Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Неудачи могут научить нас даже большему, чем успехи, — если позволить себе учиться, конечно. Именно поэтому я должен отдельно поговорить про ожидания.
Каких ожидать результатов?
В книге «Разоблачение социальных инженеров», которую мы написали вместе с доктором наук Полом Экманом, я сосредоточился исключительно на невербальных сигналах: языке тела и мимике. Когда я только учился замечать, различать и интерпретировать их, то казался себе супергероем, способным читать мысли. Я смотрел собеседнику в лицо и видел эмоции, которые тот старался скрыть. Затем сопоставлял их с языком тела и другими действиями, так что в результате практически предсказывал его реакцию на различные вопросы и ситуации. И что самое удивительное: мои предсказания оказывались верными больше чем в половине случаев. Но потом начались проблемы. Да, почти в 75 % ситуаций я оказывался прав — но это ведь значит, что в оставшихся 25 % я ошибался. Кроме того, из-за этого ощущения всемогущества я переоценивал свои истинные способности в роли социального инженера. Мне казалось, что я вижу и понимаю больше, чем видел и понимал на самом деле.
Работа с Экманом стала для меня своеобразным уроком смирения: Пол постоянно находил в моих интерпретациях ошибки и исправлял их. Однажды он сказал: «Крис, даже если ты знаешь, что человек ощущает, ты не всегда можешь верно понять, почему это с ним происходит».
И, прежде чем мы перейдем к обсуждению ожиданий, я хочу, чтобы вы запомнили: даже если вы застали человека за каким-то действием, это не означает, что вы автоматически поймете причины его поступка. Так как же найти связь между этими «что» и «почему»? Есть несколько способов: с помощью вопросов, сбора дополнительной информации и дальнейшего наблюдения.
Однажды во время занятия я рассказывал историю из своей СИ-практики и вдруг заметил на лице одного из слушателей откровенно злое выражение. Язык его тела показывал, что он закрылся: сложил руки на груди, откинулся на спинку стула и вытянул ноги. Я подумал, что мои слова вызывали у него недоверие, и начал уделять ему больше внимания, но это не спасло положения: мужчина только больше отстранялся, а через несколько минут вдруг резко встал и вышел из аудитории.
Я недоумевал: в чем проблема? Ведь я все делал правильно, почему он злится на меня?
Во время перерыва я направился в туалет, погруженный в размышления об этой ситуации, и вдруг тот самый молодой человек подошел ко мне и сказал: «Извините, что мне пришлось выйти во время вашего выступления. Мне пришло сообщение от начальника о том, что на работе проблемы. Я пытался ему объяснить, что нахожусь на учебе, но он настоял, чтобы я взял трубку и ответил на его дурацкие вопросы. Подскажите, пожалуйста, как мне нагнать упущенное?»
Я не удержался и рассмеялся, а потом объяснил свою реакцию: рассказал, как интерпретировал увиденное. А в это самое время у меня в голове звучал голос доктора Экмана: «Крис, ну что я вам говорил?» Данная ситуация послужила мне отличным уроком по выявлению причинно-следственных связей.
Это правило относится и к наблюдению, и к сбору информации в открытых источниках. Не стоит думать, будто примеры, которые я привожу в этой книге, все сплошь иллюстрируют человеческую глупость. Я склоняюсь к тому, что люди просто недостаточно информированы о потенциальных опасностях, но никак не глупы.
Взгляните на илл. 2.2, сделайте в уме необходимые заметки. Рассуждайте как социальный инженер: что эта машина может сообщить вам о своем водителе? На илл. 2.3 один из элементов снимка увеличен для наглядности.
Справа приклеен символ поддержки больных раком груди. Слева — наклейка фонда помощи детям, оказавшимся в опасных для жизни ситуациях, Kids Wish Network. И еще одна говорящая наклейка, «10–20-пожизненно». Я не понимал ее смысла, но ответ быстро нашелся в интернете: это слоган движения за более строгие судебные приговоры людям, совершившим преступление с использованием огнестрельного оружия.
Что все эти наклейки говорят о водителе? Этот человек поддерживает благотворительные организации, деятельность которых считает важной. Возможно, член его семьи болел раком или столкнулся с детскими болезнями. Кроме того, водитель явно неравнодушен к вопросам контроля за огнестрельным оружием. Может, он сам был жертвой преступления с его использованием или лично знал людей, попавших в такую ситуацию.
Как думаете, готовы ли вы завести с водителем беседу теперь, когда собрали всю эту информацию?
Я призываю вас быть осторожнее с выводами. Обычно мои ученики отвечают: «Я заговорю с ним о том, почему наши законы в отношении огнестрельного оружия несовершенны» — или еще что-то в этом роде. Но для начала просто поставьте себя на место этого водителя и подумайте: возможно ли просто в ходе случайной беседы заставить вас изменить свою точку зрения? Вряд ли. Помните и о вашей цели: сделать так, чтобы собеседник при общении с вами действовал, не думая. Для этого говорить нужно о том, что интересно ему, а не вам. Подробнее мы коснемся этой темы в седьмой главе, посвященной извлечению информации.
Что вы видите? Какие выводы можете сделать как социальный инженер? Старайтесь обратить внимание на мельчайшие детали:
• Видно, что это за рабочая среда (офис).
• Понятно, какая операционная система установлена на компьютере.
• Видно, какой у человека планшет.
• Можно также сделать вывод, что он увлекается определенным сериалом.
• Видите, какой браузер и почтовый ящик использует этот человек?
• Какие еще признаки могут что-то сообщить о нем?
• Какие еще детали вы заметили?
Это всего лишь поверхностные заметки, опытному СИ-специалисту подобная фотография даст намного больше информации. Как думаете, можно ли на ее основе провести профайлинг, достаточный для составления пары фишинговых e-mail, которые вызвали бы у хозяина стола эмоциональную реакцию?
Впрочем, фотографии и даже личного общения не всегда бывает достаточно. В таких случаях на помощь социальному инженеру приходят технологии.
Сбор данных из открытых источников с использованием технологий
Прежде чем вы начнете писать негативный отзыв на эту книгу и жаловаться, что я не предоставил исчерпывающий список инструментов для сбора данных, позвольте мне сказать вот что:
Действительно, в этой главе НЕ будет полного списка инструментов, процессов и методов сбора информации из открытых источников с использованием технологических средств.
Читать дальшеИнтервал:
Закладка:
