Автор не призывает к противоправным действиям, которые будут описаны далее. Автор хочет донести до читателя то, как обезопасить себя от социальных инженеров(далее социал-инженеров). Автор не несёт ответственности за ваши действия, после прочтения данной статьи!
==========================================================
"Крупные банки весной 2021 года зафиксировали всплеск активности телефонных мошенников." на такой заголовок я наткнулся при поиске идеи для написания новой статьи по социальной инженерии. Она и сподвигла меня на написание данной статьи.
Вот такой отрывок я нашёл в вышеназванной новости: «В период с 6 по 18 мая в банк поступило 29 претензий от клиентов по поводу мошеннических действий на общую сумму 9 млн руб. по операциям за период с марта по май 2021-го. ».
Для начала давайте рассмотрим некоторые приёмы социал-инженеров:
- Выдача себя за другое лицо:
- Отвлечение внимания жертвы;
- Нагнетание психологического напряжения и других психологических факторов.
Но зачем это всё делается?
На самом деле всё просто. В основном, социальная инженерия в теневой сфере используется для получения денег или получение несанкционированного доступа к конфиденциальной информации и уход от ответственности путем перевода подозрений на постороннее лицо.
Казалось бы, 21 век. Как социал-инженеры умудряются получать деньги с людей? Мною было проведено небольшое исследование подработок в телеграмме и был сделан следующий вывод - из-за халатности работников к своим обязанностям, которая позволяет присвоить чужую зар.плату. Вы будете до глубины души поражены, но многие компании с удаленной работой, издательства, например, выплачивают зарплату, не требуя ни паспорта, ни другого удостоверения личности! Достаточно с помощью специальных сервисов, по подделке почты отправителя, написать письмо в издательство, например, с проблемой принятия денег на старые реквизиты и указать новые. Вуаля! Деньги у мошенника в кармане!
Так же, благодаря социальной инженерии, можно получить доступ к программным продуктам АБСОЛЮТНО бесплатно! Достаточно просто представиться известным тематическим изданием, попросив один экземпляр программы в обмен на обещание написать обзор и разрекламировать. Кто же не клюнет на такую заманчивую перспективу?
А если Ваш продукт существует только в голове, то достаточно оставить несколько объявлений о высокооплачиваемой работе в интернете. Приём сотрудников, естественно, осуществляется на конкрусной основе и каждому желающему даём тестовой задание, по результатам которого и будем судить кандидатов. Что делать дальше? Пишем: "Вы не прошли тест. Не расстраивайтесь! Подучитесь, а потом попробуйте свои силы снова!"
А самое интересное в этом это то, что предъявлять гражданский иск бессмысленно, т.к. состав преступления отсутствует. В ином случае, можно просто отвертеться словами: "Я нашёл более профессионального сотрудника, с которым работа уже была выполнена" или "На данный момент ещё несколько кандидатов 'сражаются' за право стать нашим сотрудником".
Нужно выведать конфиденциальную информацию? Проще простого!
Для этого достаточно запретить говорить её, например:
-Добрый день! С Вами проводит разъяснительную беседу сотрудник информационной безопасности *такого-то места работы жертвы* *рандомные ФИО*. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому не должны сообщать свой пароль(или другие данные, например, трёхзначный код на обратной стороне)? Помните ли вы, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?
Удивительно, но многие, прослушав разъяснительную беседу, добровольно сообщают свой пароль(или другие данные, например, трёхзначный код на обратной стороне) на добровольной основе! Причем, мошенник в случае провала ничем не рискует, т. к. вопрос "Какой у Вас пароль?" можно понимать двояко: "Какой именно пароль?" и "Какой пароль вообще? (длиннее восьми символов, является ли словарным словом или нет и т. д.)."
И это только малая часть от всех возможных действий мошенников!
Выдать себя за другого человека? Тоже проще простого!
Одним из способов является захват телефона.
Допустим, нам нужно представиться сотрудником какой-то компании. В интернете мы находим телефон секретаря этой компании и просим соединить его с охранником, а заодно – сообщить его телефонный номер (зачем – придумать большого труда, думаю, не составит). Если охранник действительно имеет телефон , разыгрывается следующая комбинация. Дав жертве телефон секретаря фирмы, и, сообщив номер охранника (но умолчав, что это охранник), мы под каким-либо предлогом просим жертву позвонить нам в строго определенное время. Незадолго до назначенного времени мы заходим в фирму, где и встречаемся с охранником, сидящим у входа. Рассказав какую-нибудь душещипательную историю, мы задаём вопрос: "А вот сейчас, когда позвонят и попросят (Ваше ФИО), нельзя ли будет нам взять трубочку?". В результате, жертва будет считать, что мошенник действительно работает в этой фирме. Или же, можно разыграть другую комбинацию. Просите охранника сказать: "Перезвоните (ФИО) по такому-то телефону.". Если охранник не будет вдаваться в подробности, то жертва, опять таки, подумает, что, раз (ФИО) знают, то он, несомненно, подлинный сотрудник этой фирмы.
Ещё одним законным способом является игра на чувствах.
Например, покорив сердце сотрудницы нужной компании, мы в один замечательный день можем заявить, что проиграли, например, в казино и теперь вынуждены долгие годы отрабатывать долг. Правда, есть один вариант… если наша 'любовь' скопирует такие-то конфиденциальные документы, мы сумеем их продать, тогда никуда уезжать не потребуется и любовный роман продолжится… Впрочем, не обязательно играть именно на любви. Ничуть не хуже толкает на преступление алчность, желание отомстить руководству, попытка самоутвердиться или хорошо работает жалость.
Множество подобных авантюр совершаются в мессенджерах, что чрезвычайно осложняет поиски злоумышленника. Ни в коем случае не стоит считать телефон надежным средством идентификации личности.