“Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
The brain hack - твой разум взломам.
Данная статья написана в ознакомительных целях. Никого не призываю к действию.
1. Кардинг
Данный вид мошенничества включает в себя различные действия и махинации с банковскими картами, реквизитами и т.д. Ранее, в 90-х годах, данный вид мошенничества процветал. Использовались разные устройства, которые на банкоматах считывали реквизиты, пин-коды и пароли. Сейчас, конечно, защита терминалов совершенно на другом уровне, но кардинг полностью не ушел.
2. Фишинг
Это вид мошенничества, который дословно с английского переводится как “рыбная ловля”. К чему такая аналогия? Основная суть данного метода — это завладение вашими логинами и паролями от важных сайтов, аккаунтов, счетов в банке и т.д. путем рассылок с вредоносными письмами на электронную почту, либо направление вас на мошеннические сайты. Как вы понимаете, данный вид атаки массовый, а не единичный, именно поэтому “фишинг”. Расставляется сеть и потом забирается улов. Рассмотрим поподробнее данные примеры, чтобы вы понимали, как это работает.
На примере с письмами все довольно просто. Вам приходит письмо на вашу почту, допустим, от банка, где написано что-то типа:
“Уважаемый клиент, с вашим аккаунтом произошел сбой, нужно подтвердить вашу личность, перейдите по такой-то ссылке…” Основная задача таких писем перевести вас по ссылке. Как только вы нажмете на нее, считайте, что ваши личные данные в кармане у мошенника. Другой пример — фишинговые сайты. На них обычно так же создают “проблему” или, как говорят продажники, “боль клиента”, и пишут, что вам нужно заполнить форму (логин/пароль) и зарегистрироваться. После этого ваша “проблема” решится. Сделав это, вы собственноручно отправляете все свои данные в карман мошеннику. Как ещё одна иллюстрация:
иногда для скачивания какого-либо документа вас просят написать свой номер телефона, чтобы подтвердить, что вы реальный человек, якобы. Снизу, обычно, идут комментарии наподобие «Написал свой номер и скачал, все прекрасно, не развод!» Такого рода комменты призваны вселить в вас доверие.
В настоящий момент ИБ (информационная безопасность) шагнула очень далеко вперед, как и разработчики поисковых систем, которыми вы пользуетесь. Поэтому большинство сервисов умеют определять фишинговые письма (они отправляют их в спам) и вредоносные сайты. Ну и потом, обычные антивирусы делают это еще лучше. Но, к сожалению или к счастью, прогресс — всегда двухсторонний процесс. Когда разрабатываются новые системы защиты, мошенники также совершенствуют методы нападения. Поэтому по сей день фишинговые атаки популярны и, если письма/сайты грамотно составлены (психологически и визуально),все равно есть шанс попасться на удочку.
3. Фарминг
Данный вид мошенничества более опасен, чем фишинг, хотя и напрямую связан с ним. Это скрытое перенаправление пользователя на ложный IP адрес. Механизм довольно простой:
социальный инженер заводит в сеть специальные вредоносные программы, которые может подцепить любой пользователь на свой PC, если тот не сильно защищен. Функция этих программ перенаправлять людей с различных нормальных сайтов на фишинговые. Метод очень опасен тем, что пользователь часто не видит подмены.
4. Механизм влияния
Первый и, на мой взгляд, самый важный инструмент, который наиболее подходит под нужды мошенников, — психология влияния и понимание механизмов, которые позволяют находить бреши в убеждениях и ценностях людей. Самая фундаментальная работа на эту тему называется «Психология влияния» под авторством Роберта Чалдини. Если вы реально хотите разобраться с темой влияния и манипуляций, лучше книги вы не найдёте. Это ведущий эксперт в данной области.
Итак, в психологии влияния выделяют одно фундаментальное правило: существуют базовые механизмы влияния, и ВСЕ люди в мире подвержены ХОТЯ БЫ одному-двум из них. Все зависит от того, насколько развито ваше критическое мышление и какой у вас уровень интеллекта. Чем данные показатели выше, тем ниже шанс «попасть под удар», но, если вы нарвётесь на грамотного исполнителя, все становится сложнее.
Некоторые механизмы я уже приводил в пример. Один из них — «принцип контраста» (пример, когда «сисадмин» позвонил в 8 утра в воскресенье). Его суть заключается в том, что, сначала, вас опускают в негативные и не комфортные условия, а после того, как вы «поваритесь» в этом, вам предлагают решение, и оно будет как лучик света в тёмном царстве. Ваша внутренняя сигнализация, скорее всего, не заорёт после такого приема, так как он очень опасный и хитрый по-своему.
Один из моих самых излюбленных приемов — «принцип взаимного обмена». Он очень многовариативный, но, чтобы вы поняли суть, объясню на простом примере. Стоите вы в длинной очереди и замечаете человека, который, допустим, чем-то расстроен (он абсолютно нормальный, просто стоит намного раньше вас и ближе к началу очереди). Вы подходите к нему и протягиваете шоколадку, мило улыбаясь и говоря, что хотите поднять ему настроение. Для человека это очень неожиданно и приятно. Поверьте, любой растает. Эффект после такого приема очень простой — человек будет чувствовать себя должным вам подсознательно по причине того, что за услугу обычно оказывают услугу в ответ. Дальше дело техники и актерской игры. Через какое-то время вы начинаете себя немного нервозно вести, спрашивать у окружающих про время и постоянно повторять, что, видимо, вы опоздаете на работу. Ну и по закону жанра есть очень высокий процент, что тот самый близко стоящий к началу очереди человек предложит вам пройти раньше него. Этот пример очень милый и безобидный, думаю, не сложно догадаться, сколько у него есть вариаций и возможностей применения. Таких механизмов не так уж и много, и Чалдини прекрасно описывает их все.
Прелесть механизмов влияния для социальной инженерии состоит в том, что они хороши для использования как в индивидуальном порядке, так и для воздействия на массы людей. Зная их, вы сможете хорошо обезопасить себя от применения их против вас.
5. Управление эмоциональным состоянием человека
Один из главных навыков, которым обладает любой профессиональный мошенник — управление эмоциями человека. Есть золотое правило в переговорах и в любом диалоге:
тот, кто может вызвать любую эмоцию у собеседника, будет всегда управлять беседой. Злоумышленники прекрасно знают это правило и, к сожалению, активно им пользуются. Главный инструмент в этой теме — провокации. Самые частые примеры — это вызывание таких состояний, как жалость, чувство вины, сострадание («Пожалей меня, детям нечего есть», — говорят цыганки), чувство несправедливости и другое. В большинстве случаев — это самые действенные стратегии. В связи с этим есть один очень важный совет:
если незнакомый вам человек пытается вызвать у вас какие-либо чувства без причины, надо насторожиться и быть очень внимательным. Такого рода манипуляции очень просто рушатся обычной логикой и детальными вопросами. И ещё один совет:
чтобы быть более эмоционально-устойчивым и критичным (не призываю вас быть черствыми) — прокачивайте свой EQ (эмоциональный интеллект). Литературы на эту тему в интернете лежит гора.
6. Профилирование
Профилирование (составление профиля человека — психологического портрета) — это чисто индивидуально-ориентированный инструмент. Это крайне сложная наука и требует большой квалификации и знаний. Как показывает практика, большинство социальных инженеров, к счастью, не очень сильны в данной теме и ищут уязвимости людей другими способами, хотя с точки зрения индивидуального подхода — это самый мощный способ.
7. Психология масс
Данные знания очень хорошо коррелируются с механизмами влияния, потому что многие из них можно использовать и применять массово. Социология для хакера — это прекрасные подсказки и базы данных, проанализировав которые, он может понять наиболее массовые «уязвимости» людей вплоть до конкретных регионов. Исходя из этого, хакер будет продумывать конкретные механизмы влияния через фишинговые сайты и прочие инструменты.
Цель конкретно данной была очень простой — познакомить вас с социальной инженерией и немного систематизировать приемы, используемые злоумышленниками. Посоветую крайне интересную книжку:
“Социальная инженерия и социальные хакеры” Кузнецова Максима. Очень неплохой труд, почти во всем, кроме темы “профилирования”. Там у автора есть большущий косяк, но делайте скидку, это не его основная тема. Помимо этого труда, классикой в теме социальной инженерии является книга Кевина Митника “Искусство обмана”. Также рекомендую к прочтению, чтобы более полно понять вопрос.
Как уберечь себя от "взлома"?
Социальная инженерия или в простонародье "СИ" не только искусство взлома человека. Скажу больше, это универсальный инструмент в манипуляции над массами.
К примеры её активно используют: СМИ, секты, пропаганды, политики, гос.служащие и презеденты.
Уверяю вас, что шанс встречи с опытным инженером практически минимален и сведен к нулю (но вы не расслабляйтесь). Почему? Это сложная работа над человеком: предугадать его дальнейшие действия, реакцию, умудриться войти к нему в доверие и не только.
Назревает вопрос, есть ли способ сто процентной защиты от подобных действий?
Большинство "хакеров" знакомятся с вами под невинным предлогом, они разглядывают ваши слабые стороны : ваша открытость и невнимательность, чувственность и любопытство, соблазн и желание. Все берется на вооружение.
Дабы защитить себя от данного "взлома" не помешает излишняя осторожность: при встречи с малознакомыми вам людьми: фильтруйте свою речь, думайте наперед, слушайте и анализируйте что вам собираются донести.
Кто бы не был перед вами: полицейский, бывший начальник, должник, старый одноклассник.
Старайтесь, как можно более сдержанно вести диалог в подобной ситуации, не показывайте эмоций : страх, подражание, желание, "невнимательность - если вы деревянный" . Вас могут с легкостью облопошить вокруг пальца, создавайте внутренее напряжение во время диалога (это поможет отсеять нерадивого любителя психологии ) и ни в коем случае не расслабляемся ребятки.
Трудно передать словами, как правильно выходить из подобных ситуаций. Хорошо ли у вас развита чуйка? Чувство опасности и интуиции?
Коль вы испытываете безосновательные подозрения к человеку (в независимости кто он для вас) - не стоит слепо бежать навстречу с широко расставленными руками и доверять саои тайны.
Не пытайтесь его обмануть или охмурить, это бессмысленно. Проще , выключите в себе привычное "Я", вместо правды о себе - сообщите ложные данные.
За тысячи и более лет мир ни капельки не изменился, все как и прежде, выживает/побеждает сильнейший, а слабый остается ни с чем.
Разберемся.
Основные способы управления личностью строятся на любви, страхе, отчаянии.
Любовь для соц. инженера- ключ от двери, или сама дверь. Через приоткрытую дверь он с легкостью проникнет к вам в голову, займет ваши мысли лишь только собой, вы станете узником в данной ситуации (тобишь подвластны почти любым внешним позывам).
Любовь- это превосходное оружие для взломщика. Под градусом радостных эмоций злоумышленник с легкостью может убедить вас поделиться интимной фотографией - далее шантаж, потеря нервов и денег ( в лучшем случае)
Если за вас взялись всерьез , то "тiбе пiзда" , защищайся по полной, не рискуй собой. Я хочу донести до вас, что верить нельзя никому. Жены/мужья прожившие душа в душу 25 лет вместе (казалось бы близкие люди) начинают изменять друг дружке, обманывать и тд. Или наоборот кровные родственники начинают жесткую дележку в борьбе за наследство.. Это всего лишь примеры, и их десятки тысяч.
Разберем игру на страхе.
Страх - это лазейка и шанс доминирования над вами, чистая манипуляция, т.к люди находящиеся в состоянии страха всегда дезориетированы, порой обескуражены, подавлены, сломлены, и слабы как никогда. Именно в состоянии страха человек словно не принадлежит себе и легко поддается внушению (тут уж нужно быть куда бесстрашнее и умнее человека который вас испугал).
Обычный день, обычное утро. Ты просыпаешься, начинаешь заниматься своими делами, куда -либо собираться. На автомате заходишь в социальную сеть (не важно зачем) тебе пишет знакомый/не знакомый человек, у него твоя обнаженка, есть компромат и условия, как избежать позора с оглаской.
90% ты испугаешься последствий ( даже если там у тебя все тип топ)). Мой совет : не идите на сотрудничество в любом случае, игнорьте и не бойтесь (коль решился на сделку, не забывай, что после оплаты, тебя так же с легостью могут слить ради смеха + потратишь N-ную сумму денег, и собственно "божечки ты мой что мне теперь делать")
Держи себя в руках и не показывай страха, лучше подумай, как мошенник может выйти на твоих реальных знакомых/родных ,если подобной возможности нет - смело шли на три буквы.
Отчаяние для соц. инженера это - самое приятное что может только быть, т.к в отчаянии человек подавлен и сломлен, потерян, и в такие моменты им манипулировать куда проще (чем страх или любовь). В отчаяние человек готов идти на безумные поступки ради собственного спасения, или же спасения того/кого/чего, что его довело до этого состояния. Если вы находитесь в отчаянии и вам кто либо предлагает помощь на идеальных условиях, с якобы "гарантией" того, что у вас всё наладится, то подумайте дважды перед тем, как ему отвечать согласием.
Последнее редактирование:
