Социальная инженерия эксплуатирует слабое звено любой системы — человеческий фактор. Такой метод базируется на манипулировании психологией и поведением, чтобы обманным путём получить конфиденциальную информацию или доступ к сетям, системам и физическим объектам.
В отличие от технического взлома, социальная инженерия опирается на сильные и универсальные эмоции, такие как жадность или страх. Подобные атаки стали одними из самых распространённых среди хакеров, и их влияние на кибербезопасность значительно возросло.
Притворство «своим»
Один из самых распространенных способов проникновения — притвориться сотрудником или подрядчиком. Например, злоумышленник может надеть форму курьера или техника оператора связи или интернета, прийти к зданию и уверенно заявить, что пришел устанавливать новое оборудование или проверять сети. На пропускном пункте он может предъявить поддельное удостоверение или вовсе не показывать документы, действуя быстро и уверенно. Сотрудники обычно не подвергают сомнению такие случаи, считая, что человек просто выполняет свою работу. Представьте себе ситуацию, когда человек в форме коммунальной службы, например, заявляет, что пришел «проверить трубы». В большинстве случаев его пропустят внутрь без лишних вопросов, и он получит доступ к нужным помещениям.
Дружелюбие и общительность
Еще один популярный метод социальной инженерии — проявить дружелюбие и завести беседу. Например, злоумышленник может подойти к охране на входе, пошутить на тему погоды, спросить о ближайших кофейнях или сделать комплимент. Такое взаимодействие создает ощущение доверия и симпатии, что снижает бдительность сотрудников. Многие не подумают, что перед ними может быть опасный человек. Представьте, что кто-то приносит коробку пончиков, говоря, что это угощение для IT-отдела, и легко заводит непринужденную беседу с охраной. В такой ситуации злоумышленнику часто удается получить доступ внутрь, ведь все думают, что он просто "поставщик пончиков".
Использование срочности или экстренной ситуации
Создание ощущения неотложности или аварийной ситуации — эффективный способ заставить людей действовать быстро и без проверки. Например, злоумышленник может появиться в офисе и сказать, что "произошла авария с электричеством" или "утечка газа", и ему нужно срочно проверить систему. Уверенный тон и срочность часто приводят к тому, что человек, с которым он разговаривает, может пропустить его внутрь, не проверяя документы. В стрессовых ситуациях сотрудники склонны быстрее принимать решения, особенно если они считают, что помогают предотвратить проблему.
Подмена личности
Этот метод предполагает, что злоумышленник притворяется знакомым компании, кем-то, кого сотрудники могут знать и ожидать увидеть. Например, подходя к охране, можно сказать: "Привет! Я коллега Ивана из маркетинга, он ждет меня в конференц-зале." Использование имени сотрудника и уверенный тон часто заставляют людей не задавать лишних вопросов. Иногда хакеры даже звонят в офис и представляются руководителем, чтобы получить доступ к нужным помещениям под предлогом срочного дела. Использование имени и связанных с ним деталей позволяет злоумышленнику создать иллюзию легитимности и быстро завоевать доверие.
Создание доверительных отношений (повторные появления)
Для некоторых злоумышленников важно стать "своим" для сотрудников и охраны, чтобы впоследствии проникнуть в здание без проверок. Например, можно регулярно появляться возле здания, ежедневно заговаривать с охраной, заводить непринужденные беседы, и со временем сотрудники перестанут обращать внимание на присутствие этого человека. После нескольких таких визитов злоумышленник становится настолько привычным, что его даже могут пустить внутрь без проверки. Представьте ситуацию, когда человек регулярно оказывается у входа и общается со всеми, а через некоторое время он просит пустить его внутрь — и никто не проверяет его, потому что все уверены, что он "свой".
Следование за сотрудником
Очень простой, но эффективный способ проникновения — это следовать за настоящим сотрудником, который открывает дверь с помощью пропуска или карты доступа. Злоумышленник просто ждет, когда кто-то пройдет внутрь, и следует за ним, действуя непринужденно. Для большей убедительности он может сказать: "Спасибо, что подождали!" или "Я опять забыл свой пропуск". Большинство сотрудников не будут задумываться над тем, что за ними вошел человек, особенно если он не вызывает подозрений и выглядит как коллега.
Ложное предложение помощи
Социальный инженер может предложить свою помощь сотруднику компании, чтобы проникнуть в здание. Например, если кто-то несет тяжелые коробки, злоумышленник может предложить помощь в их переноске, и, следуя за сотрудником, пройти через двери с ограниченным доступом. Такой метод эксплуатирует естественное желание людей помочь другим и вызывает меньше подозрений. В ситуациях, когда кто-то помогает матери с ребенком открыть дверь в офисное здание, он может также воспользоваться этим моментом для проникновения и беспрепятственно перемещаться по помещениям, оставаясь "помощником" на виду у всех.
Методы социальной инженерии эффективны потому, что они используют человеческие слабости и социальные нормы. Желание помочь, доверие к коллегам и стремление избегать конфликтов — все это может быть использовано для обхода мер безопасности и проникновения в здание.
