Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Конечно, не нужно просто писать: «Увидимся на следующем пентесте». В данном случае стоит руководствоваться принципами, которые я описывал в предыдущем подразделе. Отвечайте на этот вопрос настолько подробно, чтобы в руках у клиента оказались средства, необходимые для дальнейших изменений.
Со многими клиентами у нас заключены договоры на проведение ежемесячных проектов. Но даже это я не считаю поводом расслабляться. Постоянным клиентам тоже хочется вовремя узнавать, нужно ли что-то менять в программах информирования сотрудников, расширять их или адаптировать.
Планомерное выполнение всех описанных шагов поможет вам писать по-настоящему хорошие отчеты, которые принесут клиентам пользу и удовлетворение.
Вопросы СИ-пентестеру
В завершение этой главы я хочу ответить на те вопросы о социальной инженерии в пентестинге, которые мне чаще всего задают. Конечно, осветить все нюансы у меня не получится, поэтому я остановлюсь лишь на самых актуальных. Надеюсь, информация окажется полезной как для состоявшихся социальных инженеров, так и для тех, кто только ступил на этот путь.
Как найти заказчиков?
Пожалуй, по популярности это вопрос № 1. Итак, вы решили, что социальная инженерия — ваш путь. Что делать дальше? Нужно с чего-то начинать, а с чего — непонятно. Часто в социальную инженерию приходят люди, строившие карьеру в других областях. Предположим, на протяжении 10 лет вы развивались в совершенно другой сфере, набирали навыки и опыт, ваша зарплата тоже постепенно росла. Если же вы решите поменять специальность, вам придется увеличивать с условного нуля не только знания, но и зарплату. Поэтому надо быть готовым к тому, чтобы:
• выйти из зоны комфорта;
• начать с малого;
• осваивать неизвестные навыки;
• поначалу получать меньшую зарплату.
Если вы на все это готовы, можете смело начинать карьеру в социальной инженерии. Но (вечно попадаются эти противные но и все портят, да?) не стоит ждать, что компании, уже занявшие свое место на рынке, сами будут выходить с вами на связь и предлагать заказы. Социальных инженеров пока не так много, но вам все равно придется продемонстрировать свои конкурентные преимущества по сравнению с другими кандидатами. А для этого надо приложить усилия.
Не забывайте, что профессиональные социальные инженеры занимаются не только получением доступа в здания банков или сбором данных с помощью фишинга. Большая часть нашей работы происходит в офисе, и существенная доля времени уходит на составление отчетов. Для профессионала социальная инженерия — это не просто умение находить общий язык с окружающими, быстро соображать или не теряться под давлением обстоятельств. Это серьезная работа.
Подумайте, какая из этих сфер может стать вашей слабой стороной:
• извлечение информации;
• умение убалтывать собеседника;
• высокая скорость мышления;
• умение писать хорошие отчеты;
• профессиональный жаргон.
Нужно учиться видеть свои слабости. Только тогда вы сумеете от них избавиться.
Если будет возможность, перейдите по ссылке https://youtu.be/RGnzf66-a4Aи посмотрите мое выступление на конференции DerbyCon7, посвященное этой теме. (Сразу предупреждаю: начинается оно с пранка моего друга Дейва Кеннеди, но потом мы быстро переходим к заявленной теме.)
Как склонить клиентов к применению СИ?
Предположим, вы уже являетесь пентестером и готовы заняться социальной инженерией. Ниже обсудим некоторые идеи по поводу того, как склонить уже имеющихся у вас клиентов к проведению СИ-проверок.
Не предлагайте дополнительные услуги бесплатно
Некоторые наивно полагают, что, если предложить клиентам попробовать услугу бесплатно, они вдохновятся результатом и побегут заказывать ее снова, но уже за деньги. Со мной однажды приключилась история, которая прекрасно иллюстрирует, почему такая тактика не приносит желаемых результатов.
Начиная работать в индустрии технологий и занимаясь сборкой компьютеров, я пытался запустить бесплатный семинар о том, как обезопасить малый бизнес. Больше часа обсуждения я планировал посвятить разбору реальных советов по использованию антивирусов, сетей, файлообменников и т. п. А напоследок заготовил пятиминутную презентацию, с помощью которой хотел убедить представителей компаний обращаться ко мне за соответствующими услугами.
Я заранее договорился с местной торговой палатой об организации бесплатных выступлений. Мы анонсировали три семинара, на которые записалось огромное количество людей: десятки представителей разных компаний на каждый. Я уже начал подсчитывать потенциальные прибыли и чувствовал себя победителем.
И вот настал долгожданный день первого семинара. Я пришел в зал заранее, настроил проектор, разложил на столе раздаточные материалы, которые распечатал на собственные деньги. За пять минут до назначенного времени в зале сидел всего один человек. Как я ни надеялся, что к началу лекции ситуация изменится, этого не произошло. Мне было очень неловко. Я начал свое выступление, но вскоре мой единственный слушатель сказал: «Как-то это странно получается, вам не кажется? Может, лучше сходим пообедать и просто поговорим?».
Я был раздавлен и не мог понять, что же пошло не так. Когда ситуация один в один повторилась на втором семинаре, я понял, что проводить третий бессмысленно, и отменил его. Затем мой друг предложил: «В следующий раз установи цену в $50 за регистрацию. Пообещай дать посетителям информацию, которая стоит намного дороже, — но сначала пусть заплатят».
Мне не хотелось даже пытаться. Я думал: раз никто не дошел до бесплатного семинара, то уж точно никто не будет платить за него. И тем не менее я все-таки решил попробовать. В результате передо мной в зале оказались 10 слушателей, каждый из которых заплатил $50.
ЧТО??? Да, пусть в итоге пришло меньше людей, чем записалось на бесплатную лекцию, но важно другое. Они не просто пришли, но и заплатили за возможность меня послушать.
После проведения семинара я встретился с тем самым другом, который посоветовал брать деньги за выступления. Он объяснил мне, что денежный вклад, пусть даже самый маленький, заставляет людей придавать происходящему большую ценность. Если бы человек записался и не пришел, он бы потерял $50. То есть оплаченная лекция — мотивация к ее посещению.
Но, когда я начал работать в сфере социальной инженерии, оказалось, что на своих ошибках я так и не научился. Мне предлагали выступать с лекциями в разных странах, а я ничего за эти выступления не просил. И часто получалось, что их отменяли или же до последнего момента было непонятно, наберется ли зал.
Читать дальшеИнтервал:
Закладка:
