Сегодня немного затронем тему Социальной Инженерии

Тема в разделе "Социальная инженерия и психология", создана пользователем Skrol, 19 мар 2017.

  1. Skrol

    Skrol

    Сообщения:
    84
    Баллы:
    6
    [​IMG]

    Сегодня немного затронем тему Социальной Инженерии (далее СИ). СИ - это своего рода психология направленная на выуживание информации, взлома, мошенничества и управление человеком.
    Направлений для применения СИ огромное кол-во.

    Каждый взрослый человек хотя бы один раз сталкивался с СИ.
    Звонки из «банка» о блокировки карты и последующими вопросами о ваших данных и карты.
    «О привет! Глянь, мне тут скинули фото что твоя Юля на вечеринке с пацаном сосалась (ссылка)» . Переходим, а там фишинг сайт точь в точь как ВКонтакте, но чет логин и пароль просит. Хм, странно. Наверное авторизация сбилась. Вводим и ваши данные уплыли.

    Но я неудачный парень и у меня в этот же день крадут телефон. Я же умный - сразу поставил режим пропажи и обратный номер телефона. Даже заявление пошел написал. О, СМСка пришла. «Здрасте! Компания ЭППЛ. Телефон найден. IPhone 8 256ГБ Белый. IMEI12345678. Только вот чтобы подтвердить какую-то хуйню зайдите в личный кабинет iCloud и вот вам ссылка чтоб не искали» Я конечно утрирую и там будет написано все более качественно, но у многих подсознательно, увидя данные своего телефона, даже не возникнет сомнений. Как итог - данные от ICloud украдены, ведь ссылка вела на фишинговый сайт и вор получил доступ к телефону.

    Я привел банальные примеры, но из них следует, что одно из определений СИ - способ получения чего-либо, давя на «боль» жертвы и зачастую представление какой-либо личностью, либо используя ваши личные данные для получения более важных. СИ - это втирание в доверие к человеку. А когда доверяешь - ты открытая книга, а я лишь буду переворачивать странички.
    Но этим СИ конечно не ограничивается. СИ может быть как и онлайн, так и оффлайн. Фильм «Поймай меня если сможешь» с Леонардо ДиКаприо, очень хорошо показывает использование СИ в реальности, конечно преукрашивая, но саму мысль доносит.

    С помощью СИ и происходит зачастую промышленный шпионаж компаний. К сожалению, уровень безопасности зачастую на ступени стикера с паролем прикрепленным к монитору в офисе. Какова вероятность, что отправленное фишинговое письмо в такую организацию, с домена у которого из отличий от настоящего, изменена одна буква, будет проигнорировано? Я не занимаюсь статистикой, но уверен что более 80%.

    А вот пример связанный с безопасностью ваших денег. Только в данной ситуации СИ подвергнуты два человека.
    Человек теряет карту. Кто-то ее нашел и , как популярно сейчас, запостил в местные группы что я ее нашел на такое то имя, потерявший - отпишись.
    Как нам получить полные данные карты?
    Сами находим по имени человека Вконтакте и пишем что мы нашли карту, но так как я не уверен что это вы - назовите мне последние 4 цифры и срок годности карты.
    Жертва конечно даст нам эти данные, так как они не полные, да и наш мотив ему понятен - ведь мы просто убеждаемся что это его карта.

    Далее мы регистрируем аккаунт в его ФИО и пишем тому кто нашел на самом деле эту карту. Так и так - это я потерял, но тут такое дело, я на работе, а мне срочно надо заплатить за неебическую хуйню, а то директор настучит по голове что я не выполнил работу и все такое. Тебе огромное спасибо что нашел, но помоги еще, с меня шоколадка. Я данные свои все не помню с карты, болван - не записывал. Но чтобы ты убедился что это моя карта - вот тебе последние 4 цифры и срок годности (ведь мы их уже получили). У меня просто в онлайн банке последние 4 цифры отображаются, а срок годности я помню.

    Для пущей убедительности, если надо, высылаем отредактированный скриншот с онлайн банка.
    Если нашедший карту тупой - данные карты получены.
    Данный пример лишь показывает как обезопасится и не попасть на такое. И никак не призывает к действию.

    И так, что такое СИ думаю вы поняли. Здесь были приведены простые примеры, но которые имеют место быть в наши дни, я их не использую и вам не советую. Лучше аккумулируйте эти примеры в своей голове чтобы быть готовыми. Если хотите разборы с примерами остальных применений СИ - пишем в комментариях. Темы которые я обещал в комментариях затронуть - будут затронуты, терпение.

Поделиться этой страницей