Социальная инженерия - это своеобразное искусство. И овладевание им означает профит для злоумышленника и потерю денег, личной информации, и много чего ещё для жертвы социального инженера.
Обычно, соц инженерия используется вместе с техническими средствами. Однако, как доказал Кевин Митник, это не всегда так. Кто не слышал про Кевина Митника, тот, видимо, живёт на луне, и для того я объясню. Кевин Дэвид Митник — знаковая фигура в сфере информационной безопасности. Консультант по компьютерной безопасности, писатель, бывший компьютерный хакер. В конце XX века был признан виновным в различных компьютерных и коммуникационных преступлениях. В 12 лет Кевин от одноклассника узнал множество способов мошенничества с телефоном, в частности, о том, что, действуя от имени другого человека, можно выпытать нужную информацию. Кевин научился перенаправлять сигнал домашнего телефона на таксофон, веселясь от того, что владельцев домашних телефонов перед разговором просили опустить 10 центов. Он совершал огромное количество взломов просто по телефону. Разумеется, одним телефоном он не ограничивался, в 17 лет он совершил свой первый взлом, он взломал школьную локальную сеть, но эта статья не о Кевине,поэтому про него закончим
Пример
Где-то год назад можно было зайти на любой вопрос на сервисе ответов mail ru и увидеть там около 2-3 ответов с текстом - “ответ здесь” и ссылкой на якобы запись на стене в вк. Приложил бы скрин, да видимо всех горе социальных инженеров забанили и эти ответы удалили.
Приёмы социальной инженерии
Провоцирование
Провоцирование, оно же троллинг, это способ, при котором жертву выводят из себя, и в порыве гнева она не способна сдерживать информацию, соответственно, получить необходимую информацию тогда гораздо проще.
Пример
Ну это, как в сказке иван царевич и серый волк. Главный злодей был разозлён и из-за этого совершил грубейшую ошибку, сказал, что будет делать всё назло заложникам. Далее ему сказали, что-то вроде я буду очень зол если ты меня развяжешь. Пример грубоват, зато понятен будет всем.
Влюблённость
Влюблённость, это способ когда социальный инженер влюбляет в себя свою жертву, после чего аккуратно выуживает из неё всю информацию, а в особо “тяжёлых” случаях спрашивает напрямую.
Пример
Нечто подобное было описано в видео overbafer1, там он показывал, как создал страницу от имени девушки, нашёл потенциальную жертву, начал с ней переписку и через несколько аудиозаписей (ясно какого содержания) и некоторое время переписки, он уже мог получить очень многое, будь то 50 рублей на телефон или практически любую частную информацию.
Безразличие
Приём, при котором атакующий симулирует безразличие к какой либо теме, важной для жертвы. Нужно понимать, что не всегда человек будет переубеждать вас, а если вы скажете, что вам это не важно, а потом проявите интерес, это будет как минимум странно. Поэтому важно, чтобы жертва сама захотела вас переубедить!
Пример
У главы охранной компании банка есть подруга, и однажды этот глава разговорился с ней о своей работе, но она этот разговор прекратила, сказав, что ей неинтересна его работа, он же, любя и уважая свю работу, начал её переубеждать. Там как повезёт, либо он будет доказывать только на словах, либо и в банк проведёт, и коды от системы безопасности ей покажет.
Спешка
В этом способе манипулятор изображает, якобы нужно сделать всё быстро , тем самым отнимает у жертвы последнее время на раздумья. И она под гнётом спешки делает то, что нужно манипулятору.
Пример
Такое случается очень часто. Приходит СМС с текстом - “Мам, срочно, нужно 1000 рублей на этот номер”. Разумеется, если вы мужчина, вы не можете быть чьей либо матерью, вы посмеётесь и закроете сообщение. Но если вы мать, так ещё и немолодая, то вы , не раздумывая, отправите, скорее всего. А свою ошибку вы осознаете позже.
Откровенность
Здесь, всё проще некуда. Согласитесь, если вы долгое время (2-3 месяца) общаетесь с человеком, и знаете о нём всё, как вам кажется, вы доверяете ему. Если он у вас что-либо попросит вы, конечно, спросите, зачем ему это, однако в итоге скорее всего отправите ему то, что от вас требуется, будь то деньги (в адекватных пределах) или какая-либо информация.
Пример
У вас есть знакомый, с которым вы общаетесь около полугода, знаете где он живёт, как его зовут, его номер, говорили с ним по телефону, знаете его голос, даже видели несколько его фото, и тут он пишет, что ему нужно 1000 рублей, вам не сложно, но возникает вопрос - зачем? Ответ получен - нехватает на оплату кредита, притом он ранее говорил, что он взял кредит. Всё сходится, ему действительно нужны деньги - отправлю! Деньги отправлены, ровно также, как и вы в чёрный список. Конечно, не думаю, что злоумышленник за свои полгода времени потребует всего 1000 рублей, но смысл ясен.
Думаю, ясно, что не нужно доверять людям без какой либо проверки, даже если вы общаетесь с ним несколько месяцев. Также не стоит злится из-за каждого тролля в сети.
Доверяй, но проверяй
Что ж, за сим я откланяюсь, а вам желаю хорошего дня, железных нервов и головы на плечах.
Обычно, соц инженерия используется вместе с техническими средствами. Однако, как доказал Кевин Митник, это не всегда так. Кто не слышал про Кевина Митника, тот, видимо, живёт на луне, и для того я объясню. Кевин Дэвид Митник — знаковая фигура в сфере информационной безопасности. Консультант по компьютерной безопасности, писатель, бывший компьютерный хакер. В конце XX века был признан виновным в различных компьютерных и коммуникационных преступлениях. В 12 лет Кевин от одноклассника узнал множество способов мошенничества с телефоном, в частности, о том, что, действуя от имени другого человека, можно выпытать нужную информацию. Кевин научился перенаправлять сигнал домашнего телефона на таксофон, веселясь от того, что владельцев домашних телефонов перед разговором просили опустить 10 центов. Он совершал огромное количество взломов просто по телефону. Разумеется, одним телефоном он не ограничивался, в 17 лет он совершил свой первый взлом, он взломал школьную локальную сеть, но эта статья не о Кевине,поэтому про него закончим
Пример
Где-то год назад можно было зайти на любой вопрос на сервисе ответов mail ru и увидеть там около 2-3 ответов с текстом - “ответ здесь” и ссылкой на якобы запись на стене в вк. Приложил бы скрин, да видимо всех горе социальных инженеров забанили и эти ответы удалили.
Приёмы социальной инженерии
- Провоцирование
- Влюблённость
- Безразличие
- Спешка
- Откровенность
Провоцирование
Провоцирование, оно же троллинг, это способ, при котором жертву выводят из себя, и в порыве гнева она не способна сдерживать информацию, соответственно, получить необходимую информацию тогда гораздо проще.
Пример
Ну это, как в сказке иван царевич и серый волк. Главный злодей был разозлён и из-за этого совершил грубейшую ошибку, сказал, что будет делать всё назло заложникам. Далее ему сказали, что-то вроде я буду очень зол если ты меня развяжешь. Пример грубоват, зато понятен будет всем.
Влюблённость
Влюблённость, это способ когда социальный инженер влюбляет в себя свою жертву, после чего аккуратно выуживает из неё всю информацию, а в особо “тяжёлых” случаях спрашивает напрямую.
Пример
Нечто подобное было описано в видео overbafer1, там он показывал, как создал страницу от имени девушки, нашёл потенциальную жертву, начал с ней переписку и через несколько аудиозаписей (ясно какого содержания) и некоторое время переписки, он уже мог получить очень многое, будь то 50 рублей на телефон или практически любую частную информацию.
Безразличие
Приём, при котором атакующий симулирует безразличие к какой либо теме, важной для жертвы. Нужно понимать, что не всегда человек будет переубеждать вас, а если вы скажете, что вам это не важно, а потом проявите интерес, это будет как минимум странно. Поэтому важно, чтобы жертва сама захотела вас переубедить!
Пример
У главы охранной компании банка есть подруга, и однажды этот глава разговорился с ней о своей работе, но она этот разговор прекратила, сказав, что ей неинтересна его работа, он же, любя и уважая свю работу, начал её переубеждать. Там как повезёт, либо он будет доказывать только на словах, либо и в банк проведёт, и коды от системы безопасности ей покажет.
Спешка
В этом способе манипулятор изображает, якобы нужно сделать всё быстро , тем самым отнимает у жертвы последнее время на раздумья. И она под гнётом спешки делает то, что нужно манипулятору.
Пример
Такое случается очень часто. Приходит СМС с текстом - “Мам, срочно, нужно 1000 рублей на этот номер”. Разумеется, если вы мужчина, вы не можете быть чьей либо матерью, вы посмеётесь и закроете сообщение. Но если вы мать, так ещё и немолодая, то вы , не раздумывая, отправите, скорее всего. А свою ошибку вы осознаете позже.
Откровенность
Здесь, всё проще некуда. Согласитесь, если вы долгое время (2-3 месяца) общаетесь с человеком, и знаете о нём всё, как вам кажется, вы доверяете ему. Если он у вас что-либо попросит вы, конечно, спросите, зачем ему это, однако в итоге скорее всего отправите ему то, что от вас требуется, будь то деньги (в адекватных пределах) или какая-либо информация.
Пример
У вас есть знакомый, с которым вы общаетесь около полугода, знаете где он живёт, как его зовут, его номер, говорили с ним по телефону, знаете его голос, даже видели несколько его фото, и тут он пишет, что ему нужно 1000 рублей, вам не сложно, но возникает вопрос - зачем? Ответ получен - нехватает на оплату кредита, притом он ранее говорил, что он взял кредит. Всё сходится, ему действительно нужны деньги - отправлю! Деньги отправлены, ровно также, как и вы в чёрный список. Конечно, не думаю, что злоумышленник за свои полгода времени потребует всего 1000 рублей, но смысл ясен.
Думаю, ясно, что не нужно доверять людям без какой либо проверки, даже если вы общаетесь с ним несколько месяцев. Также не стоит злится из-за каждого тролля в сети.
Доверяй, но проверяй
Что ж, за сим я откланяюсь, а вам желаю хорошего дня, железных нервов и головы на плечах.