Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Если социальный инженер просто подойдет к охраннику и скажет: «Добрый день, мне нужно проникнуть в здание, кое-что украсть и оставить после себя хаос» — он вряд ли добьется своего. Не сработает даже, если, являясь профессиональным пентестером, вы скажете: «Знаете, я профессионал в области безопасности и мне нужно проверить, насколько эффективны ваши системы защиты. Так что пропустите меня, пожалуйста, а я взломаю ваш сервер».
Как же объединить ваши с охранником фреймы? Может, вы вспомните подходящий пример из уже описанных в этой книге? На илл. 7.2 изображена подсказка.
Легенда является тем самым объединяющим звеном: вы меняете фрейм объекта воздействия таким образом, чтобы человеку было проще принять ваши слова и действия. Подробное продумывание легенды (все эти детали, связанные с тем, как вы будете выглядеть, что возьмете в руки и т. п.) облегчает фрейминг. Но и это еще не все.
В 2004 году Джордж Лакофф написал книгу «Не думай о слоне!» (Don’t Think of an Elephant! Chelsea Green Publishing), в которой описал самые важные для освоения искусства фрейминга правила. Я несколько адаптировал их к миру СИ.
Правило 1: все, что вы скажете, будет формировать фрейм
Чтобы по-настоящему разобраться в сути этого правила, представим процесс работы нашего разума — визуализируем входящую информацию. Великие учителя и рассказчики прославились благодаря своему умению рисовать словами яркие образы. Вот пример того, как по-разному можно описать одно и то же событие.
История 1.Сидя на доске для серфинга, я увидел, как на меня надвигается большая волна. Я лег на доску и стал грести, что было сил, но волна накрыла меня. Оказавшись под водой, я думал о том, действительно ли та акула была огромной, или мне только показалось.
История 2.Я посмотрел на горизонт, из-за которого едва выглядывало солнце. Лучи еще не освещали воду, но уже грели мне лицо. На меня, словно товарный поезд, надвигалась волна. По толщине и скорости движения волны было понятно, насколько она мощная. Белая пена на гребне была похожа на несущегося за добычей разъяренного льва.
Я лег на доску и развернулся к берегу. Я греб, максимально напрягая каждую мышцу тела. От напряжения казалось, что руки мои впиваются не в воду, а в жидкий цемент.
Волна подхватила меня, и началась бешеная гонка. Как ни пытался я устоять на доске, но в конце концов упал. И волна обрушилась на меня, словно разгневанный учитель.
Она несколько раз перевернула меня, и я оказался под водой. Оставалось только представлять себе голодных акул, учуявших мой запах. Я пытался не паниковать, забыть про страх: только бы выбраться на поверхность. Когда мне это удалось, я мертвой хваткой уцепился за доску и как умалишенный начал выгребать к берегу.
Обе истории описывают одно и то же событие. Но какая из них помогает полнее представить происходящее? Читая какой текст вам казалось, что вы находитесь в море вместе со мной?
Ответ очевиден: вторая история намного выразительнее. Теперь вы понимаете, почему это правило имеет такое значение? Иногда слова, которые мы используем в своем повседневном словаре, пробуждают в сознании объектов воздействия образы, которые кажутся им оскорбительными. Как профессиональный социальный инженер, я понимаю, что буду намного успешнее в своем деле и получу больше повторных заказов, если научусь избегать такого эффекта.
Не стану приводить полный список потенциально оскорбительных слов и выражений, лучше назову несколько обобщенных советов о том, от чего стоит отказаться.
• Расистские намеки.Даже сказанные в шутку, они неприемлемы в работе социального инженера. Шутить на такие темы бестактно, и это совершенно не смешно.
• Оскорбления, связанные с полом или сексуальной ориентацией.Подобные выпады производят такое же впечатление, что и расизм: выставляют вас невеждой и разрушают раппорт.
• Обсценная лексика.Даже если объект воздействия позволяет себе использовать грубые выражения, я старюсь обходиться без них. В первую очередь — чтобы защитить уши тех, кто будет слушать наш диалог, изучая отчет. В таких ситуациях собеседник часто подстраивается под меня и тоже перестает ругаться.
• Обсуждение функций тела.Эта тема может вызвать сильное отвращение, а потому ее стоит избегать.
Подумайте о словах и выражениях, из которых состоит ваш личный словарь. Подумайте, какие из семи базовых эмоций они способны вызвать у объекта воздействия: злость, удивление, страх, отвращение, презрение, печаль или радость. Если реакция на ваши слова и выражения может быть негативной и повредит ходу операции, не используйте их — хотя бы из предосторожности.
Мои коллеги занимаются так называемым «тестированием на проникновение». Что греха таить, само название подталкивает пошутить на околосексуальную тему. Тем не менее когда в очередной раз я слышу выражение: «Я поимел/изнасиловал их сервер», мне не до смеха. Только в США каждые 98 секунд кто-то становится жертвой изнасилования, так что я не вижу в таких шутках ничего смешного. На самом деле, если подобные шутки услышит человек, когда-либо подвергшийся сексуальному нападению, это может вернуть его в пережитую травму. Не используйте такие выражения для описания своей работы!
Правило 2: используемые в контексте фрейма слова оживляют его
Как-то вечером я вышел на крыльцо и увидел в углу у лампы паутину. Ее хозяин заворачивал какое-то насекомое в кокон, чтобы позже поужинать им.
Что я вам только что описал? Наверняка вы представили примерно то, что изображено на илл. 7.3.
К чему это я? Вы обратили внимание на то, что мне не пришлось употреблять слово «паук», чтобы сообщить вам о нем. Достаточно было описать его, и ваш мозг тут же представил его образ.
С помощью легенды социальный инженер заставляет объект воздействия думать о работе, которую якобы пришел выполнить. А описание ситуации также позволяет получить доступ к подходящему эмоциональному фрейму, не используя угрожающих слов напрямую.
Однажды я отправил объекту воздействия фишинговый e-mail примерно такого содержания:
4 января камера наблюдения зарегистрировала проезд вашего автомобиля на красный сигнал светофора № XCV431. Назначенный за это нарушение штраф до сих пор не был оплачен. Отказ от оплаты штрафа в означенный срок приведет к негативным последствиям.
Вы можете направить жалобу или подтвердить оплату штрафа на защищенном портале www.пожалуйста_кликните_чтобы_я_вас_хакнул.com.
Читать дальшеИнтервал:
Закладка:
