Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]

Если бы я мог описать в этой книге безотказный метод поиска заказчиков, думаю, она сразу же после публикации получила бы статус бестселлера по версии The New York Times . Но, к моему великому сожалению, такого метода просто не существует. Тем не менее я могу подсказать, какие пути в принципе можно рассматривать.

Вы можете начать продавать СИ-услуги организациям в вашем регионе. Сегодня открывать подобные компании проще, чем во времена, когда я только начинал (и не благодарите).

В самом начале своего профессионального пути я предлагал бесплатно отправить пять (да, всего пять) фишинговых писем, чтобы потенциальные заказчики прониклись моей идеей. И все равно получал много отказов. Сегодня же люди сами просят использовать СИ в ходе пентестов. Во многом такой сдвиг произошел благодаря публикациям в СМИ, где освещались потенциальные угрозы, связанные с социальной инженерией. Так что вам будет легче начинать.

Но даже несмотря на изменения, произошедшие за последние несколько лет, на пути социального инженера до сих пор встречается множество преград. Просто поставьте себя на место заказчика, которого вы просите: «Дайте мне список пользователей вашей сети, а я подвергну их фишингу и вишингу. Ах да, и еще мне хотелось бы проникнуть в ваш офис и что-нибудь оттуда унести. И раз уж пришел, могу заодно установить программу для получения удаленного доступа к вашей системе и хакнуть ее».

Прежде чем заказывать такие услуги, большинство компаний захочет узнать побольше об исполнителе, в частности ознакомиться с отзывами об уже завершенных проектах. Понятное дело, в начале пути с этим могут возникнуть определенные трудности. Но это не повод погружаться в отчаяние и плакать, забившись в угол. Существуют способы формирования хорошей репутации.

Выступите на конференции, заведите и раскрутите блог, чтобы вас читали и комментировали. Если ваше имя станет известным даже в узких кругах, вам будет легче доказать потенциальным заказчикам, что вы — достойный претендент для оказания необходимых им услуг. Я несколько раз наблюдал, как люди, не имеющие практического опыта в социальной инженерии, открывали таким образом успешный бизнес. Они приходили на DEF CON и участвовали в игре «Захват флага» для социальных инженеров (SECTF), где показывали отличный результат или даже побеждали, после чего открывали компании, предлагающие СИ-услуги. Формирование кредита доверия помогает развиваться.

Большинство компаний, занимающихся пентестингом, предлагают СИ-услуги в том или ином виде. И я видел, как некоторые молодые специалисты находили себе работу через них. Если вы только закончили учиться и еще не набрали никакого опыта, возможно, имеет смысл начать с самого низа.

Впрочем, устроившись на работу, обязательно подчеркните, что хотели бы заниматься вишингом, созданием легенд и т. п. Чем лучше вы будете справляться с поставленными задачами, тем больше новых возможностей даст вам руководство. При благоприятном стечении обстоятельств вы имеете все шансы быстро продвинуться по карьерной лестнице социальной инженерии.

Нужно понимать, что такой путь может занять месяцы, а то и годы. Бывает, что сотрудник проявляет инициативу, но компании этого не нужно. В таком случае решите для себя, как долго вы готовы продолжать попытки.

Если вы выберете этот путь, рекомендую запастись терпением и решимостью по отношению к освоению новых навыков, необходимых для развития в штате компании и постепенного выхода в самостоятельное плавание.

Несколько минут в Google-поиске — и вот передо мной уже целый список компаний, занимающихся социальной инженерией; некоторые даже предлагают исключительно СИ-услуги. Например, моя компания занимается только этим, и мы каждый месяц получаем большое количество заявок от людей, которые хотели бы у нас работать. Я бы с удовольствием нанял всех (кто подходит по уровню квалификации), но мы набираем новых сотрудников, только когда появляются вакансии (логично, да?).

Тем не менее отсутствие анонсированных вакансий не должно вас останавливать: все равно дайте понять интересующим вас компаниям, что готовы работать. Укажите, о чем вы писали, рассказывали, в каких проектах уже участвовали. Скажите, что хотели бы попасть на собеседование, когда откроется вакансия. Путь к работе мечты может начаться для вас с попадания в список претендентов на место в такой компании.

Какой бы путь вы ни выбрали, помните: новые люди в этой сфере очень нужны. Социальная инженерия в ближайшее время не перестанет быть актуальной. И потребность в квалифицированных и небезразличных специалистах тоже не исчезнет.

Давайте на секундочку переключимся на серьезный тон. Ведь социальную инженерию используют не только хакеры (подробнее об этом можно почитать в отчетах DBIR, CISCO и др.), но и намного более опасные злоумышленники.

Каждый день появляются новости о том, как люди уходят из дома, бросают семьи и вступают в террористические организации. Как это происходит?

Если вы проанализируете эти печальные истории, то наверняка увидите в них приемы социальной инженерии, упомянутые в этой книге. Люди, вступающие в ряды террористов, обычно испытывают сильные эмоции, злятся, ищут свое «племя». И когда находят его, получают ответы на свои вопросы и «решения» своих проблем. Люди чувствуют себя нужными, желанными, принятыми. Поначалу новое «племя» не просит от них ничего серьезного: в этот период выстраивается связь и устанавливается доверие. Но это лишь до тех пор, пока не закончится процесс обращения.

В статье Ричарда Флорида под названием «География иностранных бойцов ИГИЛ [20] Запрещенная в России организация. » ( CityLab , август 2016, https://www.citylab.com/equity/2016/08/foreign-fighters-isis/493622/) сказано, что порядка 19 000 людей из Туниса, России, Саудовской Аравии, Турции и Иордании бросили свои семьи и вступили в ИГИЛ. В западных странах показатели ниже (не больше 2000 человек из Великобритании, Франции, Германии, США и др.), но принципы рекрутинга используются те же.

Еще одна тревожная тенденция: принципы социальной инженерии используют преступники, совращающие детей. Они завязывают с детьми отношения в онлайн-чатах, внедряясь в их «племя». Такие хищники отыскивают детей, у которых плохие отношения с родителями или тяжелая атмосфера дома, устанавливают с ними раппорт, активно слушают, задают открытые вопросы, а потом внедряют в детские головы удобные для себя идеи и представления.