• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Заметка Манипуляция людьми

Темы, которые НЕ подходят по объему под префикс "Статья"
Приветствую!

Прочитав кучу материала по СИ, сходив на пару лекций по Психологии в универе, хочу поделиться своими методами, наблюдениями и т.п.

Данная статья не претендует на звание "Подробное руководство по СИ для мошенников". Методов манипулирования существует очень много. Я просто хочу поделиться своими наблюдениями и методами, которые работают.

Манипуляция – способы социального воздействия на людей при помощи средств массовой информации, экономических, политических, социальных и иных средств с целью навязывания определенных идей, ценностей, форм поведения и т.д.


Ложное безразличие манипулятора:
Данный метод основан на безразличном восприятии манипулятора на слова собеседника, тем самым психологически заставляя собеседника доказывать свои убеждения/точку зрения. Управляя исходящей от оппонента информацией, манипулятор легко получает ту информацию, которая ранее и не собиралась быть озвучена собеседником. Подобное поведение человека заложено глубоко в психологии, когда человек во что бы это ни стало должен доказать свою правоту.


Лишь выгодная информация:
Выдается только информация, выгодная для манипулятора, всё остальное замалчивается. Думаю это и так очевидно и легко.


Одобрение/осуждение большинства:
Человек легко меняет свое решение или мнение под воздействием мнения большинства.
Ваша задача, как Социального Инженера, добиться того, что бы выгодное вам мнение получило одобрение общества. Так же тут появляется такое понятие, как Эффект большинства, этот эффект можно создать через СМИ и вообще всего интернета. Да даже те же опросы в ВК :D


Эффект толпы:
Человек, находясь в толпе, теряет критичность восприятия и теряет контроль над своими действиями, тут действует правило Чем больше толпа - тем сильнее стадный эффект. Социальный инженер, имеющий хороший ораторские качества и умение управлять толпой, может побуждать на необоснованные действия или вызывать у толпы необходимые ему эмоции/состояния.


Удар по голове:
Данный метод основа на обвинениях в сторону собеседника, не важно каких, главное задавить его. Данный метод заставит перейти человека в "оборону". В нашей голове, человек, которому приходится оправдываться воспринимается как виновный.


Контрудар:
Если вы знаете, что вас оппонент знает о вас многое и собирается вынести это на публику, есть смысл сделать это первым, изменив подачу, акцент и т.п. . Можно сделать это шуткой или полным абсурдом. Тогда, информация, которая будет вынесена вашим оппонентом на публику, будет восприниматься не так, как бы она воспринимался без выше описанного метода.


Эффект Эббингауза:
Люди лучше всего запоминают то, что было в начале и в конце [Письма, книги и т.п.]. Придерживаясь этого, более выгодная информация для Социального Инженера должна содержаться в начале или в конце.


Смещение приоритетов:
Тоже очевидный метод, который мы используем сами не понимая того. При подаче информации невыгодные моменты демонстрируются как маловажные и второстепенные, а выгодные - как центральные события.


Игра на контрасте:
Человек, получивший негативные эмоции, легко воспримет информацию, которая сможет улучшить его эмоциональное состояние в лучшую сторону. А для нас, как для СИ, есть задача - Совместить информацию, которая поднимет настроение оппонента + будет выгодна для нас.


В принципе, я указал лишь самые легкие и самые популярные методы, которые действует до сих пор, т.к. они рассчитаны на влияния на психологию человека и распознать, что вами манипулируют этими методами можно лишь через некоторое время.


P.S. Нет опыта написания статей, только учусь. Буду рад конструктивной критике.
 
Последнее редактирование:

Mogen

Red Team
27.08.2019
316
614
BIT
29
Удобно написано. Собрать некоторые способы СИ в одном месте и расписать кратко.
Добавлю в закладки. :)
 
  • Нравится
Реакции: nks1ck

Cronix

Green Team
18.02.2021
20
40
BIT
0
P.S. Нет опыта написания статей, только учусь. Буду рад конструктивной критике.​

Я согласен с @v1gman. Статьёй это не назвать, но как заметка - действительно достойно! Немного должного оформления, примеров практического применения, и твои работы будут бесценны.
 
  • Нравится
Реакции: nks1ck и Mogen

v1gman

Green Team
31.07.2020
495
528
BIT
23
Я согласен с @v1gman. Статьёй это не назвать, но как заметка - действительно достойно! Немного должного оформления, примеров практического применения, и твои работы будут бесценны.
Ещё бы вырезки из книжек дать)
Да и саму литературу предоставить :)
 
  • Нравится
Реакции: Mogen и Cronix

yamakasy

Green Team
30.10.2020
158
113
BIT
0
ну в принципе все что я хотел написать, уже написали выше, не хватает примеров и т.д. Но от себя хочу добавить, что спасибо за то что разложил по полочкам, ибо многое из этого люди применяют, даже не осознанно.
 

nks1ck

Green Team
02.11.2020
223
106
BIT
0
Книги:
1. Искусство обмана. Кристофер Хэднеги. ( Скачать ).
Наверное одна из лучших книг, с примерами из реальной жизни. Автор книги генеральный директор компании Social-Engineer,LLC. Автор приводит свои примеры из реальной жизни, один из примеров:

Ваша задача — пробраться в канцелярию крупной медицинской клиники.Причем сделать это при свете дня. Взламывать замки, пробиратьсячерез заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу.

Далее описывается то, как они это делали.

2.
Психология обмана. Чарльз Форд. ( Скачать ). Данная книга научит вас лгать как истинный пропагандист профессионал. В книге разбираются виды лжи, уловки и, наверное, самое главное - разбор лжи людей разного сорта.

3.
Social Engineering: The Science of Human Hacking 2nd Edition ( Скачать ). Обязательно к прочтению, если знаете английский язык. Разбираются такие моменты, как сбор информации и жертве, манипуляция жертвой и даже "Становление тем, кем вы хотите стать".

Ну и классика - книги Кевина Митника, любая его книга достойна внимания.



Курсы:
One Level+ знают где искать курсы, да и по интернету гуляют много курсов по СИ. В них показывают полный цикл атаки, начиная с получения доверия жертвы, заканчивая закреплением в системе/компьютере. [ Для тех, кто не умеет гуглить, пишите вот так - Курсы по социальной инженерии ]


Тузлы:
Social-Engineer Toolkit (SET)
Maltego
SpiderFoot
FOCA
Whois History
Metabot
CATPHISH
mail-tester

P.S. Позже будет подробная статья с подробным описанием каждой тулзы.



Кейсы из реальной жизни:
1. В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.

Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей

2.
В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники.

Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.

3. Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.

4. В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.

Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»

На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.
Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.
Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.

5. Ну и наверное самый банальный пример - звонки из "Службы безопасности банка". Такие мошенники зарабатывают кучу денег на наивных стариках, которые верят в это и переводят свои деньги на неизвестные счета

Мораль кейсов: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
 

nks1ck

Green Team
02.11.2020
223
106
BIT
0
По мнению рандомного чела с ютуба экспертов, более 80% взломов происходят с использованием СИ
 

yamakasy

Green Team
30.10.2020
158
113
BIT
0
Мораль кейсов: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
как говорил мой препод по ИБ: "Любую систему можно взломать, вопрос лишь в том насколько это выгодно. И задача безопасника сделать так, что бы потраченные усилия того не стоили"
 
  • Нравится
Реакции: Adrian Grum

nks1ck

Green Team
02.11.2020
223
106
BIT
0
как говорил мой препод по ИБ: "Любую систему можно взломать, вопрос лишь в том насколько это выгодно. И задача безопасника сделать так, что бы потраченные усилия того не стоили"
Где то слышал вот такое Взлом должен стоить больше, чем выгода, которую получит злоумышленник или что-то такое, не помню.
 

v1gman

Green Team
31.07.2020
495
528
BIT
23
Книги:
1. Искусство обмана. Кристофер Хэднеги. ( Скачать ).
Наверное одна из лучших книг, с примерами из реальной жизни. Автор книги генеральный директор компании Social-Engineer,LLC. Автор приводит свои примеры из реальной жизни, один из примеров:

Ваша задача — пробраться в канцелярию крупной медицинской клиники.Причем сделать это при свете дня. Взламывать замки, пробиратьсячерез заборы и влезать в окна нельзя. Нужно проверить, позволят ли вам сотрудники рецепции и охраны пройти в помещение с ограниченным доступом. Иными словами, надо проникнуть в клинику и попасть в те ее отделения, где позволено находиться только персоналу.

Далее описывается то, как они это делали.

2.
Психология обмана. Чарльз Форд. ( Скачать ). Данная книга научит вас лгать как истинный пропагандист профессионал. В книге разбираются виды лжи, уловки и, наверное, самое главное - разбор лжи людей разного сорта.

3.
Social Engineering: The Science of Human Hacking 2nd Edition ( Скачать ). Обязательно к прочтению, если знаете английский язык. Разбираются такие моменты, как сбор информации и жертве, манипуляция жертвой и даже "Становление тем, кем вы хотите стать".

Ну и классика - книги Кевина Митника, любая его книга достойна внимания.



Курсы:
One Level+ знают где искать курсы, да и по интернету гуляют много курсов по СИ. В них показывают полный цикл атаки, начиная с получения доверия жертвы, заканчивая закреплением в системе/компьютере. [ Для тех, кто не умеет гуглить, пишите вот так - Курсы по социальной инженерии ]


Тузлы:
Social-Engineer Toolkit (SET)
Maltego
SpiderFoot
FOCA
Whois History
Metabot
CATPHISH
mail-tester

P.S. Позже будет подробная статья с подробным описанием каждой тулзы.




Кейсы из реальной жизни:
1. В 2007 году одна из самых дорогих систем безопасности в мире была взломана. Без насилия, без оружия, без электронных устройств. Человек забрал из бельгийского банка ABN AMRO алмазов на 28 миллионов $ своим обаянием.

Мошенник Карлос Гектор Фломенбаум, человек с аргентинским паспортом, украденным в Израиле, завоевал доверие сотрудников банка ещё за год до инцидента. Выдавал себя за бизнесмена, дарил шоколадки. Однажды сотрудники предоставили ему доступ к секретному хранилищу драгоценных камней, оценённых в 120 000 каратов. Позже это дело признали одним из самых громких грабежей

2.
В 2015 году у компании The Ubiquiti Networks украли 40 миллионов $. Никто не взламывал операционные системы. Никто не крал данные. Правила безопасности нарушили сами сотрудники.

Мошенники прислали электронное письмо от имени топ-менеджера компании. Они просто попросили, чтобы финансисты перевели большую сумму денег на указанный банковский счёт.

3. Психологи проводили эксперимент (подробнее в книге Роберта Чалдини «Психология влияния», 2009). От лица главного врача они звонили медсестрам, отдавая распоряжение ввести смертельную дозу вещества пациенту. Конечно, медсестры знали, что они делают, но в 95% случаев выполняли команду (на входе в палату её останавливали авторы исследования). При этом личность врача они никак не пытались подтвердить. Почему медсестры делали это? Послушание авторитету. То же случилось в истории The Ubiquiti.

4. В апреле 2013 года в профиле Twitter информационного агентства The Associated Press появился поддельный твит, который сильно ударил по мировой экономике.

Перевод. «Срочно: Два взрыва в Белом Доме, Барак Обама ранен»

На этих новостях обвалились биржевые индексы. Ситуация восстановилась, когда Белый дом опроверг сообщение.
Ответственность за взлом аккаунта взяла на себя Сирийская Электронная армия. Сообщалось также, что до этого хакеры от имени одного из сотрудников AP рассылали «коллегам» письмо с просьбой перейти по очень важной ссылке. Там у пользователя просили авторизоваться, введя логин и пароль. Так злоумышленники хотели получить данные личных аккаунтов сотрудников редакции.
Данная ситуация показывает уязвимость перед подобными кибератаками. Сегодня это The Associated Press, а завтра может быть любая другая компания, от лица которой могут разослать вирусные сообщения, порочащие репутацию.

5. Ну и наверное самый банальный пример - звонки из "Службы безопасности банка". Такие мошенники зарабатывают кучу денег на наивных стариках, которые верят в это и переводят свои деньги на неизвестные счета

Мораль кейсов: неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система уязвима.
А вот это уже совсем другое дело :)
Возможно, даже сам напишу пару статеек на тулзы))
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!