Игорь Симдянов - Социальная инженерия и социальные хакеры
- Название:Социальная инженерия и социальные хакеры
- Автор:
- Жанр:
- Издательство:Array Литагент «БХВ»
- Год:2007
- Город:Санкт-Петербург
- ISBN:5-94157-929-2
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Игорь Симдянов - Социальная инженерия и социальные хакеры краткое содержание
В книге описан арсенал основных средств современного социального хакера (трансактный анализ, нейролингвистическое программирование), рассмотрены и подробно разобраны многочисленные примеры социального программирования (науки, изучающей программирование поведения человека) и способы защиты от социального хакерства. Книга будет полезна IT-специалистам, сотрудникам служб безопасности предприятий, психологам, изучающим социальную инженерию и социальное программирование, а также пользователям ПК, поскольку именно они часто выбираются социальными хакерами в качестве наиболее удобных мишеней.
Для широкого круга читателей.
Социальная инженерия и социальные хакеры - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
• Наберитесь терпения. Скрытый допрос требует терпения. Никогда не торопите события. Если ваш собеседник поймет, что вам надо от него нечто большее, чем просто интервью, он просто замкнется и начнет говорить о погоде. Из этой же серии совет о том, что на собеседника ни в коем случае не стоит "давить", насильно подводя его к нужному вопросу.
• Внимательно слушайте собеседника. Втечение всего времени интервью. Ни в коем случае нельзя делать так, чтобы показать свою заинтересованность каким-то конкретным вопросом. Потому что вас должны интересовать все вопросы, и тот вопрос, который вам действительно интересен, должен быть просто "одним из" в той череде вопросов, которые вы задаете. Желательно даже спланировать беседу так, чтобы интересующий вас вопрос задали не вы, а о нем стал говорить сам собеседник. Таким образом, вы должны так спланировать беседу, чтобы плавно подвести собеседника к интересующему вас вопросу.
• Не оканчивайте интервью, сразу после того, как все узнали.
После этого перейдите на нейтральные темы, и таким способом завершите разговор. Это важно не только из-за того, чтобы собеседник не заподозрил неладное, а еще и для соблюдения "закона края",согласно которому наилучшим образом запоминаются те моменты разговора, которые происходят в его начале и конце. А то, что в середине, соответственно, запоминается намного хуже. Вообще правилом хорошего тона в "вытягивании" информации является построение скрытого допроса так, чтобы собеседник вообще не узнал, что сболтнул что-то лишнее. Для этого надо соблюдать два простых правила, которые в 70% случаев приведут к нужному результату:
– маскируйте значимые для вас вопросы чередой незначимых;
– задавайте нужные вопросы в середине беседы, для того чтобы по закону края интервьюируемый забыл их первыми.
• Оставляйте благоприятное впечатление об интервьюу своего собеседника. Это важно, в первую очередь, для того, чтобы ваш собеседник имел желание продолжить общение в будущем.
Примечание
О правилах ведения переговоров и о психологических законах, которые лежат в их основе, мы будем подробно говорить в приложении 1.
Простые правила, позволяющие избежать данный вид атак
Существует два очень простых правила, которые позволяют избежать данного вида атак.
• Правило первое.Ни один из сотрудников предприятия не должен знать больше, чем ему полагается знать по должности. К сожалению, нередко это правило не соблюдается, и часто бывает так, что любой сотрудник знает не меньше генерального директора. Что, конечно же, не просто неверно, а очень опасно.
Большинство людей не умеют хранить секреты
Если вы руководитель какого угодно масштаба и ранга, запомните одно из самых важных правил, выполнение которого на много процентов обезопасит вас от многих социоинженерных атак. Правило такое: подавляющее большинство людей не могут хранить даже свои сокровенные секреты, не говоря уже о чужих. Если вы наедине поделитесь какой-либо информацией с сотней лучших сотрудников, предупредив каждого, что информация сугубо секретна, можете быть уверены, что 90 человек ее непременно "сольют на сторону". По самым разным причинам. Кто-то по глупости житейской, кто-то жене за вечерним чаем, кто-то "по пьяни", кого-то будет переполнять чувство собственной значимости, потому что "сам генеральный доверился и рассказал" и об этом, конечно же, нужно рассказать друзьям, которым никто никогда такой важной информации не доверял… Причин тут много. И они не главное – важен результат: большинство не могут хранить секреты. И, конечно, одно из качеств хорошего руководителя, – это умение разбираться в людях, которое полезно хотя бы для того, чтобы из этой сотки выделить те пять-десять человек, которым действительно не страшно довериться.
• Правило второе.Применяемое в том случае, если у кого-то из сотрудников возникнет желание с кем-то поделиться той информацией, которую ему положено знать по должности. В трудовом контракте с сотрудником обязательно должен быть прописан пункт о том, что за разглашение коммерческой информации сотрудника ждет ответственность вплоть до уголовной. Именно так – "ответственность вплоть до уголовной", так как все другие виды наказания (взыскания, штрафы и пр.) легко обходимы. Подумаешь, штраф какой-то. Его же не сотрудник будет платить, а та организация, которая, скажем, заказала ему вашу клиентскую базу данных, потому что к сумме счета за свои "услуги" ваш "сотрудник" просто добавит сумму штрафа.
Примечание
И еще. Небольшое добавление ко второму правилу. Вы можете себя не ограничивать в средствах запугивания своих сотрудников на предмет того, что с ними будет после того, как они что-то своруют в вашей организации. Потому что некоторых работников удержать от дурных поступков может только страх. Так как страх за свое дальнейшее будущее для многих это именно то единственное чувство, которое сильнее страсти к деньгам.
Воровство клиентских баз данных
Продолжим начатый в главе 1 разговор о воровстве клиентских баз данных. Несмотря на то, что достоянием гласности являются только единичные факты воровства клиентских баз данных, количество даже известных широкой публике случаев за последнее время значительно выросло. Для нас наиболее интересно то, что большинство хищений информации связано с использованием методов социальной инженерии.
Примечание
Причина того, что достоянием гласности становится лишь малый процент таких хищений в том, что фирмы, естественно, не желают портить свою репутацию, признаваясь в собственной беспечности.
Наиболее просто добыть клиентские базы данных – это воспользоваться беспечностью сотрудников, работающих на предприятии. Нередко счета фактуры и прочие документы валяются на столах у сотрудников, которые еще имеют привычку выходить из своего кабинета минут на 10 – 30, так что, если и не надо, со скуки все пересмотришь. В некоторых магазинах, допустим по продаже офисной техники, мебели и т. д., многие продавцы оформляют счета, отвернувшись к своему компьютеру, а то, что я, к примеру, могу быть сотрудником конкурирующей фирмы, и мне ничто не мешает постоять за спиной и посмотреть список клиентов, это никого не волнует. Однажды одной даме, которая слишком долго оформляла мою покупку (в компьютерном магазине), я сказал: "Девушка, я вижу, что вы еще не очень освоились с 1С-предприятием, давайте, я вам помогу". Девушка с удовольствием приняла мою просьбу, встала из-за компьютера и …вообще ушла на 15 минут. Вероятно, пить чай. Что еще интереснее, ни один из сотрудников, которые туда-сюда сновали мимо меня (ее компьютер стоял в центре магазина), не поинтересовался, чего это собственно я (посторонний человек) за ним сижу.
Читать дальшеИнтервал:
Закладка:
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp)
