Что такое социальная инженерия?

[ga1Do4ok]

Социальная инженерия​

Что такое социальная инженерия?? Многие задают себе этот вопрос.Одни думают что это какая то новая точная наука наподобоие математики или физики. А нет!!!!
Это искусство ведения разговора и принуждение человека следовать четким инструкциям причем на подсознательном уровне. Вот несколько примеров :

-Здравствуйте, бабушка. Мне в 90-ую, к Самодину.
-Никого не пускаем. Жди здесь. Будет кто спускаться - позовут.
-Бабушка, я из деканата - ректор срочно его вызывает. Колю на олимпиаду от института отправляют, нужно заявление принести. Сейчас надо, сегодня - последний день. Я ему быстренько скажу и тут же вернусь. Хорошо?
-Ладно. Только давай быстрее.
-Я мигом. Спасибо!

или

С вами говорит администратор сети, Иван. Как вас зовут?
-Оля!
-Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?
-А мне говорили, что чужим нельзя называть свой пароль.
-Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?
-Да, согласна.
-Тогда назови свой пароль и все будет ОК.
-Мой пароль olja.
-ОК. Спасибо за помощь.


Самое интересное в этой науке то что люди совершают глупые поступки не про принуждению а по собственному желанию.
По СИ (как ее называет определенный круг людей) существет множество статей вот их я и буду иметь ввиду так как я еще новичок в этом деле.


Сколь бы не был настороженным или подкованным жизнью человек, он никогда не избавится от всех багов в своей голове. Наш разум уязвимее, чем самая раздырявая винда. Причем, нередко уязвимыми становятся те качества, которые мы ценим в людях - например, отзывчивость, преданность и любознательность. Я уже не говорю о всякого рода психокомплексах, присущих всем нам. Вся социальная инженерия на том и построена, чтобы использовать человеческие слабости для изменения модели поведения. Ниже я рассмотрю с примерами несколько основных психокомплексов, которые чаще всего подвержены СИ.

Доверчивость

Это качество заложено в каждом человеке. Мы слушаем рассказы о людях, которых кинули как полных лохов, удивляемся их наивности, прибываем в полной уверенности, что никогда бы сами не вляпались в подобное... и таки со временем сами занимаем их место. Доверчивость напрямую связана с нашей врожденной ленью. Согласись, всяко легче поверить человеку на слово, чем утруждать себя проверками правдивости его слов.

К тому же некоторые, в силу робости или хорошего воспитания, просто не решаются открыто заявить, что собеседник врет, и предпочитают рискнуть, надеясь на его честность. Большую роль в вопросе доверия играют детали, о которых мы сознательно не задумываемся, но которые определяют нашу реакцию - верить человеку, или нет.

Пожалуй, главный фактор доверия - уверенность в себе. Если кто-то говорит авторитетным голосом знатока, не допускающего возражений - люди могут поверить в любую чушь, им сказанную. Конечно, речь не идет о всем известных истинах (хотя, опытный софист сможет тебе вполне убедительно доказать, что на солнце минусовая температура, а белое - это на самом деле черное), но в вещах, о которых человек не знает или в которых хотя бы сомневается - можно легко склонить его мнение в нужную сторону. Хороший способ создать иллюзию своей правдивости - сделать несколько заявлений, которые, как известно собеседнику, 100% правдивы, и в то же время подмешать в них несколько лживых доводов. Человек, видя, что ты говоришь правду, автоматически воспримет как правду и твою ложь. Своеобразный аналог теста на знание виновного, переделанный под нужды СИ.

Если ты в предварительной подготовке досконально не изучил жертву - что она знает, а что нет, старайся избегать прямой лжи. Например, если ты представишься работником шестого отдела Васей Чайкиным, то вполне вероятно услышишь: "Я знаю всех в шестом отделе - с такой фамилией там никого нет". Но, если вместо конкретного Васи Чайкина из конкретного отдела станешь неопределенным Петей, только поступившим на службу - у тебя всегда останется место для отступления. Вообще, перед началом диверсии постарайся продумать все так, чтобы тебя не прижали к стенке, найдя явные несоответствия. Всегда выбирай такой сценарий, который максимально достоверно подходит к ситуации.



Страх

У каждого из нас свои страхи. Не обязательно это боязнь темноты или, к примеру, пауков. Можно испытывать страх показаться нелепым в какой-то ситуации, страх за последствия не выполненного поручения, страх перед чем-то неизвестным. Существуют миллионы маленьких и больших страхов, которые заставят человека пойти на самые необдуманные поступки, чтобы от них избавиться. Использовать этот психокомплекс легко - достаточно всего лишь вызвать у собеседника один из страхов и сыграть роль "освободителя".

Страх, кстати, является хорошим стимулом доверия - это естественная защитная реакция нашего организма. Напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что страх может оказаться результатом блефа. Каждый из нас подвержен тем или иным страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это: угроза своей жизни, страх потерять близкого человека (животное), боязнь одиночества, страх перед болью, боязнь не осуществить поставленные цели и т.п.

Жадность

Второе качество человека после лени - жадность - является любимым психокомплексом аферюг всех мастей. Желание людей быстро обогатиться настолько велико, что часто затмевает все разумные мысли и пиплы ведутся на очевидное кидалово. Использовать жадность в своих корыстных целях просто, нужно всего лишь пообещать человеку что-то, что ему необходимо. Не обязательно деньги - рекламу, информацию, предмет для коллекции, секс... да что угодно. Просто узнай побольше о жертве, о том, что для нее есть ценности и обещай это. Обещать ведь по закону не запрещено. Твоя задача - выставить свой "товар" в максимально привлекательном свете, но не злоупотре***й эпитетами. Прогресс не стоит на месте и люди уже не верят "доброжелателям", обещающим 10 миллионов баксов за неделю. Но на 100 баксов в месяц "низашо" клюнут легко. Примером отличной СИ на почве жадности является эпизод, описанный в книге Сидни Шелдона "Интриганка". Аферистка зашла в ювелирную лавку и, выдавая всем своим видом себя за жену расточительного миллиардера, купила не глядя крупный бриллиант за $150.000. Через пару дней вернулась и, взахлеб нахваливая покупку, поинтересовалась, нет ли в продаже еще одного, столь же крупного экземпляра. Когда продавец заверил, что продал ей очень редкий бриллиант и отыскать подобный во всей стране проблематично - мадама заверила, что ее мужу будет не жалко отвалить 400 килобаксов, если только найдется еще один, такой же. После долгих и безрезультатных поисков, мужик уже было отчаялся, но тут по объявлению позвонила безутешная вдова, у которой - о чудо - оказался очень похожий камушек. "После смерти Джона у меня остались долги - 300 тыс. зеленых денег, а еще вот этот бабушкин бриллиант. Я согласна его продать, но только за 300K. Мне нужна именно эта сумма, чтобы погасить долг". Прикинув, что он все равно выигрывает 100 тысяч, ювелир купил камень. Стоит ли говорить, что это был тот же самый, который он продал парой недель ранее, и что "богатой мадамы" разведенный чел больше не видел.

Отзывчивость

Когда используют в СИ этот психокомплекс, то не испытывают угрызения совести. По той простой причине, что, обманывая - дарят пиплам возможность лишний раз почувствовать себя людьми, насладиться тем состоянием, которое приходит от помощи ближнему. Кусочки сострадания имеются в закромах даже самого угрюмого зека. Порешив 15-х детей, а изнасиловав еще больше, он нет-нет, а кинет озябшему воробью кроху хлеба. Манипулировать отзывчивостью не так то просто, как кажется. Хоть и есть она в разных дозах у всех, но активируется далеко не к каждому. Попробуй на досуге зайти на DALnet'овский #xakep и попросить у тамошнего народа денег на подарок маме. Тебе сразу всем великолепием русского языка объяснят, что такое сострадание. Но, если ты попросишь что-то, что человеку дать не сильно напряжно, и в то же время убедишь в большой ценности этого для тебя - эффективность юзанья психокомплекса весьма высока. В одном выпуске "Спеца", посвященном веб-мошенничеству, рассказывали , как удалось достать книгу, обитающую только на Amazon'e за 20 баксов. Достаточно было связаться с автором -обеспеченной женщиной из Америки, и, под видом маленькой девочки, мечтающей стать журналисткой (книга была о freelance writing), слезно попросить прислать книжку. "Thanks so much, Masha! I appreciate your kind words" - ответила женщина на слова благодарности - на том и расстались. Слабый (или таки прекрасный?) пол вообще очень уязвим для этой методики, особенно если будет считать, что в помощи нуждается ребенок. Согласен, играть на материнских чувствах - эгоистично, но СИ - наука сама по себе эгоистичная и, если ты хочешь добиться в ней успеха, то должен забыть про свои моральные устои, думая о цели. По отношению к мужикам, не менее эффективным будет манипулирование с эротическим подтекстом. Как ты понимаешь, любой молчел намного охотнее поможет красивой девушке, чем патлатому коллеге по полу. Это потому, что на подсознательном уровне мы часто надеемся получить от них ответную благодарность сам знаешь какого плана. Если у тебя есть подружка с ангельским голосом, умеющая разговаривать с парнями на многообещающих тонах -она может стать очень выгодным союзником в процессе обработки заработавшегося юзверя. Чем больше ей удастся заинтересовать "клиента", тем меньше он захочет потерять потенциальную герлфренду и тем вероятнее выполнит ее просьбу.

Превосходство

Конечно, всем нам хочется быть примером для подражания, разбираться в чем-то лучше других. Превосходство - это состояние, в которое периодически погружает нас наше подсознание, чтобы дать возможность испытать столь приятное чувство победителя.

Но если в такой момент кто-то со стороны попытается навязать мысль, что ты вовсе не виннер, естественной защитной реакцией будет доказать засранцу - именно ты зе бест.

Хитрость в том, что, намеренно ущемив чью-то гордость, синжер может в качестве доказательств виннерства потребовать таких вещей, которые в противном случае ему никто бы не дал. И жертве, дабы избавиться от статуса лузера, волей-неволей придется пойти у того на поводу. Методика превосходства сложна тем, что манипулировать ей нужно очень тонко. Грубое "слабо?" действует далеко не на всех - по большей мере на крутых самоуверенных специалистов, которые болезненно относятся к критике своих способностей. Но в мире есть куча людей, которым глубоко плевать, что ты засомневаешься в их некомпетентности, им проще тебя послать, чем что-то доказывать. Это не значит, что тактика против них бесполезна. В таком случае психокомплекс нужно использовать неявно, в общем контексте (между делом).

Другой вариант - юзать обратную методику. То есть ты не занижаешь способности чела, а наоборот, возвышаешь их до небес. Вспомни, когда последний раз ты что-то делал и тебя искренне хвалили - какой мол молодец. Вероятно, тебе тогда хотелось превзойти самого себя, чтобы услышать еще большую похвалу, и ты продолжал пахать с удвоенным рвением. Благодарность - это признание наших способностей, что есть очень важно для каждого человека. Играя на людском самолюбии, можно легко заставить человека что-то для тебя сделать. Например, я когда-то таким образом отремонтировал нахаляву часы - намекнул часовщику, что у его мастерской авторитет лучшей в городе, что о его профессионализме ходят легенды, а друзья мои считают его очень порядочным человеком. После чего растроганный хозяин богом забытого ларька отказался от денег и, подмигнув, сказал: "Да ладно, пустяки". Тем же Макаром один мой знакомый взял у соседа-скупердяя машину на сутки - достаточно было расхвалить на все лады его тарантайку.


Кстати даже Кевин Митник проводил всего 15% своего времени на компьютере остальное время он или звонил своим жертвам или общался с ними.

Большей частью СИ подвержены как не странно девушки. Попробуйте зайти на какой-нибудь чат и после начала знакомства под маской того что "Давай обменяемся фотками??" подсунуть ей свой злочастный троян или вирус. Еще такой опасностью оказаться потерпевшим от СИ считается ICQ. Это можно считать просто раздольем для синжеров и кстати хорошей тренировкой.

PS: Не думайте что после прочтения всех книг по СИ вы будете знать все так как опыт наращивается только на практике будь то просьба позвонить с мобильного телефона у незнакомого человека или попытка узнать банковский аккаунт

 

[ga1Do4ok]

Социальная инженерия - Википедия

Социальная инженерия - это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности. Злоумышленник под видом служащего компании звонит в службу технической поддержки. Представившись от имени служащего, он просит напомнить свой пароль, либо меняет его на новый, сославшись на забывчивость. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Дальше дело техники. Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусора организаций, виртуальных мусорных корзин, кража портативного компьютера или носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.

 

[ga1Do4ok]

Где используется социальная инженерия и зачем нужна?

Социальная инженерия, по сути - это управление сознанием группы людей. В интернете ее используют очень часто. Например, когда одна и та же компания представляется разными названиями, чтобы собрать больше клиентов, когда люди выдают себя за популярных звезд, чтобы собрать вокруг себя аудиторию (так называемые фейки), когда мужчина с целью обмана выдает себе за женщину и много других вариантов, и это только на интернет страницах
Но, как правило, этим все не заканчивается, все переходит в обычную жизнь.
Хоть раз в жизни но приходится звонить от имени другого человека в компанию и узнавать что-то. А бывает и так, одна и та же компания в различных ресурсах представляется по разному. При этом человек звонит якобы в разные компании. И компания в свою очередь не отрицает предложенные названия. Во многих руководствах рекомендуется для выявления эффективности придумывать не существующих менеджеров по определенному товару, чтобы было понятно, откуда пришел человек и т.п. Все это социальная инженерия, способы воздействия которой нужно как минимум знать.
Виды социальной инженерии
Социальная инженерия подразделятся на два основных вида:
Социальная инженерия.
Обратная социальная инженерия.
У этих двух видов общее только то, что они воздействуют на человека, но при этом их способы воздействия совершенно различны.
Социальная инженерия может быть применима в любой обстановке, без предварительной подготовки, а люди, в отношении которых была направлена социальная инженерия, остаются в неведении настоящей ситуации, иногда и личностей.
Социальная инженерия успешно применяется не только для взлома и получения информации, как написано во многих книгах, но и в реальных ситуациях, для извлечения обыкновенной прибыли.
В обычной жизни мы не взламываем ежедневно компьютеры и сервисы, но почти ежедневно тратим деньги, которые нужно как-то зарабатывать.
Разберем самый обычный пример из жизни. Есть одна компания, под кодовым названием фирма №1. Как и у любой хорошей фирмы у нее много сайтов, на которых представлен один и тот же товар или услуга.
Поисковые системы, которые являются основным источником посетителей на сайт, пытаются сделать выдачу по определенному запросу как можно более разнообразной, чтобы получить еще больше посетителей, а, следовательно, денег.
Раньше одна и та же компания создавала от 10 до 50 сайтов, и старалась вывести их все на первую и вторую страницу в выдаче. И это получалось. В итоге человек обращался в одну и ту же фирму с одним и тем же заказом, не зависимо от того, какой бы он сайт не выбрал.
Почему человек думал, что это разные организации?
Потому что, это были разные сайты, поэтому он звонил, заказывал, иногда к нему даже приезжали люди как бы от разных фирм, но это перестало работать со временем.
Поисковые системы ввели фильтр (antiaffilat фильтр). При обнаружении сайтов одной фирмы, по одному запросу в выдаче, если будет выявлено, что целью организации является продажа товаров и оказание услуг, к этим сайтам будет применен специальный фильтр, который оставляет один сайт, а остальные отбрасывает на самые дальние странички.
Сейчас, чтобы противостоять этому фильтру, придумано много методов, один из которых – это скрытие данных владельца домена по запросу whois. Почту и телефон же стараются указывать для каждого домена разные. Тоже самое дело и с телефонами и адресами на самом сайте. Названия фирм очень часто пишут, в соответствии с названиями доменов. Например, для этого домена specialist-seo.ru фирма, скорее всего, называлась бы, ООО «Специалист СЕО».
Социальная инженерия применяется не только для обмана, но и в качестве способа ведения статистики. Пример, на сайте продаются дорогие автомобили. Под товаром какой-нибудь многоканальный телефон и подпись, «Спрашивайте Вашего персонального менеджера Ивана». Под другим товаром - «Спрашивайте Вашего персонального менеджера Александра» и т.п.
Рекомендуется указывать имена людей вообще не работающих в этой организации, чтобы точно вести статистику звонков посетителей с конкретных страничек или сайтов.
Реально таких людей даже не существует, а все звонки могут обрабатывать один – два человека. Но такие подписи придают солидность организации, повышают уровень доверия и используются в маркетинговых целях.
Социальная инженерия очень часто используются в целях повышения уровня доверия посетителя, причем повсеместно.
В интернет основными факторами, позволяющими повысить уровень доверия к сайту являются следующие:
Оформление сайта -однотипные оформления вызывают недоверие. Как, например, у всяких интернет пирамид, люди разные, а страницы по оформлению совершенно идентичны. Как правило это: большой длинный текст, введением в который является мысль о том как будет хорошо или наоборот очень трудно достичь желаемого успеха и т.п. в начале и представлен яркий контраст с тем что будет потом, на этой же страничке обычно располагается почтовый адрес или форма подписки.
Использование специальных подписей, кроме примера, приведенного выше, это ещё может быть указаниеподписи под обычным прямым сотовым номером, «Многоканальный телефон» и подобные записи
Регистрация доменов второго уровня- применяется так как вызывает недоверия фирма, использующая бесплатный домен третьего уровня. Если у организации нет денег даже на домен 2 уровня, то о каких платных услугах может идти речь.
Установка счетчиков с других сайтов, которые показывают посетителей другого сайта, их более 2-3 тыс., а реально Вы на этом сайте вообще первый человек сегодня.
Помимо выше приведённых примеров существует ещё масса других методик и способов.
Предположим , у нашей фирмы №1 есть следующее:
Три сотовых телефона с прямыми городскими номерами
Один домашний адрес
Три сайта.
Каким же образом фирма будет получать прибыль от этого?
На каждом сайте по whois указываются разные контактные данные, а имя и фамилия владельца скрывается.
Сайты находятся на разных хостингах, чтобы обеспечить различные ip адреса.
На всех сайтах указаны контакты и телефоны, которые не пересекаются и не повторяются.
На каждом сайте уникальное оформление и содержание.
Осталось понять только одно, как фирма, находящаяся в собственной квартире доставляет товары и отправляет заказчиков на склады?
Все очень просто, рассказывать детали не буду. Дам только намек, что есть договоренность с производителями, которые и выполняют всю работу, а задача владельцев сайта, только сообщить, что клиент пришел от них.
Не стоит бояться заказывать через интернет, после прочтения данного текста, Вы просто делаете заказ через посредников, у которых есть определенные скидки, поэтому они могут предлагать товары дешевле, чем производитель, который специально фиксирует цены.
Социальная инженерия при формировании цен
Мы видим, что в этом магазине самый дешевый товар, мы покупаем в нем все. А Вы уверены, что это правда?
Во многих магазинах при формировании цен руководствуются следующим принципом. Некоторые категории товаров дешевле, чем у всех. А вот остальные, гораздо дороже, и как правило это комплектующие для тех самых дешевых товаров. А теперь посчитаете итоговую сумму. И где теперь дешевле?
Используя социальную инженерию, можно сильно навредить конкурентам, что делается очень часто среди такси. Количество ложных вызовов за ночь может превышать количество перевезенных клиентов в несколько раз, а это затраты времени, топлива, и потерянные клиенты, которых забрали другие.
Социальная инженерия в интернет очень часто используется фейками звезд (это те, кто выдает себя за звезд, известных людей). Как правило, это еще маленькие дети, которые хотят внимания и общения, но не могут их получить, или просто хотят почувствовать себя знаменитыми. Их цели безобидны. Но не всегда это маленькие дети, иногда цель таких людей получение прибыли, путем обмана.
Раньше процветал такой способ обмана, как получение денег от одиноких людей через сайты знакомств.
Берется собирательный образ девушки, которая очень желает познакомиться, через определенное время общения она просит финансовой помощи, хотя бы положить ей денег на телефон, так как у нее нет, смс она общаться не может, позвонить ей не возможно, так как рядом больные родители, уйти от которых она не может. И еще куча подобных историй. Не всегда это девушка, это может быть кто угодно, даже обычный извращенец. Цель этого – получение денег обманным путем.
Социальная инженерия может использоваться для очень большого количества целей, кто владеет социальной инженерией – владеет искусством обмана.
У социальной инженерии только один большой недостаток, Вы зависите от людей, против которых применяется социальная инженерия, а не они от Вас. По этой причине процесс воздействия совершенно не контролируем, и его успешность зависит от множества факторов.
Обратная социальная инженерия
Этот недостаток пытается устранить обратная социальная инженерия или как часто пишется ОСИ.
Обратная социальная инженерия строится на трех факторах.
Создание ситуации, которая вынуждает человека обратиться за помощью
Реклама своих услуг или опережение оказания помощи другими людьми
Оказание помощи и воздействие
В данном случае вначале нужно создать ситуацию, а для создания ситуации нужно изучить человека (или группу лиц), на которого будет оказываться воздействие.
Сейчас не проходят трюки, описанные ранее, замените название файла и т.п. Все решается простой переустановкой программ, да и запустить программу в большинстве случаев не удастся, уже не те времена.
Остается один вариант. Исследовать людей, их интересы, пристрастия и пытаться воздействовать за счет них, причем программы и любые способы электронного воздействия должны быть полностью работоспособны и до определенного времени не вызывать никаких опасений.
Возьмем один из старых вариантов, описанных в большинстве книг. Пошлем по почте адресату новый диск его любимого исполнителя с записанным вирусом. Думаете, сработает? Очень сомневаюсь. Большинство проигрывателей запустит диск без запуска вируса, да и антивирус заблокирует такой вирус очень быстро.
Лучше всего не использовать такие методы, они просто не эффективны. Гораздо эффективнее разработать программу, которая будет полезна этому предприятию, разработана специально для него, но через определенное время ее нужно обслуживать, обновлять и так далее.
Вот вам и доступ и зависимость. О чем еще мечтать. Наверное, о том, чтобы научиться делать такие программы.
Таким образом, обратная социальная инженерия позволяет управлять людьми, но для этого нужно много сил и знаний. Социальная инженерия воздействует в большинстве своем на более широкую аудиторию и более выгодна, хотя Вы и находитесь в зависимом состоянии.
Защита от социальной инженерии
Нужно не только знать, как нападать, нужно знать и как защищаться
Во всех крупных компаниях регулярно проводятся тесты на проникновение с использованием социальной инженерии.
Действия сотрудников обычно носят не умышленный характер, но очень опасны для информационной безопасности. От опасности из вне можно защититься, а от опасности изнутри, практически невозможно.
С целью повышения безопасности проводятся специальные тренинги, постоянно контролируется уровень знаний и конечно же совершаются внутренние диверсии, которые позволяют выявить уровень подготовленности сотрудников в реальных условиях. Как правило, это звонки, icq, skype и электронные письма различного содержания, сервисы общения и социальные сети.
Тестирование помогает не только блокировать доступ нарушителя, но позволяет проверить реакцию сотрудников на попытки нарушения, проверить их честность.