Давайте я сразу объясню суть схемы, а уже потом расскажу, почему выделяю именно эти элементы и что означает каждый из них. Сама пирамида изображена на илл. 1.3.
Как видите, у нее есть нескольких ступеней и составлена она с точки зрения специалиста по безопасности, а не преступника.
Ниже я поясню общее значение каждой ступени пирамиды, а в дальнейшем, по ходу книги, мы будем разбирать их подробнее.
Сбор данных из открытых источников[9] – фундамент деятельности социального инженера. На этот этап стоит закладывать больше всего времени при планировании атаки, поэтому он занимает первую и самую значимую ступень пирамиды. Однако одной из важных составляющих этого этапа редко достается должное внимание. Речь идет о подготовке документации: как следует записывать, хранить и каталогизировать собранную информацию? Подробнее мы обсудим этот вопрос в следующей главе.
Основываясь на данных, собранных из открытых источников, логично предпринять следующий шаг: начать разработку повода для атаки. Эта часть работы социального инженера должна основываться на собранной ранее информации. На этом этапе подготовки становится понятно, какие изменения и дополнения необходимо внести в исходный план атаки, а также какими дополнительными инструментами и реквизитом придется обзавестись.
Проработкой легенды подготовка, конечно же, не ограничивается. Следующая стадия – планирование по модели трех «К»:
• Каков ваш план? Какова ваша цель? Какова цель клиента? Определившись с целями, вы легко ответите на следующие вопросы;
• когда лучше провести атаку;
• кто должен быть рядом на случай, если потребуется помощь?
Вот где начинается настоящее веселье. Завершив все этапы подготовки, вы сможете ринуться в бой. Вам нужно быть готовыми ко всему, но при этом не надо ограничивать свои действия слишком подробным сценарием. Я всегда рекомендую составлять план, потому что обычно это помогает сэкономить кучу времени и сил. Однако в плане не стоит описывать каждое движение – это только помешает вам, если случится какая-то неожиданность. Когда ваш мозг поймет, что сценарий вам больше не помощник, вы начнете запинаться и нервничать. Вы покажете свой страх, а это может помешать вам достигнуть цели операции. Поэтому я предлагаю писать не подробный сценарий действий, а скорее план, которому можно будет следовать, сохраняя творческую свободу.
Погодите, не пролистывайте этот раздел! Прочитайте внимательно, о чем идет речь. Знаю, писать отчеты никто не любит. Но подумайте вот о чем: ваш клиент отстегнул вам кругленькую сумму за оказание неких услуг, с которыми вы, скорее всего, справились на ура. Но клиент платил вам не потому, что хотел казаться крутым. Он платил, чтобы вы разобрались, что надо делать с выявленной проблемой. Именно поэтому написание отчетов я поместил на вершину пирамиды – по сути, это кульминация, ради которой и нужны все предыдущие этапы.
Если последовательно выполнить каждый из описанных шагов, вас ждет успех не только как социального инженера, но и как специалиста по системам безопасности, который взял на себя обязательства перед клиентом. Потому что злоумышленники со всего света, занимающиеся социальной инженерией, готовят атаки по этой самой схеме. Только вот отчетов не составляют, конечно же.
В 2015 году на портале Dark Reading был опубликован материал об атаке, подготовленной по такой же пирамиде. (Прочитать этот текст на английском языке под названием «Соискатели атакуют: рассылка зараженных резюме» можно по адресу: https://www.darkreading.com/vulnerabilities-threats/careerbuilderattack-sends-malware-rigged-resumes-to-businesses/d/d-id/1320236.)
1. Сначала, на стадии сбора данных из открытых источников, атакующие изучили возможные направления воздействия на объекты. Оказалось, что для этого был использован популярный сайт под названием Career Builder.
2. По завершении фазы сбора открытых данных злоумышленники перешли к разработке легенды. В результате появился образ претендента на вакансию, якобы готового устроиться на любую позицию в компании-объекте. Когда этот этап был пройден, стало понятно, какие инструменты потребуются в ходе атаки: зараженные файлы и правдоподобные резюме.
3. Злоумышленники начали планировать атаку, последовательно отвечая на каждый из приведенных выше «К»-вопросов.
4. В процессе атаки резюме были отправлены не объектам воздействия напрямую, а загружены на сайт Career Builder. Компании, которые публиковали там объявления о вакансиях, получали на электронную почту оповещения о появлении новых кандидатов. А к этим оповещениям прикладывались зараженные резюме.
5. Никаких отчетов атакующие не составляли, однако, благодаря деятельности специалистов компании Proofpoint, мы можем составить подробное представление об этапах их работы.
Успех этой атаки был связан в первую очередь с тем, что зараженный e-mail приходил жертвам с проверенного ресурса (Career Builder), так что люди открывали приложенные файлы без малейшего страха. А злоумышленники добивались именно этого: чтобы объект влияния совершил действие, противоречащее его интересам, не думая при этом о потенциальной опасности.
Составляя план этой книги, я старался сохранить структуру первого издания «Социальной инженерии», чтобы она принесла новым читателям такую же пользу. В то же время я хотел многое изменить, добавить информацию о недавних атаках и затронуть темы, которые в прошлом издании раскрыты не были.
И конечно же, я стремился сделать эту книгу намного лучше предыдущей: учесть советы фанатов, исследователей, читателей и авторов книжных обзоров. Так что сейчас кратко опишу, что именно вы найдете в этом издании, чего от него можно ожидать.
Согласно плану, намеченному в пирамиде, вторая глава («Видите ли вы то, что вижу я?») посвящена сбору данных из открытых источников. В ней описаны техники, которые остаются актуальными независимо от времени. Я старался не слишком углубляться в описание специальных инструментов, хотя все же упомянул те, которые использовал на протяжении последнего десятилетия.
Третья глава («Профайлинг через общение») посвящена исследованию темы, которой в первом издании я касался весьма поверхностно. Теперь же продвинутое моделирование коммуникации и инструменты профайлинга мы обсудим намного подробнее.
В четвертой главе («Как стать кем угодно») мы погрузимся в изучение темы легендирования – то есть проникновения в систему жертвы под видом безвредного персонажа. За пределами мира социальной инженерии об этом говорят редко. Я же расскажу вам о некоторых уловках и приемах легендирования, а также приведу многочисленные личные примеры его применения – как успешного, так и провального.
В пятой главе («Я знаю, как тебе понравиться») я предоставил информацию об установке раппорта – то есть, попросту говоря, контакта, основанного на взаимопонимании. Эту информацию я набрал из огромного количества разных источников – подкастов, новостных рассылок и бесед с ведущими мировыми специалистами в этой области (например, с Робином Дрейке) – и описал ее в контексте социальной инженерии. Робин Дрейке – глава Отдела поведенческого анализа ФБР и по совместительству мой добрый друг. Этот человек по праву считается гуру в вопросах установки раппорта и доверия. И оба процесса он описал пошагово.
Шестая глава («Сила влияния») посвящена применению в социальной инженерии принципов, разработанных одним из ведущих исследователей темы влияния – Робертом Чалдини.
В седьмой главе («Оттачивая мастерство») мы обсудим фрейминг[10] и извлечение информации, а также разберемся, как освоить оба этих навыка.
В восьмой главе («Я знаю, о чем ты молчишь») мы обратимся к одной из моих любимых тем – невербальной коммуникации. Я подробно раскрыл ее в другой своей книге, «Разоблачение социальных инженеров: Человек в системе безопасности» (Unmasking the Social Engineer: The Human Element of Security; Wiley, 2014), а в этом издании составил своеобразный путеводитель для новичка.
В девятой главе («Взлом сознания») я покажу, как знания, описанные в моей книге, применяются на практике в разных типах СИ-атак. Из этой главы станет понятно, как важно социальным инженерам применять принципы, о которых я говорю.
Предпоследняя, десятая глава («Есть ли у вас ПЛАН?») посвящена предотвращению атак и минимизации их последствий. Ведь в книге о профессиональной социальной инженерии нельзя умолчать о четырех основных шагах, которые необходимо пройти самим заказчикам СИ-проверок, чтобы научиться эффективно отражать атаки злоумышленников.
Но, как и все хорошее в этой жизни, книга должна закончиться. Основные выводы вы найдете в последней, одиннадцатой главе под названием «Что теперь?».
Как автор этой книги я могу вам пообещать следующее:
• Я обещаю не ссылаться на Wikipedia как на надежный источник, особенно когда речь идет об исследованиях (да, я учусь на своих ошибках).
• Я обещаю рассказать множество увлекательных историй, которые произошли со мной за последние семь с лишним лет. В некоторых случаях я буду даже разбирать эти случаи с разных сторон, чтобы вы увидели все важные нюансы. И не переживайте, я отберу разнообразные истории, так что скучно не будет.
• Рассказывая об исследованиях или работах специалистов из разных областей, я обязательно буду ссылаться на источники, чтобы вы сами смогли подробно изучить любую заинтересовавшую вас тему.
Как и после публикации моей первой книги, я буду рад услышать от вас комментарии, предложения и критику. А взамен прошу вас лишь воспринять эту книгу такой, какой она задумывалась. Если в мире социальной инженерии вы новичок, она поможет вам понять, как стать профессионалом. Если вы опытный специалист, хочется верить, что вас заинтересуют описанные примеры, советы и трюки (возможно, мне удастся даже чем-то обогатить ваш профессиональный арсенал). Если вы просто интересующийся энтузиаст, надеюсь, чтение этой книги принесет вам столько же удовольствия, сколько получил я, пока писал ее. Если же вы изначально настроены скептически, хочу отметить, что не считаю себя единственным и неповторимым пророком социальной инженерии. Я всего лишь специалист, который страстно любит свое дело, много лет занимается им и хочет поделиться накопленным опытом, чтобы мир, в котором мы живем, стал безопаснее.
О проекте
О подписке