Социальная инженерия

Защита корпоративной информации, сетей и рабочих станций от постоянно меняющихся внешних и внутренних угроз — задача, похожая на стрельбу по движущейся мишени. А социальная инженерия превращает эту работу в практически невозможный подвиг. Деятельность, направленная на «взлом» человеческого сознания, как правило, незаметна и способна очень глубоко проникать в систему предприятия.

Что такое социальная инженерия?

 В широком смысле под это понятие подпадают любые ситуации, в рамках которых преступники играют на особенностях человеческой психики и манипулируют индивидами так, чтобы они нарушили обычные процедуры и протоколы безопасности. Злоумышленники не пытаются проникнуть в корпоративную сеть через системные уязвимости. Их атаки направлены на людей. И те сами делятся конфиденциальной информацией, которая дает доступ в офисные помещения, системы или сети.

 Даже если у организации лучшие системы киберзащиты, межсетевые экраны и процедуры, все равно в один прекрасный день может выясниться, что киберпреступникам удалось заполучить важные закрытые данные.

Но как же всё таки развивать эти навыки? 

 Зачастую молодые пишут: "а какой уровень СИ мне для этой темы нужен?" Дядь, ну для начала, я не знаю, на что ты способен. Возьмём, к примеру, бессмертную тему по дрочерам. Кто-то умудряется делать на них несколько тысяч рублей в день, а кто-то, имея все инструменты и инструкции, ничего не зарабатывает. 

Зачастую молодые пишут: "а какой уровень СИ мне для этой темы нужен?" Дядь, ну для начала, я не знаю, на что ты способен. Возьмём, к примеру, бессмертную тему по дрочерам. Кто-то умудряется делать на них несколько тысяч рублей в день, а кто-то, имея все инструменты и инструкции, ничего не зарабатывает. 

На своём примере могу сказать, я никакие книги по психологии и социальной инженерии не читал. Я отталкивался от того, что делаю и чем занимаюсь. Возьмём старый добрый развод школьников на аккаунты в Steam, Origin и т.д. Есть задача: продать воздух. Вы же не имеете на самом деле аккаунта, ведь так? Но вам нужно показать, доказать и рассказать, что он на самом деле есть. Заставьте поверить его в это. Если вашу условную страничку зовут Петя Петров, то найдите в Steam аккаунт с логином petya2008. А ещё лучше, если в профиле аккаунта будет указано имя "Пётр" или "Петя". Понимаете фишку? Мамонты смотрят на такие мелкие детали. 

Или другой пример. Дрочеры. Я уже писал не 1 мануал на эту тему. И везде повторяюсь, придерживайтесь легенды. Легенда персонажа, в вашем случае это какая-то мадам, одна из самых важных составляющих. Если вы женщина 35 лет с ребёнком, то показывайте это не только на фото, но и в диалоге с мамонтом. Пишите, что вам нужно отойти покормить ребёнка, что нужно помочь сделать уроки. Сопровождайте это всё соответствующими фото, например, фото рук с тетрадью или дневником. В интернете таких живых фото полно. 

Схема 2: Получения информации 

Для общения со сотрудниками компаний или целью необходимо знать максимально информации, чтобы наша цель имела доверия по ключевым характеристиками. Иногда для получения этих всех данных нужно совершить несколько звонков и собирать всю информацию по крупицам. Для этого нужно хорошо готовиться и учитывать рекомендации. 

Рекомендации :

Для получения контактов можно позвонить в компанию, где работает жертва и представить легенду, как вы работали с каким-то отделом или конкретным человеком, но потом потеряли контакт. В этом нет ничего подозрительного, а для компании клиенты=деньги. И в большинстве случае с вами поделятся нужными контактами. 

Во всех разговорах необходимо иметь дружелюбный тон и использовать профессиональный сленг. Это позволяет получить минимальное доверие среди сотрудников компании. 

Владение корпоративной информацией. Таким образом, можно повысить уровень доверия, зная имена, структуру и должности сотрудников, а также определенные условия работы, название серверов, определенных процедур и т.д. 

На сегодня все!