Кристофер Хэднеги - Искусство обмана

Тут можно читать онлайн Кристофер Хэднеги - Искусство обмана - бесплатно ознакомительный отрывок. Жанр: psy-generic, год 2020. Здесь Вы можете читать ознакомительный отрывок из книги онлайн без регистрации и SMS на сайте лучшей интернет библиотеки ЛибКинг или прочесть краткое содержание (суть), предисловие и аннотацию. Так же сможете купить и скачать торрент в электронном формате fb2, найти и слушать аудиокнигу на русском языке или узнать сколько частей в серии и всего страниц в публикации. Читателям доступно смотреть обложку, картинки, описание и отзывы (комментарии) о произведении.

Читать книгу

Название:

Искусство обмана
Автор:

Кристофер Хэднеги
Жанр:

psy-generic
Издательство:

неизвестно
Год:

2020
Город:

Москва
ISBN:

978-5-9614-3102-5
Рейтинг:

3/5. Голосов: 11
Избранное:

Добавить в избранное
Отзывы:

Читать комментарии
Ваша оценка:
60

1

2

3

4

5

Кристофер Хэднеги - Искусство обмана краткое содержание

Искусство обмана - описание и краткое содержание, автор Кристофер Хэднеги, читайте бесплатно онлайн на сайте электронной библиотеки LibKing.Ru

Бывало ли так, что вам звонил человек и представлялся сотрудником банка? Или приходило письмо со ссылкой, по которой вы, к счастью, не перешли?
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии – науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, – расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.

Искусство обмана - читать онлайн бесплатно ознакомительный отрывок

Искусство обмана - читать книгу онлайн бесплатно (ознакомительный отрывок), автор Кристофер Хэднеги

Тёмная тема

Шрифт:

↓

↑

Сбросить

Интервал:

↓

↑

Закладка:

Сделать

Тема этой книги сегодня не менее актуальна, чем восемь лет назад, возможно, она даже стала еще важнее. За эти годы мне довелось наблюдать за профессиональным становлением многих молодых социальных инженеров, а также за взлетами и падениями мошенников и злоумышленников.

В последнее время очень многие атаки направлены именно на эксплуатацию «человеческого фактора», поэтому специалисты в сфере безопасности просто обязаны разбираться в социальной инженерии. Но и это лишь частный случай применения собранных в этой книге знаний. Помню, когда я только начинал работать поваром (кажется, это было в прошлой жизни), мой учитель советовал мне пробовать каждый ингредиент, который я собираюсь использовать. Зачем?

Он сказал, что я не смогу добиться нужного вкуса блюда, если не попробую по отдельности каждый из его элементов. То есть когда я увижу в рецепте хрен, то буду знать: если захочу сделать блюдо острее, то просто добавлю больше хрена. Или, зная, что один из ингредиентов соленый, я не должен солить блюдо. В общем, вы поняли.

Даже если вы не работаете в сфере безопасности, вам все равно важно понимать, каков «на вкус» каждый ингредиент манипуляции – так вы успешнее сможете себя защитить. Как возникает раппорт в общении и как его могут использовать преступники, чтобы вытянуть у вас деньги? (Смотрите пятую главу.) Каким образом влияние, оказанное на собеседника в ходе телефонного разговора, заставляет его назвать пароль к своему аккаунту? (Подробности в главах шесть и семь.)

Каждый ингредиент важен и поможет понять вкус «блюда» под названием «социальная инженерия». Изучив все приемы по отдельности, вы научитесь видеть, что кто-то пытается применить их и повлиять на вас. И тогда вы успеете защититься.

Смотрели когда-нибудь кулинарные шоу Гордона Рамзи? Он всегда ясно формулирует, что именно ему не нравится в блюде. Например: «Здесь слишком много перца и масла». А новичок, возможно, сказал бы: «Блюдо слишком острое и жирное». Существенно ли отличаются эти формулировки? По-моему, да. И я хочу помочь вам стать Гордонами Рамзи мира социальной инженерии (но, конечно, не такими сквернословами).

Итак, приступим же к делу. И начнем с обсуждения сбора данных из открытых источников.

2. Видите ли вы то, что вижу я?

Помните, что неудача – это лишь событие, которое не делает человека неудачником .

Зиг Зиглар

Сбор данных в открытых источниках – фундамент деятельности социального инженера. С обработки информации начинается и на использовании информации держится любая операция. Именно поэтому нужно разобраться, какие способы получения информации об объектах воздействия доступны социальным инженерам.

Вне зависимости от того, какой способ использования открытых источников вы выберете, важно заранее четко знать, что именно вы ищете. А это не так просто, как кажется. Ведь формулировка в духе «Хочу найти всю доступную информацию об объекте» – это не цель. Разная информация имеет для нас разную ценность, и ценность эта варьируется в зависимости от выбранного типа атаки.

Сбор данных из открытых источников в реальной практике

Давайте для начала я помогу вам увидеть ситуацию в целом. Согласно данным с сайта http://www.worldwidewebsize.com, на сегодняшний момент в мире зарегистрировано больше 4,48 млрд веб-страниц. Причем сюда не входят неиндексированные страницы, теневой интернет и т. п. Ежегодный мировой интернет-трафик достиг 1,3 зеттабайт (то есть 1 300 000 000 000 000 000 000 байт). В общей сложности в интернете может храниться порядка 10 йоттабайт данных (в байтах это 10 000 000 000 000 000 000 000 000).

ЗАБАВНЫЙ ФАКТ

Йоттабайт, как ни странно, следующий за зеттабайтом, был назван в честь персонажа «Звездных войн» – магистра Йоды. Впрочем, существуют несколько других категорий для еще бо́льших чисел и с еще более странными именами: например, shilentno-байт и domegemegrotte-байт.

Почему так важно представлять себе объем интернет-трафика? Например, если вы планируете адресный фишинг, вам необходимо искать информацию о хобби, предпочтениях и ценностях жертвы. Если же вы готовитесь к вишингу, больше смысла будет в сборе информации о месте работы жертвы и ее статусе в своей организации. Также стоит узнать обо всех внешних и внутренних службах, звонку из которых этот человек не будет удивлен. Если же вы собираетесь общаться с объектом воздействия лично, вам нужно знать, в каких местах и с какими людьми он обычно встречается.

Так вот, искать эти данные придется среди 4,48 млрд сайтов. Так что прежде чем погружаться в эту бездну, имеет смысл составить план поисковых работ.

Список вопросов, собранных в таблице 2.1 поможет вам выделить ключевые параметры поиска.

Конечно, вопросы из этой таблицы не предусматривают всего на свете. Но вы можете вносить в нее собственные дополнения: о типах используемых компьютеров, расписаниях сотрудников, употребляемых языках, антивирусных программах и пр.

А вот реальная история попавшая в новости в 2017 году подробности здесь - фото 4

А вот реальная история, попавшая в новости в 2017 году (подробности здесь: https://gizmodo.com/this-is-almost-certainly-james-comey-s-twitteraccount-1793843641). Ее герой – бывший директор ФБР Джеймс Коми. Одна блогерша решила проверить, удастся ли найти аккаунты Коми в социальных сетях. Поскольку он занимал высокую должность, эту информацию нигде особенно не светили. В таких ситуациях и используется сбор данных из открытых источников. На илл. 2.1 представлена пошаговая последовательность действий, которые предприняла блогерша. Изучите ее, а я пока разберу каждый шаг по отдельности.

Во-первых, девушка четко сформулировала свою цель: выяснить, использовал ли глава ФБР социальные сети и если да – то какие.

Интернет эту задачу не облегчил: в 2016 году был опубликован рейтинг «Топ-60 соцсетей» – поле для поиска было огромным. Причем на каждой из этих платформ действовали свои правила и методы работы. Одному человеку было бы слишком сложно обработать такой объем информации.

К счастью, одна из самых старых форм сбора данных из открытых источников довольно проста в применении: иногда оказывается достаточным просто внимательно слушать. В одном из интервью Коми упомянул, что у него были аккаунты в Twitter и Instagram.

Это позволило девушке существенно сузить поле поиска: с 60 соцсетей до двух. Согласитесь, задача значительно упростилась.

Аккаунтов, принадлежащих Джеймсу Коми, девушка не нашла, однако обнаружила в Twitter аккаунт его сына, Брайана Коми. Родственную связь между ними удалось подтвердить, когда Брайан поздравил Джеймса с повышением до должности директора ФБР.

Многие пользователи связывают между собой аккаунты в разных социальных сетях. Так поступил и Брайан: связал странички в Instagram и Twitter. Но аккаунт в Instagram оказался закрытым, и получить доступ к публикациям можно было только с разрешения самого Брайана.