Статья опубликована от имени и принадлежит https://imonfire.xyz
Социальная инженерия - совокупность приёмов, методов и технологий создания такого пространства, условий и обстоятельств, которые заставляют жертву слушаться манипулятора. Одним из самых знаменитых социальных инженеров в истории является Кевин Митник. Будучи всемирно известным компьютерным хакером и консультантом по безопасности, Митник также является автором многочисленных книг по компьютерной безопасности, посвященным, в основном, социальной инженерии и методам психологического воздействия на человека.
"Вы никогда не сможете защитить себя на 100%. То, что вы делаете, максимально защищает Вас и уменьшает риск до приемлемой степени", - Кевин Митник. Если атака происходит на какую-либо проработанную базу людей, тогда у нас есть определенный процент людей, которые перейдут по вирусной ссылке. Этот процент зависит от нашей подготовки и подготовки целевой аудитории. Он может быть 5%, 10%, а может и 50%. Абсолютно противоположный случай - атака на какую-либо отдельную личность или компанию. Рассылка вирусных писем может очень быстро привести к острой заинтересованности происходящим службой безопасности.
1. Не навредить
Прежде всего, необходимо детально прорабатывать каждого участника процесса, социальному инженеру необходимо постоянно совершать звонки и отправлять письма, поэтому, цель может заподозрить что-то. В таком случае, хороший тон - сжигать источник(fire the source - уничтожить первопричину), как только инженер подаст повод понять жертве, что имела место атака. В противном же случае, информация может быть передана в службу внутренней безопасности, системным администратором и т.д. Когда каждый участник детально проработан, до того как совершить контакт с ним, следует заранее придумать "легенду". Уверенное обоснование своих действий правдопобоной легендой снимает все подозрения. К примеру, запрашиваемая информация необходима вам для научной работы от университета или проведения социального исследования. Для того, чтобы жертва не осознала происходящее, нужно постоянно следить за её настроем и за тем, как она реагирует на вопросы. Кевин рекомендует представить у себя в голове шкалу от "я полностью доверяю Вам" и до "Я обращусь в полицию". Как только вы понимаете, что у жертвы имеются подозрения, вам необходимо задать ей личный вопрос. Личный вопрос - это великолепная возможность понять по тону голоса, подозрительно ли человек относится к звонку. Если тон не меняется/спокойный/свободный, значит, никаких подозрений у жертвы нет. В конце разговора, задайте 2-3 дополнительных вопроса, после вашей беседы, они и останутся в голове жертвы.
2. Получение информации
Для получения необходимой контактной информации вы можете позвонить в компанию и рассказать свою легенду о том, как вы сотрудничали с каким-либо отделом/человеком, но, позже, потеряли контакт. В этом нет ничего подозрительного, а для каждой компании - клиент == $. Обратите внимание, что дружелюбный тон с вашей стороны, вызывает аналогичное ощущение на другом конце провода, а использование профессионального сленга значительно повышает к вам доверие, главное - в меру. Кроме общей "психологической настройки", социальному инженеру очень важно заранее овладеть корпоративной информацией - имена, структура, должности, график и условия работы и прочее. Чем больше такой информации, тем спокойней вы будете себя чувствовать.
3. Взаимодействие с сотрудниками
Новые сотрудники и обслуживающий персонал - потенциальные жертвы социальной инженерии. Новички всегда готовы помочь, чтобы как-то проявить себя, поэтому, они очень хорошо идут на контакт, к тому же, они почти всегда недостаточно ознакомлены с внутренними правилами работы компании. Обслуживающий персонал - это тот тип сотрудников, в виду профессиональной деятельности которого, уровень понимания аспектов внутренней безопасности компании довольно-таки низкий.
4. Разрешите помочь
Схема, хорошо зарекомендовавшая себя в политике(10 правил управления обществом. Ноам Хомский) также хорошо работает и здесь. Люди всегда благодарны и с большей степенью доверия относятся к тем, кто помог решить их проблему. Суть её в том, что вы заранее создаете проблему, решаете её и заполучаете необходимую информацию. К примеру, ситуация описанная Кевином Митником. Злоумышленник позвонил жертве и представился сотрудником технической поддержки, после чего уведомил жертву о том, что возможно отключение Интернета, если это случится, тогда ей будет необходимо перезвонить по указанному номеру. Далее, злоумышленник уже сделал звонок в реальную поддержку и попросил отключить ему доступ от Интернета, представившись жертвой. Исход ситуации понятен, но, что гораздо важнее, после того как жертва перезвонила, ей аналогичным способом опять подключили Интернет(для повышения доверия) и заставили установить вирусное программное обеспечение во избежание таких проблем в дальнейшем.
5. Помогите мне
Очень часто мы готовы протянуть руку помощи младшему товарищу, особенно, если у него приятный голос молодой девушки, сгенерированный программным путем ;) Кевин приводит следующий пример: злоумышленник решил воспользоваться плохим состоянием дорог послее ранее выпавшего снега и, представившись сотрудником, попросил предоставить ему доступ для "работы на дому", таким образом ему удалось обойти двухфакторую аутентификацию.
В заключение... Обучение сотрудников безопасности должно подчеркивать: когда сомневаетесь, проверяйте, проверяйте, и еще раз проверяйте!
Понравилось? Подписывайся!
Статья опубликована от имени и принадлежит https://imonfire.xyz