.gif)
CVVKing
Участник клуба
- Регистрация
- 18 Июн 2021
- Сообщения
- 242
- Реакции
- 10
В наш просвещённый век мы слышим на каждом углу: “Вот, мол, социальная инженерия, социальная инженерия...” Но не все до конца понимают смысл этого слова. Так что же это, собственно, такое?
Большинство читателей помнит, как в бессмертном романе Ильфа и Петрова Великий комбинатор “конфисковал” стул у юмориста Авессалома Изнурёнкова, выдавая при этом себя за судебного исполнителя, которым, конечно же, отнюдь не являлся. Так вот, это и есть образчик чистейшей социальной инженерии, да ещё и с так называемым “претекстингом”, то есть с выдачей себя за другое лицо.
Под социальной инженерией обычно понимаются некие манипулятивные действия с целью либо выманивания у кого-либо целевой информации, либо понуждения, подталкивания кого-то к совершению неких действий, нужных манипулятору. В более широком, научном смысле социальная инженерия не несёт такой уж отрицательной коннотации и подразумевает управление поведением социальных групп с помощью прессы, пропаганды, идеологии и тому подобных вещей(что ИМХО тоже является гадостью).
Итак, сначала про первый путь, выманивание данных и информации. Выманиванию, выуживанию(“фишингу”) в настоящее время подвергается всё, что угодно, от личных данных людей до паролей и логинов, от номеров кредит-карт до отсканированных документов и даже интимных фотографий(бывает и такое).
Звонит этакий ухарь старушке(а телефон её, вестимо, взял из ворованной базы данных, купленной у другого ухаря на каком-нибудь “Эксплойте”), мол-де, казя-базя, я сотрудник службы безопасности Попандос-банка, у Вас сейчас была зафиксирована несанкционированная попытка снять деньги со счёта... Для бедолаги это всё равно, что для лошади внезапный удар кнутом по пузу... И сенильную, прошу прощения за тавтологию, старушку, и так не шибко крепкую умишком, да ещё находящуюся в состоянии грогги, мол-де ой, там же все мои сбережения, начинают сразу разводить на различные пароли и логины, какие-то не совсем понятные коды, сыпящиеся как из рога изобилия на её дешёвый китайский телефонный аппарат, что называется, “ковать железо не отходя от кассы”. В результате чего несчастная и впрямь лишается своих сбережений.
Или вот другой добрый молодец, знакомящийся с девушками в сети и посылающий им не то комплименты, не то (чьи-то
)дикпики в обмен на их фотографии в неглиже, с целью последующего шантажа либо выменивания на ещё что-то, либо выдачи уже себя самого за даму...
Воистину говорил великий Карлос Кастанеда устами своего героя дона Хуана, что не все сущности, которые выглядят как койоты, на деле ими являются.
Самое главное для злоумышленника-манипулятора – это нажать жертве на какую-то потенциальную слабую точку, будь то страх, алчность, самомнение или неуверенность в себе.
Вспомните ямщика, который в известном стихотворении Некрасова повёз генерала Топтыгина, поскольку устрашился его пугающего облика(“видел много на веку генералов строгих... а такого не видал, Господи Исусе!”)
У фишинга есть ещё такое ответвление как фрикинг, под ним имеются в виду разные манипуляции с помощью набора(dialing) в тоне или пульсе каких-то кодов и комбинаций. В своё время, начиная с 50-х гг., такие комбинации использовались в служебных целях заокеанскими сетями Bell и AT&T, и мошеннически подбирая тональный или пульсовый сигнал, иногда даже путём насвистывания, хакеры-первопроходцы тех времён получали несанкционированный доступ к бесплатным звонкам, администрированию сетей и прочей халяве. Чем-то подобным пробавлялся и знаменитый, ставший иконой стиля хакер Кевин Митник.
Фишинг нередко происходит не через голосовые звонки, а через рассылку спам-писем по электронной почте или мессенджерам, а письма эти содержат фродулентные ссылки якобы на ваш банк или что-то в этом роде, и будучи выдержаны в соответствующей символике, заманивают жертву на некий сервер, на котором предлагается либо ввести свои пароль и логин(и таким образом профукать их), либо открыть некую ссылку и потенциально затроянить свой компьютер или смартфон(обычно сразу загружается лоадер с минимумом фунций, а потом он пытается подгрузить на компьютер жертвы основной троян, хотя бывают разные хитрые сценарии).
И когда информация о жертве сполна собрана злоумышленником, наступает этап реализации собранной информации – понуждение “сладкого лоха” к неким действиям в пользу мошенника.
И вот звонит, к примеру, старикам-родителям некого молодого балбеса под вечер тревожный голос, вроде похожий на голос их сына, но какой-то сдавленно-придушенный, мол папа, мама, спасите, я-де сбил человека, управляя машиной бухим, сейчас задержан звоню из отделения полиции, но есть маза соскочить за энную сумму(нехилую, как правило). Передайте лавэ человеку в капюшоне на автобусной остановке такой-то во столько-то... Терпилы тут же бросаются в банк, снимают все свои сбережения, откупоривают кубышки и порют подушки да матрасы, чтобы выручить свою кровиночку. А наутро сынок-дуропляс, не имеющий и понятия о случившемся, как ни в чём не бывало возвращается домой с какой-нибудь вписки или гулянки, и в ответ на сбивчивый рассказ родителей и их расспросы недоумённо округляет глаза...
Или старушка переводит все сбережения(сама!) на счёт разводилы “из службы безопасности банка”, убедившего её, что так надо, чтобы сохранить их от “хакеров”. А то ещё истосковавшаяся “по чуйствам” сорокалетняя доктор-анестезиолог тайно передаёт анестетики из своей клиники пылкому любовнику, выдающему себя за сотрудника спецслужб под прикрытием, а тот использует лекарства для убийства собственной супруги(!) - такой случай имел место в Израиле недавно.
Различными приёмами манипуляции своими адептами пользуются также различные секты – от сайентологов(хаббардистов) до секты рава Лайтмана “Каббала ле-ам”, цели у сект бывают различными – построение тоталитарных структур с жёстким подчинением гуру, завладение собственностью своих адептов(уплата “десятины”), сексуальная эксплуатация симпатичных прихожанок, внедрение агентуры в силовые структуры государства.
Также чем-то подобным несомненно пользуются мошенники, работающие по схеме Понци и выманивающие у простофанов их кровные под обещание огромных, неслыханных прибылей, эксплуатируя при этом алчность своих жертв(“куплю жене сапоги “).
Есть ещё такое понятие, как “газлайтинг”. Основано оно на пьесе драматурга Патрика Хэмилтона “Газовый свет” и означает жульнический приём, когда некий манипулятор пытается внушить своей жертве, что она(жертва) – дурак, придурок, идиот, недотёпа, сумасшедший, псих, неадекват, долбоклюй, и всё в этом роде, чтобы снизить её самооценку и вынудить таким образом плясать под дудку злоумышленника. Непосредственно в пьесе и её экранизации муж ослаблял супруге в её доме давление светильного газа в сети с целью создания полумрака(дело было в Викторианскую эпоху) и переставлял местами вещи, чтобы ввести несчастную в полный блудняк и невменос и выставить дурой набитой и идиоткой.
Существуют и другие, как сказал поэт, “mild deceptive wiles”. В их числе – сбор информации “через плечо”, как то подглядывание пароля у банкомата, сбор из открытых источников(справочников, “жёлтых страниц” и т.п.), вхождение в личные отношения с лицом, работающим в интересующей мошенника структуре... Для манипуляций зачастую используются лесть, комплименты, недорогие расхожие подарки(конфеты, парфюмерия), внезапные к месту рассказанные пугающие новости, вдруг упавший со стола графин или что-то подобное... К каждому козлу потенциально можно приладить некую морковку, за которой козёл наверняка пойдёт.
Я уже писал в другой своей статье как-то про схему Азулея – там шайка ловких франкоговорящих мошенников внедряла в бухгалтерию компании фиктивный документооборот, пользуясь своим доступам в компанию, и на определёном этапе бухгалтер отправлял некислую сумму под липовый но как бы достоверный счёт на условные “Рожки и Копытцы” вместо надлежащих “Рогов и Копыт”, а прохиндеи потом были с этими средствами таковы. Ещё мне приходилось знавать людей, по фиктивным накладным получавшим чужой товар на таможне(!), нередко на многие сотни тысяч баксов. Ещё были случаи, когда аферистами под залог совершенно чужого товара/оборудования, находящегося на складе либо в производственных цехах, брались кредиты в банках, достаточно было инспектору кредитно-планового отдела банка это добро засветить, и всё это в тайне от настоящего хозяина имущества. И всё это есть не что иное, как случаи социальной инженерии.
Немалую роль играет здесь харизматичность мошенника и его природная способность к суггестии(внушению). Вот про Мавроди уже было давным-давно ясно, что он за гусь лапчатый, а преданные фанаты всё водили и до сих пор водят хороводы вокруг него.
Ваш покорный слуга много раз использовал одну и ту же схему, когда ему надо было затроянить компьютер в определённом офисном центре – представлялся работником техподдержки офисного центра таким-то(фамилию работника узнавал заранее), звонил нужному сотруднику, обычно секретарю, и просил дать контактный Е-мэйл, а потом с целью проверки связи принять письмо и отстрелять ссылочку в нём, а мне рассказать, что при этом будет видно, и только всё время жать на Yes и на OK Так услужливые ТП не знали, как ещё выслужиться перед звонящим и на что ещё нажать, лишь бы получить от него похвалу и ни одной даже не пришло в бестолковку, что её просто разводят.
Как защититься от подобного разводилова? Прежде всего, будьте разумны и рассудительны, будьте наблюдательны, никому не верьте на слово, особенно тому, кого вы не видите или хорошо не знаете. Всё подвергайте сомнению. Не покупайтесь на лесть, угрозы и вообще на пустые слова. Сопоставляйте, анализируйте. Тренируйте свою интуицию, в конце концов, ведь когда человек лжёт, бывают некие признаки(сигнатуры), которые ложь выдают.
Такова и есть социальная инженерия – набор старых, как мир, уловок и разводилова, различных манипуляций, лжи и лести. Закончим статью словами о том, что человек был бы в целом неплох, если бы не его врождённая склонность к плутовству(если мне не изменяет память, это сказал Лейбниц).
Большинство читателей помнит, как в бессмертном романе Ильфа и Петрова Великий комбинатор “конфисковал” стул у юмориста Авессалома Изнурёнкова, выдавая при этом себя за судебного исполнителя, которым, конечно же, отнюдь не являлся. Так вот, это и есть образчик чистейшей социальной инженерии, да ещё и с так называемым “претекстингом”, то есть с выдачей себя за другое лицо.
Под социальной инженерией обычно понимаются некие манипулятивные действия с целью либо выманивания у кого-либо целевой информации, либо понуждения, подталкивания кого-то к совершению неких действий, нужных манипулятору. В более широком, научном смысле социальная инженерия не несёт такой уж отрицательной коннотации и подразумевает управление поведением социальных групп с помощью прессы, пропаганды, идеологии и тому подобных вещей(что ИМХО тоже является гадостью).
Итак, сначала про первый путь, выманивание данных и информации. Выманиванию, выуживанию(“фишингу”) в настоящее время подвергается всё, что угодно, от личных данных людей до паролей и логинов, от номеров кредит-карт до отсканированных документов и даже интимных фотографий(бывает и такое).
Звонит этакий ухарь старушке(а телефон её, вестимо, взял из ворованной базы данных, купленной у другого ухаря на каком-нибудь “Эксплойте”), мол-де, казя-базя, я сотрудник службы безопасности Попандос-банка, у Вас сейчас была зафиксирована несанкционированная попытка снять деньги со счёта... Для бедолаги это всё равно, что для лошади внезапный удар кнутом по пузу... И сенильную, прошу прощения за тавтологию, старушку, и так не шибко крепкую умишком, да ещё находящуюся в состоянии грогги, мол-де ой, там же все мои сбережения, начинают сразу разводить на различные пароли и логины, какие-то не совсем понятные коды, сыпящиеся как из рога изобилия на её дешёвый китайский телефонный аппарат, что называется, “ковать железо не отходя от кассы”. В результате чего несчастная и впрямь лишается своих сбережений.
Или вот другой добрый молодец, знакомящийся с девушками в сети и посылающий им не то комплименты, не то (чьи-то
)дикпики в обмен на их фотографии в неглиже, с целью последующего шантажа либо выменивания на ещё что-то, либо выдачи уже себя самого за даму...Воистину говорил великий Карлос Кастанеда устами своего героя дона Хуана, что не все сущности, которые выглядят как койоты, на деле ими являются.
Самое главное для злоумышленника-манипулятора – это нажать жертве на какую-то потенциальную слабую точку, будь то страх, алчность, самомнение или неуверенность в себе.
Вспомните ямщика, который в известном стихотворении Некрасова повёз генерала Топтыгина, поскольку устрашился его пугающего облика(“видел много на веку генералов строгих... а такого не видал, Господи Исусе!”)
У фишинга есть ещё такое ответвление как фрикинг, под ним имеются в виду разные манипуляции с помощью набора(dialing) в тоне или пульсе каких-то кодов и комбинаций. В своё время, начиная с 50-х гг., такие комбинации использовались в служебных целях заокеанскими сетями Bell и AT&T, и мошеннически подбирая тональный или пульсовый сигнал, иногда даже путём насвистывания, хакеры-первопроходцы тех времён получали несанкционированный доступ к бесплатным звонкам, администрированию сетей и прочей халяве. Чем-то подобным пробавлялся и знаменитый, ставший иконой стиля хакер Кевин Митник.
Фишинг нередко происходит не через голосовые звонки, а через рассылку спам-писем по электронной почте или мессенджерам, а письма эти содержат фродулентные ссылки якобы на ваш банк или что-то в этом роде, и будучи выдержаны в соответствующей символике, заманивают жертву на некий сервер, на котором предлагается либо ввести свои пароль и логин(и таким образом профукать их), либо открыть некую ссылку и потенциально затроянить свой компьютер или смартфон(обычно сразу загружается лоадер с минимумом фунций, а потом он пытается подгрузить на компьютер жертвы основной троян, хотя бывают разные хитрые сценарии).
И когда информация о жертве сполна собрана злоумышленником, наступает этап реализации собранной информации – понуждение “сладкого лоха” к неким действиям в пользу мошенника.
И вот звонит, к примеру, старикам-родителям некого молодого балбеса под вечер тревожный голос, вроде похожий на голос их сына, но какой-то сдавленно-придушенный, мол папа, мама, спасите, я-де сбил человека, управляя машиной бухим, сейчас задержан звоню из отделения полиции, но есть маза соскочить за энную сумму(нехилую, как правило). Передайте лавэ человеку в капюшоне на автобусной остановке такой-то во столько-то... Терпилы тут же бросаются в банк, снимают все свои сбережения, откупоривают кубышки и порют подушки да матрасы, чтобы выручить свою кровиночку. А наутро сынок-дуропляс, не имеющий и понятия о случившемся, как ни в чём не бывало возвращается домой с какой-нибудь вписки или гулянки, и в ответ на сбивчивый рассказ родителей и их расспросы недоумённо округляет глаза...
Или старушка переводит все сбережения(сама!) на счёт разводилы “из службы безопасности банка”, убедившего её, что так надо, чтобы сохранить их от “хакеров”. А то ещё истосковавшаяся “по чуйствам” сорокалетняя доктор-анестезиолог тайно передаёт анестетики из своей клиники пылкому любовнику, выдающему себя за сотрудника спецслужб под прикрытием, а тот использует лекарства для убийства собственной супруги(!) - такой случай имел место в Израиле недавно.
Различными приёмами манипуляции своими адептами пользуются также различные секты – от сайентологов(хаббардистов) до секты рава Лайтмана “Каббала ле-ам”, цели у сект бывают различными – построение тоталитарных структур с жёстким подчинением гуру, завладение собственностью своих адептов(уплата “десятины”), сексуальная эксплуатация симпатичных прихожанок, внедрение агентуры в силовые структуры государства.
Также чем-то подобным несомненно пользуются мошенники, работающие по схеме Понци и выманивающие у простофанов их кровные под обещание огромных, неслыханных прибылей, эксплуатируя при этом алчность своих жертв(“куплю жене сапоги
“).Есть ещё такое понятие, как “газлайтинг”. Основано оно на пьесе драматурга Патрика Хэмилтона “Газовый свет” и означает жульнический приём, когда некий манипулятор пытается внушить своей жертве, что она(жертва) – дурак, придурок, идиот, недотёпа, сумасшедший, псих, неадекват, долбоклюй, и всё в этом роде, чтобы снизить её самооценку и вынудить таким образом плясать под дудку злоумышленника. Непосредственно в пьесе и её экранизации муж ослаблял супруге в её доме давление светильного газа в сети с целью создания полумрака(дело было в Викторианскую эпоху) и переставлял местами вещи, чтобы ввести несчастную в полный блудняк и невменос и выставить дурой набитой и идиоткой.
Существуют и другие, как сказал поэт, “mild deceptive wiles”. В их числе – сбор информации “через плечо”, как то подглядывание пароля у банкомата, сбор из открытых источников(справочников, “жёлтых страниц” и т.п.), вхождение в личные отношения с лицом, работающим в интересующей мошенника структуре... Для манипуляций зачастую используются лесть, комплименты, недорогие расхожие подарки(конфеты, парфюмерия), внезапные к месту рассказанные пугающие новости, вдруг упавший со стола графин или что-то подобное... К каждому козлу потенциально можно приладить некую морковку, за которой козёл наверняка пойдёт.
Я уже писал в другой своей статье как-то про схему Азулея – там шайка ловких франкоговорящих мошенников внедряла в бухгалтерию компании фиктивный документооборот, пользуясь своим доступам в компанию, и на определёном этапе бухгалтер отправлял некислую сумму под липовый но как бы достоверный счёт на условные “Рожки и Копытцы” вместо надлежащих “Рогов и Копыт”, а прохиндеи потом были с этими средствами таковы. Ещё мне приходилось знавать людей, по фиктивным накладным получавшим чужой товар на таможне(!), нередко на многие сотни тысяч баксов. Ещё были случаи, когда аферистами под залог совершенно чужого товара/оборудования, находящегося на складе либо в производственных цехах, брались кредиты в банках, достаточно было инспектору кредитно-планового отдела банка это добро засветить, и всё это в тайне от настоящего хозяина имущества. И всё это есть не что иное, как случаи социальной инженерии.
Немалую роль играет здесь харизматичность мошенника и его природная способность к суггестии(внушению). Вот про Мавроди уже было давным-давно ясно, что он за гусь лапчатый, а преданные фанаты всё водили и до сих пор водят хороводы вокруг него.
Ваш покорный слуга много раз использовал одну и ту же схему, когда ему надо было затроянить компьютер в определённом офисном центре – представлялся работником техподдержки офисного центра таким-то(фамилию работника узнавал заранее), звонил нужному сотруднику, обычно секретарю, и просил дать контактный Е-мэйл, а потом с целью проверки связи принять письмо и отстрелять ссылочку в нём, а мне рассказать, что при этом будет видно, и только всё время жать на Yes и на OK
Так услужливые ТП не знали, как ещё выслужиться перед звонящим и на что ещё нажать, лишь бы получить от него похвалу и ни одной даже не пришло в бестолковку, что её просто разводят.Как защититься от подобного разводилова? Прежде всего, будьте разумны и рассудительны, будьте наблюдательны, никому не верьте на слово, особенно тому, кого вы не видите или хорошо не знаете. Всё подвергайте сомнению. Не покупайтесь на лесть, угрозы и вообще на пустые слова. Сопоставляйте, анализируйте. Тренируйте свою интуицию, в конце концов, ведь когда человек лжёт, бывают некие признаки(сигнатуры), которые ложь выдают.
Такова и есть социальная инженерия – набор старых, как мир, уловок и разводилова, различных манипуляций, лжи и лести. Закончим статью словами о том, что человек был бы в целом неплох, если бы не его врождённая склонность к плутовству(если мне не изменяет память, это сказал Лейбниц).
