Кевин Митник является значимой фигурой в сфере информационной безопасности и одним из самых известных социальных инженеров. За необычным ярлыком должности скрывается профессиональный манипулятор, который разрабатывает эффективные способы добычи информации и воплощает работу этих стратегий до конечного результата. В этом деле ему помогают не только навыки программирования, но и обширный арсенал социологии и психологии.
Так как книга 2001 года, а зарисовки слов предназначены для рамок другой страны, то для наших с вами современных реалий некоторые данные и методы уже устарели или не являются актуальными в принципе. Но не спешите обесценивать книгу, ведь не всё простое есть банальное. Всем нам вроде как известны правила безопасного сёрфинга в интернете, но я периодически замечаю взлом страничек моих знакомых. Ссылка от подруги с просьбой помочь в голосовании лучшего фото ? Друг попросил одолжить денег ? «Авторитетное» сообщество предлагает вам открыть ссылку с какой-нибудь актуальной новостью ? Администрация просит вас авторизовать свой профиль на сайте-дубликате ? Если в те времена разговор шёл об электронной почте, то теперь нас атакуют подобными методами и в социальных сетях.
Структура книги состоит из множества историй, каждая их которых даёт представление о комплексном характере атак, хоть тут и используются, в основном, только телефонные звонки, подвешенный язык и харизма (фигурируют упоминания троянской лошадки, но второстепенным планом). Стоит сконцетрировать своё внимание не на оболочке примеров, а на логике методов. Если же вас смущает телефонное мошенничество и вы думаете, что оно давно себя изжило, то вот вам парочка моих наблюдений.
Недавно мне звонил номер 9-00 известного банка, что вообще считается невозможным. Для кого-то это будет поводом заподозрить что-то неладное, а кто-то растеряется, возьмёт трубку и попадётся на уловку подмены номера. При чём это достаточно известная схема, звонят, разумеется, не только мне.
Существует и обычное телефонное хулиганство, например: «Начальнику второго отделения прибыть в 314 кабинет…». В данном случае цель — юмор, пусть и граничащий с вандализмом, но под соусом других намерений вполне возможно организовать систематическую атаку телефонных линий. Мошенники также могут не просто нарезать звуковые дорожки чужой речи при разговоре, но и использовать ИИ для подмены голоса. (В книге есть совет ориентироваться на голос звонящего, попытаться узнать и только потом доверять. Как видите, доверять нельзя уже даже голосу. Имейте ввиду такие нюансы, я не могу тут перечислять их все). Существуют целые сервисы для заказа спам-звонков, а засветить свой номер в век электронных покупок проще простого.
Очень распространены звонки с чужого номера, которые сбрасываются после гудка. Как это работает ? Ожидается, что вы перезвоните и подтвердите активность номера. А ведь бывают ситуации, когда и правда важно взять незнакомый вызов, например, ожидая инструкций после собеседования на работу. Волей-неволей, но пропущенный номер приходится проверять. Если же вам целенаправленно продолжают звонить, то вполне могут заманить на платную телефонную линию, чтобы списать солидную сумму денег. Будьте принципиальны ! Не бойтесь на вежливую просьбу впарить вам ненужную акцию/опрос/кредит невозмутимо сбросить сигнал и добавить номер в чёрный список.
Ещё один пример: звонок под видом сотрудника какой-нибудь финансовой конторки. Вам сообщают, что когда-то давно вы оставили свой номер на сайте криптовалютой биржи (а ведь многие тогда поддались «биткоиновой лихорадке»), после чего предлагают поделиться своими дополнительными данными, чтобы записать вас на бесплатный тренинг. Таким способом можно многое уточнить, вплоть до доходности, почты, имени и так далее. Проверяйте подозрительные номера в интернете ! Существуют хорошие базы данных с информацией об аферистах (https://zvonili.com/ или https://кто-звонит.рф/ ), которую вы и сами можете расширить, помогая другим людям.
На подобные уловки до сих пор ведутся достаточно много людей. Изложенное выше — мой личный опыт. У вас могут быть иные ситуации (можете озвучить их в комментариях), у автора книги — другие. Но никто из нас не застрахован полностью от новых хитростей. Данная книга не является дотошным гидом по миру социальной инженерии и это не курсы молодого хакера. Здесь нам дают обоснования для осторожности. Человеческое доверие можно рассматривать не только под углом милого признака наивности, но и с точки зрения уязвимости для атак социального инженера и смежных ему единиц.
Особый уклон в книге — это информационная безопасность компании. На рабочем месте антивирус может в очередной раз выдать назойливое уведомление об устаревших базах данных, а в USB разъёме оказаться не вызывающий особого доверия носитель. Да и кто никогда не обсуждал какие-нибудь рабочие подробности со своими друзьями ? А если речь идёт о совсем незначительных деталях, то можно поговорить и просто с интересующимся незнакомцем, особенно когда его просьба звучит обоснованно и уверенно… Многие не предают таким вещам особого значения, предпочитая строго разграничивать свои непосредственные должностные обязанности и всё остальное. Безопасность может подождать, если на кону продуктивность, так ? Конкуренты с радостью согласятся с вами. Социальный инженер не просто так зачастую ведёт свои атаки именно на секретарей, охрану, рядовых служащих и т.п. Подобные элементы не видят узора всей мозаики и могут даже не догадываться о потенциальной угрозе. Обычный служащий в централизованной системе не допускает, что способен своими действиями и невинной болтовней нанести критический урон предприятию, а точнее, поспособствовать этому. В нашем человеческом обществе всё может быть переплетено сложнее, нежели на бумаге, а путь обмана оказаться куда короче и действеннее, чем взлом системы безопасности программными методами.
Человеческий фактор — один из возможных каналов утечки информации, который не стоит выносить за скобки своего внимания. Чтобы минимизировать вероятность несанкционированного доступа, необходимо постоянно совершенствовать системы информационной безопасности, проводить тренировки персонала, нормировать порядок действий при работе с конфиденциальной информацией и придать внутренней политики безопасности целостную форму для лучшего функционирования. Настоятельно не рекомендуется ограничиваться разовым мероприятием.
Если вы редко подозреваете худшие намерения в людях и считаете, что живёте вне враждебного окружения, то, пожалуй, стоит ознакомиться с книгой. Она способна настроить базовые понятия интеллектуальной собственности и пробудить интерес в целом для дальнейшего развития. Мне самому особенно понравилось, что каждая ситуация анализируется в отдельной сноске, никогда не теряешь сути в этом океане имён и взаимодействий. Также вызвали любопытство генератор подбора паролей, списки стандартных ключей и соседский wi-fi. Так как мне были знакомы большинство уловок, да и книга для такой темы старовата, то моя оценка 5/10. Но это не отменяет в ней правильных принципов и художественной составляющей.
P.S. Если вам ближе более лаконичная форма рецензий, то предлагаю вам подписаться на мой Инстаграмм. Соответствующая ссылка указана в профиле.
