Введение в искусство обмана от Кевина Митника
B1ACK_GARANT
Привет, аноним. В этой статье хочу продолжить тему искусства обмана от Кевина Митника.
Прочитайте эту статью и проведите аналогии со своей жизнью. Возможно, вам в голову придут идеи, как можно использовать эту информацию. Все приемы рабочие и имеют большую эффективность на практике.
7 приемов для успешного проведения атаки
Три главных чувства: страх, возбуждение, вина
Социальный инженер использует психологию влияния в достижении своей цели и исполнения просьб. Опытные социальные инженеры сведущи в развитии уловок, симулирующих эмоции, такие как страх, возбуждение или вина. Они делают это, используя психологические рычаги — автоматические механизмы, которые ведут людей к исполнению требований без всякой доступной им информации.
Пример атаки:
Мы все хотим избежать трудных ситуаций для нас и окружающих. Базируясь на этом позитивном импульсе, атакующий может сыграть на симпатии человека, заставить жертву чувствовать свою вину или использовать запугивание в роли оружия. Можно подстроить в определенный момент ситуацию, когда нужный человек прольет кофе на вас, а потом на фоне чувства вины можно получить от него важную информацию или другую помощь.
Авторитетность
Людям свойственно желание услужить (удовлетворить запрос) человеку с авторитетом (властью). Как говорилось раньше, человек получит нужный ответ, если сотрудник уверен, что спрашивающий имеет власть или право задавать ему этот вопрос. Поэтому для успешной атаки необходимо представиться авторитетной личностью или сослаться на нее.
Пример атаки:
Социнженер пытается выдать себя за авторитетное лицо из IT департамента или должностное лицо, выполняющее задание компании.
Умение расположить к себе
Люди имеют привычку удовлетворить запрос располагающего к себе человека, или человека со сходными интересами, мнением, взглядами, бедами либо проблемами. Человек на подсознании склонен общаться с теми, кто имеет общие интересы и цели. Поэтому есть смысл перед конкретной атакой на цель узнать интересы.
Пример атаки:
В разговоре, атакующий пытается выяснить увлечения и интересы жертвы, а потом с энтузиазмом сообщает, что все это ему близко. Также он может сообщить, что он из той же школы, места, или что-то похожее. Социальный инженер может даже подражать цели, чтобы создать сходство, видимую общность. Зная достаточно информации можно впечатлять девушек, владея интересными фактами.
Взаимность
Мы можем машинально ответить на вопрос, когда получаем что-то взамен. Подарком в этом случае может служить материальная вещь, совет или помощь. Когда кто-то делает что-то для нас, мы чувствуем желание отплатить. Эта сильная черта человеческой натуры проявляется тогда, когда получивший подарок не ждал (не просил) его. Один из самых эффективных путей повлиять на людей, чтобы получить благосклонность (расположить к себе, а, следовательно, получить информацию) — преподнести неявно обязывающий подарок.
Пример атаки:
Сотрудник получает звонок от человека, который называет себя сотрудником IT департамента. Звонящий рассказывает, что некоторые компьютеры компании заражены новым вирусом, который не обнаруживается антивирусом. Этот вирус может уничтожить (повредить) все файлы на компьютере. Звонящий предлагает поделиться информацией, как решить проблему. Затем он просит сотрудника протестировать недавно обновленную утилиту, позволяющую пользователю сменить пароли. Служащему неудобно отказать, потому что звонящий лишь предлагает помощь, которая защитит пользователей от вируса.
Ответственность
Люди имеют привычку исполнять обещанное. Раз пообещав, мы сделаем все, потому что не хотим казаться не заслуживающими доверия. Мы будем стремиться преодолеть любые препятствия для того, чтобы сдержать слово или выполнить обязанность.
Пример атаки:
Атакующий связывается с подходящим новым сотрудником и советует ознакомиться с соглашением о политиках безопасности и процедурах, потому что это — основной закон, благодаря которому можно пользоваться информационными системами компании. После обсуждения нескольких положений о безопасности атакующий просит пароль сотрудника «для подтверждения согласия» с соглашением. Он должен быть сложным для угадывания. Когда пользователь выдает свой пароль, звонящий дает рекомендации, как выбирать пароли в следующий раз, чтоб взломщикам было сложно подобрать их. Жертва соглашается следовать советам, потому что это соответствует политике компании. К тому же рабочий предполагает, что звонивший только что подтвердил его согласие следовать соглашению.
Социальная принадлежность к авторизованным
Людям свойственно не выделяться в своей социальной группе. Действия других являются гарантом истинности в вопросе поведения. Иначе говоря, «если так делают другие, я тоже должен действовать так».
Пример атаки:
Звонящий говорит, что он проверяющий и называет имена других людей из департамента, которые занимаются проверкой вместе с ним. Жертва верит, потому что остальные названные имена принадлежат работникам департамента. Затем атакующий может задавать любые вопросы, вплоть до того, какие логин и пароль использует жертва.
Ограниченное количество «бесплатного сыра» или слишком хорошее предложение
Еще одна из потенциально опасных человеческих черт для безопасности информации — вера в то, что объект делится частью информации, на которую претендуют другие, или что эта информация доступна только в этот момент.
Пример атаки:
Это будет реальная история о компании Forex Trend, которая создала положительный имидж и слишком хорошие предложения. Для клиентов предоставлялась возможность инвестировать в ПАММ-счета с доходностью 5–10% в месяц. Для получения прибыли было достаточно пополнить счет, сформировать портфель и получать прибыль. Компания позаботилась, чтобы на форумах и сайтах были только положительные отзывы, и постоянно добавляла новые акции, чтобы люди больше инвестировали. В итоге, компания работала несколько лет, а потом пропала с $5–10 миллионами.
Заключение
Попробуйте применить несколько приемов в реальной жизни. Но только не для получения каких-то данных, а для элементарных вещей. Апеллируйте до авторитета начальника в магазине и вас намного быстрее обслужат. Перед важной встречей сделайте кому-то подарок и к вам, автоматически, будет лояльное отношение. Или попробуйте вызвать чувства у людей, а на фоне их попробуйте сделать просьбу. Результатом вы будете удивлены, а после этого у вас будет больше интереса изучить тему социальной инженерии.
