Компания
161,50
рейтинг
9 августа 2013 в 15:56

Разработка → Социальная инженерия: ликбез про метод атаки, который никогда не устаревает

Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми. Если быть более точным — дело в их способности выдать любую информацию и совершать совершенно дурацкие действия.

Думаю, IT-примеры вам и так прекрасно знакомы, поэтому напомню пример из книги «Психология влияния»: психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту. Сестра знала, что делает, но в 95% случаев выполняла команду (её останавливали на входе в палату ассистенты психолога). При этом врач даже не был хоть как-то авторизован. Почему сестра так делала? Просто потому, что она привыкла слушаться авторитета.

Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

Метод не устаревает


Системы постоянно меняются. Софт и железо усложняются. Чтобы более-менее уверенно владеть темой как в защите, так и в атаке, нужно постоянно следить за всеми новинками, первым смотреть новые вещи, очень хорошо понимать весь IT-бекграунд вопроса. Это путь классического хакера, того самого, который овеян ореолом романтики. В современном мире, скорее, хакеры имеют в группе нескольких узких специалистов, подготовленных по конкретным технологиями цели, но основной задачей всегда остаётся проникновение внутрь периметра защиты.

Это означает, что рано или поздно вам, скорее всего, потребуется социнжиниринг. И обычно — рано, потому что сначала идёт сбор информации и подготовка, а уже поверх накладываются технологии и глубокое знание IT-систем.

Если в вашей компании есть отдел безопасности, скорее всего, там есть параноики, которые понимают, сколько ценных данных может быть у сотрудников, плюс циники, которые совершенно не верят в людей. Эта команда разграничивает права, пишет инструкции и отрабатывает критические ситуации на практике. В целом это позволяет привить некоторый иммунитет, но всё равно не обеспечивает достойного уровня защиты. Что самое неприятное, в социнжинринге нельзя «поставить патч» и забыть — однажды усвоенная злоумышленником механика будет работать всегда, потому что поведение людей в целом не очень-то сильно меняется.

Основная модель социнженерии


Предполагается, что каждый сотрудник имеет свой уровень компетентности в вопросах безопасности и свой уровень доступа. Линейные сотрудники (например, девушки с ресепшна) не имеют доступа к критичной информации, то есть даже захват их аккаунтов и получение всех известных им данных не нанесёт компании серьёзного урона. Но их данные могут использоваться для перехода на следующую ступень уже внутри защищённой зоны. Например, вы можете получить имена сотрудников и позвонить уровнем выше, представившись одним из них. При этом можно играть в авторитета (как в примере с врачами выше), а можно просто задать пару невинных вопросов и получить кусочек мозаики. Или же продвинуться дальше, к следующему более знающему сотруднику, используя тот факт, что в команде принято помогать друг другу, а не включать паранойю на вопросы о ряде важных данных. Даже при наличии жесткой инструкции есть шансы, что эмоции всегда перевесят.

Не верите? Представьте ситуацию, когда злоумышленник звонит одной и той же девушке из колл-центра несколько раз в неделю в течение месяца. Он представляется сотрудником, приносит море позитива, живо разговаривает, уточняет какие-то открытые мелочи, иногда просит мелкой помощи. Чёткую авторизацию заменяет тот факт, что человек звонит часто. Десять, двадцать, если надо — тридцать раз. До тех пор, пока не становится одним из явлений жизни. Он свой, ведь он в курсе разных мелочей работы компании и звонит постоянно. На 31-й раз атакующий опять делает мелкую просьбу, но на этот раз касающуюся важных данных. И если надо, приводит логичное и правдоподобное обоснование, почему это требуется, и в какой он беде. Конечно же, нормальный человек ему поможет.

Если вы думаете, что таким атакам подвержены только некомпетентные пользователи, то откройте книгу «Искусство обмана», где ещё во вступлении Митник рассказывает о том, как представился ведущим разработчиком проекта и заставил, на секундочку, сисадмина дать привилегированный доступ к системе. Заметьте, человека, который прекрасно понимал, что конкретно он делает.

Обратная социальная инженерия


Общая модель атаки точно такая же: вы получаете данные, которыми пользователи готовы поделиться. Но в отличии от классических методов «лесенки», здесь пользователь сам говорит что нужно. Это эффективная трёхходовка: вы подстраиваете неприятность пользователю, обеспечиваете контакт с собой, затем проводите атаку. Пример — приходите в охраняемый периметр как уборщик, заменяете номер техподдержки в распечатке на стене на свой, а затем устраиваете мелкую неполадку. Уже через день вам звонит расстроенный пользователь, готовый поделиться всеми своими знаниями с компетентным специалистом. Ваша авторизация проблем не вызывает — ведь человек сам знает, кому и зачем он звонит.

Красивая вариация – банковский IVR-фишинг, когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.

Ещё частные случаи


Вы можете использовать фишинг на ресурсах, которыми пользуется цель. Или же, например, выложить на этих внешних ресурсах зловреда, инфицирующего машины компании (один из основных векторов атак последних лет, кстати). Можете передать диск с чем-то интересным сотруднику (в расчёте на то, что он запустит софт или использует информацию оттуда), можете использовать социальные сети для сбора данных (выявления структуры компании) и общения с конкретными людьми в ней. Вариантов море.

Резюме


Итак, социальная инженерия может использоваться и для сбора данных о цели («Привет! У меня был телефон 4-го отдела, но я забыл»), и для получения закрытой информации («Ага, спасибо. Вот ещё что, мне кажется, это подозрительный клиент. Подскажешь номер его карты, которой он расплачивался последний раз?»), прямого получения доступа к системе: «Так, что именно вы вводите сейчас? По буквам, пожалуйста. Семь-эс как доллар-процент-дэ-тэ большую...»). И даже для получения вещей, которые иначе достать невозможно. Например — если компьютер физически отключен от сети, «обработанный» человек сможет подключить его.

В топике про подготовку к хакерскому турниру была задача про девушку на респшене, случайно отлучившуюся на 30 секунд. Что бы вы успели сделать за это время? Поставить что-то на её машину? Нет, не хватит времени или прав юзера. Украсть документы со стола или отправить себе все письма? Не лучшая идея, вас заметят. Даже просто сесть за её компьютер — уже опасно из-за возможной скрыто смонтированной камеры в офисе. Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее. За свидание не судят, зато оно даст вам кучу данных про иерархию в компании и личные дела сотрудников.

Итак, возвращаясь к ликбезу. Прочитайте «Искусство обмана» (вам точно понравятся конкретные диалоги оттуда), главу про социнженерию из книги Дениса Ферии с пафосным названием «Секреты супер хакера», серьёзную «Психологию влияния», а для начала — статью на Вики с описанием основных методик. Если у вас нет мощного отдела безопасности, после прочтения предупредите руководителя и проведите простой пентест. Скорее всего вы узнаете много нового о человеческой доверчивости.

Турнир Cyber Readiness Challenge и социальная инженерия


Кроме технических методов предотвращения социальных угроз (таких как введение общей платформы для обмена сообщениями внутри компании, обязательной аутентификации новых контактов и так далее) необходимо объяснять пользователям, что именно происходит при таких атаках. Правда, это бесполезно, если не совмещать теорию с практикой, а именно — время от времени действовать самому как злоумышленник и пробовать проникнуть в свои же системы. После пары «учебных тревог» и разборов сотрудники, по крайней мере, будут думать, не проверяют ли их при звонках.

Разумеется, для противостояния угрозе нужно «залезть в голову» атакующему вас злоумышленнику и научиться думать как он. В рамках оффлайного турнира Cyber Readiness Challenge, изначально создававшегося как симулятор для обучения специалистов по безопасности, мы не могли пройти мимо этого класса угроз.

Если вы разбираетесь в серверном и системном администрировании, инфраструктуре сетей и других технических вещах, но не учитываете такой прекрасный человеческий фактор, турнир даст вам пару интересных идей.
Автор: @dinabur
КРОК
рейтинг 161,50

Комментарии (82)

  • +10
    Помнится в эпоху диал-апа знакомый обзванивал соседей, у которых был доступ в Интернет, представлялся сотрудником провайдера. И некоторые продиктовали по телефону свой логин\пароль.
    • +94
      Да, «один мой знакомый» — это очень правильно.
      • 0
        ну, знакомый знакомого… забыл уже как его даже звали )))
    • +3
      В девяностых я «ломал» (98я винда, system.ini) компьютеры в интернет-кафе, а потом «чинил» их за чай с бутербродами ^^
      • +6
        Не повод для гордости.
        • +15
          Я же не писал, что я этим сильно горжусь, просто вспоминать забавно. Да и глазами семиклассника не особо воспринималось это воровством, скорее неким «лайвхаком».
      • +5
        «один мой знакомый» ;)
        • +4
          Сроки давности прошли;-)
  • –10
    Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.

    UPD. Примером наверное были американские больницы (поликлиники и т.п.), поэтому 95% и были уязвимы.
    • +6
      Скорее всего они все знали, что это смертельная доза.

      Сестра знала, что делает, но в 95% случаев выполняла команду
      • +2
        Сестра знала, что делает, но в 95% случаев выполняла команду

        Нечеткая формулировка. «Знала что делает» формально != «осознавала последствия».
      • +2
        Не по своему опыту конечно, но сёстры (по крайней мере в моей стране) со стандартными процедурами (повторюсь что в реанимации, не могу сказать на счет других отделений) очень осторожны и споры с врачами (даже так) это не редкость. Извиняюсь за странную расстановку слов, но так само получается))
    • 0
      Ну допустим в реанимации сестры с опытом сразу скажут что это смертельная доза для пациента и не станут выполнять приказ, т.к. много возни с бумагами потом.


      Ерунду вы говорите. Сестра с опытом должна спросить «а кто ты такой, чтобы мне такое командовать» и отказаться подчиняться хрену с горы.

      Речь-то в статье об этом.
  • +2
    Как показывает мировая практика успешно проведённых взломов (успешно для атакующих, разумеется), большая часть проблем связана именно с проблемами с людьми.


    Вот еще одна причина почему всех людей надо заменить на роботов.
  • +24
    Здравствуйте. Меня пригласило НЛО провести аудит безопасности хабра приказом от 07.08.13
    Всем лицам, имеющим доступ к созданию новых топиков, необходимо в течение 48 часов предъявить свои пароли на проверку соответствия их минимальным критериям безопасности.
    • +6
      Вам пароли в комментариях оставлять или каким способом передать?)
    • +5
      Без первой цифры (чтобы не взломали аккаунт) — «Jksd_9*)wTds».
      Нормально?
      • +4
        (хм, сколько человек этот хвост пароля проверили?)
        Мне кажется, вы назвали неверный пароль… уже неверный…
        • +1
          А это логин его второго аккаунта, а не пароль.
    • +10
      Это фраза, первая буква строчная, все остальные прописные. Пробелы значимы. В конце должна стоять точка… Сорок тысяч обезьян в жопу сунули банан.

      (С) надеюсь все знают кто
    • 0
      Вот, держите: F{htyDfvFYtVjqGfhjkm
      Ну как, соответствует критериям безопасности?
      • +18
        Нет. Цифры где? :)
        • 0
          Неужели пароль с цифрами, но, скажем, вдвое более короткий будет более стойким, чем данный выше?
          «54Gbpltw» VS «F{htyDfvFYtVjqGfhjkm» — какой из них более стойкий?
          • +8
            Оба не стойкие, ибо словарные слова.
            • 0
              Уже словарные
        • +22
          «Ваш пароль должен содержать цифры, буквы, знаки пунктуации, завязку, развитие, кульминацию и неожиданный финал»
      • –3
        Вообще-то нет, невооруженным глазом видно, что пароль «создан» беспорядочным нажатием клавишь на клавиатуре (а раз так, то оно вовсе не истинно случайное)
        • +3
          А вот вооруженным взглядом видно, что нажатия клавиш были вовсе не беспорядочными ;)
          • 0
            Тем более!
          • +3
            А вот если мы посмотрим на пароль вооружённым взглядом, то увидим две звёздочки… три звёздочки… Лучше всего, конечно, пять звёздочек!
  • +5
    Был свидетелем проверки в супермаркете «Виктория» два простенько одетых мужичка покупали продукты. После того как кассир пробила очередной товар, они попросили сделать копию распечатки и вызвать старшую.
    Они наклеили на товар штрих код от другого более дешевого и убедившись, что кассир не сверился с наименованием, пробив в чек пошли «журить» её руководителя.
    • +1
      А это должна была быть разве вина кассира, а не товароведа, или кто там наклеивает стикеры?
      • +3
        Уязвимость в том, что кассир никак не сверяет информацию, полученную по отсканированному штрих-коду, с характеристиками реально покупаемого товара.
        • –1
          А обязан? Думаю, разные политики на это счёт могут быть. Самая разумная — отказ пробивать товар, «браковка» конкретного экземпляра, если покупателю надо — пусть бежит за другим экземпляром (у меня такое часто бывало в «Ленте»).
          • +4
            Кассир обязан хотя бы внешне отличать банку черной икры, которую он держит в руке, от буханки черного хлеба, которую определил сканер.
      • +1
        Причем тут товаровед? Русскими же буквами написано:
        Они наклеили на товар штрих код от другого более дешевого
        • 0
          Вот и написал не «была», а «должна была быть». Если бы это не они сами переклеивали.
          • 0
            Тогда я не понимаю ваш комментарий.
            • –1
              Он был на тему, кто был бы «крайним», если бы такое случилось не по умыслу покупателей, а по оплошности работников магазина.
      • 0
        Суть в том, что любой человек может наклеить другой штрих-код и кроме как на кассе это никак не отследить. Поэтому кассиров и учат отслеживать то, что они пробивают и в некоторых случаях еще и вес сверять, когда товар весовой а взвешивание сами покупатели проводят.
        • 0
          Суть в том, что в штате супермаркета должна быть служба охраны. И вот это их обязанность — следить, чтобы никто ничего там не лепил. Равно как и контроллировать клиентов идущих в магазин с товарами, аналогичными тем, что имеются в продаже.
          • 0
            Интересно, как?
            • 0
              Что «как»? С помощью видеонаблюдения, в крайнем случае ходить по пятам за подозрительными покупателями.
              • +1
                Посмотрю я, как вы будете с помощью видеонаблюдения следить, чтобы никто не лепил свои штрих-коды на товар.
                • +1
                  Вот я -то как раз этим и занимался в своё время! И слабо представляю, как в торговом зале может незаметно попытаться отодрать штрих-код с упаковки и потом налепить свой (который ещё и через кассу должен корректно пройти)…
                  А как «паровозы» отслеживают — не задумывались? Это когда не весь товар из корзинки выклаыдвается на ленту кассы, а корзина проносится под кассой и затем товар обратно закидывается в неё.
                  И в любом случае — даже если СБ не может за этим уследить, по-Вашему за этим уследит кассир? Это его обязанность?
                  • +1
                    Зачем незаметно отдирать штрих-код, если другой можно налепить поверх?
                  • 0
                    Рассказываю.

                    Покупаешь хлеб. Приносишь домой. Аккуратно отрываешь штрих-код, на следующий день идёшь с ним в магазин и лепишь на колбасу поверх того, который там уже есть.

                    Сам не пробовал ;)
                    • 0
                      Рассказываю как ещё проще! Только с продуктами даже не стоит морочиться — тут хорошо подходят цифровые супермаркеты. Достаём товары из двух коробок (желательно одного назначения/фирмы производители, но очень разные по цене) и просто меняем коробки. Тут важно оценить, способен ли кассир будет бегло определить несоответствие товара упаковке. Да и умысел тут не пришьёшь — ну перепутал коробки пока смотрел.
                      P.S. Штрих-код на скотч лепить будете? Обычно он вместе с упаковкой отдирается.
                      • 0
                        Вообще много могу рассказать про таких «несунов». Тут прямо учебник по психологии писать можно. Многие это делают не столько ради корысти, сколько ради острых ощущений. И кноечно поло-возрастная структура. Мужчин средних лет меньше всего. Дети, женщины (в том числе и пожилые) — вот основной контингент. Многие на кассе очень нервничают — намётанным взглядом такой клиент сразу опознаётся даже внешне — у некоторых даже ноги трясутся и все прочие атрибуты дикого нервного перевозбуждения. )))))
                  • 0
                    Ну как бы у кассы есть специально зеркало сверху, в которое отлично видно содержимое тележки. В нормальных магазинах.
              • 0
                Если честно, никогда не видел охранников в торговом зале крупных гипермаркетов. Они всегда стоят на входе в зал и на выходе касс.
        • 0
          А, спасибо, ясно… Тогда да — не «самая разумная тактика», а вообще без вариантов — тормозить очередь, звать старшего продавца/кассира, предложить покупателю сбегать за другой единицей такого же товара.
    • 0
      Ну так стандартная же процедура. Называется «контрольная закупка». Весьма действенный способ проверки торговых точек.
  • +3
    Есть интересная книга Брюса Шнайера «Thinking Sensibly About Security in an Uncertain World» («Взвешенные рассуждения о безопасности в переменчивом мире»). Правда не переведена по-моему.

    A few years ago, a colleague of mine was showing off his company’s network security operations center. He was confident his team could respond to any computer intrusion. “What happens if the hacker calls a bomb threat in to this building before attacking your network?” I asked. He hadn’t thought of that. The problem is, attackers do think of these things.
    Несколько лет назад один мой коллега хвастал отделом обеспечения сетевой безопасности в его компании. Он был уверен в том, что его команда сможет среагировать на любое проникновение в систему. «Что случится, если злоумышленник до начала атаки позвонит и сообщит об угрозе взрыва в здании?» — спросил я. Он об этом не подумал. Проблема в том, что злоумышленник о таких вещах думает.
  • –11
    Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее.
    пригласить её на свидание

    image
  • +3
    В 2000 я работал в таможенных органах, моя невеста — в РАО ЕЭС. У РАО ЕЭС были какие-то недоплаты пошлин за экспортированную электроэнергию (это всегда бывает), по этому поводу завели какое-то дело, в общем, она попросила меня сходить в соседнее здание и что-то узнать. Я говорил — пусть позвонит по телефону и спросит. В конце концов она уломала меня сходить, меня там спросили кто я, откуда и зачем, и сказали, что ничего не скажут, а то ли ей то ли её начальству потом всё, что надо, сказали по телефону;-) Она даже удивилась. Тогда (вообще-то, ещё до этого) я для себя это объяснял так, что знание такого полуконфиденциального номера рабочего телефона чем-то аналогично знанию логина с паролем и само по себе является в некотором степени «авторизацией» и «допуском».

    психологи обзванивали медсестёр в больницах, а затем представлялись врачом и отдавали распоряжение ввести смертельную дозу вещества пациенту
    Насколько я знаю из бразильских сериалов;-), «выдавать себя за другого», по крайней мере в Бразилии, является само по себе уголовным преступлением. Не знаю, как по этой части в США (там, насколько я знаю, есть другие подобные приколы — отдельным составом преступления является использование телефона и государственной почты для совершения другого преступления и дача ложных показаний и прочий «обман правосудия» является тяжким преступлением уровня государственной измены), но, подозреваю, с криминальной точки зрения такие действия весьма чреваты, и само получение разрешения на такие эксперименты (без которого экспериментаторов просто могли бы посадить на немалый срок) было довольно трудно и с кучей проверок и подписок (а вдруг ассистент споткнётся о порог и не успеет её остановить? тогда ассистентов надо как минимум двое, а лучше трое)…
    • 0
      Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…
      • 0
        А разве нельзя исключать наличие знакомой «Любы» с ресепшена больницы у злоумышленника?
        • 0
          Ну, как сказать… Теоретически можно, а практически «на ровном месте» трудноосуществимо. Это, образно говоря, как я как-то давно читал, типа как дорога на один то ли «закрытый» то ли просто «конфиденциальный» принадлежащий КПСС объект (но который официально не хотели числить в списке «закрытых») при СССР: несколько дорожных знаков, запрещающих проезд к «цели»: «кирпичи», единственные разрешённые направления движения, запреты поворотов…

          Ниже написал поподробнее, не хочу «боянить».

          Думаю, так: если враждебным спецслужбам реально потребуется ликвидировать какого-то определённого человека, они выберут не этот путь.

          При предполагаемом вами раскладе злоумышленник должен не особо заботиться об избежании разоблачения и с большой вероятностью иметь с жертвой общих знакомых или вообще быть знакомым с жертвой лично.
      • 0
        Да, забыл: ФИО доктора надо ещё откуда-то знать и привязку пациентов к докторам… тоже «конфидняк»…

        А меня вот Сидоров лечил, а вас кто?

        А ФИО докторов бывает и на дверях кабинетов, и на бейджиках, и даже в расписании приемов, например.
        • 0
          Ну как сказать, больница — в отличие от поликлиники, объект несколько более «режимный», вопрос к неизвестному человеку в явно недомашней одежде «вы к кому, откуда и зачем» со стороны персонала более чем естественен (тем более в США, где стремятся как можно быстрее освободить койко-место ибо просто одно содержание больного в стационаре обходится в копеечку), а лишняя засветка в общем нежелательна, ну опять — привязка больных к докторам нужна… Можно, конечно, завести знакомство с кем-то из персонала, но 1) они скорее всего по должностной инструкции «обо всём подозрительном обязаны докладывать начальству» 2) в Штатах в больнице страраются долго не держать — надо быстро успеть познакомиться, втереться, сделать своё черное дело и как-то разрулить это дальше, чтоб не вызвать подозрения.

          в расписании приемов
          Расписание приёмов бывает в поликлинике, смертельную дозу могут вколоть только в стационаре. В РФ, по крайней мере, это обычно разные учреждения с разным «пропускным режимом».
          • +1
            Ну, про разный пропускной режим, это как повезет. Летом навещал друга в больнице (СПб), охранник на входе даже не спросил меня, кто я такой и куда иду, а ответил на мой вопрос, как пройти в такое-то отделение.
            • 0
              Спасибо за интерес к моему комментарию спустя более чем год;-)

              Раз тема оказалась интереснее, чем я думал, решил гуглануть поглубже, по крайней мере насчёт года, когда были проведены исследования… Догуглил вот до чего:
              He is best known for his 1984 book on persuasion and marketing, Influence: The Psychology of Persuasion. Influence has sold over 2 million copies and has been translated into twenty-six languages.
              Ну и там же, в списке литературы:
              Cialdini, R. B. (1984). Influence: The Psychology of Persuasion (ISBN 0-688-12816-5). Also published as the textbook Influence: Science and Practice (ISBN 0-321-01147-3)
              В общем, 1984. Эпоха доперестроечная, глубоко до-интернетная и до-АОН-ная. Проверить, кто звонит вам по телефону, было практически нереально. Сейчас это по большей части не так, хотя и сегодня бывает, что кто-то «ведётся»…

              Насчёт собственно вашего комментария — похоже, да, разный режим бывает. В феврале навещал маму в больнице — переписали ФИО с паспорта. Но, скорее всего, система видеонаблюдения с видеозаписью сегодня есть на входе любой больницы, так что анонимность здесь в лучшем случае относительна;-).
  • 0
    Ещё про медсестёр: использование внешней телефонной сети для отдачи внутренних жизненно важных распоряжений само по себе является уязвимостью;-)
    • +1
      И подключение медицинской техники к сети Интернет. Эдакий IPMI для пациента. Нажал на кнопку и — вуаля! — например, кардиостимулятор «нечаянно» сбойнул.
      • 0
        IPMI
        ко внешней сети
        А? Что? :)
        • +1
          Кардиостимулятор с «белым» IP-адресом и возможностью удаленного администрирования. Вот что. :)
      • 0
        Мелькало, по-моему, лет около 10 назад в прессе — то ли кого-то так реально умерщвили то ли проверили и надёжно доказали реальную возможность сделать это…
  • +1
    вся статья одна сплошная социальная инженерия. но читается интересно, да. :)
    • +1
      Угу, тоже подчерпнули пару моментов?
      • 0
        ну, я сходил по ссылкам — значит трюк автору удался. %)
  • +3
    Картинка навеяла:
    [Красноречие, 95% ] Введите Пупкину 5 кубов морфина. Скоро будем выписывать. <Ложь.>
    • +3
      [Сила, 8] Отключите Пупкину стимулятор, иначе будете иметь дело со мной. <Угроза>
      P.S. Парсер Хабра экранирует теги, а вот мнемоники пропускает. )))
  • –1
    А вообще слишком громкое название «Социальная инженерия» для всего лишь вариаций на тему эксперимента Милгрэма.
    • 0
      Термин давно устоявшийся. Хотя о его адекватности можно и поспорить. Наверное, термин сделан в США по аналогии с известной «обратной инженерией»…
  • +2
    Давайте ещё раз: в примере благодаря грамотной социальной инженерии 95% больниц оказались критически уязвимы.

    Думается, что такой высокий показатель связан с полным отсутствием знания у мед. персонала, что подобного рода атаки вообще существуют и возможны. Если дать жесткие инструкции и пару раз в год проводить семинар по безопасности, то можно значительно повысить уровень защиты.
    • 0
      Звучит прямо как «страна непуганых идиотов».
      • +5
        Когда я впервые услышал эти истории [о неразумном корпоративном поведении], я пришёл в недоумение, однако после тщательного анализа я разработал сложную теорию, объясняющую такое странное поведение. Она заключается в следующем: люди – это идиоты.

        Включая меня. Идиоты все, не только люди с низкими интеллектуальными показателями. Единственная разница между нами заключается в том, что мы идиоты по отношению к различным вещам в различное время. Неважно, насколько вы остроумны и находчивы, все равно большую часть дня вы проводите как идиот.

        © Эдвард Йордан
  • +1
    Интересно, как бы они забегали, если бы медсестра в том эксперименте палату перепутала?

Только зарегистрированные пользователи могут оставлять комментарии. Войдите, пожалуйста.

Самое читаемое Разработка