Социальная инженерия

Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе.

Почему мы попадаемся: когнитивные искажения

Цель того, кто использует приемы социальной инженерии, — управлять нами, проникнув в нашу систему мышления. Мошенники — настоящие эксперты в деле обнаружения человеческих слабостей и умеют обратить эти слабости себе на пользу. Они искусно манипулируют самыми разными человеческими эмоциями — алчностью, любопытством, щедростью, страхом. Чувство страха способно уберечь нас от беды — оно заставляет нас спасаться бегством от преследователя, бежать из здания, охваченного огнем, но это же чувство может быть использовано и против нас. И в результате люди становятся жертвами не только мошенников, но и самих себя — своих когнитивных искажений. Грубо говоря, когнитивные искажения — это ошибки мышления, происходящие при обработке полученной нами информации. Человеку, чтобы принять решение, приходится обрабатывать массу информации, и иногда это надо делать очень быстро. Когнитивные искажения происходят тогда, когда нам надо быстро принять какое-то решение, — мы словно срезаем углы, чтобы скорее добраться к цели. Такое «срезание углов» чрезвычайно полезно в некоторых ситуациях — когда надо быстро уйти от опасности, как в случае с горящим зданием. Но оно куда менее полезно, когда нас пытаются обмануть. На принятие решения влияет великое множество самых разных искажений, но зная об их существовании, осознавая, какими могут быть основные из них, вы избежите многих расставленных мошенниками ловушек.

Эвристический аффект

Эвристический аффект — это немедленная, «животная» реакция, когда вы принимаете решение мгновенно, на уровне эмоций. Например, если вам что-то нравится, вы решаете, что это что-то оказывает на вашу жизнь благотворное влияние. Грубо говоря, то, как вы себя чувствуете, влияет на то, как вы интерпретируете ситуацию. На что это похоже: если вы в детстве каждое лето проводили с семьей на берегу озера, в котором с удовольствием плескались и плавали, вид водного пространства будет вас успокаивать, доставлять вам удовольствие. Но если вы в детстве чуть было не утонули, вид воды заставит вас ощущать беспокойство и страх. Ваши связанные с водой ощущения напрямую воздействуют на вашу реакцию.

Эффект приманки

Эффект приманки возникает, когда надо сделать выбор между двумя вариантами и вдруг появляется третий вариант. Этот третий вариант становится своеобразным мерилом двух предыдущих. Джо Хубер, профессор-маркетолог из Университета Дьюка, объясняет, как работает эффект приманки, когда людей спрашивают об их ресторанных предпочтениях. Им предлагают выбрать между двумя ресторанами — один, шикарный, пятизвездочный, в котором еда наверняка очень вкусная, находится довольно далеко. А поблизости — ресторан трехзвездочный, кухня в котором — ну не так чтобы очень. Опрашиваемые никак не могут решить, какой выбрать — тот, в который надо долго ехать, но в котором им наверняка подадут изысканные кушанья, или тот, в котором еда не столь замечательная, зато ехать никуда не надо. Пока они решают, им предлагают третий вариант — двухзвездочный ресторан, скорее — обыкновенная забегаловка, а расположен он как раз между первым и вторым. И тогда опрашиваемые выбирают трехзвездочный ресторан: он привлекательнее двухзвездочного как по качеству, так и по местоположению.

Наш мозг «взламывают» даже кофейни. На что это похоже: еще не так давно при заказе кофе в ресторане, в Dunkin’ Donuts или в Starbucks, у нас имелось три варианта выбора: кофе маленький, средний или большой. Теперь ввели еще два варианта: супербольшой и «высокий». И мы выбираем средний, хотя раньше выбирали маленький. Эффект обманки заставляет наш мозг сравнивать старые и новые возможности и выбирать порцию, пусть ненамного, но большую, чем мы выбирали ранее.

Эффект страуса

Мы жаждем получить как можно больше информации — когда она носит положительный характер. Но когда информация негативная — пусть даже и полезная, — люди часто предпочитают ее не знать. Как легко догадаться, эффект страуса проявляется тогда, когда мы отрицаем негативную информацию, пряча голову в песок, следуя принципу «если я этого не вижу, значит этого и не существует». На что это похоже: классическое проявление эффекта страуса — нежелание просматривать распечатку расходов по банковской карте после отпуска или больших праздников вроде Рождества. Вы прекрасно понимаете, что эта информация вряд ли доставит вам много радости, вот и тянете и не смотрите на счета, пока совсем не подопрет. Вы избегаете неприятных ощущений, сознательно ограничивая для себя доступ к информации.

Оптимистическое искажение

Чтобы двигаться вперед, мы должны на что-то надеяться, но зачастую мы бываем более оптимистичны, чем следует, и склонны отрицать реальность. Мы предполагаем, что все обернется к лучшему, а это не всегда так. Эта тенденция видеть будущее в радужном свете мешает нам подготовиться к потенциальным опасностям, и мы становимся уязвимыми. На что это похоже: человек, который смотрит в будущее с чрезмерным оптимизмом, не готов к событиям негативным, но вполне возможным. Такой человек не делает сбережений на тот случай, если вдруг останется без работы. Или пренебрегает ежегодным профилактическим осмотром у врача. Если вы не делаете сбережений и регулярно не показываетесь к врачу, результаты могут оказаться самыми плачевными.

Эффект «это было недавно»

Эффект «это было недавно» выражается в нашей склонности верить, что то, что происходило в последнее время — любая тенденция или модель, которую мы сейчас наблюдаем, — будет продолжаться и впредь. Так что вместо того, чтобы опираться на реальные данные или осознавать, что некоторые события предсказать невозможно, мы живем в убеждении, что жизнь будет оставаться такой же, как и сейчас.

Информационная безопасность

Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать. Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.

Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.

Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.

К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.

К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны. 

Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.

Техники социальной инженерии

Все техники социальной инженерии основаны на особенностях принятия решений людьми.

Претекстинг — это действие, отработанное по заранее составленному сценарию (претексту). В результате цель (жертва) должна выдать определённую информацию, или совершить определённое действие. Этот вид атак применяется обычно по телефону. Чаще эта техника включает в себя больше, чем просто ложь, и требует каких-либо предварительных исследований (например, персонализации: выяснение имени сотрудника, занимаемой им должности и названия проектов, над которыми он работает), с тем, чтобы обеспечить доверие цели.

Фишинг — техника, направленная на жульническое получение конфиденциальной информации. Обычно злоумышленник посылает цели e-mail, подделанный под официальное письмо — от банка или платёжной системы — требующее «проверки» определённой информации, или совершения определённых действий. Это письмо обычно содержит ссылку на фальшивую web-страницу, имитирующую официальную, с корпоративным логотипом и содержимым, и содержащую форму, требующую ввести конфиденциальную информацию — от домашнего адреса до пин-кода банковской карты.

Троянский конь: Эта техника эксплуатирует любопытство, либо алчность цели. Злоумышленник отправляет e-mail, содержащий во вложении важное обновление антивируса, или даже свежий компромат на сотрудника. Такая техника остаётся эффективной, пока пользователи будут слепо кликать по любым вложениям.

Дорожное яблоко: Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник может подбросить инфицированный CD, или карту памяти, в месте, где носитель может быть легко найден (коридор, лифт, парковка). Носитель подделывается под официальный, и сопровождается подписью, призванной вызвать любопытство.

Пример: Злоумышленник может подбросить CD, снабжённый корпоративным логотипом, и ссылкой на официальный сайт компании цели, и снабдить его надписью «Заработная плата руководящего состава Q1 2010». Диск может быть оставлен на полу лифта, или в вестибюле. Сотрудник по незнанию может подобрать диск, и вставить его в компьютер, чтобы удовлетворить своё любопытство.

Кви про кво: Злоумышленник может позвонить по случайному номеру в компанию, и представиться сотрудником техподдержки, опрашивающим, есть ли какие-либо технические проблемы. В случае, если они есть, в процессе их «решения» цель вводит команды, которые позволяют злоумышленнику запустить вредоносное программное обеспечение.

Меры противодействия

Самый основной способ защиты от социальной инженерии — это обучение. Т.к. тот, кто предупреждён – тот вооружён. И незнание в свою очередь не освобождает от ответственности. Все работники компании должны знать об опасности раскрытия информации и способах ее предотвращения. 

Кроме того, сотрудники компании должны иметь четкие инструкции о том, как, на какие темы говорить с собеседником, какую информацию для точной аутентификации собеседника им необходимо у него получить. 

Вот некоторые правила, которые будут полезны:

1. Все пользовательские пароли являются собственностью компании. Всем сотрудникам должно быть разъяснено в день приема на работу, что те пароли, которые им выдали, нельзя использовать в каких бы то ни было других целях, например, для авторизации на интернет-сайтах (известно, что человеку трудно держать в голове все пароли и коды доступа, поэтому он часто пользуется одним паролем для разных ситуаций). 

Как такая уязвимость может быть использована в социальной инженерии? Допустим, сотрудник компании стал жертвой фишинга. В результате его пароль на некотором интернет-сайте стал известен третьим лицам. Если этот пароль совпадает с тем, который используется в компании, возникает потенциальная угроза безопасности самой компании. В принципе, даже не обязательно, чтобы сотрудник компании становился жертвой фишинга. Нет никаких гарантий, что на сайтах, где он авторизуется, соблюдается необходимый уровень безопасности. Так что, потенциальная угроза всегда существует. 

2. Все сотрудники должны быть проинструктированы, как вести себя с посетителями. Необходимы четкие правила для установления личности посетителя и его сопровождения. При посетителе всегда должен находиться кто-то из сотрудников компании. Если сотрудник компании встречает посетителя, бродящего по зданию в одиночку, то он должен иметь необходимые инструкции для корректного выяснения того, с какой целью посетитель оказался в этой части здания и где его сопровождение. 

3. Должно существовать правило корректного раскрытия только действительно необходимой информации по телефону и при личном разговоре, а так же процедура проверки является ли тот, кто что-либо запрашивает действительным сотрудником компании. Не секрет, что большая часть информации добывается злоумышленником при непосредственном общении с сотрудниками компании. Надо учесть еще тот факт, что в крупных компаниях сотрудники могут не знать друг друга, поэтому злоумышленник может запросто прикинуться сотрудником, которому требуется помощь. 

"Стадное чувство" или "Закон 5-ти процентов

Суть такова – если в какой-то общности 5% процентов совершают одновременно определенное действие – остальное большинство начинает повторять. Если в мирно пасущемся табуне лошадей испугать 5% особей и «пустить их в бегство», то весь остальной табун сорвется с места; если даже 5% светлячков случайно синхронно вспыхнут, то тут же будет вспышка целого луга :)

Данная особенность проявляется и у людей. Недавно английские ученые поставили эксперимент: в большую, просторную залу пригласили людей и дали им задание «перемещайтесь как вам угодно». А некоторым давали четко определенное задание как именно двигаться и когда. Таким образом было экспериментально подтверждено, что 5% человек перемещающихся с определенной целью могут заставить всё множество двигаться в том же направлении.

Для автосинхронизации необходимо, чтобы множество неких объектов обладали хотя бы отчасти идентичным информационно-алгоритмическим состоянием u находились в условиях, допускающих информационный обмен между ними — хотя бы безадресный, циркулярный. При этом быстродействие их по реакции на прохождение информации, идентичной для всех них, должно быть достаточно высоким.

Кстати подобный эксперимент может провести каждый. Достаточно прийти на концерт с компанией друзей и начать синхронно хлопать в те моменты, когда вам это хочется и весь зал будет за вами повторять. 

Некоторые практические выводы из этого: не стоит делать коллективы больше 20 человек. 20 человек / 100% * 5% = 1 – эта единица и есть лидер, увеличение же количества человек влечет за собой потерю управления. В аудитории, где человек 30-40, преподавателю будет очень трудно задавать тон занятия и постоянно держать внимание группы. Этот закон можно применять и к другим ситуациям, пробуйте, но не стоит полностью полагаться на него. нет ничего абсолютного. Запуск таких процессов возможен только тогда, когда люди находятся в состоянии не осознания своих действий, целей и причины. Когда уровень личной дисциплины, осознанности, контроля очень низок.

Правила успешного социального хакера

Номер один – уверенность в себе. 

Если вы не будете уверенны в себе, можете даже не лезть сюда, это сразу заметно, просто вспомните свои или чьи-либо выступления, когда люди выглядят неуверенно, даже не хочется их слушать. Это как фундамент всего.

Номер два - самовнушение.

Самовнушение, это мой конёк, я за считаные секунды начинаю сам себе верить, в любую чушь, но это так же убивает меня, моя реакция почти всегда наиграна, об это чуть позже. Если вы верите сами себе, это уже сильно, но на этом не всё, посмотрите с другой стороны, глазами другого человека, если не всё так гладко, то вам стоит перебрать варианты как подойти лучше. Если вы не поверили сами себе, подумайте почему, измените что-то в рассказе.

Номер три – запоминай всё.

Я всегда помню что и где я даже преувеличил в своём рассказе, помню всё о чём я врал, до мелочей, гайдики как распознать лжеца, в стиле рассказать всё задом наперёд просто отпадают. Если вы помните всю свою ложь, шанс что вас накроют минимален, все мои знакомые думают что я никогда не лгал им по серьёзному, и так же это опыт, вы запомните всё о чём когда-либо лгали, вы построите собственные шаблоны, вам будет легче придумывать километровые истории что бы очередной школьник отдал вам свой шмот в стиме. Так же человеку очень льстит что вы запомните всякие мелочи о нём, у меня с этим так же нет проблем, я всегда слушаю людей, запоминаю их предпочтения и т.д.

Номер четыре – примеряй маски

Найди для себя основные стили поведения, подставляй их там где это нужно, уверенный в себе, просто ссыкунишка который сам ничего не может, человек который никуда не лезет, наоборот тот который заёбывает всё и вся, эксперементируй, получай опыт, свои личные шаблоны поведения никогда не помешают.

Номер пять – замечайте мелочи

Напоминает пункт третий, но это чутка не то, тут вы должны анализировать поведение, повадки людей, даже окружение, дом, его друзей и т.д., находить слабые места, находить то за что можно уцепиться, например хобби, найти общею тему для разговора.

Номер шесть – прикупите доверие человека

При первой встрече, стоит как-то вызвать его доверие, стрельнуть сигу, купить кофе, что-либо ещё, сразу с размаху найти общею тему для разговора и цепанитесь за мелочи, анализируйте.

Номер семь – умейте поддержать разговор

Всегда умейте поддержать разговор, как пример, задавать незначимые вопросы если это первая встреча, узнавайте мелочи про человека, кем работает/учится, его хобби, от этого отталкивайтесь, задавайте вопрос с продолжением, что бы с ответа можно было разговор толкнуть дальше, если разговор ведёте только вы, дайте собеседнику говорить тоже, создайте неуют, начните молчать и смотреть прямо на собеседника, как и было описано выше, анализируйте, ищите нитки что бы цепануть.

Номер восемь – научитесь продавать себя

Продавать себя, стройте из себя лучший выбор в жизни человека, стройте из себя просто идеал.

Что-то в стиле “5 шагов”, как работают продавцы в магазинах, впарить абсолютно ненужный товар.

Презентовать его, хорошенько отрекламировать как идеал, сделать “акцию”, сравнить с другими, и доказать почему именно это вам нужно. Ну или копипаста с гугла:

1. Установление контакта
2. Выявление потребностей
3. Презентация товара
4. Преодоление возражений
5. Завершение сделки

Я могу это писать вечно, есть много тонкостей, я расписал основные, что вытащил с себя сразу, подумайте сами, это никогда не помешает.

Я рассказал основное про ваше поведение и настрой себя на ложь, стартовая настройка скажем так. Всё это поможет вам построить личные шаблоны, при помощи наработанных шаблонов, сразу всё станет легче.

Дальше пойдут примеры как можно сыграть на чувствах:

Всё что тут расписано это достаточно просто, это не работает так легко, в основном такие дела продлеваются на недели, месяца, так легко ничего не бывает, нужно впахивать.

Срочность

Либо сейчас, либо найду другого, работает очень часто, т.к. не даёт времени на размышление, начинаются нервы, и очень часто происходит ошибочный выбор.

Внушение важности

Нужно что-то преподать человеку, что бы он и не понял что ему это впихнули, а потом это забрать, ему эта вещь была не нужна, но теперь без неё он не представляет жизни. Вещи, тут как метафора, в основном используют как нужную вещь людей, их способности, что бы завысить ценик, зарплату и т.д., много исходов.

Доказать человеку что он важное звено, и разрушить эту иллюзию

Ну, тут всё просто, притягиваем человека, повышая его ЧСВ и самооценку, потом шлём нахуй, если вы девушка, очень легко получать что-либо от ссыкливых и замкнутых парнишек, если вы парень, проделать это с кем угодно, дайте жертве уцепиться за что-то в вас, и он ваш.

Случай и удача

Заставьте почувствовать человека, что вы или что-либо лучшее что было с ним, такое только раз в жизни, этого больше не будет, дайте ему понять что это нужно держать и не отпускать никогда.

Как правильно "впарить" троян.

1. Полезный софт.

Отлично идут письма с предложениями полезных программ, например, ускоритель браузера, позволяющий увеличить скорость в несколько раз, или крякер паролей («Просто введите адрес сайта, и через несколько минут Вы получите все пароли!»), или программа-перехватчик чужих SMS. Удобнее всего отправить письмо со ссылкой на скачивание, можно от имени друга жертвы (узнай предварительно его почту и воспользуйся формой для анонимной отправки). Чтобы повысить уровень доверия, можно сопровождать письмо скриншотами программы.

2. Сайты знакомств.

Идеальное место для создания ботнетов, очень многие сейчас имеют аккаунты на подобных сайтах. Ты тоже обязательно заведи там профайл, знакомься, флиртуй (как показывает практика, на женские аккаунты клюют чаще). Рано или поздно жертва сама попросит тебя выслать фотографию, и тут ты, добрая душа, предложишь не одну, а целый самораспаковывающийся архив фотографий с расширением .exe или даже презентацию себя в 3D. Предварительно заинтригуй настолько, чтобы ему не терпелось поскорее открыть архив, не отвлекаясь на ненужные подозрения. Например: после того, как он попросит твое фото, напиши что-то типа «Только не удивляйся сильно, я достаточно нестандартно выгляжу. У меня есть одна деталь, которая очень нравится парням». Что конкретно ты «имела» в виду, пусть думает уже после того, как троянский конь вырвался на волю и пасется в его системе. Обязательно попроси фото взамен, чтобы у него не возникло сомнений (или ощущения невостребованности ).

3. Красимся в блондинку.

Под видом симпатичной девушки-ламера идем в чат или на форум, и жалуемся, что ну никак не получается разобраться в новой программе, которую недавно скачал старший брат. Беда в том, что брат уехал в свадебное путешествие, а тебе так не хочется отвлекать его. Программа обязательно должна быть малоизвестной и интригующей. Пусть это будет генератор кодов пополнения мобильного или интернет-счета, например. Обязательно найдется куча умников, желающих помочь красивой и глупой девушке. После того, как архив скачан, распакован и обнаружено, что генератор кодов пополнения каким-то чудом оказался генератором паролей для брута аськи, извинись и поблагодари ребят. Ведь они тебе помогли намного больше, чем сами того хотели.

4. Дорожное яблоко.

Подкидывание накопителей (флеш-карты, диски) работает почти безотказно, если сыграть на интересе. В зависимости от целевой аудитории, мотивировать к запуску на компьютере можно интригующими названиями: «Зарплата штата сотрудников (название конкурирующей компании)», «Мой первый лесби-опыт. Видео», «Узнай правду о своей жене/девушке» (подкинуть в почтовый ящик), «Мой дневник», «Секретная информация», «Для Лены. Остальным смотреть запрещается!»

5. Тестирование бета-версии новой программы.

На джоб-сайтах вешаем объявление: «Набираются люди для тестирования новой программы (суть программы). За каждую найденную ошибку – оплата (сумма). Архив с программой (12 Мб) и инструкции по почте. О желании участвовать в тестировании пишите на e-mail: beta-testing@***.com». Желательно, чтобы ящик размещался не на бесплатном сервере – так солиднее.

Качества истинного социального инженера

Для того, чтобы быть истинным социальным инженером, нужно обладать определёнными навыками. Качествами в характере, мышлении, а также в своём поведении. Да, "Серые" эпизоды часто приводят к лучшему, а не за решётку в браслетах, но, если не развиваться и стоять на одном месте, топча кривую тропинку, то однажды придут и за тобой.

ПСИХОЛОГИЯ

Настоящий социальный инженер, не важно, работая в оффлайне или онлайне, обязан разбираться в людях, в их поведении, знать слабые места, надавив на которые, можно достигнуть желаемой цели.

В этом несомненно поможет старая, добрая психология. Заруби себе топором на носу (Если нет топора, спроси у меня где взять), что люди хоть с виду и разные, но на самом деле мы во многом схожи, тупое стадо людишек, у которых многое заложено на подсознательном уровне, как исходный код в программе.

Это не значит, что нужно обложиться умными книжками и читать чужие мысли. Там есть масса интересных вещей, не спорю, например скрытые жесты, которые люди делают неосознанно, тем самым выдавая свои намерения.

Нам же вполне Достаточно анализировать, созерцать, а если обладаешь хорошей проницательностью, то считай пол дела сделано.

БЕЗОПАСНОСТЬ 

Многое зависит от твоей паранойи. Она, как двигатель безопасности, чем больше проносишь очка, тем лучше защищаешься. Моей же хватает на то, чтобы не выкидывать в мусорный пакет симкарты и прочие компрометирующие материалы.

Чисто теоретически, при наружном наблюдении мусорята не побрезгуют покопаться в твоих отходах. А поэтому я увожу в безлюдное место симкарты, телефоны, нетбуки и сжигаю.

КОНСПИРАЦИЯ

Относится к безопасности, но я всё же выделил отдельно, так как сюда входят такие понятия как: болтливость, простота, прикрытие.

Болтливость

Твои близкие, друзья, знакомые не должны даже догадываться чем ты занимаешься и зарабатываешь. Это сыграет плохую шутку, если не держать язык за зубами. Слухи быстро разносятся и кто - то захочет капнуть глубже и проверить. Делать дела лучше одному, либо с проверенными людьми, но как показывает практика, зачастую даже проверенный годами и эпизодами человек может сдать тебя с потрохами при личной выгоде. Но бывает и так, что партнерские отношения перерастают в крепкую дружбу.

Простота

Не показывай, что у тебя есть деньги. Будь проще, не разбрасывайся деньгами, покупая девочек, дорогие автомобили, цацки - пецки. Это также привлечёт ненужное внимание. Тут примером могу выделить Сергея Мавродия. Кто на первый взгляд определит, что у этого человека есть большие деньги?! Взгляни, как он выглядит, его одежда, очки. Простой, среднестатистический человек.

Прикрытие

Под прикрытием я подразумеваю некую легальную деятельность : официальная работа, интернет магазин, работа с партнёрками, фрилансинг. Да всё что угодно, лишь бы был легальный доход и возможность предоставить доказательства этого.

УСИДЧИВОСТЬ

Дааа, Браток, без неё никуда! Если будешь ленивым, ублюдочным куском мяса, бросая на полпути задуманное, то так и останешься в этом дерьме по колено. Сюда же мы отнесём и терпение, это тот самый момент, когда терпеть - не значит быть терпилой.

ИМПРОВИЗАЦИЯ

В хорошем социальном инженере живёт хороший актёр. А хорошие актёры должны уметь что?! Правильно, импровизировать. Умение выкрутиться из той или иной ситуации, особенно когда всё пошло не по плану.

ЗНАНИЕ ГРАФИЧЕСКИХ РЕДАКТОРОВ

В нашем деле нужно уметь пользоваться многими программами, но графические редакторы - это базовый уровень для социального инженера. Нередко требуется подделать: чеки, документы, справки, ну или просто слепить какую - нибудь фотографию.

Причём всё это нужно сделать быстро, чётко, а самое главное максимально качественно.

ЯСНЫЙ УМ

Никогда не "Работай" когда ты под шофе, а лучше вообще не пей. Второй пункт автоматически слетает при отсутствии инстинкта самосохранения, а его алкоголь, как известно притупляет.

Займись спортом: штанга, единоборства, брусья, пробежки, да хотя бы просто на скакалке попрыгай, чтобы дать приток кислорода мозгу.

КРЕАТИВНОСТЬ

Без креативности в нашем деле никуда, к делу подходить нужно творчески, с изюминкой.

Находя нестандартные методы и решения, можно добиться большого успеха, вдохнуть жизнь в "Паблик", который, как стоячая вода уже напрочь протух.

Полезные книги по СИ

1. Искусство обмана. К. Д. Митник.

«Искусство обмана» показывает насколько мы все уязвимы – правительство, бизнес, и каждый из нас лично – к вторжениям социальных инженеров. В этой сознательно-безопасной эре мы тратим огромные деньги на технологии защиты наших компьютерных сетей и данных. Эта книга показывает, как легко можно обманывать посвященных лиц и всю эту технологическую защиту.

Работаете ли вы в правительстве или же занимаетесь бизнесом, эта книга снабдит вас качественным планом, поможет вам понять, как социальные инженеры работают, и что вы можете сделать, чтобы помешать им. Используя придуманные истории, которые одновременно развлекают и просвещают, Кевин и его соавтор Билл Симон воплотили в жизнь технику социальной инженерии. После каждой истории они предлагают практические указания, чтобы помочь защититься от нарушений и угроз, которые они описывают.

Технологические меры безопасности оставляют большие пробелы, которые люди, как Кевин, помогут вам закрыть. Прочитав эту книгу, вы поймете, как предотвращать, обнаруживать и отвечать на угрозы информационной безопасности.

2. Искусство вторжения. Кевин Д. Митник, Вильям Л. Саймон.

Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт. Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании. 

3. Призрак в сети. Мемуары величайшего хакера. Кевин Д. Митник, Вильям Л. Саймон.

Кевин Митник по праву считается самым неуловимым мастером компьютерного взлома в истории. Он проникал в сети и компьютеры крупнейших мировых компаний, и как бы оперативно ни спохватывались власти, Митник был быстрее, вихрем проносясь через телефонные коммутаторы, компьютерные системы и сотовые сети. Он долгие годы рыскал по киберпространству, всегда опережая преследователей не на шаг, а на три шага, и заслужил славу человека, которого невозможно остановить. Но для Митника хакерство не сводилось только к технологическим эпизодам, он плел хитроумные сети обмана, проявляя редкое коварство и выпытывая у ничего не подозревающего собеседника ценную информацию. 

4. Социальная инженерия и социальные хакеры. Максим Кузнецов, Игорь Симдянов.

В книге описан арсенал основных средств современного социального хакера (трансактный анализ, нейролингвистическое программирование), рассмотрены и подробно разобраны многочисленные примеры социального программирования (науки, изучающей программирование поведения человека) и способы защиты от социального хакерства. Книга будет полезна IT-специалистам, сотрудникам служб безопасности предприятий, психологам, изучающим социальную инженерию и социальное программирование, а также пользователям ПК, поскольку именно они часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

5. Игры, в которые играют люди. Эрик Берн.

Эта книга, успешно выдержавшая множество переизданий и выпущенная многомиллионным тиражом на многих языках, посвящена тому, чтобы научить читателя профессионально анализировать нюансы своего общения, а также помочь избавиться от многих поведенческих стереотипов и комплексов, мешающих в повседневной жизни. Первоначально данная работа задумывалась как продвинутый учебник психоанализа, однако в итоге автор сумел изложить ее простым и доступным каждому языком с использованием ярких и остроумных образов. «Люди, которые играют в игры», ставшая интернациональным бестселлером много лет назад, до сих пор остается одной из популярнейших книг по психологии во всем мире.

Будьте осторожны и не стесняйтесь внимательно присматриваться к окружению и перепроверять информацию — это основа вашей безопасности.