Социальная инженерия под прикрытием трудоустройства

 ВЛАДИМИР ИВАНОВ, специалист по информационной безопасности. Увлекается психологией, историей, философией

Социальная инженерия
под прикрытием трудоустройства

В публикации рассмотрим уловки злоумышленников, использующих социальную инженерию 

Для чего нужна эта статья

Если вы знаете об опасности инфекции, совсем нелишним будет соблюдать правила гигиены и держаться подальше от мест концентрации возбудителей инфекционных заболеваний. Точно так же, если вы знаете об опасности дискредитации компании и кражи информации, совсем нелишним будет выработать комплекс предупредительных мер, чтобы избежать таких волнующих событий.

Важное замечание. Этот материал отнюдь не является прямым руководством к действию. Мало того, в целях безопасности наиболее уязвимые места преподнесены с небольшим искажением, чтобы не давать отмычку в руки злоумышленнику.

Задача для примера

Для примера выберем самую простую, набившую оскомину цель: сделать дефейс корпоративного сайта. Для подготовки к этому акту необходимо собрать интересующую информацию.

Что такое социальная инженерия, и почему об этом надо думать при трудоустройстве

Под словосочетанием «социальная инженерия» часто понимают набор противоправных действий, которые осуществляют злоумышленники при получении первоначальных данных для взлома компьютерных систем. Например, позвонить по телефону и, представившись сотрудником технической поддержки, «уточнить» логин и пароль для входа в систему.

На самом деле такое представление довольно поверхностное. Социальная инженерия – это прикладная дисциплина, базирующаяся на других науках: социологии, психологии и антропологии, которая ставит своей целью исследование методик для управления поведением человека без технических средств. Например, изучение способов мотивации персонала, использование различных рекламных трюков и так далее.

Поэтому говорить о том, что социальная инженерия существует только как помощник выполнения хакерских атак, – это неправильно. С тем же успехом можно утверждать, что «химия – это наука о ядах». Но в то же время, как и любая научная дисциплина, она имеет двойное назначение: мирное и военное. Вот о втором направлении и пойдет речь в данной статье.

Самое слабое место в информационной защите любой компании – это ее сотрудники. Каждый человек имеет свои собственные представления о том, что «хорошо или плохо», что может навредить компании, а что пойдет ей на пользу, и многих других «тараканов в голове». Нет сомнения в том, что параноики-пессимисты меньше уязвимы, чем восторженные оптимисты, но и для тех и других существуют свои методы.

Вот небольшой и далеко не полный перечень методов, которые могут быть использованы злоумышленниками:

• сбор информации из открытых источников;
• получение списка сотрудников компании;
• слежение за блогами и страничками в социальных сетях сотрудников;
• имитация стремления к партнерским отношениям;
• собеседования при имитации набора персонала.

Я намеренно не стал включать в данный список такие общеизвестные вещи, как выдача себя за другого человека с целью получить пароль, подбрасывание зараженных носителей для внедрения «троянских программ» и аналогичные трюки. С некоторыми элементами подобных методик мы все же встретимся на протяжении данного повествования. Ниже приводится описание по каждому из пунктов.

Сбор информации из открытых источников

Данный этап самый простой, самый всеобъемлющий и, пожалуй, самый непредсказуемый. Для начала достаточно просто забить в интернет-поисковике название компании и внимательно проанализировать полученную информацию. Можно найти достаточно много информации для подготовки вторжения. Например, род деятельности, размер компании, имена руководителей, адрес физического расположения центрального офиса, контактные телефоны, какой провайдер обслуживает, какая дизайнерская фирма выполняла сайт компании и так далее. Прекрасную помощь окажут черные списки работодателей и негативные отзывы клиентов. Если компания случайно засветилась на таких сайтах, можно собрать много информации, используя бывших сотрудников и недовольных заказчиков.

В то же время при использовании данного метода трудно предугадать точный результат. Среди потока информации встречается порой слишком мало полезных находок. Например, если крупная фирма проиграла судебный процесс, то на всех сайтах СМИ только и будут трубить об этом событии, копируя друг у друга один и тот же текст. И любой поиск будет забит множеством ссылок на эти «новости», что значительно затрудняет сбор необходимой информации.

Поэтому данный метод можно считать скорее подготовительным. Своего рода предварительная разведка перед серьезной операцией.

Получение списка сотрудников компании

В последнее время трудностей для использования этого метода практически не существует. Рекламщики и HR-менеджеры наперегонки выкладывают на корпоративный сайт данные о сотрудниках компании вместе с фото, информацией об образовании, профессиональной подготовке, а также указанием семейного положения, хобби и домашних любимцах. В итоге можно запросто составить психологический портрет нужного сотрудника, например, системного администратора или начальника ИТ-отдела, просто внимательно изучив корпоративный сайт.

Если на корпоративной страничке информации маловато, можно воспользоваться сайтами типа «Одноклассники» или «ВКонтакте», где скорее всего будет сообщество работавших и работающих в данной компании и просто «друзей фирмы».

Слежение за блогами и страничками в социальных сетях сотрудников

После того как получен список сотрудников, можно переходить к анализу их личностных и эмоциональных характеристик. Например, злоумышленников интересует системный администратор компании для получения у него сведений относительно средств информационной защиты. Будет нелишне иметь ответы на следующие вопросы (список приводится далеко не полный с целью не предоставлять злоумышленникам готовую «отмычку»).

Семейное положение

• Холост, женат, разведен?
• Есть ли дети, от каких браков?
• Какие отношения с партнерами (супругами)?
• Какие отношение с родителями и другими членами семьи?

Материальное положение

• Какое у него материальное положение?
• Есть ли кредитная история, невыплаченные долги, пени и просрочки?
• Имеется ли собственное жилье, или есть постоянная необходимость арендовать квартиру?
• Как этот человек относится к деньгам и тратам: жадный, экономный, транжира, любит покутить?
• Склонен ли делать инвестиции, имеет ли сбережения?

Психологические черты

• Каким типом темперамента обладает?
• Интроверт или экстраверт?
• Способен ли данный человек сдерживать гнев?
• Насколько внимателен к мелочам?
• Что говорят другие о его интуиции?

Профессиональные черты и карьера

• Склонен ли данный человек к постоянному профессиональному росту или остановился на достигнутом?
• В какой области предпочитает специализироваться?
• Как складывается его профессиональная карьера на данный момент?

Хобби, увлечения, отдых

• Есть ли какие-либо увлечения помимо работы?
• В каких сообществах по интересам состоит?
• Где и как предпочитает отдыхать?
• Отношение к алкоголю и другим вредным привычкам?

И так далее. Напоминаю, что для сбора всей этой информации вовсе не обязательно нарушать закон, например, тайно следить за объектом из кустов или опрашивать соседей, представляясь сотрудником полиции. Все эти данные могут быть получены из открытых источников, например, из социальных сетей, LiveJournal и других интернет-ресурсов. Конечной целью данного исследования будет составление психологического портрета, чтобы получить более весомые инструменты воздействия на личность.

Изучение вакансий компании

Вакансии компании предоставляют замечательную возможность сбора информации об ИТ-системе в целях ее последующего взлома.

Причинами для такой утечки информации являются все те же жадность, лень, заносчивость и глупость. И в Российской Федерации, и в странах СНГ до сих пор живет страстное стремление получить все «на халяву», в том числе и сотрудников нужной квалификации. Это приводит к постоянному поиску специалистов на стороне. Многие клерки, почувствовав себя «начальником», не хотят потратить несколько минут на телефонный разговор с понравившимся кандидатом, чтобы убедиться в его квалификации. Отсюда возникает глупое стремление вывалить в текст вакансии в качестве требований полный перечень используемых сервисов и систем в надежде на то, что неподходящие кандидаты сами собой разбегутся, увидев длинный список пожеланий работодателя.

Разберем текст типичной вакансии

Обязанности:

• Администрирование сети в нескольких офисах.
• Администрирование Windows Server 2003/2012 (AD, GPO, DNS, DHCP, IIS).
• Администрирование Linux Server (iptables, DNS (BIND), Squid, Asterisk, ProFTP, OpenVPN, Apache).
• Администрирование АТС Oktell, Asterisk (маршрутизация звонков, учетные записи пользователей, настройка IP-телефонов).
• Администрирование почтовых серверов.
• Монтаж и коммутация серверного и сетевого оборудования.
• Настройка активного сетевого оборудования Cisco, Juniper.
• Поддержка корпоративного сайта.
• Подготовка рабочих мест, закупка оборудования для сотрудников.

Требования:

• Опыт работы системным администратором от двух лет.
• Твердые знания в установке, настройке и администрировании серверов на базе Windows 2003, 2008, 2012.
• Опыт администрирования доменов (Active Directory) и настройки рабочих станций.
• Опыт администрирования виртуальных АТС.
• Приветствуется знание Ubuntu Linux.
• Опыт работы с виртуальными машинами.
• Умение быстро диагностировать и устранять проблемы.
• Опыт работы с виртуализацией VMware.
• Умение писать bash, bat-скрипты.

Личные качества:

• Исполнительность, мобильность, стрессоустойчивость, клиентоорентированный подход.

Что можно выяснить из такой вакансии?

Так как в требованиях указан веб-сервер Apache, то, вероятнее всего, поддержкой корпоративного сайта будет заниматься системный администратор. При этом скорее всего имеется собственный HTTP-сервер, который либо находится внутри периметра сети, либо размещен на площадке провайдера.

Фраза «подготовка рабочих мест, закупка оборудования для сотрудников» дает хорошую уверенность в том, что системный администратор скорее всего занят «обслуживанием» пользователей и не имеет достаточно времени для регламентных работ по обеспечению нормальной защиты веб-сайта. То, что в качестве единственной защиты от вторжений указан iptables, обычно говорит о том, что никакие особенные средства предотвращения вторжений в данном случае не используются.

Наличие требований из разряда «и жнец, и швец, и на дуде игрец» предполагает отсутствие специализации на UNIX и Windows-направления, а также разделения на обслуживание серверов и рабочих станций. Это говорит о том, что системный администратор будет обслуживать все «хозяйство» в одиночку, в лучшем случае имея малоквалифицированного сотрудника техподдержки из разряда «подай-принеси».

Обратите внимание на внушительный список требований. По сути, это сферы деятельности для пяти или даже шести различных специалистов. Если за все это предполагается платить «среднерыночную» зарплату, то данный специалист будет вполне справедливо считать, что ему недоплачивают, и пожелает сменить работу на более высокооплачиваемую. Такого человека не составит труда заманить на собеседование, чтобы выведать необходимые детали для взлома. То, что сисадмин работает в одиночку, сильно облегчает задачу, так как он вынужден быть в курсе всех вопросов касательно информационной защиты.

Изучаем пожелания к личным качествам

Исполнительность. Это понятно. Приказано – хоть в лепешку разбейся, а все сделай.

Мобильность. Здесь либо требуется наследник способностей небезызвестного Фигаро, да, да, который «Фигаро здесь, Фигаро там...», либо сотрудник должен 24 часа 7 дней в неделю быть доступен по телефону, и покоя ему не будет.

Стрессоустойчивость. Ну, это, понятно, расшифровывается как: «Мы вам будем хамить, а вы не смейте возражать».

Клиентоориентированный подход. Здесь кандидату ясно дают понять, что основная его задача – исполнять капризы пользователей, а все остальное делать тоже надо, но потом...

Посмотрите еще раз внимательно на широкий список обязанностей кандидата. Очевидно, что, даже работая по 14 часов в сутки, человек не может решить все вопросы. Чем обычно жертвуют в таких случаях? Правильно, вопросами безопасности. За неработающий директорский ноутбук с сисадмина в любом случае голову снимут, а сервер могут взломать, а могут и не взломать…

Теперь еще один важный нюанс. Необходимо изучить другие аспекты данной вакансии. Когда появилась, как долго висит на «работном сайте», это «вечная вакансия» или же появляется время от времени? Все эти детали дают возможность сформировать ясное представление о том, как реально обстоят дела с ИТ-системой в компании.

Отклик на вакансию и посещение собеседования

Для того чтобы попасть на собеседование, необходимо получить приглашение. Это значит, что резюме кандидата должно быть безупречно. Помимо профессиональных навыков, необходимо указать нечто, что сделает нашего кандидата особенным. Перед этим не зря был изучен список сотрудников и проведен сбор информации о них из открытых источников. Пришла пора ответить на вопросы:

• Что у них общего?
• Какую субкультуру исповедуют?
• Под какие требования их подбирали?
• Есть какие-то дополнительные моменты вроде «особенной корпоративной культуры, и другие детали, которые можно использовать, чтобы выглядеть частью единого целого.

Например, они все играют в волейбол или мини-футбол.

Тогда разумно будет указать в резюме в разделе хобби соответствующий вид спорта.

Если руководство компании или служба HR помешаны на тимбилдинге («командостроительстве»), то в разделе «Дополнительное обучение» можно указать соответствующие тренинги.

С представителями службы персонала стоит поработать отдельно. Для этого тоже понадобится ответ на следующие вопросы.

• Сколько человек работает в HR-отделе?
• Какого они возраста?
• Есть ли них специализация? (Например, один человек занимается только основным персоналом, другой – только вспомогательными подразделениями и т.д.)
• Кто какую литературу предпочитает?

В итоге чем больше кандидат будет соответствовать идеалам сотрудников отдела персонала, тем точнее попадание в цель.

Я не буду подробно описывать все нюансы подготовки резюме, сопроводительного письма – эти детали достаточно неплохо освещены в интернете. Единственный общий момент, используемый в таких ситуациях: наибольший результат дает сбор как можно большего объема информации и максимальное желание соответствовать сложившимся стереотипам.

Важное замечание. Такой кандидат-разведчик может добавить в свое резюме множество записей о полученных сертификатах, об успешной сдаче экзаменов, обучении на курсах и так далее. Проверить данную информацию в короткие сроки весьма затруднительно. И, даже если его уличат во лжи, он практически ничем не рискует. В крайнем случае его с позором выгонят из офиса. Лично я не знаю ни одного примера из правоприменительной практики, когда люди понесли наказание за такие «преступления».

Если на собеседование пришел человек, попадающий под представление об «идеальном кандидате», то это уже большой повод задуматься о реальных целях, которые он преследует.

Поведение на собеседовании

И вот наступил торжественный момент – кандидата-разведчика приглашают на собеседование.

Первая и основная задача для такого посетителя – пройти фильтр из сотрудника службы персонала. Для этого нужно не так уж много: быть одетым не броско, но со вкусом, приятно пахнуть парфюмерией, говорить то, что от тебя ожидают услышать, не болтать лишнего и не делать лишних движений. В общем, быть тем самым «душевным пареньком», который готов работать по 20 часов в сутки на благо компании за весьма скромную зарплату. В большинстве случаев этого хватает, чтобы сотрудник HR-службы отправил новоявленного кандидата дальше, на допрос к айтишнику или лицу, его заменяющему.

Еще раз хочу напомнить о главном. Опасность стать жертвой злоумышленников значительно выше в тех организациях, где руководство пытается «экономить на людях». А там, где не обманывают работников, платят зарплату выше «среднерыночной», инвестируют деньги в обучение персонала и полностью соблюдают трудовое законодательство, в этой ситуации вероятность успеха «социальных инженеров» будет стремиться к нулю.

Цель такого кандидата-разведчика – не пройти как можно быстрее свое собеседование с положительным результатом, а выведать как можно больше информации. Поэтому такому человеку вовсе не нужно выглядеть крутым специалистом. Достаточно, чтобы он был «в курсе темы» и умел показать, что вроде бы материал неплохо знает, но… И вот это небольшое сомнение будет заставлять сотрудников ИТ-департамента задавать все больше и больше вопросов.

Стремления представителей ИТ-службы при проведении подобных интервью сводятся к желанию побыстрее найти человека, который закроет часть проблем. Поэтому они, сами того не подозревая, будут задавать вопросы, близкие по тематике к актуальным проблемам. Например, если ИТ-руководитель считает, что веб-сервер компании не очень хорошо защищен, он будет стремиться выяснить у кандидата, есть ли у него требуемый опыт в данной сфере. Со стороны может показаться, что в этом нет ничего опасного, ведь он не сам рассказывает о проблеме, а пытается разговорить собеседника. Нюанс заключается в том, что при любом диалоге обмен информацией идет в обоих направлениях.

Решающий момент – тестовое задание. Это просто подарок для социальных инженеров. Разумеется, мыслительный процесс любого психически здорового человека – отнюдь не набор абсолютно случайных образов, а последовательный ход рассуждений, базирующийся на предыдущем опыте. И самое актуальное, «наболевшее» – это как раз те самые задачи, решенные и нерешенные, которые прошли перед ним совсем недавно. Разумеется, и тестовое задание любой сотрудник будет составлять, так или иначе полагаясь на свой опыт, невольно включая в него и фрагменты, которые «не получились».

Что же делать и как защитить себя от таких «джентльменов удачи»?

Во-первых, надо избавиться от стремления нанять суперспециалиста за скромную зарплату.

Во-вторых, не стоит «мучить» кандидатов на собеседовании техническими вопросами. Ведь любой, даже самый сложный, технический навык можно приобрести путем соответствующего обучения. Гораздо лучше обратить внимание на личностные качества. Например, на умение формулировать свою мысль, привычку читать специальную литературу «просто так, на будущее», готовность взяться за нестандартные задачи, умение собирать информацию «по крупице» и многое другое, что отличает профессионала от просто человека с технической подготовкой.

Нужно выбросить из головы саму мысль о тестовом задании для людей, в чьи обязанности так или иначе может входить обеспечение безопасности. То, что хорошо для программистов и рекламщиков, абсолютно не подходит для системных инженеров и системных администраторов. В противном случае это только повышает шансы «слить информацию» незнакомым людям.

В-третьих, не стоит благоговеть перед сертификатами. Есть множество «специалистов», имеющих стену, увешанную «трофеями» в рамочках, и не способных решить самый простой вопрос по своему профилю.

Приглашение сотрудника чужой компании на собеседование

Но что делать, если позиция уже занята или у злоумышленников нет желания проникнуть на собеседование под видом кандидата на вакансию? В этом случае можно пригласить системного администратора на собеседование.

Благодаря анализу информации, полученной из открытых источников, было установлено, что системный администратор интересующей нас компании находится в достаточно стесненном положении и в принципе не прочь сменить работу. Для того чтобы заинтересовать его блестящими перспективами, достаточно раздобыть его личный (не корпоративный!) e-mail и написать письмо следующего содержания:

«Здравствуйте, уважаемый…

Вас беспокоит сотрудник кадрового агентства (вымышленное название).

Мы нашли Ваше резюме на одном из сайтов и хотели бы предложить Вам вакансию системного администратора в преуспевающей западной компании...»

Далее идет описание несуществующей вакансии, для которой как нельзя лучше подходит данный системный администратор.

Иногда, для полной убедительности, указанные требования слегка превосходят возможности нашего героя. Но тут же дается пояснение, что компания не ожидает 100% соответствия и готова предоставить успешному кандидату возможность приобрести необходимые навыки во время работы. Это ведь вакансия мечты, не правда ли?

В конце отправитель просит не тянуть с ответом, потому что вакансия «горящая» и ее необходимо закрыть в кратчайшие сроки. Это даст нашему «претенденту» еще большую уверенность, что у него хорошие шансы получить прекрасную работу, надо только поспешить.

Скорее всего он сам свяжется по указанным контактным данным, чтобы договориться о встрече. Если нет, то злоумышленник может перезвонить сам и назначить встречу.

Обратите внимание на важный момент. Так как в качестве отправителя указаны контакты рекрутера из кадрового агентства, то у социального инженера абсолютно развязаны руки в возможности выбора места встречи. Например, он может снять переговорную на короткое время или назначить собеседование в уютном кафе, мотивируя тем, что до офиса агентства далеко добираться. Он может сделать вид, что идет навстречу кандидату, и назначить встречу после окончания рабочего дня, разумеется, вне офиса.

В общем, все ради удобства соискателя. Ну, разве не здорово?

Ниже приводится несколько ключевых приемов, подготовка которых может помочь вытянуть из ничего не подозревающего сотрудника интересующую информацию.

Обычно злоумышленник имеет заранее составленный список вопросов, которые так или иначе связаны с интересующей темой. Если речь идет о взломе сайта, то вопросы скорее всего о том, с какими файрволами приходилось работать на последнем месте работы, как он организовал защиту веб-сервера, какие установил «заплатки» в ядро, на площадке какого провайдера он рекомендует или не рекомендует размещать сервер и так далее. Для того чтобы явно не выдавать своих намерений, такие вопросы скорее всего будут разбавлены вопросами на отвлеченные темы наподобие «чем отличается хаб от свича?».

Заготовленный набор вопросов можно дополнить разговором по душам. Например, задать личные вопросы вроде: с какими трудностями пришлось столкнуться в последнее время, какие книги удалось прочесть в перерывах между работой и самообразованием, насколько жесткие требования к дисциплине на текущем месте работы, есть ли дресс-код и так далее? Стремление понять человека, проникнуться его проблемами развяжет практически любой язык. А специальные приемы помогут усилить данный эффект и вытащить побольше информации.

И, конечно, нельзя забывать о самом действенном примере – тестовом задании.

Однажды в компании, которую я консультировал, произошел довольно забавный случай.

Мне пришлось в качестве специалиста по безопасности принять участие в собеседовании одного молодого человека на должность системного администратора. На вопросы по UNIX-системам он отвечал как-то вяло и неохотно, и я выразил сомнение, что он недостаточно хорошо владеет вопросом и скорее всего завысил свои навыки в резюме. В ответ на это юноша переменился в лице, быстро подошел к столу, на котором стоял демонстрационный компьютер. Несмотря на слабые протесты присутствующих о том, что времени на демонстрацию осталось мало, он запустил веб-браузер, подключился к приложению Webmin и стал рассказывать о том, как он все это установил и как работают системы, которые он лично настраивал. Если бы на компьютере работала программа слежения за пользователем, мы бы имели возможность нанести этой системе непоправимый вред сразу же после его ухода.

Разумеется, далеко не все люди так импульсивны, но вариант с тестовым заданием работает весьма и весьма неплохо. Например, человеку дают задание написать набор правил для «файрвола» и смотрят, где он оставит брешь. Стремление получить заветную работу поистине творят чудеса, заставляя испытуемого забыть об осторожности.

Надо ли говорить, что, проводя подобные манипуляции, злоумышленник практически ничем не рискует. Даже если он вдруг будет уличен в обмане, он может это представить всего лишь как глупый розыгрыш.

Социальная инженерия может стать хорошим подспорьем для облегчения жизни сотрудников, а может превратиться в серьезное оружие, способное заставить человека выдать самую секретную информацию. В заключение хочется пожелать читателям не попадаться на подобные уловки. И помните золотое правило: на предприятии, где работники чувствуют себя комфортно, у злоумышленников практически нет шансов на успех.

1. Бирюков А.А. Информационная безопасность: защита и нападение. ISBN: 978-5-94074-647-8 – http://dmkpress.com/catalog/computer/securuty/978-5-94074-647-8.
2. Митник К.Д. Искусство вторжения. ISBN: 978-5-98453-020-0 – http://dmkpress.com/catalog/computer/securuty/978-5-98453-020-0.
3. Дрейфус Сьюлетт. Компьютерный андеграунд: истории о хакинге, безумии и одержимости – http://www.setbook.ru/books/1981736.html.

Комментарии могут оставлять только зарегистрированные пользователи