Но самым уязвимым звеном по-прежнему остаются люди.
Именно с людьми, а не с системами, «работают» многочисленные преступники, освоившие методы социальной инженерии. Причем технические средства в этом случае играют вспомогательную роль, а на первом месте — тщательно взлелеянное злоумышленниками желание самого пользователя сообщить важную информацию. При этом человека надо либо взбудоражить и напугать, либо заинтересовать, либо подловить в минуту общей рассеянности — например, поздно ночью.

В фильме «Кто я» один из двух главных героев, обаятельный хакер Макс, описывает своему новому другу — и жертве — Бенджамину принципы социальной инженерии. «Нет никакой безопасности... Самая большая уязвимость не в программах и не на серверах. Самое уязвимое — это люди. Самый эффективный метод взлома, вершина обмана — это социальная инженерия. Человек доверчив и избегает конфликтов...». И тут же учит, как с помощью найденного в мусорке чека из кафе получить бесплатную еду.
Фильм «Кто я» 2018, скриншот с сайта www.youtube.com, автор канала Hit
Среди методов социальной инженерии выделяют фишинг и его разновидности, претекстинг, «троянского коня» и плечевой серфинг. Чуть менее распространены методы «кви про кво» и обратная социальная инженерия, но их тоже ни в коем случае нельзя списывать со счетов.
<p><strong>Троянский конь</strong> — это обычно письмо со вложением, которое надо прямо суперсрочно открыть, чтобы получить ОЧЕНЬ ВАЖНЫЕ сведения. А внутри у него вирус, которым пользователь совершенно самостоятельно заражает систему. И если нет антивируса, то пароли и платежные данные утекут злоумышленнику. Или вирус обрушит систему, а за то, чтобы вернуть все как было, потребуют выкуп. То же самое, кстати, можно проделать, подбросив (или даже подарив) зараженную флэшку или предложив самостоятельно скачать файл с сайта (по приложенной ссылке).
</p>
Пример действия вредоносной программы мы видим в фильме «Пароль рыба-меч»: хакер Стэнли, уже осужденный за взлом ФБР, попадает в лапы мошенников. А они, как положено отрицательным героям, замышляют украсть миллионы из международных банковских систем. Стэнли пишет вредоносную программу и использует ее, чтобы получить доступ к деньгам. Правда, внедрение «червя» в систему под угрозой прикончить любимую женщину героя обычным поведением не назовешь, но принцип тот же: заставь человека сделать то, что тебе нужно. Обычно все-таки действуют потише — ну так и фильм сплошная клюква.
Фильм «Пароль «Рыба-меч» (2001), скриншот с сайта www.youtube.com, автор канала Мувики. рф — сцены из фильмов
<p><strong>Фишинг</strong> — это выуживание у пользователей паролей, платежных данных и другой информации. Предположим, человеку приходит электронное письмо из социальной сети (подложное, конечно), и в нем просят ввести пароль от этой сети. Например, чтобы подтвердить, что аккаунт активен. Пользователь, не знакомый с такими уловками, вводит все, что его попросили, иногда прямо из письма, — и вот с его аккаунта полетела реклама или того хуже — призывы к свержению существующего строя. Для фишинга могут использоваться ссылки на сайтах, SMS, электронная почта, мессенджеры и сервисы личных сообщений.
</p>
Фильм «Хакер», снятый в 2018 году, начинается с эпизода типичного фишинга: юный герой захотел попасть в сообщество хакеров и заодно насолить своему школьному недругу. Он создал простенький сайт по продаже того, что могло заинтересовать жертву (пищевых добавок для роста мышечной массы по совсем бросовым ценам), и тот попался — ввел данные кредитки отца.
Фильм «Хакер» (2018) , скриншот с сайта www.youtube.com, автор канала maks alimbekov
В фильме «Кибертеррор» (2014) показано, как совсем юная барышня, чтобы отомстить бывшему за негативный твит, уговаривает своего друга взломать аккаунт бывшего. После того, как друг вроде бы и отказался, от него приходит ссылка на взломанный аккаунт. Девочка идет по ссылке, пишет гадкое сообщение, и только тогда понимает, что это не друг прислал эту ссылку, а неизвестный хакер. И тут у нее начинаются неприятности.
Фильм «Кибертеррор» (2014), скриншот с сайта www.youtube.com, автор канала kino city
<p><strong>Плечевой серфинг</strong> — это самый старый, кажется, способ получить информацию. Надо просто стоять за спиной у человека, когда он вводит пин-код в банкомате или пароль на сайте. Это можно сделать в магазине, на эскалаторе в метро, в кафе или антикафе, везде, где пользователь утыкается в смартфон или планшет и не обращает внимания, что происходит у него за спиной. В это время, даже если вы не вводите пароли и не работаете с банковскими приложениями, из ваших данных (в том числе переписки в мессенджерах и сервисах личных сообщений) можно очень многое выудить.
</p>
А еще огромное количество информации о себе вы самостоятельно выкладываете в сеть — в социальных сетях. Да и знакомства там заводятся порой не слишком подходящие.

В том же фильме «Кибертеррор» хакеры используют против главной героини ее сообщения и файлы, посланные в мессенджере. В том числе и фотографии «ню», которые получил ее бывший.
Фильм «Кибертеррор» (2014), скриншот с сайта www.youtube.com, автор канала kino city
С помощью плечевого серфинга можно получить данные для успешного использования претекстинга. Пожалуй, это самый гибкий и часто применимый метод социальной инженерии.
<p><strong>Претекстинг</strong> — это когда злоумышленник создает некий сценарий, по которому аккуратно ведет пользователя к тому, чтобы тот сообщил все нужное. Сейчас чаще всего для этого он представляется сотрудником службы безопасности банка, но может отрекомендоваться и новым сотрудником соседнего подразделения на работе, и вашим сетевым приятелем (почерпнув материал для представления из вашей же соцсети), и даже — вашим близким родственником, попавшим в беду. Да-да, многочисленные разводы «папа, я сбил человека» — это тоже социальная инженерия, пусть там не задействован ни один компьютер.
</p>
В фильме «Хакеры», снятом больше 20 лет назад, показан отличный пример претекстинга: один из героев звонит ночью (помните, что сонный человек уязвим вдвойне!) в телевизионную компанию, связывается с менеджером и просит о помощи: погиб важный файл, начальник убьет, пожалуйста, дайте номер корпоративного модема (кто, кстати, помнит, что такое модем?). Вот так он и получил доступ в сеть компании. Дальше смотрите фильм.
Фильм «Хакеры» (1995), скриншот с сайта www.youtube.com, автор канала Трейлер ВираЖ
<p>Одним из методов претекстинга является <strong>маскарад</strong>: выдавая себя за официальное лицо, можно узнать многое. И многое сделать. Это самый, пожалуй, кинематографичный вид социальной инженерии — уж сколько фильмов про него было.
</p>
Даже в детской киношке «Один дома» грабитель Гарри выдает себя за полицейского. Разумеется, если бы он представился кем-то еще, ему бы не сказали, какие системы защиты установлены в домах, из которых на Рождество уехали хозяева.
В фильме «Поймай меня, если сможешь» Фрэнк, герой Леонардо ди Каприо, начинает свои подвиги с того, что в школе — сам еще ученик — становится как будто бы учителем французского и две недели ведет занятия. Без диплома, без методики, без поурочных планов — видела бы его моя преподавательница педагогики! После, уже всерьез занявшись мошенничеством, он представляется бывшему пилоту авиакомании Pan America журналистом школьной газеты. А полученную в ходе якобы интервью информацию использует для получения формы пилота. Подделываясь на этот раз под летчика, работает в компании и даже получает значительную сумму. А когда его приходят арестовывать, то называется секретным агентом, сообщает, что уже арестовал самого себя и благополучно исчезает. Фильм основан на реальных событиях, кстати.
Фильм «Поймай меня, если сможешь» (2002), скриншот с сайта www.youtube.com, канал Фильмы
<p>Кстати, вот еще хороший пример, который мы незаслуженно упустили из виду. <strong>Обратная социальная инженерия</strong> — если описать этот метод глазами злоумышленников, то получится вот что: «Сначала создадим пользователю ситуацию, в которой он попросит нашей помощи, а потом эту помощь окажем. Ну и заодно внедрим в компьютер что-нибудь симпатичное себе на пользу».
</p>
Совсем как в фильме «Взлом», повествующем о великом хакере Кевине Митнике. Правда, по-настоящему все было, конечно, совершенно не так, но зато широкие народные массы из этой картины узнали, что был такой человек, который взламывал компьютерные системы ради забавы и действовал, в основном, методами социальной инженерии. Кстати, это ему приписывается цитата «Для человеческой глупости нет патча».

Есть в фильме эпизод, когда один из героев звонит в офис компании – мол, у вас проблемы, не проходят важные документы от компании такой-то. Сначала нагнетает умело: мол, бизнес рушится, все пропало, надо действовать! Но тут же успокаивает – пришлю вам человека, зовут так-то, скоро будет и все поправит. И так в конце похвалил, подмаслил — мол, мы-то с вами не плетемся в хвосте прогресса! А тут как раз отрекомендованный человек приходит. К нему уже относятся со всем доверием, а он, разумеется, это доверие обманывает.
Фильм «Взлом» (2002), скриншот с сайта www.youtube.com, автор канала N.B.
Эксперт по компьютерной безопасности, фото wikipedia.org
Кевин Митник

Позже — уже после того, как ФБР его прищучило, — Кевин Митник стал специалистом по IT-безопасности. Эти люди занимаются методами защиты информации и пользователей — в том числе и от последствий применения социальной инженерии. Не для того они изобретают новые способы уберечь данные, чтобы пользователь сам выкладывал секреты направо и налево. Поэтому в сетях появляются многочисленные статьи, подобные этой, где призывают к разумной скрытности, осторожности и недоверчивости к посторонним.
Совет: если к вам радушно подходит незнакомец, если вам звонит очень вежливый представитель системы безопасности вашего банка, если вас только что напугали, ошеломили, пообещали миллионы или сообщили, что по ссылке вы найдете ТАКОООООЕ, — остановитесь! Успокойтесь, потяните время, ПОДУМАЙТЕ. Так у вас будет куда меньше возможности попасться на удочку мошенникам.
Последствия бездумного отношения к данным бывают очень неприятны и иногда даже трагичны. Несколько успешных похищений с целью получения выкупа удались только потому, что потерпевший сам описывал распорядок дня в социальных сетях. Цена всего одного клика по фишинговой ссылке — погибшие данные, в том числе весьма ценные, на корпоративном компьютере. Милый мальчик, который представился сотрудником поддержки бухгалтерской программы, может получить доступ к вашей зарплате... Как говорят безопасники старой закалки — «паранойя должна быть!»
Конечно, системы информационной безопасности постоянно развиваются, появляются многочисленные молодые компании, которые занимаются только решениями в этой области. Среди способов продвинуться для них недавно появился новый: объявлен конкурс Криптонит Startup Challenge*, участниками которого станут лучшие технологические стартапы со всей страны. Организатор конкурса обещает приз в 10 миллионов рублей, стажировку в ведущем международном консалтинговом агентстве BCG Digital Ventures в Берлине и привлечение к работе компании крупных инвесторов.

Оценивать работы будут главы крупнейших российских корпораций: основатель ИКС Холдинга Антон Черепенников, генеральный директор USM Management Иван Стрешинский, индустриальный директор радиоэлектронного комплекса Госкорпорации «Ростех» Сергей Сахненко, управляющий партнер Almaz Capital Partners Александр Галицкий, генеральный директор ПАО «МегаФон» Геворк Вермишян, генеральный директор Mail.ru Group Борис Добродеев, а также старший партнёр и управляющий директор, председатель BCG Россия Владислав Бутенко.
Основатель ИКС Холдинга
Антон Черепенников
Генеральный директор USM Management
Иван Стрешинский
Индустриальный директор Радиоэлектронного комплекса Госкорпорации «Ростех»
Сергей Сахненко
Управляющий партнер Almaz Capital Partners
Александр Галицкий
Генеральный директор ПАО МегаФон
Геворк Вермишян
Генеральный директор Mail.ru Group
Борис Добродеев
Старший партнёр и управляющий директор, председатель BCG Россия
Владислав Бутенко
Там же с распростертыми объятиями ждут команды и индивидуальные проекты в таких областях, как криптография и квантовые вычисления, машинное обучение, обработка и хранилища больших данных, безопасность телекоммуникационных стандартов, искусственный интеллект и нейросети, а также технологии распознавания лица и речи.
P.S. Если вы не хотите, чтобы все ваши деньги украли с банковского счета, на странице в социальной сети не появились ваши — а хоть бы и чужие — интимные фотографии, а злоумышленники не нашли вас в реальной жизни, вам жизненно необходимо узнать ВСЮ ПРАВДУ о социальной инженерии. Читайте в этом документе!
Материал подготовлен специально для ГК «Криптонит»

Автор текста: Елена Виноградова
Редактор/корректор: Елена Виноградова
Координатор проекта: Елена Рожнова
Верстка / дизайн: Екатерина Елизарова
Иллюстрации: freepik.com


*Конкурс Криптонит Startup Challenge проходит с 04.02.19 по 17.05.19. Организатора конкурса – АО ИК «Криптонит» ИНН 9701115158, ОГРН 1187746694607С информацией об организаторе, правилах, количестве, сроках, месте и порядке получения призов можно ознакомиться на сайте kryptonite-startup.ru.
Организатора конкурса – АО ИК «Криптонит» ИНН 9701115158 , ОГРН 1187746694607