Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
— А у меня появилась интересная идея! — и обещал раскрыть подробности позже.
Когда ему нужно было под моим наблюдением выполнить задание на взаимодействие с объектом, он подошел к женщине, которая сидела в кафе и ела клубнику. Молодой человек не делал никаких вступлений, даже не думал о раппорте — он построил разговор следующим образом.
Ученик:О, вижу, вы любите клубнику! Значит, вы наверняка родились в феврале.
Объект:Э… Нет, вообще-то в июле.
Ученик:Хм… Но тогда, наверное, 4-го, прямо в праздник?
Объект:Да нет, 11-го. А что? [ Она удивленно на него посмотрела. ]
Ученик:Ничего. До свидания.
Когда он вернулся ко мне, я сказал: «Но второй-то раз такое точно не сработает». Но он снова и снова подходил к незнакомцам, забрасывал их такими же странными ложными утверждениями — и каждый раз люди сообщали ему всю необходимую информацию!
У этого метода есть один серьезный недостаток — между социальным инженером и объектом воздействия не формируется раппорт. То есть по результатам взаимодействия собеседник остается в недоумении: что это было? И уж точно он не будет чувствовать себя лучше, чем до встречи с социальным инженером.
Поэтому при использовании заведомо ложных утверждений я рекомендую быть осторожными и помнить о следующих вещах:
• Если делать ложные утверждения слишком часто, вы рискуете показаться невеждой и потерять доверие объекта.
• Не путайте ложные утверждения и отрицание фрейма. Если не хотите, чтобы объект воздействия задумался о «взломах аккаунтов», не используйте это словосочетание в своих высказываниях.
• Заведомо ложные утверждения работают намного лучше, если применять их уже после установления раппорта с объектом.
• Заведомо ложное утверждение должно быть похожим на правду. Если бы мой ученик в своем эксперименте подошел к женщине со словами: «О, вы едите клубнику! Значит вы, наверное, летаете на драконах», — понятное дело, их общение ни к чему бы не привело. Он бы только сбил ее с толку, но не стимулировал ее стремление исправить неверную информацию.
Я серьезно призываю вас попробовать этот прием на практике. Вы удивитесь тому, насколько он эффективен и сколько информации позволяет получить.
В большинстве случаев, если вы подойдете к незнакомому человеку и попытаетесь узнать его PIN, дату рождения или другую личную информацию, это не вызовет по отношению к вам ничего, кроме подозрений. Однако если вы научитесь внедрять в разговор заведомо ложные утверждения, разглашение этой информации в беседе с вами будет казаться человеку намного более естественным.
Вскоре я и сам опробовал метод своего ученика в ходе операции, целью которой был сбор аналогичной информации. Сработало как по мановению волшебной палочки. Только вот, получив информацию о дне и месяце рождения женщины, я сказал:
— Ага, 12 августа. Забавно, моя сестра тоже в августе родилась.
Я отплатил женщине такой же информацией, какую она дала мне, так что в результате у нее сложилось впечатление равноценного обмена. Потом я добавил:
— А бабушка нам всегда говорила, что августовские дети — самые артистичные и творческие. У вас, случайно, нет музыкальных талантов?
Женщина усмехнулась и ответила:
— Я скорее математик по складу ума. Поэтому и работаю бухгалтером. Видимо, даже бабушки иногда ошибаются.
— Пожалуй. Но лучше ей об этом не говорить. А то моя бабушка итальянка, она за такое может и подзатыльник отвесить, — ответил я.
— Прекрасно себе представляю. Моя семья ирландского происхождения. Вот уж где точно не стеснялись заниматься рукоприкладством! — подхватила собеседница.
— Ого! Звучит… интересно. Хм, так у вас, должно быть, и фамилия ирландская?
Мне показалось, что это — отличный предлог для сбора еще большего количества личной информации.
— Да уж более ирландское имя сложно придумать. Мари О’Доннелл, — сказала она, намеренно подчеркивая ирландский выговор.
— Какой у вас классный акцент! Эх, жаль я со своими итальянскими корнями совсем связь потерял, помню только ругательства.
— Тоже может пригодиться.
Обратите внимание: вслед за заведомо ложным высказыванием я применил метод равноценного обмена, благодаря чему узнал полное имя женщины, дату ее рождения, профессию и другие подробности из ее жизни.
Осведомленность
Не путайте осведомленность со всезнайством. Это совершенно разные вещи. Когда вы будете обсуждать с объектом воздействия разные вопросы, осведомленность откроет вам новые двери в процессе извлечения информации. Самое время рассказать историю еще одного моего провала, из-за которого сорвалась вся операция.
Мою компанию наняли для проверки безопасности системы доступа к серверу одного университета. В процессе предварительного изучения здания, в котором находилась серверная, мы обнаружили, что один профессор каждый день входил в него строго в 7 утра. Кроме него в такую рань в университете еще никого не было, так что это время показалось нам идеальным для попытки проникнуть в здание вслед за ним. На всех дверях стояли RFID-замки, но, поскольку мы специализируемся в первую очередь на социальной инженерии, то решили проникнуть к цели, используя влияние человеческого фактора.
Собрав из открытых источников данные о профессоре, мы узнали, что он написал статью по какой-то теме из квантовой физики, там было много незнакомых мне длинных слов. Благодаря своей безграничной мудрости и необузданному интеллекту (это сарказм, если что) я запомнил название статьи и запланировал личное знакомство с профессором на следующее утро.
И вот в 7:00 я увидел, как он быстро приближается к зданию. По моему сценарию, между нами должен был завязаться разговор о его статье, мы бы вместе прошли в здание, а потом каждый последовал своим путем (то есть я — прямиком серверную).
— Доброе утро, сэр. Меня зовут Пол Уильямс. А вы — профессор Смит, верно? — я пошел в наступление.
— Да, это я. Чем могу помочь? — ответил он, даже не замедлив шага.
— Я хотел задать вам несколько вопросов о вашей статье по квантовой физике, — сказал я, а затем на одном дыхании выпалил название публикации.
После небольшой паузы он сказал:
— Ладно. Что именно вас интересует?
О нет! Как я вообще мог не подумать о том, что он задаст такой вопрос? Мы продолжали идти рядом, но казалось, что между нами разверзлась бездна. Я честно пытался придумать хоть что-то умное, но не нашел ничего лучше, чем неуверенно спросить:
— Почему вы решили написать эту статью?
Впервые с начала нашей встречи профессор остановился, повернулся ко мне и сказал:
Читать дальшеИнтервал:
Закладка:
