Взлом человека
И так, снова статейка.
Сегодня немного затронем тему Социальной Инженерии (далее СИ). СИ - это своего рода психология направленная на выуживание информации, взлома, мошенничества и управление человеком.
Направлений для применения СИ огромное кол-во.
Как я уже говорил ранее - каждый взрослый человек хотя бы один раз сталкивался с СИ.
Звонки из «банка» о блокировки карты и последующими вопросами о ваших данных и карты.
«О привет! Глянь, мне тут скинули фото что твоя Юля на вечеринке с пацаном сосалась (ссылка)» . Переходим, а там фишинг сайт точь в точь как ВКонтакте, но чет логин и пароль просит. Хм, странно. Наверное авторизация сбилась. Вводим и ваши данные уплыли.
Но я неудачный парень и у меня в этот же день крадут телефон. Я же умный - сразу поставил режим пропажи и обратный номер телефона. Даже заявление пошел написал. О, СМСка пришла. «Здрасте! Компания ЭППЛ. Телефон найден. IPhone 8 256ГБ Белый. IMEI12345678. Только вот чтобы подтвердить какую-то хуйню зайдите в личный кабинет iCloud и вот вам ссылка чтоб не искали» Я конечно утрирую и там будет написано все более качественно, но у многих подсознательно, увидя данные своего телефона, даже не возникнет сомнений. Как итог - данные от ICloud украдены, ведь ссылка вела на фишинговый сайт и вор получил доступ к телефону.
Я привел банальные примеры, но из них следует, что одно из определений СИ - способ получения чего-либо, давя на «боль» жертвы и зачастую представление какой-либо личностью, либо используя ваши личные данные для получения более важных. СИ - это втирание в доверие к человеку. А когда доверяешь - ты открытая книга, а я лишь буду переворачивать странички.
Но этим СИ конечно не ограничивается. СИ может быть как и онлайн, так и оффлайн. Фильм «Поймай меня если сможешь» с Леонардо ДиКаприо, очень хорошо показывает использование СИ в реальности, конечно преукрашивая, но саму мысль доносит.
С помощью СИ и происходит зачастую промышленный шпионаж компаний. К сожалению, уровень безопасности зачастую на ступени стикера с паролем прикрепленным к монитору в офисе. Какова вероятность, что отправленное фишинговое письмо в такую организацию, с домена у которого из отличий от настоящего, изменена одна буква, будет проигнорировано? Я не занимаюсь статистикой, но уверен что более 80%.
А вот пример связанный с безопасностью ваших денег. Только в данной ситуации СИ подвергнуты два человека.
Человек теряет карту. Кто-то ее нашел и , как популярно сейчас, запостил в местные группы что я ее нашел на такое то имя, потерявший - отпишись.
Как нам получить полные данные карты?
Сами находим по имени человека Вконтакте и пишем что мы нашли карту, но так как я не уверен что это вы - назовите мне последние 4 цифры и срок годности карты.
Жертва конечно даст нам эти данные, так как они не полные, да и наш мотив ему понятен - ведь мы просто убеждаемся что это его карта.
Далее мы регистрируем аккаунт в его ФИО и пишем тому кто нашел на самом деле эту карту. Так и так - это я потерял, но тут такое дело, я на работе, а мне срочно надо заплатить за неебическую хуйню, а то директор настучит по голове что я не выполнил работу и все такое. Тебе огромное спасибо что нашел, но помоги еще, с меня шоколадка. Я данные свои все не помню с карты, болван - не записывал. Но чтобы ты убедился что это моя карта - вот тебе последние 4 цифры и срок годности (ведь мы их уже получили). У меня просто в онлайн банке последние 4 цифры отображаются, а срок годности я помню.
Для пущей убедительности, если надо, высылаем отредактированный скриншот с онлайн банка.
Если нашедший карту тупой - данные карты получены.
Данный пример лишь показывает как обезопасится и не попасть на такое. И никак не призывает к действию.
И так, что такое СИ думаю вы поняли. Здесь были приведены простые примеры, но которые имеют место быть в наши дни, я их не использую и вам не советую. Лучше аккумулируйте эти примеры в своей голове чтобы быть готовыми.