• [ Регистрация ]Открытая и бесплатная
  • Tg admin@ALPHV_Admin (обязательно подтверждение в ЛС форума)

Статья Как работают эксплоиты социальной инженерии

stihl

Moderator
Регистрация
09.02.2012
Сообщения
1,166
Розыгрыши
0
Реакции
508
Deposit
0.228 BTC
stihl не предоставил(а) никакой дополнительной информации.
Социальную инженерию часто применяют при комплексных пентестах, и зачастую успешно, но, понимая принципы психологии и составив сценарий с их учетом, можно значительно повысить процент успешных взаимодействий. В этой статье мы разберем основные уловки и причины, по которым они работают.
«Вечная точка входа!», «Столько‑то процентов атак начинается с социальной инженерии!», «Нельзя недооценивать возможности фишинга!» — это всё донельзя заезженные в ИБ фразы. А что важно для эффективного пробива?

Тут мнения расходятся. «Главное — это креатив, это же социалочка!», «Нет, главное — это хороший пейлоад, макросы, сплоиты на MS Office, а документ кто‑нибудь да откроет». И обязательно кто‑то добавит: «Парни, не заморачивайтесь! Рассылаем OWA, введут пароли, а с учетками и почтой раскрутимся».


Важны обе части — и «социо», и «техническая». На мой взгляд, это должно быть понятно прямо из названия. Но если с технической стороной обычно все хорошо, сплоиты пишутся, воркшопы крутятся, то с «социо» у нас проблемы. Системные.

Ты видел, чтобы к другим видам пентеста был такой же подход, как к социальной части социалки? Бессистемный и зачастую повторяющий только то, что уже было сделано раньше более опытными коллегами?

Только представь: фаззим поле, не понимая, как оно работает и почему так отвечает, просто ждем, что что‑нибудь да выполнится, потому что все так делают.

С социальными скиллами у многих хакеров и в обычной‑то жизни не очень, потому они и тяготеют к технике. А тут уж и подавно приходится выходить из зоны комфорта. Кто‑то еще в этот момент пытается отмахнуться и сказать: «Психология не наука!»

Дисклеймер. Если ты считаешь, что психология не наука, то эта статья не для тебя.

Остальным же добро пожаловать!

Основа социальной инженерии — психология влияния. Но хоть психология и наука, вокруг нее крутится множество псевдонаучных течений: НЛП, физиогномика, сомнительные техники, маскирующиеся под психологию сект, и многое‑многое другое. Поэтому...

Дисклеймер 2. Автор в статье опирается на исключительно принятые и проверенные в научном сообществе теории, исследования и публикации. А также анализирует собственный опыт социальной инженерии через призму подобных теорий.

Эта база опирается в первую очередь на исследования социальных психологов XX и XXI веков, а также современные зарубежные и российские исследования о подверженности мошенничеству.


Эволюционное легаси​

Представь себе приложение с неким API, которое развивалось на протяжении многих‑многих лет, но никто его никогда не переписывал и лишь добавлял всё новые и новые функции. Разработчики и задачи менялись, поэтому никто до конца не понимает, что там за легаси‑код. В старые фичи никто не лез, никакого ревью не делал, просто дописывали новые, когда возникала необходимость. Железо тоже не апгрейдили, и, чтобы сохранять эффективность, приходилось добавлять оптимизацию путем пропуска части проверок. Этакое «спекулятивное исполнение».

Это приложение — наш мозг, развившийся в процессе эволюции.

Зачастую наиболее уязвимы те механизмы, которые наши предки использовали для выживания на самом раннем этапе становления человеческого общества. Полностью избавиться от этого наследия мы не можем, можем лишь пытаться контролировать себя, закрывая к ним доступ на более высоком уровне мышления, но в глубине каждый человек уязвим.


Кто уязвимее?​

Когда читаешь СМИ, кажется, что уязвимее всего пенсионеры. Но это лишь потому, что истории об обманутой бабушке вызывают наибольший эмоциональный отклик, вот их и используют в СМИ.

На деле же вот статистика Европола по жертвам мошенничеств, обратившимся в полицию:

  • 18–34 года — 27,7%;
  • 35–54 года — 23,4%;
  • 55–64 года — 21,7%;
  • 65+ лет — 18,5%.
Но ведь многие в полицию не обращаются, верно? Поэтому посмотрим на статистику, полученную с жестких дисков сервера бывшего мошеннического кол‑центра в Бердянске:

  • 20–29 лет — 23%;
  • 30–39 лет — 44%;
  • 40–49 лет — 19%;
  • 50–59 лет — 12%;
  • 60+ лет — 2%.
Статистика иная, но тоже совсем не в пользу молодежи.

Возраст не увеличивает вероятность обмана, а скорее наоборот.

Уровень когнитивных способностей? Не влияет.


Совместное исследование нескольких американских вузов с участием 1220 человек не обнаружило корреляции между уровнем когнитивных способностей и вероятностью стать жертвой мошенничества.

Отдельно стоит вспомнить кейс 68-летнего специалиста по физике элементарных частиц Пола Фрэмптона, кандидата на Нобелевскую премию. Его с помощью банального мошенничества через сайт знакомств заставили попробовать провезти через границу чемодан с двумя килограммами кокаина! Неудачно для него.

Специалисты по безопасности наиболее «устойчивы» к социальной инженерии? Не совсем.

С одной стороны, мы, интересующиеся социальной инженерией, обращаем внимание на подобные техники и нам проще их заметить. Однако нас в какой‑то степени «ослепляет» эффект сверхуверенности. Мы убеждены, что сами уж точно всё поймем и на нас‑то это не сработает! Это известное когнитивное искажение, которое проявляется во множестве профессий. К примеру, по статистике:

  • опытные водители чаще попадают в серьезные аварии;
  • опытные пловцы тонут чаще;
  • опытные электрики чаще получают травмы от ударов током.
Вывод: с помощью социальной инженерии можно эффективно проводить атаки на любые социальные группы, важно лишь создавать подходящие сценарии.

О сценариях мы поговорим далее.


Уязвимая оптимизация​

Объем нашего мозга не менялся уже несколько тысяч лет. Представь, что у земледельца из Древней Греции мозг был точно таким же. Но объем информации, которую он обрабатывал ежедневно, не идет ни в какое сравнение с современной нагрузкой. И благодаря прогрессу она растет гораздо быстрее, чем эволюционно подстраивается наше «железо».

Как же наш мозг справляется с этим? Использует уже выработанный несколько тысяч лет назад механизм оптимизации стереотипно‑последовательное поведение (СПП). СПП позволяет нам принимать решения без анализа ситуации на основании прошлого опыта и некоего провоцирующего фактора. Это значительно экономит ресурсы, уводит рутинные процессы в «фоновый режим» и позволяет заодно обдумывать что‑то. Это короткий путь обработки информации, в то время как анализ — длинный. Нашим предкам такая оптимизация неоднократно помогала и спасала жизни в ситуациях, где на анализ не было времени. Эволюционно это выгодно!

Автоматическая, стереотипная форма поведения превалирует над всеми остальными формами поведения, потому что она энергосберегающая и самая эффективная в большинстве случаев. Она позволяет экономить ограниченные ресурсы мозга.

От него нельзя ожидать, что он успеет проанализировать и обдумать все аспекты жизни, все события, ситуации, контакты даже в рамках одного дня любого из нас. Он быстро классифицирует событие по ключевым деталям (провоцирующим факторам) и реагирует.

Но когда это поведение нас подводит? В тех ситуациях, когда наш оптимизированный мозг выбирает на основании провоцирующего фактора неверную модель поведения. Ошибка классификации.

Пример. Социальный психолог из Гарварда Эллен Лангер провела эксперимент «Очередь к ксероксу». По нему человек пытался пройти к копировальному аппарату без очереди, используя для этого три вида просьб:

  • Без объяснения причины («Можно я пройду без очереди?») — 60% положительных ответов.
  • С логичным объяснением («Можно я пройду без очереди? Потому что я очень тороплюсь и у меня всего пара страниц») — 94% положительных ответов.
  • С иллюзией объяснения («Можно я пройду без очереди? Потому что мне нужно сделать копии») — 93% положительных ответов!
Провоцирующим фактором в этой ситуации было не само объяснение и его обоснованность, а лишь наличие объяснения — союз «потому что». Мы уязвимы к ультранормальным сигналам — провоцирующим факторам, и эту уязвимость можно эксплуатировать, даже для вызова поведения, противоречащего здравому смыслу.


DoS мозга​

Самый простой способ включить «энергосберегающий режим» — эмоционально или сенсорно перегрузить мозг человека.

Эмоциональная перегрузка опирается на сильнейшие эмоции, вызывающие стресс или эйфорию. Напугать, ввести в тревожное состояние — и жертва будет гораздо хуже противодействовать и соображать, будет работать на автомате в соответствии со своими автоматически‑стереотипными реакциями. Можно, конечно, и сильно обрадовать, но обычно сложнее этого достичь и поддерживать эффект.

Сенсорная перегрузка работает иначе, и ее можно использовать совместно с эмоциональной. Она базируется на перегрузке информацией из разных источников, которой становится слишком много, чтобы обработать. Голова очень плохо соображает, когда ты пишешь какой‑то документ, тебя отвлекает вопросами коллега, а где‑то на фоне приходят еще и уведомления от телеграма. Часть каналов мозг будет затыкать именно при помощи СПП. В таком состоянии и на ссылку легко нажать, и ввести данные не туда, и довериться звонящему тебе по телефону.

Таким методом часто действуют группы цыган. Использовать сочетание из эмоциональной и сенсорной перегрузки — это их классика. Вокруг жертвы кружится толпа, хватают за руки и дергают за сумку дети, говорят в несколько голосов, особенно выделяют страшные слова «беда у тебя». Это называют «цыганский гипноз», но на деле их задача — вызвать СПП, а дальше поддерживать эффект. Выйти из подобного состояния самостоятельно может быть сложно, и лучшая защита — не дать себя первоначально задосить.

В обоих случаях критическое мышление, как крайне энергозатратный для мозга процесс, будет значительно снижено или вовсе отключено.


Наиболее применимые психологические эксплоиты​

Психология влияния описывает множество принципов, которые используются повсеместно: в маркетинге и рекламе, продажах, политтехнологиях, психологии и терапии и многих других областях. Но для хакера, составляющего текст рассылки или скрипт для телефонного фишинга, будут применимы лишь три из них:

  • принцип авторитета;
  • принцип дефицита;
  • принцип последовательности.

Принцип авторитета​

Человек склонен к тому, чтобы ориентироваться на экспертов в той области, в которой сам недостаточно компетентен. Мы автоматически больше доверяем тем, кто, по нашему мнению, более квалифицирован, богат или успешен. Но как проверить авторитет? В этом и кроется главная уязвимость.

Фейковый авторитет можно поддерживать с помощью внешних признаков. Люди в белых халатах по телевизору изображают стоматологов и рекламируют зубную пасту, инфоцыгане продают «успешный успех», позируя в высотках Дубая и дорогих тачках, которые зачастую сняты лишь на час для фотосессии. Одна известная сеть ресторанов использовала актера, игравшего шеф‑повара в популярном сериале «Кухня», для рекламы. Ведь для большинства в голове он «шеф», а не актер, а значит, плохой ресторан не посоветует!

Хороший пример демонстрации этого принципа — эксперимент Милгрэма. Его проводили в 1963 году в Йельском университете, и проводили в несколько этапов, меняя условия. В нем было наглядно показано, что испытуемые вне зависимости от условий в большинстве случаев повинуются авторитету, нарушая даже свои моральные принципы.

Эволюционно мы разделяли виды труда и привыкли доверять экспертам.


Принцип дефицита​

Здесь речь о желании того, что недоступно, боязни упустить или потерять что‑то. Люди всегда больше ценят то, что нельзя приобрести. Кажется, что вещи, которые быстро раскупают и сложно найти, более полезны.

В СССР дефицитный товар и особенно товар из‑за границы казался более ценным и полезным, даже если уступал по свойствам доступным советским. Акции «осталось всего три штуки» на маркетплейсах эксплуатируют тот же эффект.

Когда я работал пентестером в одном известном интеграторе в Москве, я ежедневно выходил из метро «Савеловская» и проходил мимо магазина одежды. И каждый день у него висели баннеры о «ликвидации», громкоговорители кричали, что именно сегодня «последний день закрытия магазина». Но это «сегодня» затянулось на целый год, после чего магазин просто провел ребрендинг. На кого была рассчитана реклама? На тех, кто видит вывеску впервые, и, судя по стабильному потоку покупателей, трюк работал.

Манипуляции в духе «вы можете потерять» тоже относятся к принципу дефицита. Жизнь приучила наших предков не упускать возможности добыть что‑то, пока это доступно, и запасаться.


Принцип последовательности​

Это один из самых неочевидных и эффективных принципов манипуляций. Эволюционно мы больше стремимся быть последовательными, чем правыми. Кажется чушью, но общество крайне поощряет последовательность во взглядах. Человек, постоянно меняющий свое поведение, свои взгляды или, как часто сейчас говорят, «переобувающийся», считается ненадежным, двуличным, легкомысленным. Такое поведение осуждалось и осуждается обществом до сих пор. Человек последовательный ассоциируется с надежностью, предсказуемостью, ему больше симпатизируют, даже если он в итоге оказывается не прав.

Придерживаться одной линии поведения для человека крайне соблазнительно, ведь это позволяет не разочаровываться или сомневаться в себе, наоборот, подкрепляет уверенность. И несомненно, позволяет гораздо меньше думать! Ведь такой путь гораздо экономичнее, а значит, именно к такому поведению нас толкает стереотипно‑последовательное поведение. Морально проще идти до конца и ва‑банк, и, кстати, именно с этим принципом в первую очередь стараются бороться игроки в покер!

Множество экспериментов подтверждают влияние принципа последовательности. Например, социальный психолог Патриция Плинер проводила эксперимент, в котором сначала просила испытуемых носить значок «Поддержи общество по борьбе с онкологией», а потом внести пожертвование в одноименный фонд. Среди тех, кто носил значок, желающих внести пожертвование было в два раза больше, чем в группе, которую не просили носить значок.

Причем после негативной обратной связи вероятность и желание «дойти до конца» возрастает. Например, однажды исследователи пришли на псевдонаучный семинар, где слушателям обещали реализацию их желаний и излечение от всех болезней, если они купят определенный курс. В конце семинара исследователи начали активно задавать вопросы, подчеркивающие несостоятельность всех аргументов мошенников, но вызвали тем самым совсем не ту реакцию, которую ожидали.

Слушатели семинара с каждым следующим вопросом все активнее шли и отдавали свои деньги! Люди начинали ощущать, что их мечты и иллюзии рушатся, они боялись потерять шанс и шли до конца. Страх разочарования рождал стресс, включалось СПП, и стремление к последовательности подменяло критическое мышление — в том числе к собственным действиям!


Эксплуатация​

Как же использовать эти принципы, СПП и провоцирующие факторы для манипуляций в контексте социальной инженерии?

Очевидно, что наибольший эффект подобные техники показывают именно в фишинговых звонках, ведь звонок позволяет полноценно выстроить последовательность действий и общаться с жертвой в несколько этапов.

При почтовом фишинге эти техники помогают более тонко составить фишинговое письмо. Тогда его конверсия имеет шансы превзойти показатели стандартных сценариев.


Письма и правило 7%​

В ходе множества проектов по социотехническому тестированию на проникновение мы с коллегами неоднократно замечали, что на объемах больше 1000 писем не менее 70 получателей обязательно откроют письмо и выполнят целевое действие.

Процент мог быть и выше, но, даже если компания активно занималась обучением сотрудников противодействию фишингу, с учебными рассылками и переобучениями попавшихся, процент не падал ниже семи. Какие бы обучающие активности и организационные меры компания ни вводила, добиться снижения не удавалось. Почему?

Потому что 7% пользователей на момент рассылки были в уязвимом состоянии, они были в сенсорной или эмоциональной перегрузке! СПП отключало их критическое мышление, и до анализа письма мозг просто не доходил, а без анализа все тренинги и обучения не помогают.

Но, как ты понимаешь, процент можно было поднять выше, если спровоцировать подобные состояния уже самим письмом. Письма, провоцирующие стресс или эйфорию, всегда наиболее эффективны.


Темная сторона телефонного фишинга​

Лучший, хоть и негативный пример эффективного телефонного фишинга — это мошеннические кол‑центры. Они существуют с 2014 года и отточили свои сценарии и технику с фокусом на массовые атаки. Определенный процент их жертв, находясь в уязвимом состоянии в момент поднятия трубки, — это гарантированный заработок. Их схемы нам кажутся простыми и смешными, но они и не рассчитаны на включенное критическое мышление и анализ. Они нацелены на определенный процент людей, у которых сработает СПП.

Давай на их примере разберем наиболее эффективные техники и приемы при фишинговых звонках. Вот как мошенники активируют СПП:

  • С помощью стресса и страха. Сценарии с «сотрудником банка» и тем более с «сотрудником правоохранительных органов» автоматически вызывают стресс.
  • Не дают положить трубку, моментально перезванивают. Выматывают самим звонком, могут держать на трубке часами.
  • Усиливают давление по ходу звонка, торопят.
Самые свежие сценарии включают СПП с помощью сообщения с фейкового аккаунта руководства, без времени на перепроверку.

Также мошенники активно используют принцип дефицита, например говорят о возможности потерять деньги, если не помогать. Иногда даже предлагают какую‑то награду за «помощь следствию».

Используют принцип авторитета:

  • Говорят максимально усложненными формулировками и терминами, после чего спрашивают: «Вам все понятно?», подчеркивая свою экспертность и загружая мозг жертвы. Пример из реального звонка: «После вашего голосового отказа мы сформировали протокол, который обязует провести обновление данных по системам безопасности на юридическом уровне и предоставить вам полную замену реквизитов вашего счета для более безопасного пользования средствами в системе нашего банка. Это вам понятно?»
  • Представляются как сотрудники максимально могущественных ведомств (ФСБ, СК РФ, ЦБ РФ), сообщают непроверяемые ФИО и звания.
Активно используют принцип последовательности:

  • В начале задают исключительно безопасные для жертвы вопросы. «Теряли ли вы паспорт в последнее время?» и прочие.
  • Далее переходят к вопросам без односложных ответов, но все еще безопасных для жертвы. «Какими банками вы еще пользовались?», «Куда вы предоставляли ваши паспортные данные за последнее время?»
  • Далее к более опасным вопросам и безопасным действиям. «Посмотрите, какие пластиковые карты у вас сейчас на руках», «Возьмите ручку и запишите мое ФИО, я следователь... отдел № 7 УВД ... района».
  • Жертва привыкает отвечать на вопросы и делать какие‑то действия по указке, градус опасности действий и ответов повышается. Жертве всегда сообщают лишь о следующем действии, полностью замысел не раскрывается. Даже, казалось бы, в очевидных ситуациях.
  • При попытках сопротивления усиливают последовательность большим количеством вопросов и действий, помимо усиления эмоционального давления.
  • Именно последовательность позволяет подвести жертву к столь опасным поступкам, как совершение поджогов (более 30 случаев за 2022 и 2023 годы).
К слову, подобные группы работают не только в Европе и СНГ, не меньше звонят и гражданам Южной Кореи. Это общемировой тренд.


Техники обхода триггеров​

У большинства пользователей есть похожий набор триггеров, которые срабатывают даже при СПП. Это, как правило, простейшие инструкции, которые вызывают автоматическую реакцию. Но триггеры эти возможно обойти:

  1. Правило «никому не говорите свой пароль» обходится легко: пентестер может, к примеру, отправить ссылку для генерации «безопасного» пароля (страница по ссылке будет содержать логгер). Либо попросить жертву выполнить команду командной строки, которая не будет понятна жертве, но приведет к смене пароля.
  2. Правило всегда проверять, кто пишет или звонит, обходится подписью в письме или представлением в самом начале звонка. Сами ФИО пойдут проверять единицы.
  3. Эффект первого или неожиданного звонка всегда вызывает настороженность, но если сделать такой звонок кратким и максимально безопасным, а затем пообещать при необходимости перезвонить, то на втором звонке эффект пройдет уже через 10–15 минут. Эта техника называется «двойное касание».
  4. Строгие правила компании можно попробовать обойти выводом жертвы за рамки рабочего контекста. Например, на пентесте мы с коллегами присылали сотрудницам заказчика цветы в офис с личным подарком «от поклонника» в виде флешки, перевязанной лентой. Любопытство было настолько велико, а подарок настолько не ассоциировался с работой, что 100% получательниц не доносили ее до дома и вставляли в рабочий компьютер. Аналогично и с коммуникацией в мессенджерах и социальных сетях: они воспринимаются исключительно как личные, вне рабочего контекста.

Защита​

Для компаний лучший способ защиты от применения социальной инженерии — это использовать и организационные, и технические меры одновременно, а еще дополнить их оперативным реагированием.

Организационными мерами можно снизить процент попавшихся на уловку пользователей примерно до 7%. Эффективные технические меры могут предотвратить дальнейшие действия попавшихся на рассылку или звонки пользователей. Но все же при правильной «работе» с пользователем социальный инженер способен обойти многие технические меры. В таком случае в ход идет оперативное реагирование на инцидент.

А как защищаться от подобного обычному человеку?

  • Не бояться быть неудобным при разговорах по телефону. Хамить и отказывать безопаснее.
  • Приучить себя отслеживать свое погружение в стресс и стереотипное поведение. Стресс заметен всегда, нужно стараться не принимать никаких решений под стрессом, только после передышки.
  • Следить за последовательностью действий, не ввязываться в сомнительные коммуникации.
  • Обращать внимание на манипуляции, которые мы обсудили, научиться их замечать в повседневной жизни.
  • Бросать трубку при подозрительных звонках и не пытаться проверить звонящего! Если ты бросишь трубку, шанс того, что тебя обманут, становится равным нулю, но, если будешь троллить или проверять звонящего, он станет ненулевым.

Выводы​

Пентестеру в ходе любых проектов по фишингу стоит держать в голове основные моменты:

  • Последовательность — твой друг, с каждым действием жертве будет сложнее ее остановить. Это сильнейший вид манипуляции, но он требует времени и терпения!
  • Тебе не нужно проходить все проверки жертвы и составлять идеальный сценарий! Если тебя начнут проверять, значит, ты уже проиграл.
  • Ввод жертву в состояние стереотипно‑последовательного поведения — лучший способ отключить критическое мышление и предотвратить «проверки».
  • Обход самых распространенных триггеров упрощает достижение цели.
  • Используй принцип авторитета, лучше казаться не совсем понятным профессионалом.
  • Применяй принцип дефицита, если он уместен в сценарии.
  • Для провокации СПП стресс гораздо проще поддерживать, чем эйфорию. Но УК РФ действует и во время пентеста, и часть методов (например, шантаж) переходят черту. Помни об этом!
  • Рассылки стоит проводить в наиболее загруженные дни и время, тогда тебе на руку будет играть сенсорная перегрузка сотрудников.
  • Креатив важен, если ты понимаешь, что именно у тебя в «социопейлоаде».
Таргетированные атаки, к сожалению, выходят за рамки этой статьи. Заранее изучив конкретную персону, ты можешь значительно повысить шансы на успех. Но по моей практике такие услуги заказывают достаточно редко, а для массовых атак наша индивидуальность слишком незначительна.

Не существует ни одной техники или сценария, которые бы гарантировали успех, но не существует и гарантированной защиты от подобных атак. Все мы останемся уязвимы, это слишком глубоко в нас заложила эволюция.

И не могу не напомнить, что большая сила — это большая ответственность! Не используй материал статьи во вред.
 
Activity
So far there's no one here