7 Самых популярных направлений Социальной Инженерии

7 Самых популярных направлений Социальной Инженерии

Darkside 1.0 | read 6 min

“Социальная инженерия” — это набор различных мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем.



Приветствую тебя дорогой подписчик канала Darkside 1.0



1. Кардинг


Данный вид мошенничества включает в себя различные действия и махинации с банковскими картами, реквизитами и т.д. Ранее, в 90-х годах, данный вид мошенничества процветал. Использовались разные устройства, которые на банкоматах считывали реквизиты, пин-коды и пароли. Сейчас, конечно, защита терминалов совершенно на другом уровне, но кардинг полностью не ушел.


2. Фишинг


Это вид мошенничества, который дословно с английского переводится как “рыбная ловля”. К чему такая аналогия?

Основная суть данного метода — это завладение вашими логинами и паролями от важных сайтов, аккаунтов, счетов в банке и т.д. путем рассылок с вредоносными письмами на электронную почту, либо направление вас на мошеннические сайты. Как вы понимаете, данный вид атаки массовый, а не единичный, именно поэтому “фишинг”., чтобы вы понимали, как это работает.


На примере с письмами все довольно просто. Вам приходит письмо на вашу почту, допустим, от банка, где написано что-то типа:

“Уважаемый клиент, с вашим аккаунтом произошел сбой, нужно подтвердить вашу личность, перейдите по такой-то ссылке…”

Основная задача таких писем перевести вас по ссылке. Как только вы нажмете на нее, считайте, что ваши личные данные в кармане у мошенника.

Другой пример — фишинговые сайты. На них обычно так же создают “проблему” или, как говорят продажники, “боль клиента”, и пишут, что вам нужно заполнить форму (логин/пароль) и зарегистрироваться. После этого ваша “проблема” решится. Сделав это, вы собственноручно отправляете все свои данные в карман мошеннику. Как ещё одна иллюстрация: иногда для скачивания какого-либо документа вас просят написать свой номер телефона, чтобы подтвердить, что вы реальный человек, якобы. Снизу, обычно, идут комментарии наподобие «Написал свой номер и скачал, все прекрасно, не развод!» Такого рода комменты призваны вселить в вас доверие.


В настоящий момент ИБ (информационная безопасность) шагнула очень далеко вперед, как и разработчики поисковых систем, которыми вы пользуетесь. Поэтому большинство сервисов умеют определять фишинговые письма (они отправляют их в спам) и вредоносные сайты. Ну и потом, обычные антивирусы делают это еще лучше. Но, к сожалению или к счастью, прогресс — всегда двухсторонний процесс. Когда разрабатываются новые системы защиты, мошенники также совершенствуют методы нападения. Поэтому по сей день фишинговые атаки популярны и, если письма/сайты грамотно составлены (психологически и визуально),

все равно есть шанс попасться на удочку.


3. Фарминг


Данный вид мошенничества более опасен, чем фишинг, хотя и напрямую связан с ним. Это скрытое перенаправление пользователя на ложный IP адрес. Механизм довольно простой: социальный инженер заводит в сеть специальные вредоносные программы, которые может подцепить любой пользователь на свой PC, если тот не сильно защищен. Функция этих программ перенаправлять людей с различных нормальных сайтов на фишинговые. Метод очень опасен тем, что пользователь часто не видит подмены.


4. Механизм влияния


Первый и, на мой взгляд, самый важный инструмент, который наиболее подходит под нужды мошенников, — психология влияния и понимание механизмов, которые позволяют находить бреши в убеждениях и ценностях людей. Самая фундаментальная работа на эту тему называется «Психология влияния» под авторством Роберта Чалдини. Если вы реально хотите разобраться с темой влияния и манипуляций, лучше книги вы не найдёте. Это ведущий эксперт в данной области.


Итак, в психологии влияния выделяют одно фундаментальное правило: существуют базовые механизмы влияния, и ВСЕ люди в мире подвержены ХОТЯ БЫ одному-двум из них. Все зависит от того, насколько развито ваше критическое мышление и какой у вас уровень интеллекта. Чем данные показатели выше, тем ниже шанс «попасть под удар», но, если вы нарвётесь на грамотного исполнителя, все становится сложнее.


Некоторые механизмы я уже приводил в пример. Один из них — «принцип контраста» (пример, когда «сисадмин» позвонил в 8 утра в воскресенье).

Его суть заключается в том, что, сначала, вас опускают в негативные и не комфортные условия, а после того, как вы «поваритесь» в этом, вам предлагают решение, и оно будет как лучик света в тёмном царстве. Ваша внутренняя сигнализация, скорее всего, не заорёт после такого приема, так как он очень опасный и хитрый по-своему.


Один из моих самых излюбленных приемов — «принцип взаимного обмена». Он очень многовариативный, но, чтобы вы поняли суть, объясню на простом примере. Стоите вы в длинной очереди и замечаете человека, который, допустим, чем-то расстроен (он абсолютно нормальный, просто стоит намного раньше вас и ближе к началу очереди). Вы подходите к нему и протягиваете шоколадку, мило улыбаясь и говоря, что хотите поднять ему настроение. Для человека это очень неожиданно и приятно. Поверьте, любой растает.

Эффект после такого приема очень простой — человек будет чувствовать себя должным вам подсознательно по причине того, что за услугу обычно оказывают услугу в ответ. Дальше дело техники и актерской игры. Через какое-то время вы начинаете себя немного нервозно вести, спрашивать у окружающих про время и постоянно повторять, что, видимо, вы опоздаете на работу. Ну и по закону жанра есть очень высокий процент, что тот самый близко стоящий к началу очереди человек предложит вам пройти раньше него. Этот пример очень милый и безобидный, думаю, не сложно догадаться, сколько у него есть вариаций и возможностей применения. Таких механизмов не так уж и много, и Чалдини прекрасно описывает их все. Мы с коллегами так же преподаем их нашим студентам в рамках различных курсов.


Прелесть механизмов влияния для социальной инженерии состоит в том, что они хороши для использования как в индивидуальном порядке, так и для воздействия на массы людей. Зная их, вы сможете хорошо обезопасить себя от применения их против вас.


5. Управление эмоциональным состоянием человека


Один из главных навыков, которым обладает любой профессиональный мошенник — управление эмоциями человека. Есть золотое правило в переговорах и в любом диалоге: тот, кто может вызвать любую эмоцию у собеседника, будет всегда управлять беседой. Злоумышленники прекрасно знают это правило и, к сожалению, активно им пользуются. Главный инструмент в этой теме — провокации. Самые частые примеры — это вызывание таких состояний, как жалость, чувство вины, сострадание («Пожалей меня, детям нечего есть», — говорят цыганки), чувство несправедливости и другое. В большинстве случаев — это самые действенные стратегии. В связи с этим есть один очень важный совет: если незнакомый вам человек пытается вызвать у вас какие-либо чувства без причины, надо насторожиться и быть очень внимательным. Такого рода манипуляции очень просто рушатся обычной логикой и детальными вопросами. И ещё один совет: чтобы быть более эмоционально-устойчивым и критичным (не призываю вас быть черствыми) — прокачивайте свой EQ (эмоциональный интеллект). Литературы на эту тему в интернете лежит гора.


6. Профилирование


Профилирование (составление профиля человека — психологического портрета) — это чисто индивидуально-ориентированный инструмент. Это крайне сложная наука и требует большой квалификации и знаний. Мы с коллегами в профайлинге используем разные технологии профилирования, и я как-нибудь напишу отдельную статью об этом. Как показывает практика, большинство социальных инженеров, к счастью, не очень сильны в данной теме и ищут уязвимости людей другими способами, хотя с точки зрения индивидуального подхода — это самый мощный способ.


7. Психология масс


Данные знания очень хорошо коррелируются с механизмами влияния, потому что многие из них можно использовать и применять массово. Социология для хакера — это прекрасные подсказки и базы данных, проанализировав которые, он может понять наиболее массовые «уязвимости» людей вплоть до конкретных регионов. Исходя из этого, хакер будет продумывать конкретные механизмы влияния через фишинговые сайты и прочие инструменты.




Всё вышеперечисленное не несёт никакой ответственности, а несёт только ознакомительный характер и не призывает никого к действию

И ещё много полезной информации вы найдете у меня на канале Darkside 1.0

Report Page