Здравствуй, сегодня мы с тобой поговорим о том, что же всё такое Социальная инженерия и как с ней работать? Не для кого ни секрет, что в нашем мире без вранья и манипуляций никуда, ну если конечно ты хочешь добиться чего в этом мире. Если нет, то можешь закрывать данную статью :) Но если ты всё ещё здесь, то давай всё же разберемся, что такое СИ и с чем его едят.
Просто легкий пример, чтобы улучшить понимание материала:
Недавно одна моя знакомая тетка 41 года от роду сперла из магазина платье. Мы в шоке говорим ей, типа как ты это сделала? Там ведь камеры. Она дала ответ: “Подхожу к продавцам и говорю, я кошелек потеряла, дайте с камер наблюдения посмотрю.” Ей отвечают, что в магазине нет работающих камер и, что все они обычные муляжи. После этого она спокойно сперла платье и ушла.
Этот шуточный пример взят из просторов нашего любимого интернета. Он очень хорошо показывает, как работает СИ.
Давай сначала просто прочтём определение, которое составили для нас ведущие умы в данной отрасли: “Социальная инженерия” (social engineering) — это набор различных психологических методик и мошеннических приемов, целью которых является получение конфиденциальной информации о человеке обманным путем. Конфиденциальная информация — это логины/пароли, личные интимные данные, компромат, номера банковских карт и все, что может принести финансовые или репутационные потери.
На самом деле область применения СИ гораздо шире и чем лучше ты в этом будешь разбираться, тем точнее ты будешь ощущать происходящее в разных ситуациях.
Само понятие пришло к нам из сферы хакинга. Хакеры - люди которые занимаются взломом разных систем, для выявления "дыр" и латают их, ну есть и те кто пользуются этими лазейками. Спустя какое-то время хакеры поняли, что самым слабым звеном в системе является человек и начали учиться взламывать именно их. Так называемый "brain hack". Сейчас я приведу пару примеров, как этим пользуются мошенники.
Мошеннику нужно получать от вас какую-то сумму денег. Допустим у него есть ваш номер телефона и соц сеть, получить это не сложно с помощью легкого фишинга, как нибудь расскажу об этом. Ну так вот, проведя поиск в интернете (об этом я тоже подробнее расскажу) он узнаёт, что у вас есть брат. Нашёл его соц сеть и начал изучать его образ мыслей. Так же он нашёл его номер телефона, вскрыл вашу с ним переписку. Он изучил её и узнал каки-то личные факты о вас и укрепил их изучив вашу страницу. Далее был составлен план, по которому мошенник звонит вам поздно ночью и прикидывается вашим братом. Говорит, что ему проломили голову и выкинули на улицу, сперли телефон и все деньги с карточки, так он оправдывает звонок с чужого номера. Важно, что обратился он к вам по прозвищу, которое узнал из переписки, а не по имени - это очень важно. Далее для правдоподобности, он говорит, что сидел с какими-то вашими общими друзьями в баре, где вы уже были(фото и геопривязки в помощь). Далее после этого, он просит вас, чтобы вы не говорили родителям ничего. У отца же сердце больное(опять же информация из переписки). Дальше следует что-то типо: "скинь 500 руб на такси до больницы" - и даёт номер карты, говоря, что здесь рядом проходила добрая девушка, у которой нет денег, но есть карта. В 8 из 10 случаев наша воображаемая сестра переведёт 500 руб, а после мошенник спишет и все остальные деньги с карты. Для технически подкованного хакера это не составит проблем.
Давайте разберем пару моментов из данного примера. Можно задать вопрос по поводу того, как она не распознала голос? Дело в том, что когда тебе звонят ночью, когда ты спишь и тебе говорят, что что-то случилось с близким человеком, в такой ситуации сложно вообще задуматься о голосе. Ещё подкрепляет то, что человек с той стороны говорит на эмоциях, плюс можно создать посторонние шумы и помехи. Ещё один вопрос, почему она сразу перевела деньги, а не позвонила друзьям и спросила где брат? Тут причина в том, что мы использовали факты, которые знает только сестра и брат. Ещё сыграло то, что позвонил действительно близкий человек, задеты эмоции отключающие логику.
Давайте разберем по пунктам, чтобы же сделал мошенник, чтобы добиться результата:
- Создал личность прикрытия(брат) и хорошую легенду, которую наполнил реальными фактами(об этом говориться в статье про то как качественно врать) которые доказывали, что это именно он. Место где они гуляли с друзьями(геопривязка Инстаграмма); Факт о больном сердце отца, прозвище сестры и т.д.
- События развивались очень быстро, всё специально подгонялось, чтобы мозг не успевал анализировать происходящее с просони. Главное правило любого афериста - заставить человека не думать, а постоянно что-то делать. Данный психологический приём называется "контроль внимания".
- Использовался один очень сильный механизм влияния - давление на жалость(обращение к эмоциям). Эффект усилило то, что это очень близкие люди.
Данный пример - это всего лишь крупица из тех сценариев, которые может придумать социальный инженер, благодаря которым он может добраться до наших слабостей. В следующей статье мы подробнее разберем примеры, где часто используется СИ.
Спасибо за внимание!
