yet
Владислав ЛукьяненкоПсихология Социальной Инженерии - введение.
Разговор будет о психологических аспектах социальной инженерии.
Ну тема не много скучная но полезная она не сильно большая чтобы лениться это все прочитать за 15 минут.
Не большой синтез, Мы - человеки, существа весьма уязвимые.
При чем уязвимость наша кроется не только в довольно слабой физической защищенности человеческого тела, а еще и в слабой защите от манипуляций на ментольном уровне.
Будут примеры, прежде чем пойдем дальше как легко завладеть доверием человека (даже искушенного!) и одурачить его, сделанные не мной.
(зарегистрировавшись на форуме выбрал профиль для себя одного, блогера на ютубе)
Имперсонализацию я выбрал не случайно: парень обладает незаурядной внешностью, несколько ограниченным словарным запасом и своеобразной эмоциональной подачей информации - все, что мне нужно, чтобы успешно сыграть "дурочка"
фото дурачка )
Что сделал дальше: предварительно изучив манеру разговора и общий эмоциональный настрой блогера, я начал писать в чат в схожей манере и примерно моделируя констукцию предложений и сам смысл, как если бы это делал имперсонализированный мною объект.
Все еще изображаю из себя "недалекого".Людям это нравиться.
Они чувствуют свое превосходство. Настроение приподнятое. Шутки шутят.
Что было дальше вкратце: Люди обсуждают бины. Кто-то спрашивает залезут ли определенные бины в турцию.
Я, знаю, что мой персонаж был недавно в турции - посмотрел ролики на ютубе.Пишут что в турции был - очередной заход идиотизма. Люди обсуждают картон, а я пишу про страну и , что я там бывал. Идиот чистой воды же!
Продолжаю спрашивать всякую ерунду.
С детской непосредственностью предлагаю одному из юзеров поговорить со мной.
Спрашиваю как его зовут. Продолжаю производить впечатление идиота.
Люди даже не думают задаться вопросом а не разводят ли их!
Чтобы разобраться в основах СИ, надо понять, что это такое и как это работает.
Что лежит в основах этих процессов, что служит базой.
Будучи профессионалом в области безопасности (не в странах СНГ и далеко не только ITсфере), я вынужден изучать и смотреть огромное кол-во материала связанного с разного рода разводами, мошенничеством и прочими манипуляциями человека, как индивидуума, так и групп людей. Манипуляция общественным мнением. формирование оного и многое другое.
Все это находиться в сфере моих компетенций и я поневоле становлюсь не просто вольным слушателем или статистом, а активным участником многих из изучаемых мною процессов.
Очень и очень многое я и мои коллеги отрабатываем в реальной жизни, собираем обратную связь, структурируем ее, анализируем и работаем дальше. Более детально о смысле и сути моей работы я говорить в рамках данной лекции я не вижу смысла.
Вернемся же к баранам
Веселье в том что очень многие хотят чтобы их наебали.Ну или так будет не против если это сделают.
Ну или по крайне мере не предпринимают активных действий для того чтобы не присесть на кукан хитрому скамеру.
Но как так , возразишь ты ? Разве люди не борются отчаянно за свои права, безопасность и право быть счастливыми в конце концов?
Да и именно поэтому они рады быть наебаны и вовлечены в эту игру.
Я намеренно называю это игрой, потому что весь процесс взломан головного мозга очень похож именно на игру Захватывающую и увлекательную игру.
Такой прикольный квест по поиску уязвимостей в алгоритмах работы мозга. Это действительно круто.
Что за СИ? Что за психологические основы? Откуда они там берутся? Как с этим работать и зачем это все вам, мошенника с большой дороги?
На самом деле СИ не есть удел исключительно плохих парней типа вас.( вас это кардеры кто пиздит деньги с банков карточек)
Отдел продаж и Маркетинг в целом занимаются этим со времен царя гороха.
И, к слову, превзошли в этой самых прокаченных мошенников Сейчас будет наглядный пример смотрим на фото.
Это реклама мужских духов. Вопрос знатокам.
Как эффективно продать мужские духи?
Что видим на фото? Мужик телка. в серых тонах. Телка обнимает чувака. Нюхает его.
Видимо пиздато пахнет раз она его обнимает и закрываю глаза нюхает его...
Как они позиционируют свою вонючку? На фото молодой парень. В строгом костюме без галстука, Сорочка расстегнута.
Его обнимает какая то симпатичная телка нюхает его и что-то шепчет на ухо. Типа поимей меня красавчик. А он смотрит на нас (в объектив) и своим уверенным взглядом говорит: Вот он я. Молодой, успешный, сексуальный. Самки хотят меня.
И ты переводишь взгляд и видишь флакон туалетной воды или дихлофоса, хрен знает что это там.
Короче это своеобразный стандарт. Тебе как бы говорят: попшикайся этой ненужной херней и станешь как этот красавчик.
Дальше идем:
Думаю тут ясно все.
А вот эту картинку чел подобрал специально
Это мужской набор да, из 70 годов
Чтобы показать что не меняеться НИЧЕГО.
Тут аналогично история: чувака (читай: тебя) сравнивают с грозным, волевым и грациозным животным, царем зверей.
Что они делают? они продают идею
Какой мужик не хочет быть обласкан сексуальной самкой?
Какой мужик не хочет быть сильным. Волевым, успешным?
Они играют на этих желаниях определенных чувствах. Проецируют эти картинки на вас, зная глубинные мотивации подавляющего большинства мужчин.
Но с другой стороны , ведь еще 50 лет назад мужик пах совсем по другому. Он пах потом, опилками, навозом, папиросами и водкой. Ну да хер с ним.
Все равно, что тогда, что сейчас, мужику нужны бабы и какой-то там "успех"
Что дальше?
Да да именно он с в трусах с большим хером фиг знает фотошоп или вату ему напихали.
Вот тут у нас смазливый красавчик, спортивного телосложение, модный, представленный с большим хером.
Какую идею нам пытаются продать теперь?
Купи у нас белые труселя и будешь таким же четким красавчиком.
А по факту...
Даже если ты напялишь эти труселя, реальность не поменяется. Ты тот же , что и был
В реальности, среднестатистический мужик в жизни выглядел бы как на последней фото слева, а не справа.
Что это означает? Они нам врут. Пиздят постоянно.
Вот еще парочка вопиющих примеров, где нашим с вами сознанием пытаются активно манипулировать в корыстных целях:
Побрызгайся дихлофосом - перестанешь быть жирным.Ну это ж наглая ложь! Любой пухлый мужик знает. что чтобы стать стройным надо пахать как проклятый в зале, а не пшыкать на себя какую-то херь! Парочку на финал ниже
Взывает к низменным чувствам. Секс - базовый инстинкт.
Улавливаешь суть? Смысл - в манипуляциях.
В манипуляциях вашим сознаем и культивации определенных взглядов и верований у вас в головах. С последующей задачей принудить вас к какому - либо действию
В вышеописанных случаях - к покупке.
Я к чему это говорю все
А к тому , что с СИ мы сталкиваемся каждый божий день Все из нас абсолютно.
Теперь о высоком. Поехали про науку.
У всех людей есть определенные паттерны поведения и общий для всех набор непропатченных (как правило) уязвимостей. Одна из, которую мы будем разбирать это - Когнитивное Искажение.
И если объяснить одним понятным предложением, то оно сводиться к тому, что если я о чем-то думаю, значит относительно этого, я - прав. Тоесть мы считаем, что наше мнение и так называемый взгляд - истина в последней инстанции. Если мне что-то нравиться , значит так оно и есть.
И мы все той или иной степени подвержены этим заблуждениям. Такие заблуждения не всегда плохи, но хорошими их назвать тоже нельзя.
В редких случаях определенные когнитивные искажения могут и сыграть на руку. но это нас не сильно интересует в рамках денной лекции.
Для мошенников и просто интересующихся когнитивной наукой людей. когнитивные искажения очень важны и мы должны их понимать хотя бы на базовом уровне ибо это - основа основ. Изучение КИ помогает нам идентифицировать процессы лежащие в основе восприятия действительности и принятия решений.
Если мы хотим воздействовать на людей, заставляя их выполнять нужные нам действия, мы должны понимать базовые механизмы принятия этих решения , глубинную мотивацию людей и как эти процессы формируются и насколько они могут быть изменены под внешними воздействиями. то есть нами.
Надеюсь пока все понятно.
Откуда берутся КИ? Из разного рода стереотипов , клише , суеверий, неверной трактовки и восприятия объективной реальности, идеологической обработке (в семье, на работе и тд) уровня осведомленности, знаний и интеллекта индивида.
В большей степени речь идет о социальной среде, но и наследственность здесь играет немаловажную роль. Ожидать от сына доярки и тракториста каких то академических высот, увы, не приходиться.
Для людей , как социальных инженеров, работа с КИ будет крайне важной. Это то, на чем будет строиться фундамент, не побоюсь этого слова.
Есть несколько самых распространенных КИ, если интересно можно загуглить, мы обратим внимание на несколько самых для нас важных.
Первый это привязка ака эффект привязки, эффект якоря, эвристика привязки или Anchoring. Грубо говоря, это - подсознательное смещение в оценке числовых и количественных показателей.
Эффект якоря достигается при условии наличия некой отправной точки. Допустим двигатель мощностью 350 лошадиных сил - не важно как эта информация попала к вам в мозг.
Цифра взята с потолка, но в мозге она осталась. Отныне и впредь вы будете подсознательно ориентироваться на эту цифру при упоминании мощности двигателя.
пример очень условный, но наглядный.
Человеческий мозг постоянно цепляется за всевозможные якоря, созданные абсолютно случайными обстоятельствами, но отживишиеся по тем или иным (и неизвестными нам!) Причинам.
Очень часто люди склонны оценивать что-либо исключительно из первоначальной величины, которая в дельнейшем подгоняется под определенный ответ.
Подобная точка отсчета может являться результатом собственных умозаключений.
Примечательно, что как в одном , так и в другом случае, оба варианта необоснованны))
Инными словами,разные точки отсчета приводят к раздичным оценкам , которые в сворю очередь склоняются к первоначальным величинам.
Какое применение это все имеет в реальой жихни?
Огромное!
Первое и простое: распродажи и манипуляции с ценой продукта
Глядя на иллюстрацию выше. вы невольно ориентируетесь на перечеркнутую цифру, сравнивая ее с финальной ценой продажи.
Заметили, как моментально повыется ценность продукта в зависимости от величины перечеркнутой цифры?)
Если интересно опять таки, в гугле узнать можно о себе много интересного.
Погнали дальше. Разьебаейство банальное разьебайство, которое порождает фишинг
Я бы даже сказал так: разьебайство и технологии - союз который дает неограниченные возможности насадить на свой хитрый кукан практически кого угодно. Тут конечно можно и про психологию поговорить, но я, пожалуй здесь обойдусь без сложных вещей, как в предидущей части. Будем чередовать нагрузку.
Итак, распиздяйство вкупе с технологическим прогрессом. Вах. Что же может быть лучше.
В силу специфики вашей деятельности, большинство нигде не чекиниться и не размещают свои фото с семьей в инсте с точной геолокацией ( хотя и такие дурочки присутствуют, ))) ( если не понятно переспроси меня объясню)
Подновляющее большинство же людей все таки активно используют эти и многие другие сервисы.Если у нас есть условная жертва и мы задались целью ее досконально изучить. то вариантов сбора информации великое множество. как и соотвественно последующих векторов атаки.
Далеко ходить не будем: инстаграм. Что может быть проще Нет у человека инстаграма? не вопрос. пробуй гугл отзывы.
Смотри куда ходила жертва, где оставила отзыв. Щас сумбурно, но хорошо проиллюстрирую принцип разработки вектора и пожатия жертвы
Взяв как раз его во внимание информацию из первой части лекции. Мы видим, что наша жертва, назовем ее Борис, ходил в ирландский паб на прошлой неделе.
Смотрим дальше Видим что борис - не дурак выпить пивка: он часто оставляет детальные отзывы о пивных заведениях с фотками и пергаментами где многоабуков Вылавливаем умеренно негативный коммент, где борис жаловался на остывшее пюре и на нескромный ценник
Открываем сайт заведения, смотрим меню, Пюре стоит 5 баксов, Пива 4. Борис как минимум оставил 9 баксов в «нашем заведении» Пишем борису на почту от лица менеджера ободранного заведения.
Уважаемый Борис! Спасибо, что посетили наше вонючее заведение и оставили отзыв. Он очень важен для нас. Мы понимаем, что провинились перед вами и чтобы сгладить свою вину предлагаем вам ваучер на бесплатный обед с пивом стоимостью 15 баксов! Просто распечатайте ваучер и предъявите его официанту. Спасибо, мы вас ждем!
Что произошло? Мы знаем что Борис потратил сумму меньше или равную той. которую мы ему предложили. Соотвественно сравнивать предложение он будет с той цифрой, которую уже оставил в заведении. Вопрос: как думаешь, откроет ли Борис прикрепленный pdf со зверьком? Ответ - с очень большой долей вероятности, да.
Если такой вектор атаки не устраивает, можно сделать наоборот. написать от лица менеджера заведения о котором Борис отозвался хорошо. Вот мы якобы хотим его отблагодарить за его прекрасный отзыв. Распечатай ваучер тра ля ля Пример условный, но полностью демонстрирует возможности хорошо подготовленного инженера.
Понимая вышеописанную логику можно планировать векторы атак до CEO корпораций или прочих эксекьютивов. Очень часто именно они и являются одними из самых незащищенных звеньев в корпорации. Самое главное, что должен знать любой социальный инженер, это то, что не взламываемых систем НЕ СУЩЕСТВУЕТ.
Вы можете миллионы долларов в очень сложные многоуровневые системы безопасности, нанимать ведущих криптографов, разрабатывать свои методы и стандарты шифрования, жить в клетке фарадея, но это все херня, если у вас работает тупой Джо!, который еле сидит в кресле после вчерашний попойки и готов сделать все что угодно, лишь бы от него отьебались.
Именно с таким материалом мы и будем работать Запомни, человеческий фактор - самое слабое звено в любой системе. И как показывает практика, атак направленных на людей с целью проникновения в закрытые системы из года в год становиться все больше и больше. И работают они одинаково хорошо всегда Потому что эксплуатируют универсальные бреши в системе - эксплоиты головного мозга.
0day уязвимости человеческой башки Зачем вкладывать средства и время на написание сложных скриптов, изучать метсплоит, содержать штат, шифроваться и переживать за сохранность себя и команды своих разрабов, когда можно одним визитом в офис проникнуть в систему без особого труда
Тонкостей великое множество и СИ очень увлекательна Так, отрабатывая атаку на мужчин, в большинстве случаев лучше работать женщиной. Так сложилось что мужики относятся к бабам трепетно и млеют перед ними.
Человек хочет помогать другому человеку. Это заложено в нашей природе. Хочет сопереживать. Эмпатия велико добро и зло одновременно. Это тоже можно и нужно использовать в своих целях; притворяйтесь жертвой. Используйте устаканившиеся социальное механики чтобы к себе цель; ненавязчивые комплименты, подлизаться, место или пропустить вперед в конце концов.
Представляясь женщиной, представляйте вымышленного мужа тираном, который издевается над вами, заставляя жертву проникнуться
Классический (уже) пример проникновения на закрытую территорию; беременная замученная баба с двумя подставками по 4 кофе в каждой руке. Бинго. Идет к себе в офис. Еле тащится.
Звоня в техотдел, 10 раз подряд просите прощения у сисадмина, представляясь новеньким работником только что прибывшим из колледжа и ничего не понимающим ставьте запись детского плача - человек инстинктивно реагирует. Детский плач сильнейший раздражитель.
Человек - дурак И очень часто нарушает инструкции По этому СИ будет жить и использовать воистину допотопные техники для реализации атак и достижений поставленных целей…