Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Если бы я мог описать в этой книге безотказный метод поиска заказчиков, думаю, она сразу же после публикации получила бы статус бестселлера по версии The New York Times . Но, к моему великому сожалению, такого метода просто не существует. Тем не менее я могу подсказать, какие пути в принципе можно рассматривать.
Открыть свою компанию
Вы можете начать продавать СИ-услуги организациям в вашем регионе. Сегодня открывать подобные компании проще, чем во времена, когда я только начинал (и не благодарите).
В самом начале своего профессионального пути я предлагал бесплатно отправить пять (да, всего пять) фишинговых писем, чтобы потенциальные заказчики прониклись моей идеей. И все равно получал много отказов. Сегодня же люди сами просят использовать СИ в ходе пентестов. Во многом такой сдвиг произошел благодаря публикациям в СМИ, где освещались потенциальные угрозы, связанные с социальной инженерией. Так что вам будет легче начинать.
Но даже несмотря на изменения, произошедшие за последние несколько лет, на пути социального инженера до сих пор встречается множество преград. Просто поставьте себя на место заказчика, которого вы просите: «Дайте мне список пользователей вашей сети, а я подвергну их фишингу и вишингу. Ах да, и еще мне хотелось бы проникнуть в ваш офис и что-нибудь оттуда унести. И раз уж пришел, могу заодно установить программу для получения удаленного доступа к вашей системе и хакнуть ее».
Прежде чем заказывать такие услуги, большинство компаний захочет узнать побольше об исполнителе, в частности ознакомиться с отзывами об уже завершенных проектах. Понятное дело, в начале пути с этим могут возникнуть определенные трудности. Но это не повод погружаться в отчаяние и плакать, забившись в угол. Существуют способы формирования хорошей репутации.
Выступите на конференции, заведите и раскрутите блог, чтобы вас читали и комментировали. Если ваше имя станет известным даже в узких кругах, вам будет легче доказать потенциальным заказчикам, что вы — достойный претендент для оказания необходимых им услуг. Я несколько раз наблюдал, как люди, не имеющие практического опыта в социальной инженерии, открывали таким образом успешный бизнес. Они приходили на DEF CON и участвовали в игре «Захват флага» для социальных инженеров (SECTF), где показывали отличный результат или даже побеждали, после чего открывали компании, предлагающие СИ-услуги. Формирование кредита доверия помогает развиваться.
Устроиться в компанию, занимающуюся пентестингом
Большинство компаний, занимающихся пентестингом, предлагают СИ-услуги в том или ином виде. И я видел, как некоторые молодые специалисты находили себе работу через них. Если вы только закончили учиться и еще не набрали никакого опыта, возможно, имеет смысл начать с самого низа.
Впрочем, устроившись на работу, обязательно подчеркните, что хотели бы заниматься вишингом, созданием легенд и т. п. Чем лучше вы будете справляться с поставленными задачами, тем больше новых возможностей даст вам руководство. При благоприятном стечении обстоятельств вы имеете все шансы быстро продвинуться по карьерной лестнице социальной инженерии.
Нужно понимать, что такой путь может занять месяцы, а то и годы. Бывает, что сотрудник проявляет инициативу, но компании этого не нужно. В таком случае решите для себя, как долго вы готовы продолжать попытки.
Если вы выберете этот путь, рекомендую запастись терпением и решимостью по отношению к освоению новых навыков, необходимых для развития в штате компании и постепенного выхода в самостоятельное плавание.
Устроиться в компанию, занимающуюся социальной инженерией
Несколько минут в Google-поиске — и вот передо мной уже целый список компаний, занимающихся социальной инженерией; некоторые даже предлагают исключительно СИ-услуги. Например, моя компания занимается только этим, и мы каждый месяц получаем большое количество заявок от людей, которые хотели бы у нас работать. Я бы с удовольствием нанял всех (кто подходит по уровню квалификации), но мы набираем новых сотрудников, только когда появляются вакансии (логично, да?).
Тем не менее отсутствие анонсированных вакансий не должно вас останавливать: все равно дайте понять интересующим вас компаниям, что готовы работать. Укажите, о чем вы писали, рассказывали, в каких проектах уже участвовали. Скажите, что хотели бы попасть на собеседование, когда откроется вакансия. Путь к работе мечты может начаться для вас с попадания в список претендентов на место в такой компании.
Какой бы путь вы ни выбрали, помните: новые люди в этой сфере очень нужны. Социальная инженерия в ближайшее время не перестанет быть актуальной. И потребность в квалифицированных и небезразличных специалистах тоже не исчезнет.
Будущее социальной инженерии
Давайте на секундочку переключимся на серьезный тон. Ведь социальную инженерию используют не только хакеры (подробнее об этом можно почитать в отчетах DBIR, CISCO и др.), но и намного более опасные злоумышленники.
Каждый день появляются новости о том, как люди уходят из дома, бросают семьи и вступают в террористические организации. Как это происходит?
Если вы проанализируете эти печальные истории, то наверняка увидите в них приемы социальной инженерии, упомянутые в этой книге. Люди, вступающие в ряды террористов, обычно испытывают сильные эмоции, злятся, ищут свое «племя». И когда находят его, получают ответы на свои вопросы и «решения» своих проблем. Люди чувствуют себя нужными, желанными, принятыми. Поначалу новое «племя» не просит от них ничего серьезного: в этот период выстраивается связь и устанавливается доверие. Но это лишь до тех пор, пока не закончится процесс обращения.
В статье Ричарда Флорида под названием «География иностранных бойцов ИГИЛ [20] Запрещенная в России организация.
» ( CityLab , август 2016, https://www.citylab.com/equity/2016/08/foreign-fighters-isis/493622/) сказано, что порядка 19 000 людей из Туниса, России, Саудовской Аравии, Турции и Иордании бросили свои семьи и вступили в ИГИЛ. В западных странах показатели ниже (не больше 2000 человек из Великобритании, Франции, Германии, США и др.), но принципы рекрутинга используются те же.
Еще одна тревожная тенденция: принципы социальной инженерии используют преступники, совращающие детей. Они завязывают с детьми отношения в онлайн-чатах, внедряясь в их «племя». Такие хищники отыскивают детей, у которых плохие отношения с родителями или тяжелая атмосфера дома, устанавливают с ними раппорт, активно слушают, задают открытые вопросы, а потом внедряют в детские головы удобные для себя идеи и представления.
Читать дальшеИнтервал:
Закладка: