Докладът „Hacking the Human Operating System“ (Хакване на човешката операционна система) на Intel разкрива ролята на социалното инженерство при осъществяване на атаки срещу информационната и комуникационна сигурност в електронна среда. Както е известно, никое хардуерно или софтуерно решение или технология за сигурност на информацията, системите, мрежите и комуникациите не е панацея и не може да гарантира сигурността в пълна степен. Почти винаги определящ е човешкият фактор, който борави с предоставените технологични решения.
Авторите на доклада определят социалното инженерство като „съзнателното прилагане на измамни техники, предназначени за манипулиране на някого да разкрие информация, или да извърши действия, водещи до освобождаване на тази информация“. Разпознават се 2 основни типа социално-проектирани атаки:
„hunting“ (ловуване), където информацията се извлича с минимално взаимодействие между нападателя и жертвата – обикновено с една единствена среща, след която комуникацията прекъсва;
„farming“ (обработка), където нападателят построява по-трайно взаимодействие с жертвата, като постепенно „издоява“ информацията, преди да прекъсне комуникацията.
Според Радж Самани (вицепрезидент на Intel Security) основен вектор за всички атаки се явява e-mail-кореспонденцията. Като илюстрация на това звеното за електронна сигурност при Intel публикува тематична анкета, чието попълване показва уменията на реципиента за установяване на злонамерени измамнически атаки посредством корпоративни системи за обмен на електронни съобщения. „Открихме, че 80% от 16'000 взели участие в анкетата станаха жертва на поне едно от седемте измамнически електронни писма, – споделя Самани. – Нещо повече. Открихме, че счетоводните и финансовите отдели, както и хората от HR отделите – които безспорно имат достъп до най-ценните данни на предприятието – се представиха най-зле.“
Специалистите по сигурността при Intel откровяат 4 основни етапа при социално-проектираните атаки – независимо дали става дума за „ловуване“ или за „обработка“:
Проучване – на този етап се събира предварителна информация, целяща успешно „закачане“ на жертвата в следващия етап. Проучването обикновено включва събиране на информация за жертвата (организация, група хора или конкретно лице), намиране на подходящ вектор за атаката (близък до жертвата човек, предпочитан начин на комуникация, интересуващи жертвата въпроси и други). Целта е контактът да бъде осъществен в максимално приемлива за жертвата обстановка, което увеличава шанса за положителна реализация. Проучването може да включва и offline-ресурси и контакти.
Закачане – на този етап се осъществява завръзката, при която нападателят се появява в полезрението на жертвата и започва да подготвя „заиграването“ с нея, което ще се осъществи на следващия етап. Жертвата бива въвлечена в предварително подготвената история, която трябва да представи нападателя в подходяща светлина и да създаде определено чувство на близост, свързаност, ангажираност. Целта в крайна сметка е нападателят да поеме контрол над връзката и да подведе жертвата към разкриване на необходимата информация.
Заиграване – на този етап (основен за процеса) вече „закачената“ жертва (индицираща наличието на интерес, съпричастност) бива въвлечена в достатъчно близко и достатъчно продължително отношение с мнимия образ на нападателя, за да бъде извлечена таргетираната информация. Ключово за този етап е продължаващото поддържане на мнимия образ, адекватните реакции в зависимост от поведението на жертвата и засилването на контрола над връзката, докато целта бъде реализирана.
Излизане – на този етап (таргетираната информация е извлечена или атаката се е оказала неуспешна) нападателят цели да прекрати връзката – по възможност без да възбужда подозрения у жертвата. За тази цел обикновено бива изтъквана някаква естествена причина за оттеглянето на нападателя и по възможност – за необходимостта жертвата да запази в тайна случилото се. Възможно е и рязко, без обяснения прекратяване на връзката, когато нападателят е сигурен за своята анонимност и не се интересува от евентуално засилване на бдителността у жертвата. Задължително нападателят заличава следите от осъществения контакт.
Към края на доклада авторите обръщат внимание на това какви хора и организации осъществяват социално-проектираните атаки. Такива атаки (по-примитивни или по-сериозно подготвени) могат да осъществят неопитни и самодейни кракери (неправилно наричани „хакери“), студенти, хактивисти (от „хаквам“ и „активист“) в различни социално-политически движения, организирани кибер-престъпни групи, правителствени служби, терористични организации. Възможни професионални мотиви за социално-проектирано атакуване се наблюдават при детективите, журналистите, застрахователите, кредиторите, събирачите на дългове, търговската и индустриалната конкуренция и шпионаж.
„Най-често срещаното средство е e-mail, – споделя Самани. – Но помислете и за другите канали за осъществяването на измамите – като комуникацията лице в лице, телефонните разговори и др. Настоящото положение на нещата е такова, че единствено комбинация от контролиращи механизми може да се пребори най-добре със заплахите.“ В тази връзка авторите на доклада напомнят, че обучението на хората, утвърждаването на процедури и протоколи, и прилагането на технологии и решения за сигурността са комплекс от мерки, които не могат да бъдат ефективни поотделно. Технологиите са необходими за намаляване на риска от успешно проведена атака, но сама по себе си технологията не е достатъчна за предпазване на потребителите, тъй като каналите на атаката излизат извън стандартните дигитални механизми за комуникация, а поведението на самите потребители се явява определящо за ефективността на използваните технологии.