💰 СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ💰

[JOUR]

Манипулируй словом

Bсе мы знаем прекрасно, что многие хакеры это по мимо специалистов в области ИБ еще и сильные психологи, которые способны заставить жертву делать то, что нужно им. Порой такое происходит со многими, но нет определенного алгоритма по которому можно управлять человеческим разумом. Каждому нужен свой подход. Но сегодня я расскажу вам пару фишек, которые помогут вам в достижении цели. Погнали.

Ситуации
Давайте допустим у нас 4 ситуации. И мы рассмотрим способы борьбы с ними.

• Вы стоите в магазине часов со своим другом или подругой. И предлагаете ему купить на вид очень заманчивые часики. Но во ответ получаете данную фразу: Эти часы слишком дорогие, я не могу себе их позволить.
• У вас возникли дела, и в самый неподходящий момент вам пишет лучший друг. Но вы не в силах ему ответить так как слишком много работы. И вдруг вы успели по счастливому случаю прочитать такое сообщение: Ты меня обижаешь своим молчанием.
• Вы проспали свою работу не в первый раз и опоздания на работу не избежать. Как думаете как отреагирует ваш начальник? Да, примерно это он вам и скажет: Вы опять опоздали на работу!
• Допустим вы начальник и работаете в крупной компании. И вдруг из-за ваших работников произошел какой то косяк. Вы наверно яростно начнете их отчитывать. Но вдруг кто-то из них говорит вам данную фразу: Хороший начальник должен заботиться о подчиненных.

И так. Криво, косо я объяснил, но надеюсь вы поняли как все происходит) Двигаем к самому интересному. А именно способами, которые помогут вам выпутаться из этого.

Способы

Расширенные рамки

В узкой рамке часто тесно. И результат очевиден. Поэтому, когда вам выдают некоторые рамки, нужно из этих рамок выходить.

• Мы живем один раз. Глупо отказывать себе в попытках получить от жизни удовольствие.
• Я думаю о наших отношениях. Мне кажется, ты слишком часто обижаешься по пустякам.
• Транспорт настолько непредсказуем, что мне иногда не удается верно подгадать.
• Мы всегда ждем от старших заботу, но что мы делаем ради этого?

Модель Мира

Людей много и у каждого свое мнения. Не так ли? И сквозь них проходят иногда и авторитетные мысли. Всегда можно найти авторитета, чья субъективная реальность благоприятна для вас.

• Если вы планируете вести дела с серьезными людьми, вы должны знать, что решать, воспринимать ли вас всерьез, они будут и по вашим часам тоже.
• Психологи считают, что человека нельзя обидеть, если он не решил обидеться.
• Да, я тоже считаю, что истинный патриот своей Компании должен ночевать на рабочем месте, чтобы не опоздать на работу.
• Наш генеральный директор считает, что начальник должен заботиться только о тех, кто работает лучше других.

Детализация

Чтобы изменить внимания собеседника стоит лишь уменьшить рамки, точнее попадет во внимание то, чего не ожидал оппонент.

• Вы посмотрите, какой красивый циферблат!
• А позой? Выражением лица?
• Да, на 4 минуты и 12 секунд.
• Я между прочим сегодня отговорил гендиректора отправить Вас в командировку на Курилы.

Уточнение

Запомните! Спор для вас не является им. Ведь вы уточняете, искренне пытаясь понять. И спрашивая о многочисленных деталях.

• На какую сумму вы рассчитывали?
• А что мне нужно сказать, чтобы ты почувствовала себя лучше?
• Что вы называете опозданием?
• И как это должно проявляться?

Зеркало

Поменяйтесь местами. Утверждения сохранят ту же силу, что и прежде? Маловероятно. Многие дают себе намного больше прав, чем нужно. Но ценность становится справедливость.

• Если бы вы продавали хорошую вещь, вы бы запросили за нее меньше закупочной цены?
• То есть когда ты молчишь, ты хочешь меня обидеть?
• С вами такого не случалось?
• Могу я попросить вас о встречной заботе?

Измеримость

Пафос не лучшая вещь хочу вам сказать. Но берите линейку в руки и начинайте измерять ценности в какой нибудь шкале.

• С какой цифры начинается «дорого»?
• И на сколько секунд ты уже обиделась?
• Как вы различаете опоздание и задержку?
• Как вы измеряете заботу: в рублях или в выходных днях?

Последствия

Порой нужно указывать на последствия сказанной мысли собеседника. Ведь после этого вы будете обсуждать их, а не что либо другое.

• Без дорогих часов и дорогой костюм не играет.
• На обиженных воду возят.
• Если мы будем обсуждать мое опоздание, на работу времени не останется.
• И в результате он делает все сам?

Намерение

Во всех действиях есть своя мысль. Люди чаще всего так и делают, прежде чем, что либо сделать. Ну или наоборот. Ничего не содержат. В любом случае можно указать на благие намерения. Можно и подлые. Зависит все от цели вашей.

• Вы хотите часы или сэкономить?
• Я просто любуюсь твоими губами.
• Я правильно понимаю, что вы хотите, чтобы я сделал работу в срок?
• Вы хотите, чтобы начальник прекратил делать свою работу и начал заботиться?

О важном

Многие любят говорить о важных вещах. Сравнивать их по мере важности. Вот и дайте им волю для размышления в этом. А сами ссылайтесь на высшие ценности.

• Ваш социальный статус важнее сэкономленных денег.
• Тебе важнее услышать правду или получить удовольствие от моих слов?
• Мне кажется, что качество моей работы важнее времени прихода на работу.
• А хорошо ли делать такие упреки начальнику?

Контрпример

Один контрпример доказывает ложность обобщения. Так говорит нам логика. Найдите исключения, чтобы быть счастливым.

• Разве вам не доводилось покупать в кредит то, что вы не могли купить сразу?
• Вчера мое молчание тебя не обижало.
• Зато вчера я пришел вовремя.
• Генри Форд не заботился, но был хорошим начальником.

Рекурсия

Как вы думаете, что будет если обратить упреки на самого агрессора? Нечего на зеркало пенять, коль рожа крива. Надеюсь вы поняли)

• Нежелание себя побаловать дорого обходится.
• Меня больше обижает, когда на меня обижаются по пустякам.
• Не поздно ли говорить об опоздании? Его уже не исправить.
• Разве это слова подчиненного?

Стрелки

Высшая наглость наверно это дело. Но обычно это эффективно срабатывает во многих ситуациях. К примеру:
Мы не будем – мы будем обсуждать другое. Этого достаточно, чтобы изменить тему, ведь все зависит от вашего тона.

• То есть вам нужно подсказать, как накопить нужную сумму?
• Давай лучше обсудим, как я отношусь к твоим обидам.
• Я как раз хотел попросить вас подписать один акт!
• Сейчас вам нужно думать о том, как усидеть на своем рабочем месте.

Наоборот

Скажи что трусость это мера предосторожности. Жадность бережливостью. Или наоборот. Смелость глупостью, а спокойствие равнодушием.

• Отсутствие в наличии нужной суммы не повод наступать на горло своим желаниям.
• Моя искренняя реакция тебя обижает?
• Да, я пришел позже, чем вы ожидали.
• Но он не должен превращать взрослых людей в своих детей.

Дополнения

Не всегда удобно говорить обратное. Но можно согласиться так, что весь смысл поменяется. Просто вносите свои правки и дополнения.

• Конечно же, вы не можете их купить, не оформляя оплату в рассрочку.
• Молчание может обидеть, только если не доверять молчащему.
• Согласен, опоздания недопустимы, если они срывают важную сделку.
• Да, если подчиненные отвечают ему взаимностью.

Аналог

Аналоги лгут, но дают большой эффект. Зачем обсуждать вопрос, когда можно представить картинку. Исходя из которой нужный вам выбор очевиден. И собеседник согласится с этим и сделает нужный выбор.

• Если крестьянин жалеет семена, он никогда не дождется всходов.
• Если у тебя нет зонта, под дождем ты промокнешь.
• Не стреляйте в пианиста – он играет, как умеет.
• Не стоит семилетнего ребенка кормить с ложечки.

Вывод

Данные трюки не одни. Можно придумать миллион фраз для ответа. Но все же это можно использовать как для развлечения так и для достижения нужной информации. Второй случай полностью даст вам доступ к мозгу собеседника. И в него вы сможете вносить свои программы. Поэтому будьте осторожны при использовании данной информации. В остальном удачи

 

[JOUR]

Анализ основных методов социальной инженерии с точки зрения злоумышленников. Основные тактики с примерами применения.

Социальная инженерия:
8 самых распространенных методов.

Использующие приемы социальной инженерии киберпреступники за последние годы взяли на вооружение более продвинутые методы, которые позволяют с большей долей вероятности получить доступ к нужной информации, используя современную психологию сотрудников предприятий, да и людей в целом. Первым шагом в противостоянии такого вида уловкам является понимание самих тактик злоумышленников. Рассмотрим восемь основных подходов к социальной инженерии.
В 90-е понятие «социальная инженерия» ввел в употребление Кевин Митник, знаковая фигура в сфере информационной безопасности, бывший хакер серьезного уровня. Однако злоумышленники использовали такие методы задолго до появления самого термина.
Специалисты убеждены, что тактика современных киберпреступников завязана на преследовании двух целей:
кража паролей, установка вредоносной программы.
Злоумышленники пытаются применить социальную инженерию, используя телефон, электронную почту и Сеть. Ознакомимся с основными методами, помогающими преступникам добывать необходимую им конфиденциальную информацию.

Тактика 1
Теория десяти рукопожатий.
Главная цель злоумышленника, использующего телефон для социальной инженерии, состоит в том, чтобы убедить свою жертву в одном из двух моментов:

• Жертве звонит сотрудник компании;
• Звонит представитель уполномоченного органа (например, правоохранитель или аудитор).

Если преступник ставит себе задачу собрать данные об определенном сотруднике, он может сначала связаться с его коллегами, пытаясь всяческими способами выудить нужные ему данные.
Припоминаете старую теорию шести рукопожатий? Так вот, специалисты в области безопасности утверждают, что между киберпреступником и его жертвой может быть всего десять «рукопожатий». Эксперты полагают, что в современных условиях всегда нужно иметь небольшую паранойю, так как неизвестно, чего от вас хочет тот или иной сотрудник.
Злоумышленники обычно выходят на секретаря (или занимающего похожую должность человека), чтобы собрать информацию о людях, стоящих выше по иерархии. Специалисты отмечают, что дружелюбный тон во многом помогает мошенникам.

Медленно, но верно преступники подбирают к вам ключ, что вскоре приводит к тому, что вы делитесь информацией, которую бы раньше ни за что не открыли.​

Тактика 2
Изучение корпоративного языка.
Как известно, у каждой отрасли есть свои специфические формулировки. Задача злоумышленника, пытающегося добыть необходимую информацию, — изучить особенности такого языка, чтобы более искусно использовать приемы социальной инженерии.

Вся специфика кроется в изучении корпоративного языка, его терминов и особенностей.​

Если киберпреступник будет говорить на знакомом, привычном и понятном для его целей языке, он легче войдет в доверие и сможет быстрее заполучить необходимую ему информацию.

Тактика 3
Заимствование музыки для ожидания во время звонков.
Для осуществления успешной атаки мошенники нуждаются в трех составляющих:
время, настойчивость и терпение. Зачастую кибератаки с использованием социальной инженерии производятся медленно и методично — собираются не только данные о нужных людях, но и так называемые «социальные сигналы». Это делается для того, чтобы заполучить доверие и обвести цель вокруг пальца. Например, злоумышленники могут убедить ту персону, с которой они общаются, в том, что они коллеги.
Одной из особенностей такого подхода является запись музыки, которую компания использует во время звонков, в момент, когда звонящий ожидает ответа.

Преступник сначала дожидается такой музыки, затем записывает ее, после чего использует в своих интересах.​

Таким образом, когда идет непосредственный диалог с жертвой, злоумышленники в какой-то момент говорят:
«Подождите минутку, звонок по другой линии». Затем жертва слышит знакомую музыку и у нее не остается никаких сомнений, что звонящий представляет определенную компанию. В сущности, это лишь грамотный психологический трюк.

Тактика 4
Спуфинг (подмена) телефонного номера.
Преступники часто используют спуфинг телефонных номеров, что помогает им подменить номер звонящего абонента. Например, злоумышленник может сидеть у себя в квартире и звонить интересующему его лицу, однако на определителе номера отобразится принадлежащий компании номер, что создаст иллюзию того, что мошенник звонит, используя корпоративный номер.
Разумеется, ничего не подозревающие сотрудники в большинстве случаев передадут конфиденциальную информацию, включая пароли, звонящему лицу, если идентификатор абонента принадлежит их компании.

Такой подход также помогает преступникам избежать отслеживания, так как если перезвонить на этот номер, вы будете переадресованы на внутреннюю линию компании.​

Тактика 5
Использование новостей против вас.
Какими бы ни были заголовки текущих новостей, злоумышленники используют эту информацию в качестве приманки для спама, фишинга и других мошеннических действий. Не зря специалисты в последнее время отмечают рост числа спам-писем, темы которых касаются президентских кампаний и экономических кризисов.
Из примеров можно привести фишинговую атаку на какой-либо банк. В электронном письме говорится примерно следующее:
«Другой банк [имя банка] приобретает ваш банк [имя банка]. Нажмите на эту ссылку, чтобы убедиться, что информация о вашем банке обновлена, пока сделка не закрыта».
Естественно, это попытка заполучить информацию, с помощью которой мошенники смогут войти в ваш аккаунт, украсть ваши деньги, либо продать вашу информацию третьему лицу.

Тактика 6
Использование доверия к социальным платформам.
Ни для кого не секрет, что сайты Facebook, Myspace и LinkedIn представляют собой чрезвычайно популярные социальные сети. Согласно исследованию экспертов, люди склонны доверять таким платформам.
Таким образом, многие пользователи будут доверять электронному письму, если в нем будет утверждаться, что оно пришло от Facebook. Частым приемом является утверждение, что соцсеть проводит техническое обслуживание, вам надо «нажать здесь», чтобы обновить информацию. Именно поэтому специалисты рекомендуют сотрудникам предприятий вводить веб-адреса вручную, чтобы избежать фишинговых ссылок.

Также стоит иметь в виду, что сайты в очень редких случаях направляют пользователям запрос на изменение пароля или обновление учетной записи.​

Тактика 7
Тайпсквоттинг.
Эта вредоносная техника примечательна тем, что злоумышленники используют человеческий фактор, а именно ошибки при введении URL-адреса в адресную строку. Таким образом, ошибившись всего на одну букву, пользователь может попасть на сайт, созданный специально для этих целей злоумышленниками.

Киберпреступники тщательно подготавливают почву для тайпсквоттинга, следовательно, их сайт будет как две капли воды похож на тот легитимный, который вы хотели первоначально посетить.​

Таким образом, допустив ошибку в написании веб-адреса, вы попадаете на копию легитимного сайта, целью которого является либо продажа чего-либо, либо кража данных, либо распространение вредоносных программ.

Тактика 8
Использование FUD для воздействия на ранок ценных бумаг.
FUD — тактика психологической манипуляции, применяемая в маркетинге и пропаганде вообще, заключающаяся в подаче сведений о чем-либо (в частности, продукте или организации) таким образом, чтобы посеять у аудитории неуверенность и сомнение в его качествах и таким образом вызвать страх перед ним.

Согласно последним исследованиям Avert, безопасность и уязвимость продуктов и даже целых компаний может повлиять на рынок акций.​

Например, исследователи изучили влияние таких событий, как «Вторник патчей от Microsoft» (Microsoft Patch Tuesday) на акции компании, обнаружив заметное колебание каждый месяц после того, как публикуется информация об уязвимостях.
Также можно вспомнить, как злоумышленники в 2008 году распространили ложную информацию о здоровье Стива Джобса, что повлекло за собой резкое падение акций компании Apple. Это самый характерный пример использования FUD в злонамеренных целях.
Помимо этого, стоит отметить использование электронной почты для реализации техники «pump-and-dump» (схема манипуляций биржевым курсом на фондовом рынке или на рынке криптовалют с последующим обвалом). В этом случае злоумышленники могут разослать электронные письма, описывающие потрясающий потенциал акций, которые они заранее скупили.
Таким образом, многие будут стараться скупить эти акции как можно скорее, а они будут увеличиваться в цене.

Выводы
Зачастую киберпреступники крайне изобретательны в своем использовании социальной инженерии. Ознакомившись с их методами, можно сделать вывод, что различные психологические трюки очень помогают злоумышленникам добиваться поставленных целей. Исходя из этого, стоит обращать внимание на любую мелочь, которая может невольно выдать мошенника, проверять и перепроверять информацию о связывающихся с вами людях, особенно если обсуждается конфиденциальная информация.

 

[JOUR]

Защита от социального инженера

Аннотация
В данной статье будет представлена информация на тему «защиты от социальных инженеров». Каждый из тех кто хотя бы один раз читал статьи или книги по «Социальной инженерии», задумывался о том, а разве при таком обилии дыр в социальных системах существует ли возможность защититься от социальных инженеров? Для ответа на данный вопрос мне придется вновь обратиться к лозунгу хакеров «Нет идеальной защиты, все, что создал человек можно взломать», но существует еще один лозунг «Любую систему можно взломать, наша задача защитить систему таким образом, что бы злоумышленнику понадобилось очень много времени на взлом». Думаю теперь, философия становится ясна? Да, все необходимое для защиты от социального инженера – это создать список правил, которого необходимо придерживаться и стараться не откланяться от данного списка, то даст возможность при попытки социального инженера манипулировать вами, вы сразу же сможете заметить и пресечь эти действия.

Введение
Каждый из нас является алчным существом, не важно какой вы национальности, вероисповедания и какой вы имеете статус в обществе. Нашей алчной личности всегда мало того, что мы имеем, даже если у человека под властью будет весь мир, ему будет этого мало, он построит корабль и полетит искать инопланетян. Наиболее сладким чувством является манипуляция другими людьми. Все вышеописанное говорит лишь о том, что каждый человек ежедневно старается манипулировать другим человеком.
Такие манипуляции проявляются даже в мелочах, таких как встать и принести стакан воды, проще с большим уважением и глубокой искренней любезностью, попросить кого ни будь из близких сходить на кухню и принести вам стакан с водой. Вот даже таким не хитрым образом проводится социальная инженерия. Но как же защищаться от такого рода непредвиденных атак, как можно парировать от даже таких элементарных приемов социальной инженерии, давайте разбираться вмести, для этого читайте следующую главу.

Контрприемы
Как говорилось выше, для того, что бы была возможность защититься от ежедневной атаки социальной инженерии от окружающих вас людей, необходимо создать список правил. Я конечно коммунист до мозга костей, но система аристократизма в царские времена была отлажена в таком духе, что бы человек был максимально вооружен против социальных инженеров, но изъян той системы, в большом напряжении когда человек находится в обществе, грубо говоря процессор (мозг) задействован на 100%, так как постоянно мониторит весь ход событий и старается не сделать лишних жестов которые смогли бы в дальнейшем пошатнуть его репутацию.

Да, вот именно то с чего стоит начать ваш список который будет служить для вас так сказать файрволом против злых социальных инженеров, и так первым этапом в списке должна быть репутация. Если ваша репутация имеет весь то от вас автоматически отсеиваеца огромная куча быдло людишек, у которых методы социальной инженерии работают на основе следующей поговорки «Наглость второе счастье». Убрать из круга социальных инженеров список быдло людей является очень полезным действием, так как такие люди не имеют чувства такта и если привести грубый пример то «Зачем объяснять ишаку, что пастись нужно только на вашем лугу а дальше уже огород соседа, проще сделать ограждение через которое он не сможет пройти». Воевать с ишаком можно только его методами, но мы ведь не хотим останавливаться на этой планке и со временем стать таким же быдло подобным существом «с волками жить по волчьи выть». Главной задачей является постоянно повышать свою репутацию и не давать ей пошатнуца, что даст нам возможность как в какой не будь из видео игр чем выше репутация тем выше уровень на который вы повышаетесь, но тем сложнее защищаться от врагов и постоянно требуется создавать разного рода контрприемы, для того, что бы с ними бороться.
Вторым в списке требованием являются споры. Любой спор необходимо избегать за несколько километров — это учит вас быть уравновешенным и не принимать решения на горячую голову, что оставляет вас хладнокровным в любой ситуации и помогает трезво оценивать ситуацию. В случае если спора избежать не удается, необходимо в нем занять позицию нейтралитета, то есть не конкретизироваться на внушении каких либо своих идеалов а опираться на факты того, что тот объект спора который обсуждается имеет огромное количество изъянов и указывать на то, что в каждый по своему не прав, очень важно указывать на изъяны того объекта или субъекта который вы защищаете и плавно переходить на указывание изъянов твоего оппонента, и в конечном итоге сделать заключение якобы оба не правы но тот вариант который предлагаете вы является наиболее актуальным относительно вашего товарища.
Третьим требованием в списке являются сплетни. Вы должны стараться не с кем обсуждать другого человека, даже пытаться не делиться новостями местного характера(те же сплетни). В случае если вы непредвиденно попали в круговорот сплетен необходимо выходить из них какими то историческими фактами, обычно сплетники обсуждают только с теми людьми которые такого же ума как они. Грубо говоря, плавно меняйте тему на какой не будь из научных характеров и вашему собеседнику эта тема не понравится и он будет вынужден сам изменить тему на более подходящую для вас двоих.

Четвертым требованием в списке и самым главным является постоянная смена собеседников. У человека существует такое свойство очень быстро привыкать как к хорошему так и к плохому, как только человек к вам привык он начинает замечать ваши изъяны и ставить на уровень ниже чем при знакомстве или начале беседы. Вы никогда не сможете поругаться с собеседником с которым недавно познакомились, но как только вы привыкните друг к другу вы начнете себе позволять намного больше нежели в начальный момент общения. При смене собеседника подразумевается не буквальное понимание, что означает попращаться с ним навсегда. Здесь речь идет о том, что вам необходимо не вести продолжительные беседы, а стараться быстро обсудить важные вещи и по возможности найти нового собеседника и с ним провести столько же времени в дискуссии. Не в коем случае нельзя замыкаться в себе и не показываться людям, если вас не будут видеть люди то первое требование в списке не сможет быть соблюдено. Во вторых общество — это как программное обеспечение на рынке информационных технологий необходимо постоянно следить за обновлениями.
Пятое требование из списка является не посвящение никого в свои проблемы, тем более отдаленных людей ибо каждый постарается оказать тебе помощь в решении какой либо проблемы и тут ты попадаешь автоматически на крючок социального инженера так как ты теперь ему обязан. Все, что вокруг нас происходит создаем мы сами, значит и решить все — это мы можем без посторонней помощи. По этому не стоит прибегать к помощи других людей разбирайтесь со своими проблемами сами «Нет безвыходных ситуаций».
Вот и все, чего необходимо придерживаться ежедневно, и вы сможете с легкостью определить когда вами хотят манипулировать и вы с легкостью сможете это пресечь. Если вы внимательно посмотрели то все требования начинающиеся со второго являются лишь поддержкой к первому, главное ваша репутация а все остальное второстепенно. У людей в вековых традициях видимо залощилось с рождения, что если один человек уважает другого он никогда не посмеет его обмануть каким бы ужасным этот человек не был.

Заключение
Сегодня мы рассмотрели с вами тему которая не сможет защитить вас на 100% от социальных инженеров, но выработает у вас иммунитет с помощью которого вы сможете бороться с этими злощастными личностями.
Как говорится все, что начинается когда то заканчивается, вот и наша тема сегодня подошла к логическому концу, думаю вам не стоит переваривать данную информацию, вам всего лишь необходимо придерживаться требований указанных выше а все остальное придет со временем.

 

[JOUR]

Подготовил статью на тему социальной инженерии.
Поговорим о невербальной коммуникации, психология жестов и не только.​

Невербальная коммуникация, секреты.

Невербальная коммуникация, которую часто называют невербальным поведением или языком тела, - это способ передачи информации (такой же, как разговорная речь) с помощью неречевых средств, таких как выражения лица, жесты, прикосновения, телодвижения, позы, декоративные детали (одежда, украшения, прическа, татуировки) и даже тон, тембр и громкость голоса (но не значение произнесенных слов). С помощью средств невербального поведения обычно передается от 60 до 65 процентов всей информации при межличностном общении, а для общения во время секса никаких других средств часто вообще не требуется.

Кроме того, средства невербальной коммуникации могут раскрывать истинные мысли, чувства и намерения людей. Самые выразительные элементы невербального поведения называют (они позволяют безошибочно определить истинное душевное состояние человека).

Наблюдательность:
Людям, со слабо развитой наблюдательностью не хватает того, что в авиации принято называть "ориентированность в обстановке", то есть способности ощущать, где человек находится в каждый момент времени. В их сознании не складывается полная мысленная картина того, что именно происходит вокруг них или даже перед их глазами. Попроси кого-нибудь войти в незнакомое помещение, в котором находится очень много человек, предоставь возможность оглядеться вокруг, а затем предложи закрыть глаза и рассказать, что он увидел. Ты будешь поражен его неспособность вспомнить даже самые заметные детали интерьера.

Наблюдение - самое основное требование к любому, кто желает овладеть искусством расшифровки и использования средств невербальной коммуникации. Согласись, что глупо пытаться кого-то слушать, заткнув уши. Мы не сможем расслышать, что нам говорят, и содержание сказанного останется для нас тайной. Вот почему люди, которые пытаются услышать как можно больше, не вставляют в уши затычки!

Заповедь 1.
Учись распознавать и расшифровывать универсальные сигналы невербального поведения.
Некоторые телодвижения считаются универсальными, потому что практически одинаково проявляются у большинства людей. Например, когда люди сжимают губы так плотно, что те превращаются в ниточку, то это однозначный и типический знак того, что они чем-то сильно обеспокоены и с ними что-то не так. Сжимать губы - это одна из универсальных эмблем.

Заповедь 2.
Когда ты общаешься с другими людьми, то старайся определить их базовые модели поведения.
Для того, чтобы выявить базовые модели поведения у людей, с которыми ты общаешься регулярно, тебе придется понаблюдать за тем, как они обычно выглядят, как сидят, куда кладут руки, как ставят ноги, какую предпочитают позу, какую используют мимику, как наклоняют голову и при каких случаях и даже куда они обычно кладут свои вещи, такие , например, как кошелек.

Заповедь 3.
Важно искать в поведении человека изменения, которые свидетельствуют об изменениях в его мыслях, эмоциях и намерениях.
Внезапное изменение в поведении человека помогают понять, как он обрабатывает информацию или приспосабливается к эмоциональным событиям. Ребенок, который прыгает от радости, когда ему предлагают отправиться в тематический парк, мгновенно изменит свое поведение, как только узнает, что парк закрыт. Взрослые ничем от него не отличаются. Когда мы получаем плохие новости по телефону или видим опасность, которая нам угрожает, то наши тела мгновенно реагируют на это изменение ситуации. Кроме того, изменения в поведении человека могут раскрывать его стремления или намерения в сложившихся обстоятельствах.

Заповедь 4.
Умение различать признаки комфорта и дискомфорта поможет тебе сфокусироваться на элементах поведения, способных сыграть самую важную роль в расшифровке невербальных сообщений.

Есть 2 главные вещи, на которых на следует фокусировать внимание и стараться замечать в первую очередь - это ощущение комфорта и ощущение дискомфорта. Это поможет тебе понять, о чем на самом деле говорят тела людей. Если ты сомневаешься в значении конкретного элемента поведения, спроси себя, что он, скорее всего, может выражать: комфорт (удовлетворение, счастье, расслабленность) или дискомфорт (стресс, беспокойство, напряжение). В большинстве случаев ты сможешь отнести наблюдаемый элемент к одному из этих двух типов поведения.

Это были основные заповеди для того, чтобы вы могли начать распознавать те, или иные невербальные сообщения.

Перед тем, как начать читать, закуси губу. Нет, в самом деле, сделай это. а теперь потри рукой лоб. И наконец, погладь тыльную сторону шеи. Все эти движения мы выполняем довольно часто. Понаблюдай какое-то время за другими людьми, и ты увидишь, что они поступают так постоянно. Ты когда-нибудь задумывался, почему они это делают? Задавал ли себе вопрос, почему ТЫ это делаешь?. Ответ спрятан в коробке - в черепной коробке - там, где расолагается человеческий мозг.

3 мозга

Многие люди считают, что у них только один мозг и что этот мозг является вместилищем их когнитивных способностей, позволяющих воспринимать окружающий мир. На самом деле, внутри человеческого черепа помещаются целых 3 «мозга», и каждый из них выполняет строго определенный для него объем функций, а вместе они составляют «центр управления», который и осуществляет руководство всеми действиями нашего тела. Еще в 1952 году ученый Пол Маклин выдвинул оригинальную теорию «триединого мозга», состоящего из «рептильного мозга» (ствола мозга), «мозга млекопитающего» (лимбического) и «человеческого мозга» (неокортекса). В этой статье я сосредоточу внимание лишь на лимбической системе мозга (мозг млекопитающего), потому что она играет самую важную роль в экспрессивном невербальном поведении. Однако, при этом мы будем использовать наш неокортекс (человеческий, или думающий, мозг) для критического анализа лимбических реакций окружающих нас людей, чтобы узнать, что они думают, чувствуют или намереваются сделать.

Лимбический мозг является тем местом, где происходит самое интересное. Почему? Потому что эта часть мозга реагирует на окружающий мир мгновенно и рефлекторно, то есть в реальном времени и без размышлений. Поскольку лимбический мозг несет главную ответственность за наше выживание, ему приходится трудиться без перерывов и выходных. Он всегда «включен». Кроме того, лимбический мозг является нашим эмоциональным центром. Он посылает сигналы в другие отделы мозга, которые управляют конкретными элементами поведения, связанными с выражением эмоций или с борьбой за выживание. Эти элементы поведения можно увидеть и расшифровать, так как их физическими проявлениями становятся движения ног, торса, рук и лица.


При интерпритации невербальных средств общения нам следует учитывать тот факт, что лимбическая часть нашего мозга не поддается когнитивной регуляции, в результате чего повышается значимость элементов поведения, вызванных лимбическими реакциями. Вы можете сколько хотите пытаться скрыть ваши истинные эмоции с помощью мыслей, но саморегулируемая лимбческая система все равно заставит тело показать, что вы чувствуете. Вот почему так важно наблюдать за этими реакциями тревоги и знать, что они всегда искренне и достоверны. В некоторых случаях это помогает спасать жизни людей. Вот пример такого наблюдения за реакцией:

Террориста выдал пот
Произошел это случай в декабре 1999 года, когда бдительная работница таможни помешала планам террориста устроить взрыв в дни празднования миллениума. Заметим нервозность и чрезмерную потливость Ахмеда Рессама, пытавшегося въехать на территорию США из Канады, офицер Диана Дин попросила его выйти из машины, чтобы пройти стандартную процедуру устного опроса. В тот момент Рессам попытался скрыться, но вскоре был задержан. В апреле 2001 года он был признан виновным в так называемом "заговоре тысячелетия" с целью произвести взрыв в международном аэропорту в Лос-Анджелесе.

Ахмед Рессам

Замеченные офицером Дин нервозность и потливость террориста были вызваны реакцией его мозга на дистресс (разрушительный негативный стресс). Поскольку эти лимбические элементы поведения подделать невозможно, у офицера Дин были все основания считать замеченные ею сигналы тела достаточным основанием для тщательной проверки. Случай с Рессамом показывает, как психологическое состояние человека проявляется в невербальном поведении тела. В данной ситуации лимбическая система террориста, который, конечно, очень боялся, что его раскроют, выдала его нервозность, несмотря на все сознательные попытки скрыть свои эмоции.

Следует отметить, с одной стороны, способность лимбической системы заставить террориста обливаться потом, отвечая на вопросы офицера таможни, а с другой – способность неокортекса позволить ему солгать, чтобы скрыть подлинные намерения. В ответ на стандартный вопрос офицера Дин, везет ли он оружие, взрывчатку или наркотики, думающая часть мозга, которая управляет речью, могла заставить террориста солгать: «У меня ничего подобного нет», хотя на самом деле это было не так.
Неокортексу ничего не стоит побудить нас высказать другу восхищения его новым «луком», который нам совершенно не нравится, или помочь заявить во всеуслышание: «У меня не было секса с этой девушкой, Моникой Левински (просто пример)». Если неокортекс (думающий мозг, помним, да?!) способен лгать, то значит, его никак нельзя считать хорошим источником достоверной или точной информации.

Подытожу парой слов:
в вопросе распознавания правдивых невербальных элементов поведения, которые помогают нам читать людей, лимбическая система выступает в роли «священного Грааля» языка тела.

 

[JOUR]

Цифровой шантаж как метод социальной инженерии - как предотвратить?

К сожалению, современный виртуальный мир при всех своих достоинствах полон не самых приятных вещей из мира реального, среди которых можно выделить такую штуку, как шантаж. Самым мерзким его видом является так называемый сексуальный шантаж. В английском языке этот вид шантажа даже получил свое собственное название — sextortion, образованное от слова «extortion», что означает «вымогательство». Сам термин появился еще в 50-х годах прошлого века и к Интернету, разумеется, отношения не имел, но сегодня активно используется негодяями в онлайне.

​

С цифровым шантажом трудно бороться, но легко предотвратить.​

​

Суть такого шантажа в том, что жертву заставляют выполнять определенные действия (зачастую откровенно сексуального характера), угрожая ей распространением ее же фотографий или видеоматериалов (также часто интимных), полученных шантажистом, как правило, несанкционированно. В ряде случаев, кстати, мошенники не брезгуют и деньгами.

Как же работают профессиональные шантажисты?

Схем, по которой работают такие вымогатели, существует несколько. Например, злоумышленник может самостоятельно установить на устройство жертвы шпионское ПО, которое незаметно скопирует все имеющиеся фотографии или даже включит камеру, после чего передаст изображения на удаленный компьютер. Причем это можно сделать как с обычным ПК, так и со смартфоном или планшетом, в которых также присутствует камера. Если же непосредственного доступа к девайсу нет, ничто не мешает мошеннику сделать так, что жертва установит необходимый софт, сама того не заметив:
для этого можно использовать, например, фишинг или социальную инженерию.

Впрочем, очень часто никакого шпионажа не требуется:
нередко сексуальным вымогательством занимаются бывшие партнеры, случайно или по злому умыслу сохранившие какие-то фотографии и видеоролики, попавшие к ним еще до разрыва отношений. Бывает, что злоумышленник получает доступ к чужим данным, банально выкрав компьютер или мобильное устройство. Подобная история, кстати, произошла этим летом в одном из американских штатов и, к сожалению, закончилась самоубийством жертвы. К еще большему сожалению, это далеко не единственный случай такого рода, и очень часто главными фигурантами в них становятся дети.

Кто может стать жертвой шантажа?

По-сути, все. Причем для этого не обязательно хранить интимные фотографии или что-то подобное, достаточно любых других данных, попадание которых в чужие руки может выйти для владельца боком. У каждого из нас на компьютерах и смартфонах можно отыскать нечто, что можно использовать против нас же: документы, записки, письма, финансовую информацию и т.д.
Чтобы убедиться в этом, достаточно вспомнить, сколько раз мы в разговоре или особенно переписке с кем-то, пусть и в шутку, кому-то угрожали или обсуждали нечто незаконное. В общем, все мы так или иначе храним на наших устройствах нечто, что предпочли бы не распространять. Так что, если кто-то приводит аргумент в духе «вам не нужна конфиденциальность, если вам нечего скрывать», можете быть уверены — этот человек или лукавит, или просто не очень хорошо понимает, о чем говорит.

​

Все это в очередной раз свидетельствует о том, что защита собственных данных — насущная необходимость. И речь не только о бэкапе, который, безусловно, полезен, но решает проблему лишь отчасти, речь о недопущении попадания этих данных в руки тех, кто может причинить нам вред. Что делать?​

​

Самое главное — не хранить ни в каком виде информацию, которую можно использовать вам во вред. Понятно, что это совет из серии «проще сказать, чем сделать», но никто не мешает вам поместить определенные данные на хранящийся отдельно и не подключенный к Интернету внешний жесткий диск или хотя бы защитить файлы длинным сложным паролем.
Несанкционированное включение веб-камеры тоже легко предотвратить. Можно или выключать ее в то время, когда она не используется, или установить защитное ПО, которое не даст злоумышленникам получить доступ к камере.

С бывшими, конечно, сложнее. Дать гарантию того, что ваш бывший партнер, владеющий какими-нибудь пикантными задокументированными подробностями, не натворит дел, не может никто. Поэтому все, что тут можно сделать, сводится к надежде на то, что человек просто проявит порядочность. Задача значительно облегчается, если у негодяя (или даже негодяйки!) на руках ничего нет и он попробует установить на ваш компьютер шпионское ПО:
в этом случае помогут обыкновенная бдительность, хорошая полноценная защита и золотое правило «не оставлять свои устройства без присмотра».

Кстати, что касается краж устройств. Убедитесь в том, что на вашем устройстве установлен сервис, позволяющий отследить его местоположение и при необходимости заблокировать. Для владельцев техники Apple такая услуга доступна в рамках сервиса iCloud, а поклонники устройств на базе Android могут воспользоваться решением «Лаборатории Касперского» — Kaspersky Internet Security для Android, в котором реализованы функции трекинга, блокировки и очистки памяти устройства. Те же, кто прочно сидит на Windows, могут воспользоваться клауд-сервисом Windows Intune, имеющим все перечисленные выше возможности.

 

[JOUR]

Социальная инженерия на службе мира

Такая судьба постигла и науку «социальную инженерию». Достаточно немного покопаться в интернете, как возникнет ощущение крайне криминального предмета знаний, связанного с фальсификацией, с манипулированием людьми, с прямым обманом и хитрым выуживанием секретов и информации, с завлечением простаков в провокации, с неуловимым коварством хакеров и наглостью мошенников с большой дороги.
Все это свидетельствует о большой важности предмета «Социальной инженерии» для «избранных СМИ», его неодобряемой эффективности и желанием скрыть его от непосвященных. Все это мы проходили уже сотни раз, но, увы…, мельчают даже «избранные», они не способны придумать более оригинальные методы сокрытия информации. Такая вот судьба постигла науку «социальную инженерию».
Распространенным признаком отличной вещи является ее «оплевывание» во всех официальных сайтах. Даже Трамп не удержался от признания этого факта в отношении мировых СМИ.

Но поскольку код этой инверсии (обращения правды в ложь) известен большинству, если не всем, то ложь теряет свою силу и становится очень даже информативной.​

По крайней мере, помогает четче распознавать профили порядочных людей, заслоняемых тенями «рекламируемых».
Тем не менее, социальная инженерия продолжает развиваться и во многих своих социальных результатах достигла почти той же самой инженерной эффективности, которая присуща чисто техническим сферам. Например, рассмотрим с точки зрения этой дисциплины сегодняшнюю ситуацию в России и ряде постсоветских стран.
Сегодняшние олигархи, сами того не подозревая, приближают народы к социалистическим идеям. Если богатые люди кичатся своими дорогими автомобилями, яхтами, нарядами, а бросающейся в глаза расточительностью раздражают людей, то уже на уровне инстинктов люди начинают ненавидеть тех, кто так нагло попирает их достоинство, не представляя из себя ничего значительного.

К сожалению, богатство олигархов не сопрягается ни с образованностью, ни с умом.​

Видимо, это закономерность, что из олигархов никогда не вырастает аристократия. А если кто-то уже замечает подобное настроение людей, и предвидит его дальнейшую трансформацию, то распространение социалистической литературы становится как прибыльным бизнесом, так и хорошим спусковым крючком для нагнетания революционной атмосферы. И незачем винить только спецслужбы западных стран. Вина в большей степени лежит на тех, кто бездумно попустительствует их (олигархов) роскоши и безропотно принимает оглушительную диспропорцию в уровнях жизни людей, в общем-то, одинакового уровня развития.
Сама социалистическая технология предполагает, что раз людям уже нравятся эти идеи, если они согласны жить общественными интересами, готовы жертвовать ради них своими эгоистическими желаниями, и будут одергивать и контролировать каждого, кто покусится на общественную собственность, поскольку все уже принесли свою частную собственность в общую копилку, то пора уже возглавлять это сообщество наивных простачков, забирать всю собственность в свои руки, и под видом государственной опеки жестко унифицировать жизнь и труд новообращенных и состоявшихся рабов.
Конечно, наверху будет уже другая группа людей, но поскольку аристократии все нет и нет, то и она точно так же сойдет со сцены под громогласные лозунги «нового социализма».
Подобный социализм как технология многократно побывал уже в древнем Египте, Ассирии, в арабских странах и победным маршем прошелся в России. И никакая теория формаций не в состоянии что-то членораздельное сказать об этой вечной социальной силе, которая зиждется на симметрии, равновесии и стремлении к покою.

Сталин гениально затормозил указанные тенденции к большому грабежу, но конец социализма оказался именно таким, каким его и видит социальная инженерия.​

И неважно, что он скончался в 90-е годы, для истории это не срок. Но то, что «общак» (общая касса народа) собирался и предназначался именно для группы людей, инициировавших некогда социализм, является подтверждением того, что указанная социальная сила (симметрия) давно запряжена (овладение силами природы) в рукотворную технологию максимального грабежа минимальными (чисто идеологическими) усилиями.
Вообще социальная инженерия строит свои проекты на основании именно таких вариационных принципов (минимального действия). И предвидя новое наступление социализма, неизвестно которое по счету, - например, можно указать на первое типично социалистическое государство Тефрика ( в VIII веке) между Византией, Арменией и арабским халифатом, затем катарские социалистические государства Лангедок, Прованс (в XII-XIII веках), множество социалистических городов-государств в средневековье и др., - социальная инженерия задумалась о предотвращении этого нового витка порочного круга, не дающего полноценного развития человечеству в лице, прежде всего, его наилучших представителей – творческих личностей. Известно, что врагом социализма является личность с ее индивидуализированным мировосприятием и образом жизни.
Социализму способствует и разобщенность людей, усиливаемая войнами, конфликтами, извращенным образом жизни. Их отчужденность друг от друга доходит сегодня до враждебности всех ко всем. Понятно, что тогда всех ждет совместная тотальная деградация, возврат в «казаки-разбойники».

Сознательно или инстинктивно люди ищут сближения, создания общинной среды, дружественного окружения. Или иными словами, люди ищут мира.​

Разовьем теперь новую технологию строительства мира средствами бизнеса.
Известно, что войны приносят небывалые доходы третьим силам. Поэтому конфликты, горячие точки, столкновения, переходящие в войны – лакомые блюда для этих третьих сил, особенно задействованных в производстве вооружений. Ситуация небезопасности всех и вся стала на мировой повестке дня. На эту ситуацию чутко реагируют страховые компании, повышающие цены за свои услуги.
Их прибыльность давно уже сопоставима с банковской сферой. Теперь введем множество новых областей, также ждущих обеспечения безопасности, и создадим для них новые страховые компании:
в продовольственной, физического здоровья, рождаемости, водных ресурсов, окружающей среды, жилищных условий, труда и занятости, психологической, моральной, семейной, образовательной, производственной, политической, государственной, международной и др. сферах.
Например, молодоженам страховая компания может застраховать год жизни без развода, как страхуют помещение от пожара. Компаниям страховая фирма может обеспечить отсутствие конкурентной войны, компенсировать ущерб от распадения по причине возникновения внутренних враждебных группировок. Родственникам и просто друзьям и знакомым застраховать их хорошие отношения и т.д. Конечно, не все так просто, и технические трудности могут оказаться труднопреодолимыми. Но главное здесь присутствует.

• Это, во-первых, увлеченность бизнеса идеей прибыли, которая фиксирует наличие интереса к этой области, и значит, реализуемость такого поведения.
• И во-вторых, страховые фирмы будут стремиться к уменьшению страховых случаев и столь неприятных им выплат страховых премий, а объективно будут способствовать сокращению пугающих людей угроз.

Т.е., объективно, возникнет тенденция к более мирной жизни, причем подобные институты будут от этого только богатеть. Повторяю, сейчас я не рассматриваю технические сложности этого бизнес-предприятия, а только его принципиальную возможность.
Теперь приступим к наиболее фантастической части этого проекта.
Предположим, что развились крупные международные страховые компании, которые стали настолько влиятельными и состоятельными, что рискнули даже страховать солдат (и всех военнослужащих) из обеих враждующих армий, даже перед боевыми сражениями и в рамках одной и той же страховой компании. Теперь подумаем, а разве эта компания будет заинтересована в грядущих сражениях с их неминуемыми потерями и, естественно, страховыми случаями? Какими средствами она будет предотвращать войны, оставим на будущее. Пусть социальная инженерия проработает более конкретно условия развертывания мирной жизни на планете без социализма и без капитализма.

 

[JOUR]

Основные отличия социальной инженерии от социального программирования.

Социальную инженерию мы определяем как манипулирование человеком или группой людей с целью взлома систем безопасности и похищения важной информации.

Социальное программирование же может применяться безотносительно от какого-либо взлома, а для чего угодно, к примеру, для обуздания агрессивной толпы или обеспечения победы какого-либо кандидата на очередных выборах, или наоборот, для очернения кандидата и для того, чтобы миролюбивую толпу сделать агрессивной. Важно то, что здесь уже речи о той или иной ЭВМ нет и в помине.

Таким образом, термин социальная инженерия мы будем употреблять тогда, когда речь идет об атаке на человека, который является частью компьютерной системы.


Примечание

Иногда кроме термина социальная инженерия употребляется также термин обратная социальная инженерия. Суть в том, что при обратной социальной инженерии вы человека напрямую ни к чему не принуждаете, а создаете такие условия, что он сам к вам обращается.

К примеру, если вам нужно прийти в организацию под видом телефонного мастера, вы можете просто прийти и начать проверять телефонные коробки. Это в данной терминологии — социальная инженерия.

А можно поступить и по-другому. Вы создаете такую ситуацию, при которой в какой-то конкретной организации вас знают как телефонного мастера. После этого вы ждете, когда что-то случиться с телефонами, или сами делаете с ними что-то, и спокойно ждете, когда вам позвонят и попросят прийти. Это и есть обратная социальная инженерия.

Таким образом, не вы сами куда-то ни с того ни с сего приходите, а вас просят прийти. Конечно, второй случай намного предпочтительнее, т. к. снимает с вас вообще все подозрения.​

Социальное программирование можно назвать наукой, которая изучает методы целенаправленного воздействия на человека или группу лиц с целью изменения или удержания их поведения в нужном направлении. Таким образом, по сути, социальный программист ставит перед собой целью овладение искусством управления людьми.

Основная концепция социального программирования состоит в том, что многие поступки людей и их реакции на то или иное внешнее воздействие во многих случаях предсказуемы. Вещь, вообще говоря, очень интересная. Но в большинстве своем это действительно так. Общая схема методов работы социальных программистов представлена на картинке.

Общая схема методов работы социальных программистов
​

В социальном программировании разработка схемы воздействия идет с конца, т. е. от нужного итога.

Приведу один очень простой и очень нехороший пример. Пускай есть некто, к примеру, заместитель, которому ну очень мешает начальник. Допустим, этот заместитель знает, что у его начальника больное сердце и слабые сосуды, и тот, у которого больное сердце, очень любит "приложиться к рюмочке". Родственники, конечно, чуть не по пятам ходят и эту рюмочку отбирают, и это даже действует. А наш зам. начальника теми или иными способами начинает того, у которого больное сердце, целенаправленно спаивать. В конце концов, сосуды не выдерживают. Геморрагический инсульт. Зам. начальника стал начальником. На похоронах рыдал больше всех, да и потом остался самым близким другом семьи. Несмотря на то, что фактически убил главу семейства.

Чем методы социального программирования прекрасны для преступников, что о них либо вообще никто никогда не узнает, как в вышеописанном примере, либо даже если кто-то о чем-то догадывается, привлечь к ответственности такого деятеля очень сложно. Ну нет у нас в уголовном кодексе статьи "Доведение до инсульта". А если б и была — пойди, докажи, что все так и было, ведь "доведенный" все делал сугубо добровольно, будучи дееспособным, в гипноз его никто не вводил, электромагнитными лучами никакими не облучал…

Это мы рассмотрели достаточно классическую и очень простую схему отрицательного применения социального программирования. В разных вариациях эта схема действует с глубокой древности, если вспомнить историю.

В данном случае нужный итог — физическое устранение соперника. Итак, цель сформулирована. Дальше проработаны психофизические характеристики, в результате которой выяснена склонность к выпивке и наличие хронических сердечно-сосудистых заболеваний. Затем разрабатывается мера воздействия (чрезмерное употребление алкоголя), которая при правильном применении и дает запланированный результат.

Очень важно то, что поведение человека естественно для него самого. Что и интересно. Для этого и производится расчет психофизических характеристик.​

Потому что иначе это было бы не социальное программирование. Ведь, когда маньяк-убийца, к примеру, уже выбрал себе жертву и собирается ее убить, он тоже знает о будущем поведении жертвы того, что она еще сама о себе не знает (что ее скоро не будет на этом свете). Но, согласитесь, поведение жертвы в этом случае вряд ли можно называть естественным:
сложно представить, что встречи с маньяками это ее естественное времяпрепровождение. Таким образом, социальное программирование, это когда вы искусственно моделируете ситуацию под конкретного человека, в которой вы знаете, как этот человек поступит, исходя из знания психотипа этого человека. То же самое относится и к группе людей.

...

Социальное программирование, в отличие от социальной инженерии, имеет более обширную область применения, т. к. работает со всеми категориями людей, независимо от того, частью какой системы они являются. Социальная же инженерия всегда работает только с человеком, который является частью компьютерной системы, хотя методы в том и другом случае используются аналогичные.

Другое важное различие состоит в том, что социальная инженерия — это почти всегда отрицательная область применения, социальное программирование же, как и любая область знания, имеет и положительную и отрицательную область применения. Одним из примеров отрицательной области применения социального программирования является как раз социальная инженерия.

В заключение разговора о социальном программировании приведу известный пример о том, как искусно можно манипулировать людьми.

Однажды один гроссмейстер получил по почте письмо, в котором неизвестный ему человек, представившись молодым начинающим шахматистом, предложил сыграть дистанционную партию в шахматы. Дистанционную, потому что ходы отправлялись по почте. За выигрыш гроссмейстеру была обещана очень большая сумма денег, а если будет ничья, или, упаси бог, гроссмейстер проиграет, то деньги платит он. Правда, в два раза меньшую сумму, чем ту, которую получит он сам, если проиграет молодой шахматист. Гроссмейстер, не долго думая, согласился. Заключили пари, и стали играть.

Уже с первых ходов знаменитый гроссмейстер понял, что "на халяву" заработать денежку не удастся, потому что уже первые ходы выдавали в молодом шахматисте перспективного мастера. В середине мачта гроссмейстер потерял покой и сон, постоянно просчитывая следующие ходы противника, который оказался не просто перспективным мастером, а очень большим мастером.

В конце концов, через немалое время, гроссмейстеру едва удалось свести партию вничью, после чего он обрушил на молодого человека кучу комплиментов и предложил ему не деньги, а свою поддержку, сказав, что с такими талантами сделает его чемпионом мира.

Но молодой шахматист сказал, что всемирная слава ему не нужна, и что просит всего лишь выполнить условия пари, т. е. выслать выигранные им деньги. Что гроссмейстер и сделал, скрепя сердце.

А где же здесь манипулирование, спросите вы?

А манипуляция здесь в том, что против гроссмейстера играл не молодой человек, а …другой великий гроссмейстер, который получил от молодого человека точно такое же письмо и точно так же согласился "быстренько подзаработать". На точно таких же условиях:
за выигрыш ему платит большую сумму молодой человек, а за проигрыш или ничью платит гроссмейстер молодому человеку.

В результате два великих шахматиста около полугода сражались между собой, а молодой "талантливый шахматист", выражаясь современным языком, работал почтовым ретранслятором, т. е. лишь пересылал их письма друг другу.

 

[JOUR]

Насилие, социальная инженерия и успех

Как нигерийцы используют обряды и «магию» для интернет-мошенничества. В поисках богатой и успешной жизни молодые и образованные жители страны обращаются к кибер-спиритизму.

Нигерийские хакеры: ритуалы, жертвоприношения и сказочное богатство

19 октября 2018 года в нигерийском городе Эффурун погиб один полицейский и серьёзно пострадал другой. Водитель не справился с управлением во время погони за членом сообщества «Яхубой» (Yahoo boy) и разбился, тогда как злоумышленник скрылся. По свидетельствам очевидцев, он вёл машину дорогой марки — нередкое явление для тех, кто занимается киберпреступлениями в Нигерии.

Предполагаемые участники интернет-сообщества «Яхубой», арестованные за мошенничество полицией Бенина и Нигерии.​

С каждым годом эта сфера привлекает молодых и талантливых выпускников технических вузов, которые в попытке выбраться из бедности обращаются к интернет-мошенничеству. Однако необычным это явление делает то, что злоумышленники сочетают со своей деятельностью спиритизм. Они проводят ритуалы, надрезая кожу на теле, похищают людей или в особых случаях идут на убийства, веря, что магия поможет заработать больше денег на жертвах.


Где суеверия встречаются с технологиями

В августе 2018 года 29-летний житель нигерийского города Лагос и предполагаемый яхубой Тайво Акинола (Taiwo Akinola) договорился со своей матерью Элисой встретиться дома для важного разговора. Чуть позже молодой человек попросил своего племянника купить в магазине носовой платок и пачку сигарет, а сам отправился домой. Как говорится в материалах дела, дождавшись мать, он напал на неё и ударил по голове доской с гвоздями.

После неопределённых действий с телом женщины, потерявшей сознание, злоумышленник оставил её дома в луже крови и ушёл. Вскоре из магазина вернулся племянник Акинола, увидел родственницу и позвонил в полицию, после чего раненую отправили в реанимацию в тяжёлом состоянии, а нападавшего задержали.

На допросе Акинола заявил, что его попросили убить мать с целью «получить больше денег» от интернет-жертвы.​

В его квартире обнаружили фрагменты человеческого черепа, некую смесь тёмного цвета, а также склянку с маслом и наклеенным ярлычком «Отправить обратно».

Средний возраст киберпреступников в Нигерии составляет от 22 до 29 лет:
в основном это образованные и технически подкованные люди, разбирающиеся в тонкостях интернета. Больше 70% — выходцы из небогатых семей. Зачастую их навыки кодинга уступают аналогичным навыкам европейских или американских злоумышленников, поэтому они полагаются не на создание собственных вирусов, лишь иногда применяя фишинг.

Их основной способ махинаций — социальная инженерия.

Втираясь жертве в доверие, злоумышленники узнают данные её банковских карт или обманом вымогают деньги.​

Подавляющее число целей они находят на сайтах знакомств, где, выдавая себя за другого человека, знакомятся с жертвой и узнают об её финансовое положении. Если собеседник белый, то злоумышленник также выдаёт себя за белого человека и в доказательство присылает фото. Обычно это фотография случайного человека, найденная в Фейсбуке.

Когда жертва хочет поговорить по телефону, думая, что общается с девушкой, злоумышленник просит знакомых девушек подыграть. Зачастую неизвестные выбирают цель среди жителей западных стран, особенно зажиточных женщин или мужчин в возрасте.


Я всегда выдаю себя за солидного мужчину, который ищет жену. Порой я рассказываю, как меня предала прежняя супруга, отняв имущество и детей. Всё это подаётся под дружелюбным соусом и подкрепляется фотографиями, чтобы убедить собеседника.

Порой жертве отправляют дорогие подарки, чтобы убедить её в серьёзных намерениях собеседника, или знакомят с «семьёй» по телефону. Для этого злоумышленник использует программу для изменения голоса, выдавая себя за пожилую женщину (мать), или же просит подыграть подельника. Далее неизвестный убеждает жертву, что уехал в другую страну, используя систему подмены телефонного кода.

Находясь за границей, злоумышленник рассказывает, что его родственник заболел и просит занять определённую сумму, которая варьируется в пределах 1000 долларов.

Получив её, он придумывает новые поводы, чтобы получить больше денег вплоть до момента, когда у жертвы их не останется.​

Это далеко не единственная стратегия, и более опытные злоумышленники «подготавливают» жертву по несколько месяцев, прежде чем просить взаймы.

В начале 2018 года вице-президент американской компании по кибербезопасности CrowdStrike Адам Мейерс (Adam Meyers) признал, что яхубои имеют влияние на родине, а их внутренняя политика напоминает классическую мафию.


Когда ты вступаешь в организацию [яхубоев], то получаешь новое имя. У них есть своя музыка и даже свой язык. В соцсетях полно фотографий, где они щеголяют своими вещами. Вся идея строится на вопросе, зачем вкладывать тысячи долларов для создания собственного вируса, если можно просто убедить случайного человека совершить глупость?

— Адам Мейерс, вице-президент американской компании по кибербезопасности CrowdStrike


Об арестах яхубоев известно немногое — порой они участвуют в крупных операциях с иностранными хакерами, в том числе американскими, и попадают под прицел ФБР. В августе 2018 года это закончилось арестом 29 нигерийских яхубоев.


Молодые нигерийцы в поисках успеха

Название «Яхубои» (Yahoo boys) отсылает ко времени, когда первые нигерийские интернет-злоумышленники рассылали фишинговые письма через почтовый сервис одноимённого поисковика. Несмотря на банальность, участники движения с радостью приняли это название.

В 2009 году один из самых известных рэп-исполнителей Нигерии Олу Мэйнтейн (Olu Maintain) выпустил песню «Yahooze», клип на которую набрал больше трёх миллионов просмотров. В ролике исполнитель в дорогой одежде разбрасывает долларовые купюры, водит дорогие машины и выпивает с друзьями в ночных клубах.

Хотя прямая связь Мэйнтена с яхубоями не установлена, нигерийцы легко узнают их по схожим манерам. Они часто открыто хвастаются своими заработками, громко говорят на улицах, развязно себя ведут, водят дорогие и примечательные машины, которые зачастую меняют на новые. Они главные гости ночных клубов и активные клиенты уличных проституток. Нередко прохожие встречают на пути группу молодых яхубоев, говорящих на собственном сленге. К примеру, в их речи встречается фраза «Maga don pay» — «Дурак заплатил».

Отчасти именно эпатажность, свойственная яхубоям, привела к аресту ученика средней школы Адаму. В августе 2017 года он приобрёл частный дом и магазин, после чего сообщил радостную новость отцу. На вопрос, откуда он взял деньги, сын ответил, что банк по ошибке присылает ему несколько миллионов в местной валюте. Заподозрив обман, родственник Адаму сообщил о возможном акте мошенничества в Комиссию по экономическим и финансовым преступлениям Нигерии. Расследование показало, что подросток оказался связан с яхубоями и украл сбережения с банковского счета фермера.

Полиция в доме Адаму (в центре) с его отцом.
​

Другие яхубои не допускают подобных ошибок. Одной из главных социальных ценностей нигерийцев остаётся семья и её честь, и чем меньше у человека возможности её посрамить, скрываясь за выдуманным онлайн-именем, тем лучше.

Член преступного сообщества говорит:
«Я испытываю проблемы, потому что скрываю правду [о своей деятельности] от родителей. Они не должны знать, потому что очень строгие. Если узнают, то отдадут меня полиции без права на залог.

Я возвращаюсь домой без машины. У меня три шикарных авто, но я паркую их у друзей».​

​

Рабочий стол яхубоя.
​

Как говорится в исследовании Университета Ибадана, наравне с традициями семьи и родного дома, особенно в дальних и неразвитых регионах, многие нигерийцы верят в святость магических обрядов. Несмотря на развитие технологий и науки, страх перед магией затрагивает как пожилых, так и юных жителей страны.

Спиритизм проникает во все виды деятельности:
местные бизнесмены верят, что изготовление специального мыла магическим образом увеличивает продажи, а солдаты полагают, что обряды защитят их от вражеских пуль или удара мачете. Эти же суеверия успешно укоренились в местном интернете, проникнув в область киберпреступлений и закрепившись в стратегии яхубоев.


Оккультизм как способ борьбы и обогащения

В Нигерии яхубоями называют почти всех злоумышленников, которые работают в интернете. Но те, кто используют для мошенничества оккультизм, известны как «Яхубои плюс» (Yahoo plus). Их воспринимают как своего рода интернет-шаманов, контролирующих некие силы для обмана «белых людей».

Такое мнение неслучайно — злоумышленники крадут лишь у иностранцев или выходцев из богатых районов Нигерии, которых из-за зажиточности приравнивают к «белым».​

​

На тему применения оккультизма среди нигерийских интернет-злоумышленников проводилось несколько научных исследований, последнее— в 2013 году. Они построены на показаниях бывших и активных яхубоев, а также на наблюдениях социологов, которые втёрлись в доверие к членам сообщества. На основе данных стали известны примеры «кибер-ритуалов», однако их популярность среди злоумышленников установить не удалось. Скорее всего, к методам оккультизма прибегает лишь небольшая часть яхубоев, так как магия играет сакральную роль в традициях Нигерии.

Зачастую для успешного «ритуала», который должен вынудить жертву моментально отдать все деньги, авторам требуется лишь настоящее имя цели. Однако некоторые участники прибегают к дополнительным методам:
надрезают руку, которой держат компьютерную мышь, и ставят ноги на черепаху, сидя за компьютером. Животное якобы оказывает спиритическую помощь.

Другой ритуал заключается в использовании женщины как проводника между шаманом и жертвой. Злоумышленники договариваются с помощницей, что она будет худеть до тех пор, пока цель не отдаст все свои деньги. Среди яхубоев считается, что успех обряда построен на том, как сильно похудеет девушка и сколько боли испытает в процессе. О случаях смерти в таких ситуациях ничего неизвестно, так как в критичных случаях помоница отказывается от участия.

Зачастую «проводник» состоит в отношениях с «шаманом» или становится его подругой после того, как он получает деньги от жертвы.​

Многие яхубои считают магию главным источником прибыли. Якобы без ритуалов члены сообщества зарабатывают лишь на пропитание, одежду и смартфон, тогда как ритуалы дают шанс заработать миллионы. Именно к этому и стремился Тайво Акинола, когда попытался убить свою мать и воспользоваться её кровью для ритуала.

Одним из самых опасных обрядов считается тот, где нужно натереть интимные места девушки маслом или другим средством, после чего заняться с ней сексом. Эти действия якобы «выкачивают» энергию девушки, но в результате она может заболеть или её постигнет проклятие, которое не позволит ей добиться успеха до конца жизни. Часто для таких процедур используют проституток, так как, полагают яхубои, их жизнь не столь ценная.

В разговоре с изданиям Nigerian Monitor 26-летний яхубой рассказал, что прибегал к спиритизму, когда у него заканчивались деньги. С помощью ритуалов он якобы «влюбил» в себя интернет-жертву и вынудил отдать все деньги.

Иногда яхубои относят компьютеры или ноутбуки в местные храмы, чтобы получить дополнительную энергию для операций.​

​

В социологических исследованиях упоминается, что некоторые яхубои в исключительных случаях ночуют на кладбищах для неких ритуалов. Известны случаи, когда интернет-злоумышленники применяли человеческие ногти или кольца, снятые с трупов, для обрядов.

Яхубои не считают интернет-мошенничество преступлением, а некоторые воспринимают его как социальное правосудие по отношению к западным странам за то, что в прошлом они угнетали Нигерию. В понимании злоумышленников жестокость иностранцев достаточно большая, чтобы применять против них магию. Главное, чтобы жертва была богата.

Несмотря на такую позицию, среди яхубоев встречается страх перед спиритизмом. Некоторые опасаются, что чрезмерное использовании магии может навредить им или их близким, тогда как другие отказываются от методов из уважения к традициям. Возможно также, что часть людей банально не верит в спиритизм, используя стандартные методы социальной инженерии, но не высказывает своё мнение из-за опасений осуждения.

Вся эта тема с магией вуду действительно существует, я использовал её, но остановился из-за боязни последствий. С помощью вуду деньги приходят быстрее. У меня есть друзья, которые всё ещё используют магию, в неделю они зарабатывают в два или три раза больше. [В ритуале] я использовал кольцо, мы делаем надрезы. У меня есть друг, который использует кальян, заполненный чёрным веществом. Он прячет его в своей комнате и проговаривает заклинания.

— бывший яхубой, ключевой информатор исследователей нигерийского университета Obafemi Awolowo

 

[JOUR]

СИ в действии. Разбор диалога шантажиста.

Шантаж-есть не что иное, как неотъемлемая часть социальной инженерии.Социальная инженерия-процесс управления людьми.А шантаж-один из способов управления.Управлять можно по разному-втираться в доверие, вызывать чувство вины, запугивать, и так далее.Однако, по моему скромному мнению, шантаж есть наиболее эффективным средством воздействия, и объясню почему.

Во-первых, при процессе шантажа-шантажист заранее доминирует над своей жертвой.Если при процессе простых уговоров жертва имеет все шансы послать социального инженера на хрен, и гордо удалиться, то при шантаже нет.Так как жертва находится в заведомо проигрышном положении, просто так не отделаешься.

Во-вторых, исходит из во-первых.При обычных уговорах, обмане, и так далее, нужны определенные навыки, опыт, дар убеждения, как угодно.И потому, чем менее восприимчива жертва, и чем более скромными навыками обладает атакующий, тем меньше шанс успеха.Но верно и обратное.Короче говоря, для шантажа ума много не надо-достаточно иметь компромат.

Казалось бы, всё совсем просто.Но это всё не так сладко, как хотелось бы. Нелегка доля шантажиста...нет, я не скажу, что знаю по себе, я таким предпочитаю не заморачиваться, хоть это есть и наиболее простая и удобная форма обогащения (компромата на людей навалом, под ногами валяется), однако по жизни я лично иду по такому принципу

"Хочешь мыслить неординарно? Решай неординарные задачи!"

И по той простой причине, я не заморачиваюсь подобным примитивом. Нет, если мне будет некуда деться, и нужно будет что-то покушать, я конечно же этим займусь (За неимением горничной-ебут дворника), но сейчас не об этом.

Сейчас мы будем разбирать обычный диалог шантажиста с жертвой.

Допустим, вы решили заняться по этой схеме.И казалось бы, всё просто.Но не совсем так-не всякий знает, как общаться с жертвой.

Казалось бы, ума много не надо.Категорически не согласен с этим.Если вы дурак, то у вас получится 1\10.Если вы профессионал-10\10.

Казалось бы, жертва жертве рознь, и соответственно, универсальной схемы нет.Категорически с вами не согласен.Мысли, чувства, и желания у людей может быть и разные.Но психология-одна.У всех есть инстинкт самосохранения, на котором мы и будем играть(ведь самосохранения касается и честь с достоинством).

Так вот, ближе к делу.Решили вы заняться этой темой.

Что писать жертве?

Внимательно взгляните на этот скриншот.Казалось бы, пишет обычный школьник.И шанса на успех он не имеет.Категорически с вами не согласен.Тут, сцуко, судя по всему работал опытнейший психолог, и именно потому я решил запилить этот обзабор.

Далее идут лишь мои наблюдения(которые являются исключительно субьективными), но имхо-они имеют право на жизнь.Разберем же.

Самое первое слово."Привет".Не "Здравствуйте", не "Добрый день".И не что-либо другое.Кому мы говорим "Привет?".Мы говорим это начальнику?Или незнакомому человеку?Нет.Мы это говорим только тем, с кем находимся примерно на равных(друзья, семья, знакомые, и т.д).Логично?Логично.Вот и тут шантажист ставит себя на равных с жертвой.Как-бы на одной волне.

Идём далее.Второе предложение

"Этот важный разговор мы оставим между нами".

Во-первых, слово "Важный".Тут уже разводило даёт понять, что шутки кончились.

Слово "Разговор".Не вопрос, не дело, а именно разговор.То есть, подразумевается именно диалог.(потом уже плавно всё подводится к финансам, но это потом)

"Мы".Значит ни разводило, ни жертва, не должны никому ничего говорить.Т.к общее дело как-бы.Это плюс к доверию.

"Оставим между нами".Тут думаю понятно.Разводило располагает к доверию к своей персоне сразу же.

Так вот, прочитав это предложение, любая жертва тут же на подсознательном уровне начнёт как-бы не ждать подвоха.Не то, что-бы доверять, но ожидание подвоха теряется, т.к разводило тут же располагает к себе.Логично?

Так вот, если вы разводило, шантажист, вымогатель, и т.д-вы так же и должны располагать к себе жертву С ПЕРВЫХ ЖЕ СЛОВ, С ПЕРВЫХ ЖЕ БУКВ.

Затем, вторым предложением кратко, веско, скупо и смачно описывается вся ситуация.Именно так вы должны расписывать ситуацию.Не нужно на два абзаца расписывать "Мне вчера написал тревожный пассажир, пообещал заплатить деньги за взлом твоей страницы, с целью достать оттуда интимные фотографии".Наиболее кратко, и понятно.Остальную картину жертва дорисует у себя в голове сама.Точно так же вы должны обрисовывать ситуацию жертве.

Затем, разводило приводит пруфы, и говорит о них.Да, пруфы это самая важная часть.Без пруфов цель конечно же присядет на очко, но только на полшишечки.А с пруфами-на всю длину.

Важно-вы должны свои угрозы обосновывать.

Затем, в двух последних предложениях включается сочувствие, и симпатия.И жертва, в начале доверившись, затем перепугавшись, а затем почитав, какая она хорошая, и как ей сочувствуют, немного успокаивается.Нервишки шалят, но цель успевает за несколько секунд расслабиться, потом перепугаться, потом чуточку успокоиться.Эффект качелей, такой себе.И смотрим, что вышло из этого.

Вполне себе ожидаемая реакция.При таком подходе любой человек отреагирует именно так.Ну не прям любой, исключения бывают, но основная масса будет заинтересована, испугана, но расположена уже к разводящему.И исходя из всех факторов-именно пишет то, что пишет.Пишет потому, что заинтересована и испугана, но не кидает в чс, и не начинает быковать, т.к уже расположена к разводиле.Пусть даже на подсознательном уровне.

Затем, разводящий снова начинает филигранно играть на нервишках.

"Я в благородство играть не буду".

Вспоминается сталкер тень чернобыля, с Сидоровичем "Значит так, Меченый, я тебя спас, и в благородство играть не буду.Выполнишь для меня пару заданий-и мы в расчёте"

Жертве такие слова кажутся наиболее логичными.

И кажутся честными, что человек не ходит вокруг да около, а сразу в лоб говорит.Плюс к доверию честным людям

Затем человек предлагает ещё и такой себе "Бонус", в виде защиты от хакерских атак.Это как в Эльдорадо-"Купи жидкокристаллический телевизор, и получи по еблу чайник в подарок".В Эльдорадо не дураки сидят, и люди на это ведутся.Так и тут.Плюс ко всему, жертва понимает насколько это выгодно(что мало того, что предупреждён значит вооружён, так и гарантированно задница в безопасности останется, т.к будет защита от хакерских атак).

Смотрим следующий скрин.

Разводило ещё как-бы добавляет, какой он хороший(а жертва уже сама на подсознательном уровне понимает, что разводило у нас хороший), и какой плохой заказчик(жертва и это понимает, и конечно же соглашается).

Затем мы имеем что?Правильно, жертва практически согласна, и просит озвучить цену.

Конечно, многие могут возразить "Ну и что, а может цену ради интереса спросила".

Согласен, может быть и так.Но я б например, если б не собирался платить, сумму бы врядли спрашивал...

Разводило говорит "Одна тысяча, недорого".Это опять же как в Эльдорадо.Называет сумму, и сразу говорит, что мол "Недорого".Ну а хули, жертва с этим и не поспорит.

Затем уже идёт работа с возражениями.Жертва потихонечку начинает шевелить мозгами, и искать подвохи.А человек такое существо, что не факт что даже на улице стобаксовую купюру поднимет-везде подвохи ищут.

Следующее-работа с возражениями, которую шантажист исполняет просто филигранно.

Шантажист в который раз выставляет себя честным человеком, и жертва на подсознательном уровне УЖЕ думает, какой он честный и благородный, и соответственно верит, что он переведет деньги обратно.Да, это тупо, но это социальная инженерия, и как видите, это работает...тупой ответ сработал лишь по причине предыдущих убеждений жертвы в своей порядочности, и благородстве, и никак иначе.Если бы не было предыдущих реплик о собственном благородстве, это б не сработало.

Идём далее.

Идёт минутка философии, но жертва всё равно сомневается.Видите, она не сказала "Нет, я не верю в твоё благородство, где-то ты пиздишь".Неа, это социальная инжерения. Жертва конечно тупая, но иначе б не развели её..

Социальный инженер видит, что жертва сомневается.А раз сомневается значит что?Нужно загнать в угол, и не оставить права выбора(вернее оставить иллюзию выбора).Показать, что торговаться как на базаре он не собирается."Я тебя не буду уговаривать ,если тебе не надо, то мне тем более".

Тут разводило как-бы прикидывается обиженным рыцарем...думаю, и так понятно...

У жертвы после этого просто не остаётся возражений.Она в угол загнана-возразить реально нечего.Железобетонные аргументы.

Я думаю, составляющие успешного диалога, каждый выпишет себе на листике сам.Это был лишь пример, таких вот уловок МАССА, ПРОСТО ВАГОНЫ, и это был самый примитивный диалог с глупой курицей, но надеюсь вы поняли в чём фишка социальной инженерии, правда?

 

[JOUR]

Данная статья не призывает к действиям, а создана лишь для ознакомительных целей, используйте её только на свой страх и риск.​

​

 

[JOUR]

Разберем использование социальной инженерии на практике. Для примера возьмем схему с угоном кошельков через внедрение RATникика. ⬇️

 

[JOUR]

Социальная инженерия на практике

В чем суть?

Фишка данной схемы заключается в том, что мы будем впаривать жертве зараженный файл и угонять таким образом электронные кошельки (такие как киви, вебмани и прочие).

Казалось бы, это достаточно просто. Сделать емейл рассылку или смс рассылку и грести бабки. Но не совсем так. Нет ничего лучше точечной и грамотной атаки.

Так вот, бразы, фишка заключается в чём. Первым делом, нам нужно что?Правильно, найти такую жертву... теперь нужно взять и подумать, где они могут тусоваться...

Правильно, товарищи, они тусуются на форумах типа зисмо, ммгп или на сайтах типа Free-lance.ru. Есть множество подобных ресурсов, вы можете загуглить и не задрачивать эти три сайта. Ведь на них рано или поздно появятся треды типа "Не попадитесь, есть недобросовестный заказчик".

Что же нам потребуется для успешной атаки?

1)
RATник.Что такое ратник? Ратник - это троян, который позволяет перехватывать контроль над устройством, на котором он запущен. Не скупитесь на деньги, лучше купить хороший.

2)
Криптор. Криптор - это такая штуковина, которая позволяет вам замаскировать ваш ратник, то есть сделать его невидимым для антивирусных систем. Подробнее можете найти в гугле. Не обязательно покупать криптор, можно просто заказать услуги крипта. Это дешевле даже.

3)
Джойнер. Джойнер от слова "джоин", то есть "присоединять". Утилита для склейки нашего вируса с любым другим файлом.

4)
Файл для склейки с вирусом (у нас это будет игра).

Так вот, изначально я вам уже сказал про белые форумы и сайты фрилансеров. И сказал я это вам, конечно же, не зря. Ведь именно там мы будем заниматься поиском наших жертв с целью дальнейшего их обрабатывания.

Если вы будете работать по форумам, то вам будет очень желательно либо купить хороший прокачанный профиль, либо же зарегистрировать самому и набить постов (и дать отлежаться).

Почему? Да потому, что такова психология. Любой практик социальной инженерии вам скажет, что чем прокачанней профиль на форуме (дата регистрации, количество постов, etc), тем больше к такому аккаунту возникает доверия. А свежий же аккаунт без активности определяется подсознанием как заведомо тревожный. Какие бы он условия не предлагал и как бы не лил на уши, но он всё равно тревожный. А рубаха-парень, который давно сидит, и активно общается, доверия вызывает куда больше.

Если же вы будете работать по сайтам фрилансеров, вам как минимум потребуется хороший аккаунт работодателя. И тут снова два варианта:
либо вы покупаете подобный аккаунт, либо же прокачиваете свой. А именно регистрируете аккаунт работодателя, делаете несколько аккаунтов исполнителей и даёте сами себе работу. Затем друг другу пишете хвалебные отзывы, тем самым прокачивая профиль. Ведь на подобных сайтах точно так же с тревожностью относятся к ноунеймам - помните это.

И да, не нужно забивать на подготовку. Подготовка - 90% вашего успеха. Прокачивайте аккаунты до тех пор, пока вы сами себе не скажете "Ну куда ж ещё больше то?".

Затем, берем любую небольшую малопопулярную флеш игру, и склеиваем с нашим ратником. Проверяем антивирусами (не вздумайте загружать на вирустотал), и проверяем, чтобы ратник не бился по базам.

Итак, допустим, с аккаунтами у вас всё готово. И с ратником тоже. Есть внушающие доверия профили.

Теперь нам нужно найти нашу жертву.

Наша жертва будет фрилансером, который будет брать у нас заказ и выполнять его.

Возьмём, например, категорию программистов.

Пару слов отступления

Вот вы все думаете, что все программисты очень умные люди, но на самом деле это далеко не так, и объясню, почему.

Взять, к примеру, мото-механика. То, что он соображает в моторах, ещё не значит, что у него не могут свистнуть мотоцикл, правильно? Вот так и тут. Может быть программисты и подкованы в каких-то технических решениях, но они так же, как и обычные люди, полагаются на примитивные антивирусы, и точно так же развешивают уши. Программист - это не пентестер и даже не сисадмин. Программист - это всего лишь человек, который умеет делать программы. А шарит ли он в безопасности или не шарит - вопрос очень даже спорный.

Потому хочу вам дать совет. Первая заповедь человека, занимающегося социальной инженерией - НЕ БОЙТЕСЬ СВОИХ ЖЕРТВ!

Но с другой стороны и не нужно думать, что они глупее вас. Недооценил противника - прогрел. Так ещё Сунь Цзы говорил. Просто не бойтесь вешать лапшу на уши, в страхе, что вас раскусят. Поверьте мне, наебать можно любого.

Так вот, бразы. Зашли мы в категорию программистов. Опять же, программисты, как правило, это люди, у которых всегда есть звонкая монета на кошельках.

Выписываем себе списочек и начинаем всем писать по контактам примерно следующее:

"Привет. Я хотел бы у тебя заказать написание мини-игры. Пообщаемся?".

Пара моментов

Момент номер раз.
Пишите грамотно. В случае, если вы пишете без ошибок, вас автоматически воспринимают как солидного человека, у которого и деньги есть, и всё у него пучком.

Не нужно писать "прив бро сделаешь игрулю?". Напишете так и будете в глазах программиста школьником.

Момент номер два.
Исходит из момента номер один. Знаете, что нельзя никогда изменить?Правильно. Первое впечатление о себе. И потому не запорите первое впечатление. Каким покажетесь - таким в подсознании и останетесь.

Итак, нам потихонечку начали отвечать программисты с репликами "Да, привет, чё там?".

И вот тут самое интересное. Нам нужно заставить открыть на компе вредоносный файл. Как это сделать? Смотрим далее. Ничего мы впаривать, конечно, не будем, нам нужно сделать так, что бы жертва САМА попросила файл.

Открываем нашу игру, немного играем, и начинаем детально описывать функционал игры программисту:
"Так мол и так, слева должны быть такие вот кнопочки, справа такие, интерфейс такой-то", и так далее.

Мы должны спровоцировать следующий вопрос:
"А у тебя есть образец игры?".

То есть, чтобы спровоцировать этот вопрос, нам нужно дать понять, что он у нас есть.

НИ В КОЕМ СЛУЧАЕ НЕ ГОВОРИТЕ ПРОГРАММИСТУ:
"Хочешь я дам тебе образец, с него игру сделаешь".

НИ К КОЕМ СЛУЧАЕ!

Если вы так скажете, для программиста это УЖЕ будет тревожный звоночек, и вы будете ненадежным пассажиром, который хочет впарить файл. Программист сам должен решить, что он хочет открыть игру и посмотреть.

В случае, если программист тугой - делаем скрины нашей игры и отправляем ему, говорим "Вот хочу как тут, но другого цвета кнопочки".

Это обычно провоцирует просьбу "Ты мне голову не еби, дай мне лучше саму игру и всё".

Итак, жертва скачала файл, запустила. И вуаля, у нас есть отстук в нашей админке ратника. Компьютер заражен.

Итак, что же можно сделать?

Во-первых, можно тупо перехватить управление компом и слить все бабки, что у него есть. Как правило, переводы с того же киви или яда, которые осуществляются с родного компа, смс подтверждений не требуют. Вебмани кипер, установленный на компе - тоже.

Во-вторых, можно в тихом режиме стянуть все пароли (вытащить из куков), и просто напросто посливать все бабки.

В-третьих, если нам попался жирный персональный аттестат - можно его угнать и набрать кредитов на биржах (это достаточно ёбко, но умные люди, уверен, справятся).

Это был лишь пример использования социальной инженерии при объёбе нашего населения.​

Какие уроки из этого можно извлечь?

1)
Всегда тщательно готовьтесь. Без подготовки любая атака пойдёт насмарку. Не жалейте ни сил, ни денег, ни времени на подготовку. Это залог успеха.

2)
Не бойтесь своих жертв. Если вам нужно объебать, например, ФСБшника, то поверьте мне, это реально. Ведь если вы не попробуете - вы точно не наебете. А если попробуете, у вас есть два варианта:
успех или поражение. Не бойтесь своих жертв, не нужно их считать самыми умными людьми, которые сразу раскусят обман. А если и раскусят, то и хрен с ними.

3)
Не нужно недооценивать свою жертву. Да, бояться не надо, но и недооценивать тоже. Всегда действуйте так, как будто уверены, что ваша жертва во сто крат умнее вас.

4)
Если вам нужно заставить жертву что-то сделать, не нужно прямо об этом ей говорить. Сделайте так, чтобы ей самой захотелось это сделать. Это самое эффективное, что можно придумать.

Данная статья не призывает к действиям, а создана лишь для ознакомительных целей, используйте её только на свой страх и риск.​

 

[JOUR]

Продолжаю тему СИ.
На этот раз учимся говорить то и так, чтобы вас запомнили и ценили.
Хорошая статья, заслуживающая вашего внимания. ⬇️

 

[JOUR]

Техника гипнотических комплиментов

Иногда обнаруживаешь, что хочешь сказать некоторой очень привлекательной особе комплимент, но понимаешь, что сделать этого не можешь. И как быть в таких случаях?

Важна ли самооценка?
Безусловно, на все ваши сомнения можно начать долгий разговор о том, что важно поднять собственную самооценку, быть уверенным в себе и своих силах, быть решительным и храбрым. В таком случае язык у вас подвешен, и нужные слова находятся, и обаяния хватает. Можно даже предположить, что в большей мере подобные проблемы волнуют других людей, которые окружают такого крутого человека и сами боятся сделать комплимент.

Я предпочту не начинать разговоры о повышении вашей самооценки. Это долго и непросто.

Метод
У меня есть рецепт скоростного обучения искусству говорить комплименты, который позволит вам в кратчайшие сроки научиться говорить интересующему вас человеку самые фантастические слова, о которых вы и подумать не смели. Более того, вы никогда не услышите в ответ что-то вроде:
"извини, но у меня есть другой", или там:
"мы можем быть только друзьями". С помощью этих рецептов вы говорите легко, свободно и открыто.

"Как тебе это удается?!"
Этот прием вы часто видите в рекламе. Смысл его сводится к тому, что человеку задается вопрос:
а как это у него получается всегда быть таким, какой он есть? Например, одна рекламная девушка говорит другой рекламной девушке:
"Слушай, у тебя так здорово получается готовить - поделись секретом"! На что девушка, которой только что сказали такой комплимент, объясняет, что все дело в какой-то там кастрюле или особенных соусах.

А вот в жизни секрет желательно соотносить с самим человеком, и пусть он начинает "оправдываться" за все свои прекрасные качества. Пусть сама объясняет, почему она такая замечательная! Вы находитесь в выигрышном положении, так как повествовательный комплимент вы подменили на вопросительный, а искреннее отношение – на искренний интерес. Очень часто это выгодная позиция не только для вас, но и для человека, которому вы это говорите, потому как на лобовые комплименты реагировать тоже довольно трудно.

"Мне нужен твой совет"
Мужчины раздуваются от гордости, когда их признают компетентными в любых вопросах. Попросите у него совет:
как поступить в некоторой сложной для вас ситуации? Ситуацию можно придумать, необязательно предлагать настоящую. Объясните ему в контексте разговора, почему вы выбрали именно его и почему именно к нему обратились за советом.

"Как твои дела?"
Отличный повод сообщить человеку то, что вы о нем думаете, не делая это прямолинейно – включить его в систему неких ценных для вас переживаний.

Техника любовных кавычек
Рассказывая действие фильма, пересказывая книгу или просто занимательную историю, вы можете изменить форму вашего повествования и говорить о героях этой истории или действия не в третьем лице, как это принято ("и тут он ей говорит, что она прекрасна, она самая лучшая, и он ее очень любит"), а во втором:
"И тут он ей говорит:
ты прекрасна, ты самая лучшая, и я очень тебя люблю...", вплетая, таким образом, в ваш рассказ самые замысловатые комплименты вот в такой замаскированной форме. Наше подсознание воспринимает подобный текст буквально, и поделать с этим совершенно ничего нельзя!

"Что в имени тебе моем?"
Ну эта техника – уже чистой воды гипноз. Прежде, чем сообщить человеку нечто важное, назовите его по имени! После такого приема его внимание увеличивается в несколько раз.

Обратите внимание на парадокс:
мы говорим о человеке, которому смотрим в глаза, так, как если бы мы разговаривали с трехлетним ребенком:
"Ваня, охх уж красивый ты, Ваня... Выглядишь хорошо", а не – "Ты самый красивый и выглядишь хорошо". Одновременно включаются две сложные психологические программы:
ориентировочный рефлекс на уровне второй сигнальной системы (человеческая речь) и возрастная регрессия, когда человек оказывается в ситуации ребенка.

"Давай я скажу, что я этого никогда не скажу!"
Интересный способ сказать человеку все то, что вы хотите ему сказать, а затем подчеркнуть, что вы этого не говорили.

Вот представьте себе ситуацию:
сидит себе психолог в кресле, а напротив него пациентка, которая ему очень нравится, но он на работе, и испытывать чувства помимо научных и профессиональных к клиентам не рекомендуется, поэтому он говорит примерно следующее:
"Вы знаете, поймите меня правильно, я не имею права этого говорить и не могу говорить о том, что я искренне восхищаюсь вами, и что вы – самый прекрасный человек из всех, которого я когда-либо только встречал на белом свете. Вы – самая красивая, обаятельная, восхитительная и прекрасная женщина, и я счастлив, что имею возможность быть рядом с вами и слышать вас, и смотреть на вас, и думать про себя все то, что мне никак нельзя говорить вслух, все эти слова, все мои ощущения, все то тепло и счастье, которое я испытываю и которое переполняет мое сердце. И я говорю вам это потому, что осознаю свою ответственность и хочу сказать вам, что мне нельзя это говорить, и я не смогу все это сказать прямо сейчас, как бы сильно и отчаянно мне этого не хотелось..."

Выводы
Я осознаю, что приведенные мной способы на самом деле не всегда просты и легкомысленны, они требуют некоторой взвешенности слов и хотят, чтобы вы вспомнили:
жизнь во многом напоминает игру, и когда мы играем, то мы учимся вполне серьезным вещам и можем принимать ответственные решения. Так что играйте на здоровье! И удачи вам в этом интересном и полезном деле!

 

[JOUR]

Повышаем свои навыки СИ.

1.
Первое с чем бы я вас познакомил будет "Претекстинг"
Это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва / мамонт может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный метод атаки предполагает использование аудиосообщений, голосовых средств, таких как Skype, Viber, телефон и т.п.

Для использования этой техники социнженеру необходимо изначально иметь некоторые данные о жертве (имя ; фамилия; друзья , город проживания; дату рождения, а в некоторых случаях и карту банка). Аферист имея такие данные может обратиться в банк с просьбой о выдаче кредита, после того как войдет в доверие сотруднику банка, получает без особого труда необходимую ему информацию, а иногда и кредит, который оформлен на карту жертвы.

2.
Старый добрый "Фишинг" никуда не делся
Кто не в курсе – это техника направленная на получение конфиденциальной информации пользователей - авторизационных данных различных сервисов, соц. сетей и систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу якобы "социальной сети", где располагается форма авторизации. Причины доверия жертвы подобным страницам могут быть разные:
блокировка аккаунта, поломка в системе, утеря данных и прочее. Правда вряд-ли уже кто-то ведётся на такую дичь, но тем не менее, прогресс не стоит на месте.

3.
Троянский конь ( не я придумал )
Это техника основывается на любопытстве, страхе или других эмоциях юзеров. Мошенник отправляет письмо жертве посредством электронной почты, или он отправляет письма в социальных сетях, во вложении которых находятся «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле там нихуя нет, кроме стиллера, который после того как пользователь его скачает и запустит на своем PC будет использоваться для сбора и изменении информации аферистом. В некоторых случаях после запуска подобного сюрприза компьютеру хана.

4.
Quid pro quo (услуга за услугу)
Данный метод предполагает обращение Афериста к пользователю по электронной почте или телефону. Аферист может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на PC ничего не подозревающего мамонта.

5.
Следующим деликатесом будет "Дорожное яблоко"
Этот метод представляет собой современную адаптацию знаменитого троянского коня и состоит в использовании физических носителей флэшки и т.д. Аферист обычно подбрасывает флэху в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, Аферист может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и т.д.

6.
Обратная социальная инженерия
Данный метод атаки направлен на создание такой ситуации, при которой мамонт вынужден будет сам обратится к Аферисту за «помощью». Например, Аферист может написать письмо с телефонами и контактами «службы поддержки» и через некоторое время набакопорить в PC юзера. Мамонт в таком случае позвонит или свяжется по электронной почте с Аферистом сам, и в процессе якобы «исправления» проблемы счастливчик сможет получить необходимые ему данные, закинуть стиллер, и подобного рода прелестей.


А на этом пожалуй я закончу, надеюсь что информация для новичков была полезной, а сторожил освежили память.

 

[JOUR]

Как воруют данные с помощью СИ

Для начала стоит напомнить, что же такое социальная инженерия.

Это метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Главной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам.​

Прежде всего, хочется познакомить вас, пожалуй, с одним из самых мощных и универсальных инструментов, можно даже назвать его «швейцарским ножом» социальной инженерии. Называется он Social-Engineer Toolkit (SET), на рисунке показан его общий вид.

Общий вид инструмента Social-Engineer Toolkit

​

Знакомство с Social-Engineer Toolkit
Социально-технические атаки

• Раздел включает в себя список векторов для атак:
• Векторы атаки веб-сайтов
• Инфекционный медиагенератор
• Создание полезной нагрузки и слушателя
• Массовая атака
• Вектор атаки на основе Arduino
• Вектор атаки беспроводной точки доступа
• Вектор атаки генератора QRCode
• Векторы атаки Powershell
• Сторонние модули

Сам раздел может работать в нескольких направлениях, начиная от создания и внедрения вредоносных нагрузок, массовых атак, атак на различные точки Wi-Fi, генерации QR-кода и прочее.

Разделы социально-технической атаки в Social-Engineer Toolkit
​

Раздел векторы веб-сайтов подразделяется на методы:

• Метод внедрения Java
• Метод использования браузера Metasploit
• Метод атаки на харвестер
• Метод атаки таббата
• Метод атаки веб-гейдинга
• Многопользовательский веб-метод
• Полноэкранный метод атаки
• Метод атаки HTA

Тут методы атак разделяются на разделы, начиная от внедрения и создания внутри java, использования уже готовых метасплоитов для фишинга, сбора данных, многопользовательских методов атак на выбор; имеется возможность использовать и все вместе — все зависит от фантазии злоумышленника.

Методы атак социально-технического раздела​

Немного практики, или Как они это делают?
Предположим, злоумышленнику необходимо собрать данные о конкретной жертве, узнать логины, пароли и иметь доступ ко всей переписке. Значит, для этого он использует метод атаки на харвестер (то есть на сбор информации).

Киберпреступник поступает следующим образом:
выбирает пункт Social-Engineering Attacks (Социально-технические атаки), затем — Website Attack Vectors (Векторы веб-сайтов), после этого — Credential Harvester Attack Method (Способ атаки на харвестер).

Появится три пункта меню:
1)
Шаблоны веб сайтов;
2)
Клонирование сайтов;
3)
Пользовательский импорт.

Харвестерный тип выбор вектора атаки
​

Дальше злоумышленник узнает тип своего сетевого адреса, так как Social-Engineer Toolkit будет знать, куда перенаправлять всю собранную информацию. Для этого вводится команда ifconfig. В данном случае это адрес 192.168.0.20 (IP-адрес, присваиваемый вашему интерфейсу) — его злоумышленник будет клонировать и в дальнейшем атаковать.

Пример с социальной сетью ВКонтакте показан ниже на рисунке.

Ввод сетевого адреса и клонирование сайта для атаки
​

После завершения конфигурации злоумышленник использует стандартный сервис для конвертирования ссылки и отправляет ее жертве. Обычно присылается ссылка на фото или интересный контент от имени друга или коллеги. После перехода по ссылке пользователь видит знакомый интерфейс.

Однако посмотрев в адресную строку, можно обратить внимание, что вместо привычного адреса там указан тот самый 192.168.0.20.

Из-за невнимательности многие попросту не обращают на это внимание и вводят свои логин и пароль.​

Вид поддельной страницы
​

После ввода своих конфиденциальных дынных система предлагает жертве зайти позже, якобы произошел какой-то сбой или пара логин-пароль не распознается.

Что же тем временем видит злоумышленник?
Логин и пароль, которые ввела жертва. Тем самым он заполучил полный доступ и теперь может вводить логин и пароль ничего не подозревающего пользователя на сервисе, под его профилем входить в его аккаунт и совершать в нем все, что захочет.

Конечный результат — злоумышленник получает логин и пароль жертвы​

Не исключено, что последние события, связанные с утечкой персональных данных сотрудников Сбербанка, имели место благодаря этому инструменту. Он отлично подходит для такого типа атаки, и с его помощью можно также проводить массовую рассылку клиентам Сбербанка от лица сотрудников, чья база уже находится в руках злоумышленников.

В целом, Social-Engineer Toolkit — мощный инструмент, которому пока нет равных. В более ранних версиях была функция отправки SMS от имени любого абонента и любой организации, но позже разработчики отключили модуль. И если бы он действовал в настоящее время, то проникновение в систему было бы намного легче, поскольку SMS-подтверждение как дополнительная защита сейчас распространено. Надолго ли отключена опция и какие модификации будут в будущем к инструменту — пока неизвестно.


Выводы

Метод социальной инженерии — это тонкое искусство. Овладев им, можно быть уверенным, что желаемый результат будет получен в 90-95% — все зависит от сообразительности злоумышленника и от подхода к определенной жертве.

Как правило, на эту удочку попадаются невнимательные люди, которые не так требовательны к собственной безопасности и редко обращают внимание на малозначительные на первый взгляд детали (ссылка в браузерной строке, текст и прочее). Правда, надо признать, что опытные пользователи тоже попадаются на это, хотя и реже.

 

[JOUR]

Все методы социальной инженерии можно смело разделить на три категории:
по телефону, в интернете или оффлайн. В каждой своя специфика, и совсем не факт, что человек, имеющий навыки СИ онлайн сможет так же эффективно юзать их в реальной жизни.

 

[JOUR]

Социальная инженерия:
хакерство без границ.

Недавно, проверяя одну из своих "мыльниц", я наткнулся на трогательное письмо. Админ провайдера, услугами которого я пользуюсь, со слезами на глазах пожаловался, что хакеры разнесли к чертям всю контору и от старой базы данных по клиентам остались рожки да ножки. "Мы пытаемся тут навести порядок, поэтому, дружище, не мог бы ты прислать мне свои логин и пароль" - вытирая платочком сопли, робко предложил почерк. На дворе активно смеркалось.

Несмотря на то, что понятие "Социальная Инженерия" появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В той же древней Греции и Риме в большом почете были пиплы, могущие навешать на уши любую лапшу и убедить собеседника в "очевидной неправоте". Выступая от имени верхов, они вели дипломатические переговоры, а, подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, в противном случае, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда являлась главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны. А насколько профессионально нас инженерят политики и кандидаты в депутаты (мэры, президенты) - вообще любо-дорого посмотреть. Хотя, по правде сказать, и я, и ты, и все мы не далеко от них отстаем. Ты ведь не будешь отрицать, что когда-то да пытался хитрожопой уловкой настроить чела на нужный тебе мотив. Например, когда просил родителей купить мороженое, обещая пятерку в четверти по математике. Корни СИ произростают повсюду, просто вьем мы их непроизвольно. В отличие от тех же агентов, кандидатов и... хакеров.

В начале 70-х гг., в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где сбрехать, можно заставить тех. персонал не просто оправдываться, а выдавать в порыве эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все, что хотели.

Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (си-инжеры) всегда действовали экспромтом, полагаясь на свое чутье. По наводящим вопросам, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка - фрикер намекал на возможные неприятности с боссом, если это был какой-то самоуверенный тюфяк - достаточно было представиться наивным юзверем из фирмы, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров, многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще технического. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии сами назовут заветное слово.

Три кита социальной инженерии

Все методики социальной инженерии можно разделить на три категории, в зависимости от того, где они используются:
по телефону, в инете или риаллайфе. В каждой своя специфика, и совсем не факт, что человек, имеющий навыки СИ по инету сможет так же эффективно юзать их фейс2фейс.

Телефон

Многие считают, что после мозгов, телефон - главное оружие синжера. Благодаря ему, можно оставаться анонимным и в то же время иметь с жертвой прямую связь. Последнее важно потому, что непосредственный контакт не дает собеседнику время обдумать положение и взвесить все за и против. Решать нужно немедленно, причем под натиском гнущего свою линию синжера. Так как в телефонном разговоре мы обмениваемся только звуковой информацией, большую роль в принятии решений играет интонация и голос собеседника. На первых порах, пытаясь обмануть кого-то по телефону, новички могут растеряться и быстро сдать позиции. Чтобы этого не произошло - нужно наработать практику, прозванивая по рандомным номерам и, заговоривая с незнакомыми людьми, пытаться обмануть их. Например, ты можешь выдумать какую-то идиотскую новость (американцы высадились на Солнце) и предложить неизвестному собеседнику ее вместе обсудить. Твоя задача - научиться свободно запутывать людей и внушать им любую глупость. Можешь поиграть с ролями, представляясь оператором АТС или директором морга. Чем больше у тебя будет опыта в телефонных пранках, тем увереннее ты себя будешь чувствовать при разговоре с намеченной жертвой.

Стараясь при разговоре ходить. Научно доказано, что когда человек двигается, у него быстрее работает мозг. Если решил провернуть что-то серьезное - не звони из дома, пользуйся таксофоном. Потому что проследить через АТС твой звонок при большом желании не составит проблем.

На фирмах, где серьезно подходят к проблеме безопасности, советуют в начале разговора требовать обратный телефон и перезванивать незнакомцу. Это еще одна причина, почему лучше звонить с таксофона. Но если ты звонишь из дома и слышишь:
"Оставьте, пожалуйста, ваш номер - я перезвоню", дай ему один из тех телефонных номеров, которые вечно заняты. В каждом городе такие есть, узнать о них можно, например, у операторов (опять же, использовав СИ). Объяснить занятость всяко проще, чем похмельный голос левого мужика.

Инет

В некоторых случаях сеть может стать более удобной альтернативой телефону. Например, если жертва находится в другой стране и перед вами стоит языковой барьер. Или если нужно провернуть чего-то глобальное (разослать кучу мессаг). В первую очередь интернет хорош тем, что в нем можно себя выдать за кого угодно. Он, в отличие от телефона, не держит в рамках возраста и пола. К тому же, ты можешь использовать для инженеринга кучу разных персонажей, создавая второстепенными героями иллюзию нужного качества у основного. Например, если ты зайдешь на www-чат и крикнешь:
"Я крутой писатель" - тебя хрен кто заметит. Но если с разных окон под проксями заведешь себе на том же чате толпу виртуалов, наперебой хвалящих твои писательские таланты, остальной народ сразу заинтересуется и начнет расспрашивать, чего ты там пишешь.

Вообще, так как в сетевой социальной инженерии виртуалы используется повсеместно, ты должен хорошо позаботиться о том, чтобы они выглядели реалистично. Биография, характер, стиль письма, подписи, координаты в сети (емыло, сайт) - ты должен продумать все, чтобы любой неверующий Фома смог сколько угодно раз убедиться в реальности твоего виртуала.

При проведении серьезных диверсий старайся избегать отсылки мессаг с халявных почтовых ящиков - они сразу вызывают подозрение у мало-мальски грамотных людей. Впрочем, если емыло малоизвестно (находится в другой стране), можно выдать его за фирменный, указав в конце письма "полное название конторы". Например, наше халявное bk.ru можно выдать за мыло от BlackKobra corporation или Brothers Killers inc.

Риаллайф

Способ довольно опасен, так как уже не приходится рассчитывать на анонимность, и тебя впоследствии могут опознать. Но опасно только в особо экстремальных случаях, например, когда ты решил кинуть фирму на большие деньги. На практике риаллайф - самый распространенный способ, поскольку общаемся мы в основном в реале, а где общаемся, там и врем, а где вранье, там и наш топик. Риаллайфовая СИ напрямую связана с НЛП.

Если ты подходишь к делу основательно и готов вложить время в угоду эффективности, хорошим методом для тебя может оказаться "обратная социальная инженерия". Так называют тот метод, когда синжер вынуждает человека обратиться к нему за помощью, и, предлагая ее, получает то, что ему нужно. Проходит все по примерно следующему сценарию - хакер сначала зарекомендовывает себя в фирме как компетентный тех. специалист (см. предыдущий раздел), затем каким-то образом выводит из строя один из компьютеров (достаточно запустить программку, отключающую один из параметров в реестре). Сотрудник компании вызывает "специалиста" и тот просит предоставить конфиденциальную информацию (или сам находит ее на компьютере), мотивируя тем, что это нужно для устранения неполадки.

Искусство перевоплощения

Занимаясь СИ, тебе придется не раз одевать маску других людей. Понятное дело, левому пацану с улицы никто свои тайны выдавать не будет, а вот кому-то, кто на это имеет право - волей неволей придется. Уверенно врать дано не каждому. Сказываются нравоучения наших предков, которые с детства вбивали в нас вредный комплекс - врать нехорошо. Но можно обмануть свои комплексы, если искренне поверить в правоту своих лживых слов. Ты должен ни секунды не сомневаться, что, к примеру, являешься сотрудником фирмы, забывшим пароль, что нуждаешься в помощи и имеешь на нее полное право. Ведь когда ты идешь в конце рабочего месяца получать зарплату, ты же не испытываешь какого-то дискомфорта от этого, не скулишь жалобно, пытаясь вымутить лишнюю копейку? Ты получаешь то, что заслужил, что твое по праву. Того же принципа нужно придерживаться и в социальной инженерии. Если ты сумеешь убедить человека в своих правах, то обретешь требуемое, даже если на самом деле никаких прав на него не имеешь. Лучшего результата можно добиться, если не играть роль кого-то, а стать этим кем-то. В мыслях, поступках и всем остальном. Для этого, конечно, нужно разбираться в психологии людей разных категорий и иметь кое-какие актерские способности. Дам тебе навскидку несколько распространенных среди хакеров шаблонов, возможно они помогут тебе выбрать линию поведения в той или иной ситуации.

Начальник:
человек, привыкший отдавать команды, ценящий свое время, добивающийся поставленных целей. Манера разговора жесткая, нетерпеливая. Непробиваемая уверенность в себе и легкое (или полное) пренебрежение к рядовым служащим. Всем своим видом показывать, что проблема, с которой обратился - мелкая неувязка, которую нужно решить как можно скорее. Никаких просьб - только суровые вопросы в духе "какого черта". По поводу недоверчивых или проверочных реплик - негодование и запугивание.

Секретарь:
обычно девушка с приятным голосом. Задача - выполнить конкретное поручение шефа не отвлекаясь на условности. Иметь осведомленность о начальнике и некоторых его делах, как бы между прочим ронять достоверные факты (или недостоверные, которые нельзя проверить). Характер разговора - мягкий, с легким эротическим подтекстом (если собеседник - мужчина). Реакция на нежелание сотрудничать - бурное огорчение, жалоба, что начальство накажет.

Тех. служащий:
снисходительное, но дружелюбное отношение к клиентам. Цель проста - устранить неполадку и избавить обе стороны от головной боли. Подчеркнутая специфическими терминами компетентность. На отказ сотрудничать следует реакция удивления, так как сотрудничество в первую очередь выгодно для клиента. Никаких уговоров - просто дать понять, что без твоего участия проблема только усугубится. Можно описать страшные последствия.

Юзверь:
работник, выполняющий свои обязанности и напуганный неожиданной проблемой. Четко выраженный мотив поскорее решить все невзгоды и вернуться к своей рутиной работенке. Отсутствие представления о характере проблемы, заинтересованность только в ее устранении. Характер общения - "ой, а у меня курсор завис. Это вирус, да?". Показать всю безнадежность своего положения и готовность отдаться в руки специалиста.

Моделей поведения много, какой пользоваться - зависит от ситуации и человека, которого нужно обработать. Большое значение тут имеет предварительный сбор информации о будущей жертве, так как только благодаря ему ты сможешь составить наиболее эффективный сценарий и подготовиться ко всяким негараздам. Раньше любимым способом сбора инфы у хакеров было ковыряние по ночам в мусорных баках конторы. С появлением интернета все намного упростилось. Во-первых, существуют специализированные справочники по крупным компаниям, где можно найти имена, должности и контакты представителей.

Во-вторых, можно, опять же, воспользоваться социальной инженерией и втесаться в доверие к неосторожному работнику. Например, многие в служебное время злоупотребляют аськой. Представившись многообещающей мадамой, можно закрутить с челом бурный виртуальный роман, и под предлогом "хочу побольше узнать о тебе", потихоньку расспрашивать о фирме и начальстве. Тебе, наверное, интересно, что именно нужно узнавать? Не знаю, дружище, одно лишь сто пудов - чем больше ты соберешь информации, чем разнообразнее (от любимого цвета носков шефа до среднегодовых доходов фирмы) она будет, тем легче тебе станет выполнить свою задачу. Особое внимание обрати на имена, характер и обязанности ключевых фигур в конторе, так как именно эти сведения ты с большой вероятностью будешь использовать в дальнейшем. Приступай к основной фазе инженеринга только, когда почувствуешь, что знаешь свою жертву. Знаешь, чем она живет, о чем думает, как себя поведет в той или иной ситуации, какие психокомплексы роятся у нее внутри.

Тараканы, живущие в нашей голове

 

[JOUR]

Сколь бы не был настороженным или подкованным жизнью человек, он никогда не избавится от всех багов в своей голове. Наш разум уязвимее, чем самая раздырявая винда. Причем, нередко уязвимыми становятся те качества, которые мы ценим в людях - например, отзывчивость, преданность и любознательность. Я уже не говорю о всякого рода психокомплексах, присущих всем нам. Вся социальная инженерия на том и построена, чтобы использовать человеческие слабости для изменения модели поведения. Ниже я рассмотрю с примерами несколько основных психокомплексов, которые чаще всего подвержены СИ.

Доверчивость

Это качество заложено в каждом человеке. Мы слушаем рассказы о людях, которых кинули как полных лохов, удивляемся их наивности, прибываем в полной уверенности, что никогда бы сами не вляпались в подобное... и таки со временем сами занимаем их место. Доверчивость напрямую связана с нашей врожденной ленью. Согласись, всяко легче поверить человеку на слово, чем утруждать себя проверками правдивости его слов.

К тому же некоторые, в силу робости или хорошего воспитания, просто не решаются открыто заявить, что собеседник врет, и предпочитают рискнуть, надеясь на его честность. Большую роль в вопросе доверия играют детали, о которых мы сознательно не задумываемся, но которые определяют нашу реакцию - верить человеку, или нет.

Пожалуй, главный фактор доверия - уверенность в себе. Если кто-то говорит авторитетным голосом знатока, не допускающего возражений - люди могут поверить в любую чушь, им сказанную. Конечно, речь не идет о всем известных истинах (хотя, опытный софист сможет тебе вполне убедительно доказать, что на солнце минусовая температура, а белое - это на самом деле черное), но в вещах, о которых человек не знает или в которых хотя бы сомневается - можно легко склонить его мнение в нужную сторону. Хороший способ создать иллюзию своей правдивости - сделать несколько заявлений, которые, как известно собеседнику, 100% правдивы, и в то же время подмешать в них несколько лживых доводов. Человек, видя, что ты говоришь правду, автоматически воспримет как правду и твою ложь. Своеобразный аналог теста на знание виновного, переделанный под нужды СИ.

Если ты в предварительной подготовке досконально не изучил жертву - что она знает, а что нет, старайся избегать прямой лжи. Например, если ты представишься работником шестого отдела Васей Чайкиным, то вполне вероятно услышишь:
"Я знаю всех в шестом отделе - с такой фамилией там никого нет". Но, если вместо конкретного Васи Чайкина из конкретного отдела станешь неопределенным Петей, только поступившим на службу - у тебя всегда останется место для отступления. Вообще, перед началом диверсии постарайся продумать все так, чтобы тебя не прижали к стенке, найдя явные несоответствия. Всегда выбирай такой сценарий, который максимально достоверно подходит к ситуации. Чтобы проиллюстрировать этот психокомплекс, расскажу, как однажды я прошел в комнату студенческой общаги через злую бабку-вахтершу, "никого никоим образом не пущавшую".

-Здравствуйте, бабушка. Мне в 90-ую, к Самодину.​

-Никого не пускаем. Жди здесь. Будет кто спускаться - позовут.​

-Бабушка, я из деконата - ректор срочно его вызывает. Колю на олимпиаду от института отправляют, нужно заявление принести. Сейчас надо, сегодня - последний день. Я ему быстренько скажу и тут же вернусь. Хорошо?​

-Ладно. Только давай быстрее.​

-Я мигом. Спасибо!​

Страх

У каждого из нас свои страхи. Не обязательно это боязнь темноты или, к примеру, пауков. Можно испытывать страх показаться нелепым в какой-то ситуации, страх за последствия не выполненного поручения, страх перед чем-то неизвестным. Существуют миллионы маленьких и больших страхов, которые заставят человека пойти на самые необдуманные поступки, чтобы от них избавиться. Использовать этот психокомплекс легко - достаточно всего лишь вызвать у собеседника один из страхов и сыграть роль "освободителя". Хорошим примером этого будет случай, описанный в статье Алексея Лукацкого, в котором хакер в течение всего пары минут получает пароль к аккаунту работника банка:

В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос:

-С вами говорит администратор сети, Иван. Как вас зовут?​

-Оля!​

-Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?​

-А мне говорили, что чужим нельзя называть свой пароль.​

-Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?​

-Да, согласна.​

-Тогда назови свой пароль и все будет ОК.​

-Мой пароль olja.​

-ОК. Спасибо за помощь.​

Здесь синжер вызвал у юной особы сразу два страха -задержаться в конторе дольше положенного и вызвать гнев начальства. Последний - особенно эффективен, так как большинство людей все-таки дорожат своей работой и постараются сделать все возможное, чтобы избежать неприятностей.

Страх, кстати, является хорошим стимулом доверия - это естественная защитная реакция нашего организма. Напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что страх может оказаться результатом блефа. Каждый из нас подвержен тем или иным страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это:
угроза своей жизни, страх потерять близкого человека (животное), боязнь одиночества, страх перед болью, боязнь не осуществить поставленные цели и т.п.

Жадность

Второе качество человека после лени - жадность - является любимым психокомплексом аферюг всех мастей. Желание людей быстро обогатиться настолько велико, что часто затмевает все разумные мысли и пиплы ведутся на очевидное кидалово. Использовать жадность в своих корыстных целях просто, нужно всего лишь пообещать человеку что-то, что ему необходимо. Не обязательно деньги - рекламу, информацию, предмет для коллекции, секс... да что угодно. Просто узнай побольше о жертве, о том, что для нее есть ценности и обещай это. Обещать ведь по закону не запрещено. Твоя задача - выставить свой "товар" в максимально привлекательном свете, но не злоупотребляй эпитетами. Прогресс не стоит на месте и люди уже не верят "доброжелателям", обещающим 10 миллионов баксов за неделю. Но на 100 баксов в месяц "низашо" клюнут легко. Примером отличной СИ на почве жадности является эпизод, описанный в книге Сидни Шелдона "Интриганка". Аферистка зашла в ювелирную лавку и, выдавая всем своим видом себя за жену расточительного миллиардера, купила не глядя крупный бриллиант за $150.000. Через пару дней вернулась и, взахлеб нахваливая покупку, поинтересовалась, нет ли в продаже еще одного, столь же крупного экземпляра. Когда продавец заверил, что продал ей очень редкий бриллиант и отыскать подобный во всей стране проблематично - мадама заверила, что ее мужу будет не жалко отвалить 400 килобаксов, если только найдется еще один, такой же. После долгих и безрезультатных поисков, мужик уже было отчаялся, но тут по объявлению позвонила безутешная вдова, у которой - о чудо - оказался очень похожий камушек. "После смерти Джона у меня остались долги - 300 тыс. зеленых денег, а еще вот этот бабушкин бриллиант. Я согласна его продать, но только за 300K. Мне нужна именно эта сумма, чтобы погасить долг". Прикинув, что он все равно выигрывает 100 тысяч, ювелир купил камень. Стоит ли говорить, что это был тот же самый, который он продал парой недель ранее, и что "богатой мадамы" разведенный чел больше не видел.

Отзывчивость

Когда я использую в СИ этот психокомплекс, то не испытываю угрызения совести. По той простой причине, что, обманывая - дарю пиплам возможность лишний раз почувствовать себя людьми, насладиться тем состоянием, которое приходит от помощи ближнему. Кусочки сострадания имеются в закромах даже самого угрюмого зека. Порешив 15-х детей, а изнасиловав еще больше, он нет-нет, а кинет озябшему воробью кроху хлеба. Манипулировать отзывчивостью не так то просто, как кажется. Хоть и есть она в разных дозах у всех, но активируется далеко не к каждому. Попробуй на досуге зайти на DALnet'овский #xakep и попросить у тамошнего народа денег на подарок маме. Тебе сразу всем великолепием русского языка объяснят, что такое сострадание. Но, если ты попросишь что-то, что человеку дать не сильно напряжно, и в то же время убедишь в большой ценности этого для тебя - эффективность юзанья психокомплекса весьма высока. В одном выпуске "Спеца", посвященном веб-мошенничеству, я рассказывал, как мне удалось достать книгу, обитающую только на Amazon'e за 20 баксов. Достаточно было связаться с автором -обеспеченной женщиной из Америки, и, под видом маленькой девочки, мечтающей стать журналисткой (книга была о freelance writing), слезно попросить прислать книжку. "Thanks so much, Masha! I appreciate your kind words" - ответила женщина на мои слова благодарности - на том и расстались. Слабый (или таки прекрасный?) пол вообще очень уязвим для этой методики, особенно если будет считать, что в помощи нуждается ребенок. Согласен, играть на материнских чувствах - эгоистично, но СИ - наука сама по себе эгоистичная и, если ты хочешь добиться в ней успеха, то должен забыть про свои моральные устои, думая о цели. По отношению к мужикам, не менее эффективным будет манипулирование с эротическим подтекстом. Как ты понимаешь, любой молчел намного охотнее поможет красивой девушке, чем патлатому коллеге по полу. Это потому, что на подсознательном уровне мы часто надеемся получить от них ответную благодарность сам знаешь какого плана. Если у тебя есть подружка с ангельским голосом, умеющая разговаривать с парнями на многообещающих тонах -она может стать очень выгодным союзником в процессе обработки заработавшегося юзверя. Чем больше ей удастся заинтересовать "клиента", тем меньше он захочет потерять потенциальную герлфренду и тем вероятнее выполнит ее просьбу.

Превосходство

Конечно, всем нам хочется быть примером для подражания, разбираться в чем-то лучше других. Превосходство - это состояние, в которое периодически погружает нас наше подсознание, чтобы дать возможность испытать столь приятное чувство победителя.

Но если в такой момент кто-то со стороны попытается навязать мысль, что ты вовсе не виннер, естественной защитной реакцией будет доказать засранцу - именно ты зе бест.

Хитрость в том, что, намеренно ущемив чью-то гордость, синжер может в качестве доказательств виннерства потребовать таких вещей, которые в противном случае ему никто бы не дал. И жертве, дабы избавиться от статуса лузера, волей-неволей придется пойти у того на поводу. Методика превосходства сложна тем, что манипулировать ей нужно очень тонко. Грубое "слабо?" действует далеко не на всех - по большей мере на крутых самоуверенных специалистов, которые болезненно относятся к критике своих способностей. Но в мире есть куча людей, которым глубоко плевать, что ты засомневаешься в их некомпетентности, им проще тебя послать, чем что-то доказывать. Это не значит, что тактика против них бесполезна. В таком случае психокомплекс нужно использовать неявно, в общем контексте (между делом).

Другой вариант - юзать обратную методику. То есть ты не занижаешь способности чела, а наоборот, возвышаешь их до небес. Вспомни, когда последний раз ты что-то делал и тебя искренне хвалили - какой мол молодец. Вероятно, тебе тогда хотелось превзойти самого себя, чтобы услышать еще большую похвалу, и ты продолжал пахать с удвоенным рвением. Благодарность - это признание наших способностей, что есть очень важно для каждого человека. Играя на людском самолюбии, можно легко заставить человека что-то для тебя сделать. Например, я когда-то таким образом отремонтировал нахаляву часы - намекнул часовщику, что у его мастерской авторитет лучшей в городе, что о его профессионализме ходят легенды, а друзья мои считают его очень порядочным человеком. После чего растроганный хозяин богом забытого ларька отказался от денег и, подмигнув, сказал:
"Да ладно, пустяки". Тем же Макаром один мой знакомый взял у соседа-скупердяя машину на сутки - достаточно было расхвалить на все лады его тарантайку.

Я кратко описал только 5 наших уязвимостей, на самом деле их намного больше. Имхо любое доступное людям чувство можно использовать в социальной инженерии. Любопытство и зависть, любовь и ненависть, веселье и грусть. Человек всю жизнь испытывает калейдоскоп эмоций, делающих его жизнь ярче, и в то же время подвергающих его опасности стать жертвой синжеров.

Почему-то многие считают СИ исключительно хакерским занятием. Нарыть паролей на халявный анлим, получить доступ к внутренней сети компании... все это действительно хорошо решается с помощью СИ, но вне компьютерных рамок лежит безкрайнее море возможностей. Научившись использовать человеческие слабости, ты сможешь выходить победителем из многих сложных ситуаций, добиваться успеха там, где другие только разведут руки. Поэтому учись, практикуйся, дерзай - эта наука стопудово пригодится тебе не раз.

 

[JOUR]

Казино – настоящая арена психологической войны.
Его архитектура и внутреннее убранство подчинены единой цели – заставить посетителей тратить деньги. Десятки лет социнженеры приходили к идеальной схеме работы казино, и как видите, у них это получилось.