Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
(Вы, наверняка догадались, что адрес страницы был изменен в целях безопасности.) Обратите внимание: я не угрожал объекту воздействия арестом. Страшные суммы штрафов называть тоже не пришлось. Просто с помощью слов я создал определенный образ, который вызвал у человека интерес и страх. А затем дал ему надежду на лучший исход. (Да, получатель перешел по ссылке.)
Правило 3: отрицание фрейма
Представьте себе такую ситуацию: один мой ученик получил задание — выведать у человека личную информацию (полное имя, дату рождения и пару фактов из жизни). И хотя ученик очень волновался, потому что я наблюдал за ходом беседы, разговор завязался быстро и буквально через минуту я услышал следующее:
Ученик:О, огромное спасибо за помощь. Я не знал, что подарить ей, а это отличная идея. [ Ученик использовал приятную валидирующую формулировку в отношении идеи подарка жене, которую предложила собеседница. ]
Объект:Никаких проблем. Знаете, мне… [ Она собиралась сказать, что ей пора идти, но ученик не дал ей закончить. ]
Ученик[ протянул руку ]: Меня зовут Том, Том Смит. [ Он использовал приятное ритмическое построение фразы, чтобы подтолкнуть объект к раскрытию личной информации. ]
Объект:Приятно познакомиться, Том. Я — Сара.
Ученик:Взаимно, Сара. А какая, говорите, у вас фамилия?
Объект:А вам-то зачем?
Ученик:Да так просто. Просто интересно. Слушайте, а что вы собираетесь устраивать на свой день рождения? Он же у вас в июле?
Объект:Ммм, Том, с вами было приятно пообщаться, но я не хотела бы об этом говорить. Извините.
Ученик:Никаких проблем, Сара. Я же не собираюсь использовать эту информацию для подбора паролей к вашим аккаунтам !
После этой фразы девушка буквально отпрянула от ученика, глянула на часы, сказала, что опаздывает, и быстро ушла.
Что он сделал не так? Мы называем это отрицанием фрейма — то есть высказыванием, в котором упоминается то, о чем объекту воздействия думать нежелательно. Получается, вы сами подталкиваете его к невыгодным для себя размышлениям.
Как полагаете, к каким мыслям социальному инженеру не стоит подталкивать объектов воздействия в процессе общения? Наверное, на мысли о том, что их аккаунты могут взломать ?!
Если не хотите пугать людей, не говорите страшных вещей вроде:
• «Да я не буду использовать эту информацию, чтобы вас взламывать!»
• «Ну я же не пытаюсь проникнуть туда, где мне быть не положено».
• «Я бы никогда не отправил вам зараженный e-mail».
• «Я не мошенник!»
Все это — примеры отрицания фрейма, возникающие, когда мы упоминаем нечто, противоположное фрейму. Но вспомните илл. 7.2: фрейм объекта воздействия — сохранение безопасности. Поэтому лучше не играйте с огнем.
Ищите способы подкрепления фрейма с помощью легенды, одежды и других инструментов: это поможет объекту воздействия избавиться от лишних вопросов и сомнений.
Правило 4: чем больше объект думает о фрейме, тем сильнее этот фрейм
Каждый раз, подталкивая человека задуматься о каком-либо фрейме, мы тем самым подкрепляем этот фрейм. Например, у родителей всегда есть выбор, какой фрейм укреплять — позитивный или негативный:
• «Ты такой глупый!»
• «Спорт — это не твое».
• «Можешь ты хоть что-то сделать правильно?»
• «Если захочешь, добьешься чего угодно».
• «Знаю, это сложно, но у тебя получится!»
Профессиональный социальный инженер может подкреплять фреймы не только словами, но и с помощью легенды.
Однажды, проводя вишинг, я выбрал легенду IT-специалиста из техподдержки: якобы он отвечает на жалобу о взломе пропускной системы, поступившей прошлым вечером. Нам нужно было получить полное имя, дату рождения, идентификационный номер сотрудника и некоторую другую информацию о человеке, ответившем на звонок. Диалог состоялся примерно следующий:
Объект:Добрый день, говорит Боб. Чем могу помочь?
СИ:Боб, это Пол из IT-отдела. Вчера вечером поступила жалоба на взлом пропускной системы, были отмечены 100 аккаунтов. Вам «повезло», вы в их числе. Скажите, возникли ли у вас сегодня проблемы при входе в здание?
Объект:Нет, все работало как обычно. Повторите, пожалуйста, кто спрашивает?
СИ:Пол, Пол Уильямс из IT. Я работаю с Тони Р. Это займет всего минуту. Вы наверняка знаете, что система пропусков связана с системой заполнения зарплатных ведомостей, так что решение этого вопроса лучше не откладывать.
Объект:Да уж. Так что мне нужно сделать?
СИ:Подтвердите ваше полное имя. Можете продиктовать вашу фамилию по буквам?
Объект:Мм, серьезно? Она же проще некуда: С-М-И-Т.
СИ:А вот и ошибка нашлась! В системе вместо Роберта Смита записан Роберт Джонс. Уж вы-то знаете, что бухгалтерия этому не обрадовалась бы. Наверное, когда злоумышленники запустили алгоритм, они изменил учетные данные в базе. [ Я знал, что смысла в моих словах нет, но что-то мне подсказывало, что Боб из бухгалтерии не особенно разбирался в программировании. ]
Объект:Действительно, не хотелось бы, чтобы мой чек получил кто-то другой. Давайте тогда проверим остальные данные?
Затем я выдал несколько заведомо ложных утверждений и положительное подкрепление сотрудничества. В результате объект назвал мне свое полное имя, дату рождения, идентификационный номер сотрудника и даже последние четыре цифры номера социального страхования. Мои слова и легенда подкрепляли фрейм, и объекту воздействия было проще его принять.
Пусть объект думает о вашем фрейме с самой первой фразы — тогда перейти к следующему шагу будет намного легче. К какому шагу? Конечно же, к извлечению информации.
Извлечение информации
Какое определение можно дать извлечение информации? Я определяю его, как «получение сведений, о которых вы не спрашивали». Извлечение информации со стороны выглядит, как обычный разговор. Но опытный извлекатель направляет беседу в нужное русло так, чтобы вы исподволь выкладывали необходимую ему информацию.
У тех, кто профессионально занимается добыванием сведений, есть свои наработки и правила, помогающие достичь успеха. Узнав о них и объединив воедино, как и подобает профессионалу от социальной инженерии, вы в совершенстве овладеете искусством беседы. Эти навыки станут вашей силой, с которой принято считаться. А пока запомните одну важную вещь: правильный разговор, целью которого является извлечение вами нужной информации, непременно должен протекать, как непринужденная беседа.
В пятой главе я говорил о так называемом усмирении эго. Принцип, о котором я расскажу сейчас, является противоположностью такого усмирения, потому что вам нужно будет забыть о собственном эго и сосредоточиться на эго объекта воздействия.
Читать дальшеИнтервал:
Закладка:
