Серия статей о ментальном здоровье и психологии. 2. Введение в социальную инженерию.

[Estoqade]

Доброго времени суток, руторовцы. По Вашим просьбам подготовил материал по теме социальной инженерии. Из-за большого количества информации - разобью статью на несколько, чтобы Вам было не скучно читать сиё творение.

Сразу позволю сделать себе небольшую ремарку - ВЫ НЕ НАУЧИТЕСЬ ИСКУССТВУ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ ПРОЧИТАВ ЭТУ СТАТЬЮ.

Это очень долгий, кропотливый процесс. Для изучения этого нужно перелопатить тонну литературы, понимать основы психологии и социальной коммуникации и миллион подобных факторов. При должном количестве потраченного времени, сил и нервов, возможно у Вас все получится!

Моя деятельность носит - просветительский характер. НО! Ни в коем случае автор (то есть я) - не призываю использовать эту информацию в корыстных целях!

Для тех кто зашел и увидел заголовок СИ у меня для Вас плохие новости - я не буду тут рассказывать о том, как "стать сотрудником сбербанка". Информацию для этой статьи я черпал из книг Кевина Митника и Пола Экмана. Приятного чтения.


1.1 Социальная инженерия, как наука.

Давайте для начала разберем само понятие:

Социальная инженерия это - метод получения необходимого доступа к информации, основанный на особенностях и слабостях психологии людей.

Основоположником СИ принято считать Кевина Митника. Несмотря на это само понятие пришло из социологии. Митника можно считать родоначальником данной науки, т.к. именно он первый начал популяризацию в первом десятилетии XXI века. Сам же Кевин был хакером, который взламывал базы данных.

Если говорить простыми словами то, в СИ все строится вокруг слабостей человека. С одной стороны, это личностные качества:

Чрезмерная наивность;
Безосновательная доверчивость к незнакомым людям;
Лояльное отношение к чужим слабостям;
Обостренное чувство страха;
Cопереживание к проблемам других людей.

С другой — качества профессиональные:

Игнорирование инструкций;
Отсутствие банальных знаний;
Отсутствие навыка применения их на практике.

Поэтому социальную инженерию часто называют «взломом» человека. На практике каждый взлом может иметь сокрушительные последствия, как для человека, так и для компании.

Для человеческой глупости - нет патча - Кевин Митник.

1.2 Техники социальной инженерии.

Все методы СИ основываются на особенностях принятия так называемых "жертв" решений. Иными словами есть некий "когнитивный базис", который гласит о том, что люди в социуме всегда склонны кому-либо доверять.

Ниже рассмотрим основные типы социальной инженерии и методы защиты от них:

1.2.1 Кви про кво (услуга за услугу)
Данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

Против кого применять: сотрудники крупных компаний, банки.
Психологический портрет:
Мужчина/женщина от 25-40 лет;
Тип темперамента - Сангвиник;
Характер - экстраверт, эмоционально стабильный, уживчивый, слабый уровень самоконтроля.

1.2.2 Троянский конь
Техника основывается на эмпирическом восприятии "жертвы", т.е. на эмоциях. Исполнитель отправляет письмо жертве посредством электронной почты, во вложении которого находится промокод для получения джекпота, компромат на коллегу/друга и т.д. На самом же деле во вложении находится "троян", который запустится после того, как пользователь запустит ее на своем компьютере и будет использоваться для сбора данных или других функций исполнителем.

Против кого применять: против "простофиль".
Психологический портрет:
Мужчина/женщина от 18 до 60 лет;
Тип темперамента - Холерик/Сангвиник;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.

1.2.3 Фишинг
Техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо например от банка. В данном письме содержится форма для ввода персональных данных (login, password, pin-code, CVV/CVC) или ссылка на web-страницу, где располагается такая форма. Основные причины, по которым жертва начинает доверять подобным страницам разнообразны: от блокировки аккаунта до утери данных и прочих.

Против кого применять: против сотрудников крупных компаний.
Психологический портрет:
Мужчина/женщина от 25-40 лет;
Тип темперамента - Сангвиник;
Характер - экстраверт, эмоционально стабильный, уживчивый, слабый уровень самоконтроля.

1.2.4 Дорожное яблоко
Этот метод атаки представляет собой так называемую адаптацию "троянского коня" и состоит в использовании физических носителей. Исполнитель подбрасывает жертве диск/карту памяти/жесткий диск в проходимом месте (лифт, парковка, лестничный пролёт), иными словами там, где его будет проще всего найти. Этот "троянский конь" подделывается под официальный или оригинальный, чтобы вызвать чрезмерное любопытство у жертвы.
Как пример - Исполнитель оставляет флешку на которой красуется надпись - зарплатная ведомость сотрудников ОВД первомайского района. Флешка может быть оставлена в лифте. Жертва по своему любопытству/незнанию, подберет носитель и воткнет его в компьютер. Дело сделано.

Против кого применять: против "любопытных Варвар"
Психологический портрет:
Мужчина/женщина от 18-45 лет;
Тип темперамента - Сангвиник/Холерик;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.

1.2.5 Претекстинг
Это набор определенных/заготовленных/клешированных действий, который применяется по заранее обговоренному сценарию. В конечном счёте жертва должна выполнить действие, которое Вам нужно. Зачастую в этом способе прибегают к "голосовой атаке", т.е. с применением средств связи. Для удачного результата, исполнителю рекомендуется обладать какой-либо информацией о предполагаемой "жертве" (имя, место работы, дату рождения и т.п.). Самая главная цель исполнителя - войти в доверие и получить необходимую ему информацию. Самый наглядный пример претекстинга - "чифирные звоночки сотрудников сбербанка".

Против кого применять: против всех.
Психологический портрет:
Мужчина/женщина от 18-65 лет;
Тип темперамента - Сангвиник/Холерик;
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.

1.2.6 Плечевой серфинг
Попросту "подглядывание", наблюдение за "жертвой" вживую. Таким способом достаточно легко получить логины/пароли/явки в местах общественного пользования (парк, ресторан, вокзалы, аэропорты и т.д.)

Против кого применять: против всех.
Психологический портрет:
Мужчина/женщина от 18-65 лет;
Тип темперамента - Сангвиник/Холерик/Меланхолик
Характер - экстраверт/интроверт, эмоционально неустойчивый/устойчивый, уживчивый, слабый уровень самоконтроля/самоконтроль на должном уровне.

1.2.7 Обратная социальная инженерия
Еще один из методов данной науки. Суть данного действия заключается в том, чтобы "жертва" сама рассказала исполнителю всю необходимую для него информацию. Не стоит смеяться и воспринимать это как сюрреализм. Некоторые люди, наделенные определенным авторитетом в каких-то сферах деятельности, зачастую получают доступ к нужным им данным по собственному решению "жертвы". Основной аспект этого метода - доверие.
Как пример - размещаете свое объявление в котором представляетесь, как "компьютерный гений Евгений", приходите к "жертве" и делаете то за чем собственно пришли.

Против кого применять: против наивных людей, домохозяек.
Психологический портрет:
Мужчина/женщина от 30-50 лет;
Тип темперамента - Сангвиник
Характер - экстраверт, эмоционально неустойчивый, уживчивый, слабый уровень самоконтроля.

На методах я пожалуй закончу статью, потому что не хочу нагружать Вас сразу миллионом знаков. В следующей статье, я подробно напишу про методы противодействия, защиты и выводы. А пока - спасибо, что прочитали и дали мне фидбек! Всего Вам доброго.

Все уязвимы к атакам социальных инженеров, и единственная эффективная система защиты компании – обучать и тренировать людей, давая им необходимые навыки для распознавания социального инженера. А потом постоянно напоминать людям о том, что они выучили на тренировке, но способны забыть - Кевин Митник.

 

[12 обезьян]

Спасибо, было очень познавательно прочитать структурированную информацию с научным подходом и логикой. Это как говорится -цыгане очень удивились, когда узнали, что оказываются владеют методами такой науки как НЛП и что даже если вучат все термины, то могут претендовать на ученую степень .

 

[Estoqade]

Спасибо, было очень познавательно прочитать структурированную информацию с научным подходом и логикой. Это как говорится -цыгане очень удивились, когда узнали, что оказываются владеют методами такой науки как НЛП и что даже если вучат все термины, то могут претендовать на ученую степень .

Благодарю) Все равно тут очень сжато-скудненько, потому что, если расписывать подробно, то можно весь форум засрать))) А касаемо цыган - удивительные люди. У них на генном уровне НЛП и гипноз заложены, а они это называют - дярагой, иди суда ручка залатит буду.

 

[return_a]

Хочу рассказать небольшой свой опыт СИ.
Может это будет слишком тупо и глупо, но все же расскажу, может кому будет надо)
Я увлекаюсь сложным программным обеспечением (СОИ, ИнПУ и т.д.) и его "коллекционирую". Так вот что бы к примеру мне что-то найти (прибор, вещь, технику, документ...) я прежде узнаю кто его автор, если я нахожу его контакты (обычно научные публикации в них указываются контакты автора) исходя из того насколько это закрытый по информации документ я принимаю решение о том сможет ли данный синьор помидор предоставить просто так незнакомому человеку данную информацию или же я буду послан в 3 девятое государство на пень дубовый. Если нет (что часто бывает, исходя из типа требуемой мне информации) я нахожу отдел компании в которой работает человек, узнаю кто там работает сколько людей кого как зовут ищу их в социальных сетях изучаю кто может быть сговорчивым а кто нет исходя из публикуемой ими в свободном доступе информации. После пишу им уже и узнаю. Если неудача, то ищу сам отдел, кто там работал раньше ищу контакты с ними, иногда некоторых через родственников нахожу (к примеру в сети есть только сын и вот ему пишу "письмо для папы" - многие передают так как ахуевают от того что я там спрашиваю). Часто эти лица мне уже информацию так или иначе предоставляют. Если отдел маленький и нет возможности провалиться (при узнавании информации) то я прибегаю к методу знакомства "через друга" - ищу лучших или около друзей знакомлюсь с ними потом через какое-то время "как бы" случайно встретимся и я такой о а ты там работаешь? воу. ну и типа того. И тут как бы на общей теме уже узнаю информацию (уровень доверия ко мне выше если есть общий друг). Вот не знаю можно ли отнести это к СИ, но мне кажется это именно то.

 

[Jojo lover]

Как всега хорошо, было бы интересно прочитать про депрессию.

 

[Estoqade]

Как всега хорошо, было бы интересно прочитать про депрессию.

Будет сделано))

 

[stool]

Социальная инженерия 2007. Личный опыт.
На каких-то сайтах с обнаженкой, стал встречать повторяющиеся лица, но в разных позах(сейчас это называется сэлфи, тогда наверное не имело названия даже), и там не то чтобы порно, а обычная обнаженка, чаще всего банальный топлесс, смекнув куда надо(сейчас считаю что "надо" это немного в другую сторону) нарыл несколько полных паков данных девиц, причем от вполне приличных сэлфи до... Сейчас этого добра по сети тонны гуляют, тогда было меньше, и чаще всего на сайтах вроде "dagfs". В общем получилось папок 10, по фоток 20. Далее регистрация на всяких помойках типа мамбы, парни начинают писать сотнями, 95% из них типичные "мачо" с предложениями потрахаться сразу в ч/с, а вот остальные 5 пошли в разработку, обязательно выбор далекого города, неделя общения, максимальное погружение друг в друга, "любовь", возможно даже фото в нижнем белье, но не более, и через пару недель, иногда быстрее, иногда дольше, деньги на авиаперелет(чаще всего эта тема срабатывала) переводились по вестерн юнион на дропа(тогда такого слова я конечно не знал). Для 07/08 года 1-3к$(в лучшем случае), были хорошими деньгами для юного меня. Потрошил примерно 7 месяцев, потом как-то пришел к тому, что не очень хорошо это и завязал. Сейчас в эпоху мессенджеров, моментальных сэлфи и видеозвонков, провернуть такое не получится, но тогда, когда adsl был дома далеко не у всех, общение ограничивалось двумя часами в каком-нибудь интернет кафе и этого хватало с головой чтоб жертва теряла разум.
С девушками проблем никогда не было, но и привычка глазеть на обнаженку была, это я к тому, что начало темы может сформировать образ прыщавого онаниста).

Статья отличная, большинство инфы знал давно, но за труд в любом случае лайк.

 

[Estoqade]

Социальная инженерия 2007. Личный опыт.
На каких-то сайтах с обнаженкой, стал встречать повторяющиеся лица, но в разных позах(сейчас это называется сэлфи, тогда наверное не имело названия даже), и там не то чтобы порно, а обычная обнаженка, чаще всего банальный топлесс, смекнув куда надо(сейчас считаю что "надо" это немного в другую сторону) нарыл несколько полных паков данных девиц, причем от вполне приличных сэлфи до... Сейчас этого добра по сети тонны гуляют, тогда было меньше, и чаще всего на сайтах вроде "dagfs". В общем получилось папок 10, по фоток 20. Далее регистрация на всяких помойках типа мамбы, парни начинают писать сотнями, 95% из них типичные "мачо" с предложениями потрахаться сразу в ч/с, а вот остальные 5 пошли в разработку, обязательно выбор далекого города, неделя общения, максимальное погружение друг в друга, "любовь", возможно даже фото в нижнем белье, но не более, и через пару недель, иногда быстрее, иногда дольше, деньги на авиаперелет(чаще всего эта тема срабатывала) переводились по вестерн юнион на дропа(тогда такого слова я конечно не знал). Для 07/08 года 1-3к$(в лучшем случае), были хорошими деньгами для юного меня. Потрошил примерно 7 месяцев, потом как-то пришел к тому, что не очень хорошо это и завязал. Сейчас в эпоху мессенджеров, моментальных сэлфи и видеозвонков, провернуть такое не получится, но тогда, когда adsl был дома далеко не у всех, общение ограничивалось двумя часами в каком-нибудь интернет кафе и этого хватало с головой чтоб жертва теряла разум.
С девушками проблем никогда не было, но и привычка глазеть на обнаженку была, это я к тому, что начало темы может сформировать образ прыщавого онаниста).

Статья отличная, большинство инфы знал давно, но за труд в любом случае лайк.

Интересный способ) Тебе спасибо за благодарность)

 

[trip-hop]

Хочу освоить это искусство

 

[Elation]

 

[Andrewwww777]

Чуть ли не у каждого сейчас траблы с менталкой, неужели стало так тяжко жить ??

 

[Ganzgybazik]

Социальная инженерия крутая вещь, поможет всем в будущем.

 

[GriNgoAdios]

Очень познавательно и увлекательно, в жизни интересно это все работает?

 

[Fnaaaatic]

Материал был очень интересный, можно много чего по нему изучать.

 

[Bezdn@]

Познавательно, но очень уж тягомотно! неинтерснобыло читать!