ТОП-5 атак с использованием социальной инженерии (часть 2)

Итак, продолжим ТОП ещё двумя атаками, которые реализовывались с использованием техник социальной инженерии.

2. Hidden Lynx Watering Hole

Вполне заслуживает второго места в топе китайская кибер-шпионская группировка "Hidden Lynx". Заслуживает тем, что ей удалось реализовать несколько успешных атак, применяя технику watering hole (водопой).
Вкратце, WH (не путать с worm hole) - это продвинутый фишинг и относится к группе APT-атак. Выясняется, на какой сайт часто заходит группа людей, являющейся целью хакеров, и специальный вредоносный код внедряется именно на этот сайт. Watering hole хоть и сложнее классического фишинга, но позволяет добиться успеха при сложных взломах, когда цель является более-менее компетентной в вопросах безопасности и не "клюнет" на ссылки из непонятных писем.
Группа "Hidden Lynx" использовала подобную тактику в известных атаках на Bit9, VOHO и в ходе достаточно успешной Operation Aurora, целями которой были Google, Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Morgan Stanley и др.

1. Принц Нигерии!

Так называемые "Нигерийские письма" - это, наверное, один из самых распространённых и широко известных видов мошенничества. Существовал он задолго до Интернета, но особое распространение получил, естественно, с появлением массовых рассылок по электронной почте.
Как правило, письмо приходит от имени бывшего короля или принца\принцессы, с просьбой о помощи в банковских операциях по переводу денег из Нигерии за границу. Обоснований приводится масса - высокие налоги, политическое преследование и т.д. В замен обещается процент от переведённой суммы. А так как суммы как правило весьма внушительны (от нескольких тысяч $ до миллионов), то и вознаграждение обещается заманчивое.

Если жертва отвечает на письмо - вот тут и начинается Социальная инженерия с большой Буквы!:) Мошенники используют все средства, техники и способы убеждения, чтобы выкачать деньги. Высылают документы, которые необходимо заполнить, просят деньги на оплату сборов и гос.пошлин, требуют положить несколько тысяч $ на счёт в нигерийском банке, чтобы якобы авторизовать транзакцию. Оказывают все виды психологического давления, описанные в том числе и в моём блоге. В некоторых случаях даже организовывались полулегальный приезд жертвы в Нигерию, якобы для тайной встречи с "наследным принцем", где человека просто похищали и вымогали деньги за его освобождение уже у родственников. Существуют и прецеденты убийств. Никаких денег, естественно, никто и никогда от Короля Нигерии не получал.
Не смотря на широкое распространение этого мошенничества и обсуждения в СМИ, массовость спама приводит к тому, что это мошенничество до сих пор процветает. В одном только 2013 году, по данным исследования, рынок этого мошенничества составил $12.7 миллиардов!

Несколько интересных фактов:

• в 2005 году нигерийским спамерам присудили шнобелевскую премию по литературе
• в 2006 году журнал Forbes поставил принца Абакалики Нигерийского на 9-е место в списке "15 богатейших вымышленных персонажей"
• известно, что два россиянина сумели заработать на мошенниках, развернув схему в свою пользу - один из них получил от мошенников $10, а другой $600, ничего не отдав в замен.

ТОП-5 атак с использованием социальной инженерии (часть 1)

Забавы ради, расскажу про пятёрку самых успешных и громких, на мой взгляд, атак с использованием социальной инженерии.
Итак, приступим!

5. Взлом RSA SecurID

До конца в причинах этого взлома ещё толком и не разобрались. В 2011 году, компания EMC, владелица RSA, потратила $66 миллионов на восстановление после взлома своих токенов двухфакторной аутентификации SecurID. Загадкой остаётся какая информация утекла на самом деле. В заявлениях RSA просто указано, что из-за утечки снижена эффективность SecurID, но был ли украден исходный код или криптографические ключи - неизвестно.
Одна что известно, так это то, что атака началась именно с социальной инженерии. Вот что написала RSA по этому поводу:

Атакующий послал два фишинговых письма в течение двух дней.  Эти два письма были направлены двум небольшим группам сотрудников. Нельзя сказать, что эти сотрудники имели высокие уровни доступа или представляли высокий интерес для злоумышленника. Заголовком письма было: "2011 План набора персонала" (2011 Recruitment Plan)... 

На письмо "клюнул" один из сотрудников и открыл вложенный файл Excel .xls... 

Файл содержал в себе эксплоит (zero-day), который установил backdoor, используя уязвимость Adobe Flash (CVE-2011-0609).

Easy mod какой-то :)

4. Похищение алмазов из ABN Amro

В 2007 году произошёл интересный случай, достойный фильмов про друзей Оушена. Но в данном случае, всех "друзей" сыграл один единственный человек. Ему удалось вынести из депозитных ячеек бельгийского банка ABN Amro bank алмазов на сумму около $28 миллионов. Он просто зашёл в банк в рабочее время, обошёл все механизмы защиты и вышел через дверь с кучей алмазов.
В ходе расследования этого инцидента выяснилось, что мошенник просто очаровал всех сотрудников банка. Он покупал им шоколадки, был с ними любезен, собрал необходимую информацию, добыл копии необходимых ключей. Разработанный им план сработал просто идеально, злоумышленника так и не нашли.
Вот как важен подготовительный этап в СИ-атаках!

3. Взрыв в Белом доме

В 2013 году, в твиттере известного издания "Associated Press" появилось сообщение: "Два взрыва в Белом доме, Барак Обама ранен."
Естественно, это была ложная информация и являлась частью известной тогда атаки хакерской группировки Syrian Electromic Army на медиа-агенства США. Но последствия этого "прикола" были весьма серьёзные. За несколько минут, пока новость не была опровергнута, индекс DowJones упал на 150 пунктов!
В наш топ-5 этот случай попал из-за того, что взлом также был осуществлён с помощью фишинга.  Вот такое письмо получили несколько сотрудников Associated Press:

Sent: Tue 4/23/2013 12:12 PM
From: [An AP staffer]
Subject: News

Hello,

SPONSOR VIDEO, MOUSEOVER FOR SOUND

Please read the following article, it’s very important :

http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[A different AP staffer]
Associated Press
San Diego
mobile [removed]

О последних двух в следующем посте!

Хак за 4 минуты

Если кто не видел.
Видео с последнего DEFCON. Митник, используя фишинг и социальную инженерию, хакает компанию за 4 минуты.

Книги. Роберт Чалдини - "Психология влияния"

Эта книга - то, что надо для людей, ищущих что-то вроде учебника по теме психологических техник влияния, общения и "взламывания" других человеков.
Всё написано довольно лёгким и популярным языком. Сама книга тоже построена как учебник и содержит в конце глав упражнения и контрольные вопросы. Однозначно рекомендуется "неофитам" и всем, кто хочет просто освежить свои знания.

EMO-Injection и эмпатия.

Эмпатия - осознанное сопереживание текущему состоянию другого человека без потери ощущения внешнего происхождения этого переживания.

Быть хорошим эмпатом важно для СИ, чтобы адекватно понимать эмоции и состояние собеседника.
Интересно, что эмпатия как правило двунаправленная. Т.е. возможно не только быть субъектом сопереживания (принимающей эмоции стороной), но и объектом эмпатии (передающей эмоции). Если у Цели высокие эмпатические качества, то, владея техниками, СИ может осознанно вызвать у неё определённые эмоции и придать нужную окраску общению.

Сегодня я хочу чуть-чуть рассказать про технику, которая давно состоит на вооружении у многих психологов и психотерапевтов, продавцов и переговорщиков. Она позволяет им достигать очень высоких уровней эмпатии. Называется эмпатическое или активное слушание. Некоторые приёмы активного слушания также используются во многих других психо-техниках, поэтому крайне рекомендую освоить их и попрактиковаться.

1. Пауза (PAUSE). Пауза даёт возможность подумать. Кроме того, пауза даёт возможность собеседнику сказать что-то, о чём он возможно промолчал бы, слушая вас, а в дальнейшем и передумал бы говорить вовсе. Ещё пауза вызывает интересный процесс в голове - во время паузы человек настраивает своё внимание на дальнейший приём информации. В этот момент мозг слушателя отстраняется от внутренних мыслительных процессов (оценок, чувств, эмоций) и полностью сосредоточен на познавательных (входящих). Таким образом паузы в разговоре позволяют удерживать внимание собеседника и открывают его протоколы для входящих фреймов:)

2. Повтор (ECHO). Дословное повторение того, что сказал собеседник служит сразу нескольким целям:
          а) Вы показываете, что внимательно слушали, а это всегда приятно;
          б) Даёте собеседнику обратную связь, показывая как его фразы выглядят со стороны;
          в) Повторив одну и ту же фразу, вы как бы вступаете с собеседником в невербальное согласие со смыслом этой фразы. Таким образом вы можете не давать формального согласия на что-то (а это может быть немаловажно с юридической точки зрения), но создать у Цели убеждённость в том, что вы договорились.

3. Сообщения о восприятии (STATUS SYNC).
Сообщая собеседнику о вашем восприятии (как его самого, так и себя самого), вы склоняете его настроится на нужное вам эмоциональное состояние, заставляя как бы синхноризировать ваши эмоции. Примеры:
"Я вижу как вы вы переживаете по этому поводу..." - может он и не переживал, но почему бы и не попереживать теперь, раз тут могут пожалеть.
"Я считаю этот вопрос серьёзным и он волнует меня" - заставляет насторожится, а вдруг вопрос действительно серьёзный и мне тоже стоит волноваться.

В "активном слушании" существует ещё много полезных приёмчиков. Подробнее можно почитать, например, тут или ещё где-то. Информации много.

Когнитивная психология или "баги" в мозге

Когда социальный инженер использует психологические приёмы в своих грязных делишках, как правило он использует методы когнитивной психологии.

Когнитивная психология — раздел психологии, изучающий когнитивные, то есть познавательные процессы человеческой психики. Исследования в этой области обычно связаны с вопросами памяти, внимания, чувств, представления информации, логического мышления, воображения, способности к принятию решений.

Есть несколько интересных когнитивных особенностей нашего мозга, используя которые социальный инженер может добиться феноменальных результатов. Дело в том, что эти особенности характерны для 99% психически здоровых людей. Также их можно назвать ошибками сознания или когнитивными ошибками. С ними, кстати, связан и такой известный в Интернете термин как когнитивный диссонанс (лат. dissonantia — «несозвучность, нестройность, отсутствие гармонии»).
Ниже я расскажу про самые яркие из таких ошибок и особенностей нашего восприятия.

Эффект "Якоря"
Известно, что наша память и мышление во многом ассоциативны. Многие мнемонические техники основаны именно на создании ассоциации или "якоря", позволяя легко запоминать огромные объёмы структурированной информации.
В когнитивных процессах это приобретает очень интересные формы. Дело в том, что если наше восприятие настраивается на новую информацию, оно автоматически ищет "точку опоры", от которой можно было бы отталкиваться в дальнейших суждениях. Если ситуация или информация новая, и сознание "якоря" не находит, оно принимает за основу самую первую полученную информацию. Таким образом социальный инженер может самостоятельно установить нужный "якорь" своей Цели.
На этом эффекте основаны методы продаж. Зайдя, например, в магазин мужской одежды, грамотный продавец сначала всегда будет пытаться продать вам самый дорогой товар - костюм, тем самым создавая "якорь". Дальнейшие покупки (галстуки, рубашки, запонки) вы уже будет сравнивать с этой первой. Ведь купив костюм за 20000 р., галстук за 1000 уже не кажется таким дорогим.

Ошибка согласия
Наверняка многим известно, что наше сознание всегда ищет подтверждение собственной точки зрения. Многочисленные эксперименты и исследования психологов показывают, что люди с разными точками зрения в одной и тоже информации видят иногда диаметрально противоположное.
На этой особенности завязано практически всё в политике и пропаганде. Сейчас, мы можем особенно ярко наблюдать этот эффект в связи с событиями на Украине и в развязанной в связи с этим информационной войне. Используя это, можно буквально "выворачивать" смыслы на изнанку и у Цели даже не возникнет никаких подозрений, ведь её сознание найдёт нужную успокоительную информацию самостоятельно.

Запоздалость суждения
Эта особенность связана с предыдущей. Наш мозг особенно легко находит согласие с тем, на что уже не способен повлиять. Т.е. если что-то является уже свершившимся фактом (какие-то события прошлого), наше сознание будет убеждать само себя в том, что это было очевидно и предсказуемо.
Используя это свойство, СИ может заставить свою Цель самостоятельно убедить себя в чём-то. Достаточно просто подкинуть Цели ложную мысль о том, что что-то уже является свершившимся фактом и изменить это не возможно.

Эффект ложной памяти
Наша память не идеальна. Иногда в ней случаются баги, которые могут исказить наши воспоминания. Хотя при этом нам всё равно будет казаться, что всё было именно так, как мы помним.
Этот эффект также подтверждался многими исследованиями. Например в исследовании Элизабет Лофтус, участникам предлагали рассмотреть буклеты, на которых были описаны события из их детства, составленные якобы их родственниками, и описать эти события подробнее. Родственников действительно опрашивали, но одно из четырёх предложенных каждому участнику событий было ложным, т.е. никогда не происходившим с ним на самом деле. Около 20% "вспомнили" эти ложные события и даже начали припоминать какие-то подробности.
Таким образом, при определённых условиях, можно внедрять ложные воспоминания искусственно. А это огромный простор для действий соц. инженера.

Ещё несколько интересных когнитивных эффектов внутри поста!

Микро-выражения. Основы и ссылки на материалы.

Продолжая тему микро-выражений, мне не хотелось бы постить очередное описание эмоций и их мимических выражений. Это добро вполне можно найти в Интернете в громадных количествах. Я ограничусь такой простенько табличкой. Жирным, я отметил самые простые и характерные, на мой взгляд, проявления той или иной эмоции. Лично я руковожусь ими прежде всего и достаточно точно угадываю эмоции (до 85% в тестах) по этим признакам.

Эмоция Микро-выражение Счастье Уголки губ обращены вверх. Щёки чуть-чуть приподняты. Появление морщинок по краям глаз.  Грусть, печаль Уголки губ обращены вниз. Брови чуть выдвинуты вперёд, сдвинуты к друг другу и приподняты в середине лба. Злость, Гнев Губы сжаты. Углы губ ровные или слегка повёрнуты вниз. Ноздри расширены. Брови сведены и опущены к середине лба. Глаза чуть расширены. Страх Расширенный или приоткрытый рот. Расширенные глаза и приподнятые брови. Презрение Она сторона губ приподнята. Голова чуть отведена назад. Отвращение Приподнята верхняя губа. Сморщенный нос. Удивление Приоткрытый. Приподнятые, больше по центру, брови. Расширенные глаза.

Ещё стоит отметить, что некоторым может быть непонятна разница между презрением и отвращением. Это сложно объяснить словами. Как правило, презрение связано с чувством превосходства. Когда мы можем поставить себя в одной вертикали с презираемым объектом и понимаем, насколько он ниже нас. Отвратительный - это просто мерзкий, вызывающий негативные эмоции.

Также, к презираемому можно отнести такие качества объекта: недостойный, низкий, подлый.

А к отвратительному: гадкий, мерзкий, противный. 

В деле чтения лиц, теория мало спасает. Здесь необходимо практиковаться и ещё раз практиковаться! Слава Богу, это можно делать везде: дома, на работе, в дороге, на друзьях, соседях и т.д.

Поэтому я накидаю здесь ссылок на интересные сайты и полезные штуки, которые можно почитать\попробовать на тему мимических выражений.

1. http://changingminds.org/  (ENG)

Отличный сайт просто с тоннами материалов по психологии, эмоциям и различным техникам. Единственный недостаток, помимо англоязычности - это некоторая энциклопедичность. Материалы даны поверхностно, почти без примеров и практики.

2. http://www.centerforbodylanguage.com/ (ENG)

Хорошие бизнес-тренинги по теме. На сайте много статей, видео, онлайн-курсов. Можно пройти бесплатный небольшой тест. 

3. http://www.lie-emotions.com.ua/ (RUS)

Отличный русскоязычный любительский сайт по практической психологии. Много уникальных и "пиратских" материалов, правда некоторые ссылки устарели. В разделе тестов можно пройти большой тест на определение микровыражений или просто потренироваться. Рекомендую!

4. http://face-reader.ru/

Ещё один русскоязычный портал по микро-выражениям. Также много различных текстовых и видео-материалов.

5. Ещё крайне рекомендую скачать (с сайтов выше, например) или купить программы-тренажёры, разработанные ранее упомянутым доктором Полом Экманом. Их две:

METT - попроще, для новичков.

SETT - посложнее, с частичными и кросс-эмоциями. А также с подробным описанием каждого выражения.

Микро-выражения. Волшебники истины

Для социального инженера, умение "читать по лицам" и безошибочно определять эмоции людей незаменимо. Оно позволяет не только определять говорит ли собеседник правду, но и корректировать своё поведение в зависимости от его реакции. Сегодня я хочу начать целый цикл постов, посвящённых микро-выражениям и чтению людей по сигналам лица и тела.

После выхода на экраны сериала "Lie to me" ("Теория лжи", "Обмани меня"), понятие "микровыражения" (microexpressions) стало известно многим и многих заинтересовало. Естественно, в сериале не всё правда и многое показано очень популярно, но благодаря консультациям известного психолога и основоположника исследований в области микро-выражений Доктора Пола Екмана (Dr. Paul Ekman), этот сериал вполне можно воспринимать как базовое руководство по теме.

Сначала немного расскажу про интересный исследовательский проект, проводимый вышеупомянутым П.Екманом и его коллегой М.О'Салливаном. Оригинальное название проекта "Проект Диогена" (Diogenes Project), но более известен он как "Проект волшебников" (Wizards project). Он проводился в течение нескольких лет, и в нём приняло участие около 20 000 человек различного возраста, пола и профессий. Целью этого исследования, была попытка выявить так называемых Волшебников Истины - людей, способных почти безошибочно определять ложь. Волшебниками истины признавались люди, способные определить ложь в более чем 80% тестов. Из ~20 000 обследованных людей, нашлось только 50 волшебников (~0,25%).
Вот несколько интересных фактов, по результатам данного эксперимента:

• Никто из Волшебников Истины не достиг 100% результата
• Волшебники используют несколько способов (улик) для определения лжи, а не только определённые микро-выражения
• Средняя процент обнаружения лжи составил ~50%
• Психиатры, юристы и полицейские не показали результатов выше средних
• Самые высокие результаты показали сотрудники спец.служб
• Доктор Екман утверждает, что хотя Волшебники не проходили каких-либо специальных тренингов и имеют больше врождённые способности, определению лжи и микровыражений можно научиться. Собственно, у него этому и можно научиться:) 

Однако, критики этого исследования утверждают, что такой низкий процент Волшебников Истины вполне может объясняться обычной теорией вероятности. Т.к. выбор был всего из двух вариантов (ложь - правда), вполне вероятно, что некоторым испытуемым просто повезло угадывать.

Тем не менее, благодаря этому исследованию, темой распознавания лжи и микро-выражениями заинтересовались. И сегодня мы можем узнать много информации про это и даже пройти обучение, улучшив свои навыки чтения людей. 

Раппорт

Сегодня я хочу написать про раппорт. Слово весьма странное для русского уха, но это признанный в психологии термин, поэтому будет использовать его.

Как говорит вики:

Раппо́рт (фр. rapport, от rapporter — возвращать, приносить обратно) — термин в психологии, имеющий несколько смежных значений; подразумевает установление специфического контакта, включающего определенную меру доверия или взаимопонимания с человеком или группой людей, а также само состояние такого контакта.

Лично я вполне согласен с таким определением. Поэтому под раппортом предлагаю понимать и сам процесс установления контакта, и состояние этого контакта (позитивное отношение у цели к происходящему). Раппорт - очень важная, если не самая важная, часть в социальной инженерии. От возможности инженера установить мгновенный раппорт во многом зависит успех всей атаки. 

Разумеется, использование таких методик как "важность", "срочность" не всегда требуют раппорта, но всегда будет полезно оставлять свою Цель в настроении лучшем, чем оно было до разговора с СИ. Тогда Цель не будет лишний раз задумываться о том, "что же сейчас произошло" и "не было ли в этом чего-нибудь подозрительного".

Кроме того, в раппорте Цель всегда расскажет больше информации, чем без него. Ведь очевидно, что мы готовы поделиться гораздо большим с людьми, которые нам нравятся.

Ниже я приведу несколько важных элементов и техник правильного и быстрого установления раппорта и его поддержания.

Невербальные знаки

Помимо ушей у человека ещё как минимум 5 органов чувств, включая необъяснимое "шестое чувство", которому доверяют, кстати, достаточно много людей. Поэтому человек начинает общение с вами ещё до того, как вы открыли рот. Для установления раппорта важно, что все ваши невербальные знаки выражали дружелюбность, расслабленность, открытость. Вы должны отслеживать как разговаривает ваше тело до самых мелочей: поза тела, жестикуляция, мимика, взгляд, дыхание, запах наконец. Каким бы вы не были искусным психологом, сложно понравится человеку, если от вас пахнет потом или воняет изо рта:)

Показывать ценность времени

Время - одна из главных ценностей в жизни любого из нас, поэтому человеку всегда нравится, когда кто-то ценит его время. Это применимо не только к "бизнесменам", но ко всем. Поэтому важно дать понять Цели, что вы уважаете его время и займёте "всего минутку". Можно либо так и сказать ему, либо дать понять это невербально - например двигаясь потихоньку к двери, или быстро взглянув на часы. 

Дальше под катом...

Статья: Структура общения и Позиции Защиты

Атаки в социальной инженерии строятся на таких же математических и логических моделях, как и технические атаки хакеров. Только вместо серверов и компьютеров здесь выступают люди, а вместо протоколов и драйверов - их эмоции и психологические реакции. В этом посте я приведу свой перевод хорошей статьи про структуру общения, Позиции Защиты и построение векторов социальных атак, используя их.

Структура общения

Общение в общем случае можно условно разделить на 3 компонента:

Я
Это то, что происходит с вами: ваше восприятие, ощущения при общении, настроение и общее психоэмоциональное состояние

ОНИ
Люди, с которыми у вас происходит общение и их психоэмоциональное состояние

КОНТЕКСТ
Конкретная, текущая ситуация в который находитесь вы и они. Например спор из-за денег, обсуждение политики, первое знакомство и прочее.

Понимание такой упрощённой структуры, позволит социальному инженеру быстро разбираться в ситуации и управлять общением в нужном ему русле, вызывая нужные эмоции у собеседника (цели атаки).

Ниже рассмотрены типы возможного воздействия на людей при использовании этой модели. Формально их можно назвать Позиции для Общения. Другое подходящее название - Позиции Защиты, т.к. они используются людьми для защиты себя в ситуациях, выведших их из так называемой зоны комфорта. Эти позиции могут быть использованы для разрешения какой-то трудной ситуации или для построения вектора социальных атак.

COPYRIGHT
За основу взята статья с сайта http://www.social-engineer.org/.
При копировании этого материала или его фрагментов в обязательном порядке указывать ссылку на вышеуказанный сайт и этот блог.

Инфографика

Немного инфографики по социальной инженерии.

Приворот отворот

Мошенники, использующие в своих делах навыки социальной инженерии, хорошо понимают, что человек наиболее уязвим, находясь в критической или просто непривычной для него ситуации, т.к. не в состоянии эмоционального равновесия. Это могут быть как переживания негативного характера (печаль, страх, грусть, гнев), так и позитивного (любовь, счастье, благодарность, похоть (это позитивно ведь?:)). Поэтому очень часто, для воздействия на человека, мошенник либо создаёт нужный эмоциональный фон, либо использует существующий. Я бы хотел сегодня рассказать про схемы мошенников во втором варианте.

Хорошей иллюстрацией могут стать популярные сейчас, на фоне передачи "Битва экстрасенсов", схемы отъема денег у населения: "бабка-гадалка", "чёрный\белый\серый маг" и прочие "цыганки-ведьмы в пятом поколении". Суть проста:
1. В социальных сетях регистрируется страничка "Великой колдуньи Авдотьи"
2. Создаётся несколько пабликов\групп для восхищения этой ясновидящей и гадалкой
3. Страница и группы раскручиваются через ботов, спам и пр. Набираются "положительные" отзывы о работе гадалки, комментарии "благодарных" клиентов.
4. Первая консультация бесплатна, гадание таро - 500 руб., обряд приворота - 2000 р., очищение от сглаза - 5000 р.
5. ...
6. PROFIT!

Вы удивитесь какое кол-во людей обоих(!) полов стремятся узнать будущее, приворожить, снять\наложить сглаз, стать учениками великого мага и т.д. Причём, возвращаясь к теме эмоционального фона, 95% обращающихся делают это не из любопытства, а на фоне жизненных проблем и неурядиц. В основном, негативных: бросил муж\парень, ушла жена, не могу забеременеть, будет операция, умер\заболел родственник и т.д. Человек, находящийся под гнётом проблем, в подавленном состоянии, отчаянно ищет помощь хоть где-нибудь и натыкается на мошенников, предлагающих эту "помощь" за деньги. Дальнейшее развитие событий, думаю, понятно.

Внутри я приведу пример диалога с одним из таких "экстрасенсов". Диалог не мой, взят из глубин дакрвеба. Но чтобы не деанонить автора, ссылок и копирайтов не будет.

Схема "Почтальон"

Приведу пример одной из некогда популярных схем мошенничества, особенно в регионах, в которой очевидны навыки соц. инженерии.

Дисклеймер: Автор блога категорически против любых противозаконных действий. Любые публикуемые в блоге материалы предназначены исключительно для ознакомления и направлены на информирование, для защиты от действий мошенников.

Согласно актуальной базе региона печатаются конверты, специально заполненные под коммерческую почтовую службу (название выдумывается), в конверты ложится диск, на который записан в красивой обложке pdf-файл с любой белой темой заработка (не важно какой, главное белой). Далее одеваемся под почтальона, ходим по адресам (выбираем не более двух-трех адресов на подьезд - т.е. не всего 2-3, а если 2-3 клюнуло - уходим в следующий), звоним в дверь, говорим:
"Блабла почтовая служба (или ПочтаРоссииНомер666), Ф.И.О такой то проживает?"
"Да"
"На ваше имя поступила посылка обьявленной ценностью 2300 рублей с пометкой до востребования, будете забирать?"
"Я должен заплатить 2300?"
"Нет, все оплачено, я же говорю - объвленной ценностью, за ней никто не пришел, срок хранения вышел, собираемся отправлять назад" *показываем письмо*
"Могу ее получить?"
"Да, но доставка на дом у нас стоит 100-200 рублей"
Статистика (неофициальная) показывает, что примерно 6 из 10 граждан с удовольствием заплатят 200 рублей за посылку ценой 2300.
Забираете деньги, отдаете письмо, жлоб подписывает уведомление, расписывается в журнале получения, вы уходите в следующему.

Книги. К. Митник "Исскуство обмана"

Ну и конечно, как и в любой области, невозможно обойтись без книг.

Первая и, пока наверно, главная книга начинающего соц. инженера - книга знаменитого хакера Кевина Митника и его товарища Вильяма Л. Саймона "Исскуство обмана".

Книга полностью посвящена проблеме социальной инженерии и защите от неё. Приводится много примеров и реальных историй из жизни, приёмов "взломщиков сознания", забавных ситуаций. Также Кевин даёт рекомендации для руководителей и специалистов по ИБ как защищаться от тех или иных атак и на что обратить внимание.
Однозначный MUSTREAD!

Что мы можем не знать о себе

На днях наткнулся на подборку небольших но очень интересных лекций одного американского специалиста-исследователя и писателя, которого называют "поведенческим экономистом" (behavioral economist) - Дэн Ариэли (Dan Ariely). Лекции Дэна, прочитанные и опубликованные, на известной площадке TED, посвящены конфликту между сознанием людей и бессознательным. Психологов всегда увлекала эта разница, между тем как мы думаем, хотим и поступаем на самом деле. Дэну удалось провести несколько интересных исследований, результатами которых он делится в своих презентациях.
Рекомендую к ознакомлению!

Видео можно посмотреть тут: http://www.ted.com/speakers/dan_ariely#
Можно включить русские субтитры.

Об авторе блога

Второй пост, с вашего позволения, посвящу себе. Чтобы читатель знал автора этого блога и мог ему доверять. Ведь доверие это важно, не так ли? Буквально пару слов.

Зовут меня Антон.
По образованию Специалист по защите информации, закончил МИФИ.

Работал в разных компаниях, в том числе и во одной из спец. служб, связанных с информационной безопасностью напрямую;)
Последнее время занимаюсь больше менеджементом продуктов по защите инфы (product management) и тем, что называют Research and Development (R&D).

Психология и социальная инженерия, в частности, являются моими давними хобби. Чтобы углубиться в этом ещё больше, получаю сейчас второе высшее в Московском институте психоанализа.
Для того, чтобы сохранять самые интересные мысли и материалы, решил создать этот блог. Надеюсь, что информация в нём станет интересной и полезной для многих.

Первый пост

Приветствую случайного странника на этом новообразовании в Интернете. 

В настоящее время в российском интернете практически не присутствует ресурсов, посвящённых такой важной и интересной области в информационной безопасности как "Социальная инженерия". Этот блог призван исправить досадное упущение.

Википедия, со ссылкой на Криса Касперски, даёт такое определение:

Социальная инженерия — метод несанкционированного доступа к информационным ресурсам, основанный на особенностях психологии человека. Основной целью социальных инженеров, как и других хакеров и взломщиков, является получение доступа к защищенным системам с целью кражи информации, паролей, данных о кредитных картах и т.п. Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор. Именно поэтому все методы и техники социальных инженеров основываются на использовании слабостей человеческого фактора, что считается крайне разрушительным, так как злоумышленник получает информацию, например, с помощью обычного телефонного разговора или путем проникновения в организацию под видом ее служащего. Для защиты от атак данного вида следует знать о наиболее распространенных видах мошенничества, понимать, что на самом деле хотят взломщики и своевременно организовывать подходящую политику безопасности.

Однако, на мой взгляд, социальная инженерия не ограничивается только атаками "с целью кражи информации". Как известно, в основе ИБ лежат три кита: конфиденциальность, целостность и доступность. Методы социальной инженерии могут быть направлены на нарушение каждого из этих свойств информации, и даже больше. В наш век информационных технологий и повсеместного развития средств вычислительной техники, главные ключи от всех этих систем всё равно остаются у человека. И будут оставаться у него, пока не изобретут полностью автономные машины (что будет очевидно не скоро). Поэтому человеческий фактор будет оставаться одним из важнейших в области защиты информации.

Ну и в качестве громкого завершения первого поста, добавлю старую, но всё ещё любимую многими безопасниками поговорку:

Кто владеет информацией - тот владеет миром!