Соціальна інженерія – це злам не комп’ютерів, а людей. Поки компанії витрачають мільйони на софт, хакери просто використовують психологію, щоб обійти будь-який захист. У першій частині нашого розбору книги Крістофера Геднегі ми аналізуємо реальні кейси, методи OSINT та підступні маніпуляції, проти яких безсилі навіть найскладніші фаєрволи. Розберіться, як працює мистецтво обману, щоб не стати черговою жертвою професійних маніпуляторів.
Ви можете витратити мільйони доларів на найсучасніші фаєрволи. Ви можете обплутати офіс сканерами сітківки ока, поставити озброєну охорону і змусити співробітників міняти паролі кожні три дні. Але є одна вразливість, яку неможливо «запакувати» програмним оновленням. Ця вразливість щоранку проходить через прохідну, п’є каву на кухні й скаржиться на погоду.
Це – людина.
Крістофер Геднегі у своїй книзі «Мистецтво обману» не просто розповідає байки про шахраїв. Він розкладає по поличках механіку того, як професіонали «зламують» людей. І, чесно кажучи, коли читаєш це, стає трохи моторошно від того, наскільки ми всі передбачувані.
Соціальна інженерія (СІ) – це не магія і не гіпноз. Це набір відмичок до нашої свідомості. Давайте розберемося, як саме вони працюють, перш ніж зловмисник навіть наблизиться до вашого комп’ютера.
Ви, напевно, думаєте: «Ну, зі мною таке не пройде. Я ж не бабуся, яка диктує номер картки “службі безпеки банку”». Це найнебезпечніша ілюзія. Геднегі стверджує: розум і освіта не мають жодного значення. Жертвою може стати як прибиральник, так і гендиректор із трьома вищими освітами.
Чому? Тому що соціальні інженери б’ють не по інтелекту (IQ), а по інстинктах.
Наш мозок ледача штука. Він обожнює економити енергію. Більшу частину дня ми проводимо в так званому «Альфа-стані». Згадайте, як ви їдете додому з роботи: ноги самі йдуть, руки кермують, а думки десь далеко. Ви не аналізуєте кожен крок. Ви на автоматі. Завдання хакера – не дати вам вийти з цього стану. Або ж, навпаки, різко перевантажити систему.
Уявіть ситуацію: до секретаря підбігає людина в формі пожежника і кричить: «Терміново! Де тут серверна? Там задимлення, зараз спрацює система гасіння газом!». Що відбувається в голові секретаря?
Логіка (кора головного мозку) відключається.
Вмикається мигдалеподібне тіло (центр страху).
Організм викидає кортизол і адреналін.
Реакція: «Біжи/Рятуй».
У цей момент секретар не буде перевіряти посвідчення пожежника. Він не буде дзвонити начальству. Він просто відкриє двері. Саме так працює фізіологія злому: хакер створює ситуацію, де думати – це занадто дорого або страшно.
Але найцікавіше відбувається ще до того, як хакер одягне костюм пожежника. Геднегі називає це фазою збору інформації (Information Gathering). І це 90% успіху будь-якої атаки.
Уявіть собі пазл. Перед атакою у хакера є лише порожній стіл. Йому потрібно зібрати картинку вашого життя, щоб потім, при зустрічі, стати вашим найкращим другом за п’ять хвилин.
Звучить огидно, але це класика. Компанії витрачають шалені гроші на знищення жорстких дисків, але забувають про папери. Геднегі описує реальні кейси, коли «аудит смітника» давав ключі від королівства. Що шукають?
Старі телефонні довідники (імена, посади, внутрішні номери).
Чернетки звітів.
Календарі з відмітками про відпустки та дні народження.
Меню з найближчої доставки їжі.
Навіщо хакеру меню? Все просто. Він дзвонить в офіс о 12:30 і каже: «Привіт, це доставка піци. Ми тут переплутали замовлення для відділу маркетингу, нагадайте, хто там у вас замовляв “Пепероні”?». І секретар, нічого не підозрюючи, видає імена співробітників, які зараз на обіді. Бінго. Тепер хакер знає, кого немає на місці, і може дзвонити від їхнього імені.
Сьогодні навіть у смітнику порпатися не треба. Ми самі викладаємо компромат на себе в Instagram та Facebook. Геднегі наводить приклад, як дрібні деталі на фото можуть зруйнувати безпеку. Ви запостили селфі з робочого місця? Чудово. Хакер наближає фото і бачить:
Яке програмне забезпечення ви використовуєте (видно іконки на моніторі).
Тип вашого пропуску (висить на шиї).
Стікери з нагадуваннями на моніторі (іноді там навіть паролі пишуть, серйозно!).
А як щодо фото з відпустки? «Ура, летимо в Єгипет на два тижні!». Для злодія це пряме запрошення: «Квартира порожня, сигналізації немає, ключі під килимком». Для корпоративного хакера це сигнал: «Акаунт головного бухгалтера без нагляду, можна спробувати скинути пароль через техпідтримку, вдавши, що бухгалтер забув його у відпустці».
Щоб ви зрозуміли, наскільки глибоко заходять професіонали, ось вам історія з книги, яка тягне на сцену з голлівудського фільму.
Крістоферу та його колезі Мішель замовили аудит безпеки великої компанії. Завдання: проникнути в офіс, підключитися до мережі й вкрасти дані. Лобова атака неможлива – охорона серйозна, турнікети, камери.
Що вони роблять? Вони розробляють легенду. Вони стануть дезінфекторами. Але це не просто «одягнув комбінезон і пішов».
Підготовка була маніакальною:
Бренд: Вони вигадали неіснуючу фірму «Big Blue Pest Control».
Вигляд: Купили прості сині комбінезони в супермаркеті й роздрукували логотипи на принтері.
Деталь, яка продає: Вони взяли садові обприскувачі. Але йти з порожніми балонами підозріло – вони надто легкі й не хлюпають. Що робити? Залити воду? Нудно. Кріс купив кілька пляшок синього Gatorade (енергетик) і залив у баки. Тепер рідина виглядала як справжня “хімія”.
І ось момент істини. Вони підходять до охорони. Охоронець дивиться на список. Їх там немає. Напруга зростає. Провал? І тут Кріс робить геніальний хід. Він не сперечається. Він вмикає втомленого роботягу. Вони відходять, ніби дзвонити начальству, і чекають. Коли група співробітників повертається з перекуру, Кріс і Мішель просто прилаштовуються їм у хвіст (цей прийом називається tailgating). Вони заходять у ліфт разом із працівниками.
В ліфті тиша. Всі дивляться на незнайомців у синіх комбінезонах. Мішель починає грати: вона голосно зітхає, витирає піт з чола і каже Крісу: «Слухай, шеф, давай швидше закінчимо цей поверх. Я з ранку нічого не їла, шлунок до хребта прилип». І це спрацьовує! Жінка поруч посміхається: «Ой, як я вас розумію, сама мрію про обід». Лід розтанув. Жінка сама прикладає свій пропуск до зчитувача ліфта, щоб відправити «бідних трудяг» на потрібний поверх.
Вдумайтеся: ніякого хакерства. Тільки синій енергетик, дешевий комбінезон і проста людська емпатія. Вони зламали будівлю, просто поскаржившись на голод.
Геднегі пояснює: тут спрацював принцип соціального доказу і жалості.
Уніформа каже мозку: «Це робітник, він тут по ділу, він безпечний».
Скарги на голод роблять їх “своїми”, простими людьми, викликають співчуття.
Нахабство: коли ви поводитеся впевнено, ніби маєте повне право тут бути, люди схильні вам вірити, аби уникнути конфлікту.
Ми тільки торкнулися верхівки айсберга. Ми зрозуміли, як хакери готуються і як використовують наші базові інстинкти. Але як вони змушують нас робити те, що їм треба, в особистій розмові? Як вони будують діалог так, що ви самі хочете віддати їм пароль?
У другій частині ми розберемо мистецтво маніпуляції (або, як кажуть профі, «елісітацію»). Ви дізнаєтеся, як, використовуючи лише слова і правильну інтонацію, можна витягнути з людини найпотаємніші секрети, і вона навіть не зрозуміє, що її допитували. Готуйтеся, буде ще цікавіше.
Цікаво, а скільки таких зловили, і яка подальша їхня доля, бо умислів немає, просто незаконне проникнення