Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Я[ уже чувствую приближение главного вопроса ]: Ну, животных-то я действительно люблю. Как вы предлагаете вам помочь?
Женщина[ говорит четко и решительно ]: Нам необходима финансовая помощь, и многие неравнодушные люди помогают приюту, перечисляя $250 на нужды животных.
Я[ чувствую себя сильным человеком, потому что могу просто взять и отказать ]: $250?! Нет, извините, столько я пожертвовать не могу. Я бы с радостью, но такой суммы у меня сейчас просто нет.
Женщина:Понимаю. Сейчас в стране не самые легкие времена, и это действительно крупная сумма. Может быть, в таком случае вы хотели бы пожертвовать $25?
И я, недолго думая, тут же потянулся за кредиткой. Понимаете, что произошло? Я трижды согласился (можно сказать, уступил):
• Подтвердил, что люблю животных.
• Выразил желание помочь.
• Сказал, что помог бы, но такой суммы у меня нет.
И когда мне предложили альтернативный вариант, я уже не мог отказаться. А что бы произошло, назови представительница общества сразу $25? Скорее всего, объем перечисленных в итоге пожертвований был бы значительно меньше. Однако сразу завысив предполагаемую сумму, она обеспечила организации повышение суммы реально сделанных взносов.
Эту тактика часто используются и сотрудники правоохранительных органов. Если им удается добиться от подозреваемого случайного признания в каком-то маленьком проступке, позже ему уже будет невозможно отказаться от этих слов.
Давайте разберем две разные формулировки, которые мог бы использовать детектив. На вопрос: «Вы были в баре у Ли в 11 вечера, когда произошло ограбление?» — подозреваемый, скорее всего, ответит: «Нет, не был». Если же детектив спросит: «Так что вы видели в 11 часов, когда произошло ограбление в баре у Ли?», намного выше вероятность получить ответ: «Да ничего я не видел, темно же было». И все, дознаватель может заключить, что подозреваемый все-таки был в баре в указанное время. Подозреваемый уступил! Ответив на вопрос с подвохом, он, по сути, согласился с подразумеваемым утверждением о том, что находился в месте преступления.
На илл. 6.3 схематически изображен процесс уступки в диалоге.
Уступки в работе социального инженера
В ходе одного вишинга перед нами стояла задача собрать полные имена и идентификационные номера сотрудников, а также номера их социального страхования. Мы разработали две легенды, которые показались мне вполне подходящими, и начали обзванивать объекты воздействия.
Телефонные разговоры были примерно следующего содержания:
Я:Добрый день. Это Пол из IT-отдела. Могу я услышать Сэлли Дэвис?
Объект:Это я. Чем могу быть вам полезна, Пол?
Я:Вчера мы прошивали корпоративный BIOS под систему RFID-пропусков, и в процессе некоторые данные оказались утеряны. Скажите, не было ли у вас сегодня утром проблем с пропуском?
Объект:Да нет, все работало как обычно.
Я:Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы у вас и в будущем не было проблем. Это займет не больше минуты.
Объект:Ладно. Какая информация вам нужна?
Я:Ваше полное имя, идентификационный номер сотрудника и номер социального страхования.
Объект:Эммм… вообще-то такую информацию разглашать не рекомендуется. Напомните, пожалуйста, ваше имя. Я проверю.
Разумеется, продолжения у этого разговора не было. Подобный тупиковый сценарий повторялся снова и снова — казалось бы, эпический провал. Тогда я решил сделать паузу, чтобы спокойно поразмышлять о принципах влияния, а затем внес в легенду всего одно изменение. Приведенный ниже разговор продолжался сразу после того, как объект воздействия сообщал мне, что утром без проблем прошел КПП.
Объект:Проблем не было, пропуск сработал, я прошел на работу как обычно.
Я:Ага, просто замечательно. Значит, вам повезло. У многих пользователей, которых коснулась эта проблема, возникли трудности на КПП. Тем не менее мне нужно проверить данные вашего аккаунта, чтобы и в будущем у вас не было пробоем. Это займет не больше минуты.
Объект:Ладно. Какая информация вам нужна?
Я:Нужно проверить, правильно ли написано ваше имя. В базе записано С-Э-Л-Л-И, верно?
Объект:Нет, здесь ошибка. Мое имя пишется через «А», а не через «Э».
Я:О, значит, все-таки не зря я вам позвонил. Тогда продиктуйте, пожалуйста, по буквам, как пишется ваша фамилия.
После этого я спрашивал, в каком отделении объект воздействия работал, проверял электронный адрес — и к моменту, когда мы добирались до идентификационного номера сотрудника и номера социального страхования, человек, уже сделавший столько уступок, соглашался рассказать и это. После изменения легенды в среднем 84 % звонков заканчивались успехом.
Социальному инженеру не стоит торопиться в процессе сбора информации. Пусть объект воздействия сообщит вам сначала менее значимые данные, а после этого у него появятся чувства, которые заставят его идти на уступки и подчиняться.
Четвертый принцип: дефицит
«Распродажа по случаю закрытия!»
«Самые низкие цены в истории!»
«На всей земле осталось всего 10 экземпляров!»
Почему такие слоганы помогают продавать? Субъективная ценность предмета, который кажется нам дефицитным или недоступным, быстро растет. Например, насколько ценен для нас один кекс из упаковки, где их целых 20? И как изменится его субъективная ценность, если окажется, что остальные 19 кексов уже съедены?
Дефицит на практике
Пока мы готовились к одной из конференций DEF CON, я придумал новые нюансы социально-инженерной игры «Захват флага». Детям нужно было решать загадки. Выигравший подходил к большой коробке в дальнем конце комнаты и просовывал в нее трубку. В коробке сидел «снайпер» с игрушечным автоматом и стрелял в остальных игроков через трубку мягкими пульками. Тот, в кого он попадал, должен был выйти из комнаты и начать заново.
Соревнование прошло на ура. А если вам захочется узнать, как вышло, что победила команда детей, уделав даже нас, взрослых, то вам придется спрашивать меня об этом лично.
В качестве оружия я выбрал игрушечный автомат модели Nerf CS6 Long Shot. Вскоре компания Nerf объявила о прекращении производства этой игрушки. А пришедшая на смену ей новая модель многим показалась хуже.
Читать дальшеИнтервал:
Закладка:
