Социальная инженерия
F.Friday Team
Привет, как и любой другой теневой канал, мы не можем пропустить тему социальной инженерии.
Однако, подожди закрывать статью, ведь у нас канал-то авторский, а это значит, что и примеры будут авторскими.
Социальная инженерия:
Социальная инженерия - это вектор атак несанкционированного доступа к информации или системам хранения информации без использования техники и инструментального ПО. Вектор основан на использовании слабостей человека и является очень эффективным. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.
От автора:
Я - RIIDER, автора канала F.Friday Team.
Порой, когда мы говорим "социальная инженерия", то слышим простое слово "наеб@ть". Почему так? Всё просто. Мы не знаем приёмов и правил, а если даже догадываемся о них, то не знаем, как и когда ими пользоваться.
Вот вам пример из моей жизни:
Сидел я на работе, никого не трогал, и к нам пришли девушки на какое-то мероприятие. Одна из этих девушек мне понравилась. Не долго думая, я отключил звук на своём смартфоне, подошёл к ней, и т.к. она уже видела меня за работой, я сказал, не могла бы она дать мне свой телефон позвонить, ибо свой я где-то оставил, и не могу найти, отказываться она не стала и дала мне телефон. После набора своего номера я заметил, что у неё в смартфоне 2 SIM-карты и воспользовался этим: позвонил с одной, сказал, что нет прозвона, и набрал со второй. Далее поблагодарил её, и ушёл в свой кабинет, сказав, что телефон, возможно, остался там. В кабинете я добавил её номера в список своих контактов, импортировал её номера в приложении "ВКонтакте" и нашёл её профиль в социальной сети, где в дальнейшем и общался.
Конечно, я описал произошедшую ситуацию кратко, но передал основную мысль, а теперь предлагаю вам разобрать ситуацию и оговорить все тонкости.
Большинство из вас не заметило этих тонкостей, просто ситуация и всё, многие так делали или могли бы сделать, да?
1) когда мы играем с жертвой, важно помнить, что это наша игра, жертва не может задавать правила (я задаю правила, мне нужны 2 номера, мне нужно позвонить);
2) прогибаться перед жертвой нужно так же эффективно, как и доминировать над ней (пожалуйста, у меня беда, я не могу найти телефон);
3) важно оценивать риски и быть к ним готовым (вдруг она отказала бы дать мне телефон);
4) жестикуляция и мимика, одни из наиболее важных элементов данного вектора атаки (открытость и доброе выражение лица, внушающее доверие человеку).
Как можно заметить, это часть основных моментов о которых многие даже не задумываются.
Вот ещё пример с применением социальной инженерии к сельскому быдло (ситуация детская, но так тоже можно практиковать навыки социальной инженерии):
Одной жертве из сельской местности не понравилось что я общаюсь с его девушкой, на что я получил от него не скромный мессендж с информацией о плохих для меня последствиях. Не долго думая, я собрал на него "досье", узнал откуда он, где учится, и прочую информацию, ответил ему, что он может приезжать, если хочет обсудить этот вопрос лично. Далее, я добавил, что с самого начала переписки он был не прав, что грубить и тем более угрожать - не прилично. Сказал что это может плохо закончиться для него и он теперь будет "отвечать" за свои слова. (Конечно же я не парень с района, но с понятиями таковыми знаком) Вскоре парень признал свою вину, и уже хотел завершить диалог, когда я вновь начал ставить свои правила в игре. И у него было 3 выбора: приезжать на разговор, скинуться пацанам "на котёл" или же извиниться на камеру в мой адрес...
Краткость - сестра таланта...
Ну что же, разбираемся дальше:
1) важно знать хотя бы основы сленга разных субкультур, это позволяет понимать людей и самому быть понятым (парень понял, что я разбираюсь в этих понятиях и не смог задавить меня только из-за этого);
2) давление на жертву (лично я использовал его возраст, это была отличная точка опоры, по их понятиям я не имел права с ним разговаривать за его ошибки, и потому я сказал, что с ним будут говорить мои близкие, его ровесники);
3) умение внушать человеку то, что нужно нам (парень выбрал видео-извинение, которое мне и было нужно в дальнейшем, ибо боялся приехать поговорить и не имел личных денег, чтобы отдавать. А у меня, кстати говоря, нет таких знакомых, кто мог бы с ним поговорить и я тоже учитывал этот риск);
4) Сбор информации, чуть не забыл (найти жертву в социальных сетях можно легко, зная ФИО и дату рождения, у жертвы не было ни одной фотографии для изучения, но мне удалось за 2-3 минуты найти несколько профилей в других социальных сетях, где я узнал уже больше информации);
5) Физиогномика - наука о чертах лица (Кто-то считает это бредом, но я считаю это вполне нормальным. Зная основные аспекты, в 90% случаев можно определить характер человека, темперамент, даже слабости).
Сегодня, надеюсь, вы узнаете что-то новое для себя, ведь социальная инженерия - это не просто "наеб@лово", а наука вектора хакерской атаки на человека.
Однако кто-то может быть не согласен со мной, ведь это лично мой многолетний опыт и мои наблюдения.
F.Friday Team