Недавно одна моя знакомая, взрослая женщина 35 лет от роду, стащила из магазина платье. На мои вопросы о том, как ей удалось это сделать под камерами, она ответила: "Я сказала продавцам, что потеряла ключи у них в магазине и попросила глянуть записи с камер наблюдения. Продавцы сказали, что камеры не работают, после этого я взяла платье, убрала его в сумку и ушла".
История кажется немного нереальной? Возможно... Но эта зарисовка очень явно отражает суть термина, который в последнее время можно услышать из разных уст. Социальная инженерия. Что же это такое, для кого она нужна и как не попасться в ловушку социального хакера?
"Социальная инженерия" (от англ. social engineering), сокращенно СИ - совокупность психологических методов и мошеннических атак, целью которой является получение личной информации о человеке/компании обманным путем. Личная (или конфиденциальная) информация - все то, что может принести моральный или денежный ущерб жертве, т.е. например логины, пароли, данные карт, информация интимного характера, компромат и т.д.
Изначально данное понятие пришло из сферы хакинга - процесса взламывания компьютерных систем для получения данных. Как этот процесс можно отнести к людям? Очень легко! Человек, как и машина, работает по определенным алгоритмам. Используя вкупе психологию, эмпатию и накопленные знания о манипуляциях и механизмах компьютерной техники, хакеры стали "взламывать" людей. Как же применяется социальная инженерия на практике?
Смотри, вот простой пример. Мошенник, назовем его Боря, хочет получить от тебя определенную сумму денег. Боря нашел номер твоего мобильного и социальную сеть. Шарясь в поиске, он также выяснил, что у тебя есть брат. Боря нашел соцсеть твоего брата, изучил его образ, откопал его номер телефона и заказал взлом страницы на теневом форуме (про это я напишу в следующей статье), где прочитал вашу переписку. Подробно изучив переписку, Боря узнал ваши локальные приколы, твою кличку, места, в которые вы ходите вместе, а так же другие факты. Далее Боря пишет тебе поздно вечером смс (или даже звонит) о том, что ему дали по голове какие-то быдланы, отобрали телефон и наличные, и ему не на что вернуться домой. Обращается он к тебе не по имени, а по кличке, которое узнал в переписке. Еще, для правдоподобности, Боря может сказать, что днем зависал с вашими общими знакомыми в баре, в который вы пару недель назад ходили вместе с ним. После этого последует что-то по типу: "Отправь 800 рублей на такси, мне тут помогла девушка на улице, которая сможет принять перевод на ее карту". Понятно, что не каждый поверит в историю, но, благодаря узнанным о вас фактам и применению СИ, шансы для Бори на обман повышаются в разы. В 8 из 10 случаев после такого грамотного подхода, Боря получит и свои 800 рублей "на такси", а также возможность украсть с твоей карты гораздо большую сумму. Для технически подкованного хакера это совсем не проблема.
Окей, ты, мой дорогой друг, спросишь, а как же не попасть в ловушку джокера такого социального хакера? Давай расскажу. Самый главный и очевидный ответ: НИКОГДА не оставляй слишком много личных данных о себе в соцсетях. Прошло то время, когда можно было спокойно выставлять чуть ли не поминутный распорядок своих действий, приправленный фотками с геолокацией. Меньше информации в сети - меньше ты привлекаешь внимание к себе в принципе. Ну, и конечно же, когда кто-то из твоих друзей или родственников внезапно пишет/звонит тебе с просьбой помочь деньгами, не поленись и проверь альтернативные способы связи с ними.
Это лишь толика моего опыта работы с социальными хакерами. На самом деле, область их работы и влияния гораздо более обширна. Социальная инженерия является основой таких видов мошенничества, как кардинг, фишинг, фарминг, смс-атаки, профилирование и т.д. Про все эти виды я буду рассказывать на своем канале, чтобы обезопасить хороших людей от обмана.
Береги себя, мой интернет-друг!
твой личный гид,
Теневой Шпион.