Игорь симдянов - социальная инженерия и социальные хакеры. Книги по социальной инженерии Социальная инженерия pdf
Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется "Человеческий фактор в программировании". Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: "Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.
Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют "социальной инженерией" , поэтому наша книга так и называется "Социальная инженерия и социальные хакеры".
Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.
Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат принципы нейролингвистического программирования", что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.
Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из "недр компьютера" спрашивают именно с IT-специалистов. И именно им в первую очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.
Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании "человеческого фактора".
Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.
Максим Кузнецов, Игорь Симдянов
Социальная инженерия и социальные хакеры
Введение
Для кого и о чем эта книга
Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется "Человеческий фактор в программировании". Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: "Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.
Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют "социальной инженерией" , поэтому наша книга так и называется "Социальная инженерия и социальные хакеры".
Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.
Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат принципы нейролингвистического программирования", что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.
Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из "недр компьютера" спрашивают именно с IT-специалистов. И именно им в первую очередь приходится "расхлебывать" последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и "рядовым" пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.
Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании "человеческого фактора".
Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.
Что такое социальная инженерия и кто такие социальные хакеры
В первой части обсуждаются основные концепции социальной инженерии и социального хакерства. Первая глава, как обычно, – это введение в обсуждаемый вопрос, а во второй главе приведены различные примеры использования методов социальной инженерии.
Глава 1.
Глава 2. Примеры взломов с помощью методов социальной инженерии
Глава 3. Примеры социального программирования
Глава 4. Построение социальных файрволов
Глава 5. Психологические аспекты подготовки социальных хакеров
Социальная инженерия – один из основных инструментов хакеров XXI века
Максим Кузнецов, Игорь Симдянов
Социальная инженерия и социальные хакеры
Введение
Для кого и о чем эта книга
Предметом книги является рассмотрение основных методов социальной инженерии - по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется "Человеческий фактор в программировании". Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: "Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги - не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)". Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.
Информация тоже защищается людьми, и основные носители информации - тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют "социальной инженерией" , поэтому наша книга так и называется "Социальная инженерия и социальные хакеры".
Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, - ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.
Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой - через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого - человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75 % сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу "социальная инженерия" в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице "Редиссон-Славянская" для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…
Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: "Это делается так-то". А почему именно так - никто не объясняет. В лучшем случае приводятся фразы: "в основе этого приема лежат принципы нейролингвистического программирования", что, правда, запутывает еще больше. Иногда еще говорят, что "для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье". О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся - надуманные ("киношные"), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, - раскусит. Но когда к нему приходит настоящий, - он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе "социального хакерства". С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то "охмурить", а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.
"Убийство" форума
Конечно, если с помощью социального программирования можно делать рекламу, то можно и антирекламу. Приведу один пример, все остальное делается по аналогии. Некий социальный хакер за пару месяцев в одиночку развалил один известный форум, существовавший до этого несколько лет. Как он это сделал? Очень просто. Превратил форум в "помойку". Ругался, нападал на администрацию, "вызывал на дуэль модераторов", совершал явные провокаторские действия. А поскольку он был весьма не дурак, то все сообщения писались "на грани фола", т. е. вроде бы и провокационное сообщение, а и удалять по большому счету не за что. В общем, занимал он на этом форуме типичную антилидерскую позицию.
Примечание
Об антилидерах подробно написано в главе 8.
Причем действовал он из-под нескольких ников.
Примечание
Ник (от англ. nick) (или, более полно, никнейм (nick name)) - псевдоним, который посетители Интернета часто себе выбирают для того, чтобы под этим псевдонимом оставлять сообщения в различных форумах, чатах и т. д. Многие активные пользователи Интернета привыкли отождествлять себя и других уже не с реальным именем, а с ником. Это весьма интересный феномен Интернета в психологическом плане. Дело в том, что имя, которое нам дается с рождения, выбирается не нами. Известно немало случаев, когда из-за того, что человеку не нравилось свое имя, он "не мог найти себя". Никнейм выбирается сознательно самим человеком, и нередко становится вторым именем…
Это в том числе помогло ему достаточно быстро создать вокруг себя антилидерскую группировку из уже реальных посетителей форума. Дело в том, что когда он писал из-под нескольких ников, то он как раз создавал видимость того, что "он не один", т. е., что антилидерская группировка уже существует. Схема простая: "раскручивается" один антилидерский ник, который становится известным и узнаваемым на форуме, а затем к нему как бы примыкают остальные посетители форума, недовольные поведением администрации. Примыкают сначала фиктивно, т. к. из-под всех этих ников действует один и тот же человек, а потом уже и реально, когда к этой группировке начинают примыкать реальные посетители форума. В конце концов форум становится этаким полем боя, на котором продвигать что-либо (товары, идеи…) становится практически невозможно.
Вообще тем, кто держит на сайте форум - нужно быть очень внимательным. Даже если ваш форум никто не собирается "убивать", ваши менеджеры на форуме могут "наговорить лишнего", что будет являться лакомым кусочком для конкурирующей разведки.
Основной залог успеха форума - это грамотная политика поведения на нем и грамотное модерирование. Это очень важно. Так как только в этом случае форум будет маркетинговым плюсом. Во всех остальных случаях он может стать большим маркетинговым минусом.
Примечание
Модерирование - это контроль за поведением посетителей на различных форумах, чатах и т. д. и за той информацией, которую они размещают в своих сообщениях.
Основные правила "ведения форума". Ни в коем случае не вступать ни в какие переговоры с провокаторами и различными "виртуальными террористами". Слава богу, в отличие от террористов реальных, виртуальные никого не берут в заложники, и можно позволить себе с ними не разговаривать. А просто безжалостно уничтожать. Модерировать, в смысле.
Примечание
В этом плане нас несказанно удивило поведение одного известного человека, который содержал свой форум, и после того, как его испоганили, решился в качестве последней меры на "переговоры с террористами". Мы уж не знаем, чего он им там говорил, для нас удивителен сам факт подобных переговоров. Ты же много видел в жизни, и тебе лучше других должно быть известно, что с провокаторами вести переговоры нельзя. Переговоры, кстати, вероятно не помогли, т. к. форум вскоре перестал существовать. А форум был очень неплохой.
Желательно, чтобы модератор не был участником форума. Это нужно для сохранения его принципиальности, которую проблематично сохранить, если ты сам участник дискуссий. У нас именно так и сделано: модератор не является участником дискуссий на форуме.
Модератор должен быть умным и уравновешенным человеком. Это положение, казалось бы, очевидно, но как раз это правило нарушается очень часто. Нередко, к примеру, можно видеть, как модератор начинает подряд удалять все сообщения человека, который его оскорбил. Такое, конечно, недопустимо.
Действия модератора не обсуждаются, и это должно быть прописано в правилах форума, которые обязательно должны быть (для справки вариант правил, которые действуют на форуме IT-студии SoftTime, приведен далее). В этих правилах должно быть написано, в каком случае модератор приступает к своей работе. Чтобы все без обид было.
На форуме обязательно должен быть человек, который очень компетентен в обсуждаемых вопросах. В любом специализированном форуме полемика сразу прекращается после ответа эксперта, который приходит и дает грамотный, и иногда, единственно верный ответ. Все - полемизировать не о чем.
Если вы держите специализированный форум, не советую вам заводить на нем разделы "за жизнь". Это с точки зрения управляемости самый поганый раздел, который только можно придумать, поскольку взгляды на жизнь у всех разные. И переругаться всем, отстаивая свои взгляды, ничего не стоит. А ругань на форуме превращает его в помойку (если он, конечно, не создан специально для ругани). Как сказано в предыдущем правиле, полемика сразу прекращается после ответа эксперта, который приходит и дает грамотный ответ. А в жизни экспертов, увы, нет.
Теперь приведем те правила, которыми руководствуемся мы на наших форумах.
Недавно, проверяя одну из своих мыльниц, я наткнулся на трогательное письмо. Админ провайдера, услугами которого я пользуюсь, слезно жаловался, что хакеры разнесли к чертям всю контору, и от старой базы данных по клиентам остались рожки да ножки. «Мы пытаемся тут навести порядок, поэтому, дружище, не мог бы ты прислать мне свои логин и пароль», - робко предлагал собеседник. На дворе активно смеркалось.
Несмотря на то, что понятие «социальная инженерия» появилось недавно, люди в той или иной форме пользовались ее техниками испокон веков. В Древней Греции и Риме в большом почете были пиплы, которые могли навешать на уши любую лапшу и убедить собеседника в его очевидной неправоте. Выступая от имени верхов, они вели дипломатические переговоры, а подмешивая в свои слова вранье, лесть и выгодные аргументы, нередко решали такие проблемы, которые, казалось, невозможно было решить без помощи меча. В среде шпионов социальная инженерия всегда была главным оружием. Выдавая себя за кого угодно, агенты КГБ и ЦРУ могли выведать самые страшные государственные тайны. А насколько профессионально нас инженерят политики и кандидаты в депутаты (мэры, президенты) - вообще любо-дорого посмотреть. Хотя, по правде сказать, и я, и ты, и все мы от них не отстаем. Ты ведь не будешь отрицать, что когда-нибудь да пытался хитрожопой уловкой настроить чела на нужную тебе волну. Например, когда просил родителей купить мороженое, обещая пятерку в четверти по математике. Приемы социальной инженерии мы часто используем, даже не осознавая этого. В отличие от тех же агентов, депутатов и… хакеров.
В начале 70-х годов, в период расцвета фрикинга, некоторые телефонные хулиганы забавлялись тем, что названивали с уличных автоматов операторам Ma Bell и подкалывали их на тему компетентности. Потом кто-то, очевидно, сообразил, что, если немного перестроить фразы и кое-где сбрехать, можно заставить техперсонал не просто оправдываться, а выдавать под влиянием эмоций конфиденциальную информацию. Фрикеры стали потихоньку экспериментировать с уловками и к концу 70-х настолько отработали техники манипулирования неподготовленными операторами, что могли без проблем узнать у них практически все что хотели.
Заговаривать людям зубы по телефону, чтобы получить какую-то информацию или просто заставить их что-то сделать, приравнивалось к искусству. Профессионалы в этой области очень гордились своим мастерством. Самые искусные социальные инженеры (синжеры) всегда действовали экспромтом, полагаясь на свое чутье. С помощью наводящих вопросов, по интонации голоса они могли определить комплексы и страхи человека и, мгновенно сориентировавшись, сыграть на них. Если на том конце провода находилась молоденькая, недавно поступившая на работу девушка - фрикер намекал на возможные неприятности с боссом, если это был самоуверенный тюфяк - достаточно было представиться наивным юзверем из фирмы, которому все нужно показать и рассказать. К каждому подбирался свой ключ. С появлением компьютеров многие фрикеры перебрались в компьютерные сети и стали хакерами. Навыки СИ в новой области стали еще полезнее. Если раньше мозги оператору пудрили в основном для получения кусочков информации из корпоративных справочников, то теперь стало возможным узнать пароль для входа в закрытую систему и скачать оттуда кучу тех же справочников или что-то секретное. Причем такой способ был намного быстрее и проще. Не нужно искать дыры в навороченной системе защиты, не надо ждать, пока Jack the Ripper угадает правильный пароль, не обязательно играть в кошки-мышки с админом. Достаточно позвонить по телефону и, при правильном подходе, на другом конце линии назовут заветное слово.
Три кита социальной инженерии
Все методики социальной инженерии можно разделить на три категории в зависимости от того, где они используются: по телефону, в инете или риаллайфе. В каждой своя специфика, и совсем не факт, что человек, имеющий навыки СИ по инету, сможет так же эффективно юзать их face2face.
Многие считают, что после мозгов, телефон - главное оружие синжера. Благодаря ему, можно оставаться анонимным и в то же время иметь с жертвой прямую связь. Последнее важно потому, что непосредственный контакт не дает собеседнику времени обдумать положение и взвесить все за и против. Решать нужно немедленно, причем под натиском гнущего свою линию синжера. Так как в телефонном разговоре мы обмениваемся только звуковой информацией, большую роль в принятии решений играет интонация и голос собеседника. На первых порах, пытаясь обмануть кого-то по телефону, новички могут растеряться и быстро сдать позиции. Чтобы этого не произошло - нужно наработать практику, прозванивая по рандомным номерам и, заговаривая с незнакомыми людьми, пытаться обмануть их. Например, ты можешь выдумать какую-то идиотскую новость (американцы высадились на Солнце) и предложить неизвестному собеседнику ее вместе обсудить. Твоя задача - научиться запутывать людей и внушать им любую глупость. Можешь поиграть с ролями, представляясь оператором АТС или директором морга. Чем больше у тебя будет опыта в телефонных пранках, тем увереннее ты себя будешь чувствовать при разговоре с намеченной жертвой.
Старайся при разговоре ходить. Научно доказано, что когда человек двигается, у него быстрее работает мозг. Если решил провернуть что-то серьезное - не звони из дома, пользуйся таксофоном. Потому что при большом желании проследить через АТС твой звонок не составит проблем.
На фирмах, где серьезно подходят к проблеме безопасности, советуют в начале разговора требовать обратный телефон и перезванивать незнакомцу. Это еще одна причина, почему лучше звонить с таксофона. Но если ты звонишь из дома и слышишь: «Оставьте, пожалуйста, ваш номер - я перезвоню», продиктуй один из тех телефонных номеров, которые вечно заняты. В каждом городе такие есть, узнать о них можно, например, у операторов (опять же, используя СИ). Объяснить короткие гудки все же проще, чем похмельный голос левого мужика.
В некоторых случаях Сеть может стать более удобной альтернативой телефону. Например, если жертва находится в другой стране и между вами имеется языковой барьер. Или если нужно провернуть что-то глобальное (разослать кучу мессаг). В первую очередь интернет хорош тем, что в нем можно себя выдать за кого угодно. Он, в отличие от телефона, не держит в рамках возраста и пола. К тому же, ты можешь использовать для инжиниринга кучу разных персонажей, создавая второстепенными героями иллюзию нужного качества у основного. Например, если ты зайдешь на www-чат и крикнешь: «Я крутой писатель!» - тебя хрен кто заметит. Но если с разных окон под проксями заведешь себе на том же чате толпу виртуалов, наперебой расхваливающих твои писательские таланты, остальной народ сразу заинтересуется и начнет расспрашивать, чего ты там пишешь.
Вообще, так как в сетевой социальной инженерии виртуалы используются повсеместно, ты должен хорошо позаботиться о том, чтобы они выглядели реалистично. Биография, характер, стиль письма, подписи, координаты в Сети (мыло, сайт) - ты должен продумать все, чтобы любой неверующий Фома смог сколько угодно раз убедиться в реальности твоего виртуала.
При проведении серьезных диверсий старайся избегать отсылки мессаг с халявных почтовых ящиков - они сразу вызывают подозрение у мало-мальски грамотных людей. Впрочем, если мыло малоизвестно (находится в другой стране), можно выдать его за фирменное, указав в конце письма «полное название конторы». Например, наше халявное bk.ru можно выдать за мыло от BlackKobra corporation или Brothers Killers inc.
Риаллайф
Способ довольно опасен, так как уже не приходится рассчитывать на анонимность, и тебя впоследствии могут опознать. Но опасно только в особо экстремальных случаях, например, когда ты решил кинуть фирму на большие деньги. На практике риаллайф - самый распространенный способ, поскольку общаемся мы в основном в реале, а где общаемся, там и врем, а где вранье, там и наш топик. Риаллайфовая СИ напрямую связана с НЛП, поэтому если хочешь узнать больше о том, как изменять модель поведения людей - читай FAQ по NLP, там есть много чего интересного.
Если ты подходишь к делу основательно и готов пожертвовать временем в угоду эффективности, хорошим методом для тебя может оказаться обратная социальная инженерия. Так называют метод, когда синжер вынуждает человека обратиться к нему за помощью и, предлагая ее, получает то, что ему нужно. Проходит все примерно по следующему сценарию - хакер сначала зарекомендовывает себя в фирме как компетентный специалист (см. предыдущий раздел), затем каким-то образом выводит из строя один из компьютеров (достаточно запустить программку, отключающую один из параметров в реестре). Сотрудник компании вызывает «специалиста», и тот просит предоставить конфиденциальную информацию (или сам находит ее на компьютере), мотивируя тем, что это нужно для устранения неполадки.
Искусство перевоплощения
Занимаясь, СИ тебе придется не раз надевать маски других людей. Понятное дело, левому пацану с улицы никто свои тайны выдавать не будет, а вот кому-то, кто на это имеет право - волей-неволей придется. Уверенно врать дано не каждому. Сказываются нравоучения наших предков, которые с детства вбивали в нас вредный комплекс - врать нехорошо. Но можно обмануть свои комплексы, если искренне поверить в правоту своих лживых слов. Ты ни секунды не должен сомневаться, что, к примеру, являешься сотрудником фирмы, забывшим пароль, что нуждаешься в помощи и имеешь на нее полное право. Ведь когда ты идешь в конце месяца получать зарплату, ты же не испытываешь от этого дискомфорта, не скулишь жалобно, пытаясь вытянуть лишнюю копейку? Ты получаешь то, что заслужил, что твое по праву. Того же принципа нужно придерживаться и в социальной инженерии. Если ты сумеешь убедить человека в своих правах, то обретешь требуемое, даже если на самом деле никаких прав на него не имеешь. Лучшего результата можно добиться, если не играть чью-то роль, а стать этим кем-то. В мыслях, поступках и во всем остальном. Для этого, конечно, нужно разбираться в психологии людей разных категорий и иметь кое-какие актерские способности. Дам тебе навскидку несколько распространенных среди хакеров шаблонов, возможно, они помогут тебе выбрать линию поведения в той или иной ситуации.
Начальник. Человек, привыкший отдавать команды, ценящий свое время, добивающийся поставленных целей. Манера разговора жесткая, нетерпеливая. Непробиваемая уверенность в себе и легкое (или полное) пренебрежение к рядовым служащим. Всем своим видом показывает, что проблема, с которой обратился - мелкая неувязка, которую нужно решить как можно скорее. Никаких просьб - только суровые вопросы в стиле «какого черта». В ответ на недоверчивые или проверяющие реплики - негодование и запугивание.
Секретарь. Обычно девушка с приятным голосом. Задача - выполнить конкретное поручение шефа, не отвлекаясь на условности. Осведомлена о начальнике и некоторых его делах, как бы между прочим роняет достоверные факты (или недостоверные, которые нельзя проверить). Характер разговора - мягкий, с легким эротическим подтекстом (если собеседник - мужчина). Реакция на нежелание сотрудничать - бурное огорчение, жалоба, что начальство накажет.
Техслужащий. Снисходительное, но дружелюбное отношение к клиентам. Цель проста - устранить неполадку и избавить обе стороны от головной боли. Подчеркнутая специфическими терминами компетентность. На отказ сотрудничать - реакция удивления, так как сотрудничество в первую очередь выгодно для клиента. Никаких уговоров - просто дать понять, что без твоего участия проблема только усугубится. Можно описать страшные последствия.
Юзверь: работник, выполняющий свои обязанности и напуганный неожиданной проблемой. Четко выраженный мотив поскорее решить все проблемы и вернуться к своей рутиной работенке. Отсутствие представления о характере проблемы, заинтересованность только в ее устранении. Характер общения: «Ой, а у меня курсор завис. Это вирус, да?» Показать всю безнадежность своего положения и готовность отдаться в руки специалиста.
Моделей поведения много, какой пользоваться - зависит от ситуации и человека, которого нужно обработать. Большое значение тут имеет предварительный сбор информации о будущей жертве, потому что только так ты сможешь составить наиболее эффективный сценарий и подготовиться ко всяким неожиданностям. Раньше любимым способом сбора инфы у хакеров было ковыряние по ночам в мусорных баках конторы. С появлением интернета все упростилось. Во-первых, существуют специализированные справочники по крупным компаниям, где можно найти имена, должности и контакты представителей. Во-вторых, можно опять же воспользоваться социальной инженерией и втесаться в доверие к неосторожному работнику. Например, многие в служебное время злоупотребляют аськой. Представившись многообещающей мадамой, можно закрутить с челом бурный виртуальный роман, и под предлогом «хочу побольше узнать о тебе», потихоньку расспрашивать о фирме и начальстве. Тебе, наверное, интересно, что именно нужно узнавать? Не знаю, дружище, одно лишь сто пудов - чем больше ты соберешь информации, чем разнообразнее (от любимого цвета носков шефа до среднегодовых доходов фирмы) она будет, тем легче тебе будет выполнить свою задачу. Особое внимание обрати на имена, характер и обязанности ключевых фигур в конторе, так как именно эти сведения ты с большой вероятностью будешь использовать в дальнейшем. Приступай к основной фазе инжиниринга, только когда почувствуешь, что знаешь свою жертву. Знаешь, чем она живет, о чем думает, как себя поведет в той или иной ситуации, какие психокомплексы роятся у нее внутри.
Тараканы, живущие в нашей голове
Сколь бы настороженным или наученным жизнью человек ни был, он никогда не избавится от всех багов в своей голове. Наш разум уязвимее, чем самая дырявая винда. Причем нередко уязвимыми становятся те качества, которые мы ценим в людях - отзывчивость, преданность и любознательность. Я уже не говорю о всякого рода психокомплексах, присущих всем нам. Вся социальная инженерия на том и построена, чтобы использовать человеческие слабости для изменения модели поведения. Ниже мы на примерах рассмотрим несколько основных психокомплексов, чаще всего подверженных СИ.
Доверчивость
Это качество заложено в каждом человеке. Мы слушаем рассказы о людях, которых кинули как полных лохов, удивляемся их наивности, пребываем в полной уверенности, что никогда бы сами не вляпались в подобное… и со временем сами занимаем их место. Доверчивость напрямую связана с нашей врожденной ленью. Согласись, легче поверить человеку на слово, чем утруждать себя проверками правдивости его слов.
К тому же некоторые, в силу робости или хорошего воспитания, просто не решаются открыто заявить, что собеседник врет, и предпочитают рискнуть, надеясь на его честность. Большую роль в вопросе доверия играют детали, о которых мы сознательно не задумываемся, но которые определяют нашу реакцию - верить человеку или нет.
Пожалуй, главный фактор доверия - уверенность в себе. Если кто-то говорит авторитетным тоном знатока, не допускающим возражений - люди могут поверить в любую чушь. Конечно, речь не идет о всем известных истинах (хотя опытный софист сможет тебе вполне убедительно доказать, что на Солнце минусовая температура, а белое - это на самом деле черное), но в вещах, о которых человек не знает или в которых хотя бы сомневается - можно легко склонить его мнение в нужную сторону. Хороший способ создать иллюзию своей правдивости - сделать несколько заявлений, которые, как известно собеседнику, на сто процентов правдивы, и в то же время подмешать в них несколько лживых доводов. Человек, видя, что ты говоришь правду, автоматически воспримет как правду и твою ложь. Своеобразный аналог теста на знание виновного, переделанный под нужды СИ.
Если ты в предварительной подготовке досконально не изучил жертву - что она знает, а что нет, старайся избегать прямой лжи. Например, если ты представишься работником шестого отдела Васей Чайкиным, то вполне вероятно услышишь: «Я знаю всех в шестом отделе - с такой фамилией там никого нет». Но если вместо конкретного Васи Чайкина из конкретного отдела ты станешь неопределенным Петей, только поступившим на службу - у тебя всегда останется место для отступления. Вообще, до начала диверсии постарайся продумать все так, чтобы тебя не прижали к стенке, найдя явные несоответствия. Всегда выбирай такой сценарий, который максимально достоверно подходит к ситуации. Чтобы проиллюстрировать этот психокомплекс, расскажу, как однажды я прошел в комнату студенческой общаги через злую бабку-вахтершу, «никого никоим образом не пущавшую».
Здравствуйте, бабушка. Мне в 90, к Самодину.
Никого не пускаем. Жди здесь. Будет кто спускаться - позовут.
Бабушка, я из деканата - ректор срочно его вызывает. Колю на олимпиаду от института отправляют, нужно заявление принести. Сейчас надо, сегодня - последний день. Я ему быстренько скажу и тут же вернусь. Хорошо?
Ладно. Только давай быстрее.
Я мигом. Спасибо!
У каждого из нас свои страхи. Не обязательно это боязнь темноты или, к примеру, пауков. Можно испытывать страх показаться нелепым в какой-то ситуации, страх за последствия невыполненного поручения, страх перед чем-то неизвестным. Существуют миллионы маленьких и больших страхов, которые заставят человека пойти на самые необдуманные поступки, чтобы от них избавиться. Использовать этот психокомплекс легко - достаточно всего лишь вызвать у собеседника один из страхов и сыграть роль «освободителя». Хорошим примером является случай, описанный в статье Алексея Лукацкого, когда хакер в течение всего пары минут получает пароль к аккаунту работника банка.
В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку и слышит мужской голос:
С вами говорит администратор сети, Иван. Как вас зовут?
Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль?
А мне говорили, что чужим нельзя называть свой пароль.
Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе, и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна?
Да, согласна.
Тогда назови свой пароль, и все будет ОК.
Мой пароль olja.
ОК. Спасибо за помощь.
Здесь синжер вызвал у юной особы сразу два страха - задержаться в конторе дольше положенного и вызвать гнев начальства. Последний - особенно эффективен, так как большинство людей все-таки дорожат своей работой и постараются сделать все возможное, чтобы избежать неприятностей.
Страх, кстати, является хорошим стимулом доверия - это естественная защитная реакция нашего организма. Напуганного человека больше заботит, как выйти из этого неприятного состояния, чем мысль о том, что страх может оказаться результатом блефа. Каждый из нас подвержен тем или иным страхам в большей или меньшей степени, но есть такие, которые сильно влияют практически на всех людей. Это угроза жизни, страх потерять близкого человека (животное), боязнь одиночества, страх перед болью, боязнь не осуществить поставленные цели и т.п.
Жадность
Второе качество человека после лени - жадность - является любимым психокомплексом аферюг всех мастей. Желание людей быстро обогатиться настолько велико, что часто затмевает все разумные мысли, и пиплы ведутся на очевидное кидалово. Использовать жадность в своих корыстных целях просто, нужно всего лишь пообещать человеку что-то, что ему необходимо. Не обязательно деньги - рекламу, информацию, предмет для коллекции, секс… да что угодно. Просто узнай побольше о том, что ценно для жертвы, и обещай это. Обещать ведь по закону не запрещено. Твоя задача - выставить свой «товар» в максимально привлекательном свете, но не злоупотребляй эпитетами. Прогресс не стоит на месте, и люди уже не верят «доброжелателям», обещающим 10 миллионов баксов за неделю. Но на 100 баксов в месяц «ни за шо» клюнут легко. Отличным примером СИ на почве жадности является эпизод, описанный в книге Сидни Шелдона «Интриганка». Аферистка зашла в ювелирную лавку и, всем своим видом выдавая себя за жену расточительного миллиардера, купила не глядя крупный бриллиант за $150000. Через пару дней вернулась и, взахлеб нахваливая покупку, поинтересовалась, нет ли в продаже еще одного столь же крупного экземпляра. Когда продавец заверил, что продал ей очень редкий бриллиант и отыскать подобный во всей стране сложно - мадам заверила, что ее мужу будет не жалко отвалить 400 килобаксов, если только найдется еще один, такой же. После долгих и безрезультатных поисков мужик уже было отчаялся, но тут по объявлению позвонила безутешная вдова, у которой - о чудо - оказался очень похожий камушек. «После смерти Джона у меня остались долги - 300 тысяч зеленых, а еще вот этот бабушкин бриллиант. Я согласна его продать, но только за 300 тысяч. Мне нужна именно эта сумма, чтобы погасить долг». Прикинув, что он все равно выигрывает 100 тысяч, ювелир купил камень. Стоит ли говорить, что бриллиант был тот самый, который он продал за пару недель до этого, и что богатой мадамы разведенный чел больше не видел.
Отзывчивость
Когда я использую в СИ этот психокомплекс, то не испытываю угрызений совести. По той простой причине, что, обманывая, дарю людям возможность лишний раз почувствовать себя людьми, насладиться радостью от помощи ближнему. Крупицы сострадания есть в душе даже самого угрюмого зека. Порешив 15 человек, он нет-нет, да и кинет озябшему воробью крошку хлеба.
Манипулировать отзывчивостью не так просто, как кажется. Хоть и есть она в разных дозах у всех, но воспользоваться ей не всегда возможно. Попробуй на досуге зайти на DALnet’овский #xakep и попросить у тамошнего народа денег на подарок маме. Тебе сразу во всем великолепии русского языка объяснят, что такое сострадание. Но если ты попросишь что-то, с чем человеку расстаться не сильно напряжно, и в то же время убедишь в большой ценности этого для тебя - эффективность использования психокомплекса весьма высока. В одном из выпусков Спеца, посвященном веб-мошенничеству, я рассказывал, как мне удалось достать книгу, обитающую только на Amazon’e за 20 баксов. Достаточно было связаться с автором - обеспеченной женщиной из Америки, и под видом маленькой девочки, мечтающей стать журналисткой (книга была о freelance writing), слезно попросить прислать книжку. «Thanks so much, Masha! I appreciate your kind words», - ответила женщина на мои слова благодарности - на том и расстались. Слабый (или все-таки прекрасный?) пол вообще очень уязвим для этой методики, особенно если будет считать, что в помощи нуждается ребенок. Согласен, играть на материнских чувствах - эгоистично, но СИ - наука сама по себе эгоистичная, и если ты хочешь добиться успеха, то должен забыть свои моральные устои, думая о цели. По отношению к мужикам не менее эффективным будет манипулирование с эротическим подтекстом. Как ты понимаешь, любой молчел намного охотнее поможет красивой девушке, чем патлатому коллеге по полу. Это потому, что на подсознательном уровне мы часто надеемся получить от них ответную благодарность сам знаешь какого плана. Если у тебя есть подружка с ангельским голосом, умеющая разговаривать с парнями многообещающим тоном - она может стать хорошим союзником в процессе обработки заработавшегося юзверя. Чем сильнее ей удастся заинтересовать «клиента», тем меньше он захочет потерять потенциальную герлфренду и тем вероятнее выполнит ее просьбу.
Превосходство
Конечно, всем нам хочется быть примером для подражания, разбираться в чем-то лучше других. Превосходство - это состояние, в которое периодически погружает нас наше подсознание, чтобы дать возможность испытать столь приятное чувство победителя.
Но если в такой момент кто-то со стороны попытается навязать мысль, что ты вовсе не виннер, естественной защитной реакцией будет доказать засранцу - именно ты зе бест.
Хитрость в том, что, намеренно ущемив чью-то гордость, синжер может в качестве доказательств виннерства потребовать того, чего в другой ситуации ему никто бы не дал. И жертве, чтобы избавиться от клейма лузера, волей-неволей придется пойти у него на поводу. Методика превосходства сложна тем, что манипулировать ей нужно очень тонко. Грубое «слабо?» действует далеко не на всех - по большей мере на крутых самоуверенных специалистов, которые болезненно относятся к критике своих способностей. Но в мире есть куча людей, которым глубоко плевать, что ты сомневаешься в их некомпетентности, им проще тебя послать, чем что-то доказывать. Это не значит, что тактика против них бесполезна. В таком случае психокомплекс нужно использовать неявно, в общем контексте (между делом).
Другой вариант - юзать обратную методику. То есть ты не принижаешь способности чела, а наоборот, возвышаешь их до небес. Вспомни, когда последний раз ты что-то делал, и тебя искренне хвалили - какой, мол, молодец. Вероятно, тебе тогда хотелось превзойти самого себя, чтобы услышать еще большую похвалу, и ты продолжал пахать с удвоенным рвением. Благодарность - это признание наших способностей, что очень важно для каждого человека. Играя на людском самолюбии, можно легко заставить человека что-то для тебя сделать. Например, я когда-то таким образом отремонтировал на халяву часы - намекнул часовщику, что у его мастерской авторитет лучшей в городе, что о его профессионализме ходят легенды, а друзья мои считают его очень порядочным человеком. После чего растроганный хозяин богом забытого ларька отказался от денег и, подмигнув, сказал: «Да ладно, пустяки». Так же один мой знакомый взял у соседа-скупердяя машину на сутки - достаточно было расхвалить на все лады его таратайку.
Я кратко описал только 5 наших уязвимостей, на самом деле их намного больше. Имхо любое доступное людям чувство можно использовать в социальной инженерии. Любопытство и зависть, любовь и ненависть, веселье и грусть. Человек всю жизнь испытывает калейдоскоп эмоций, делающих его жизнь ярче, и в то же время подвергающих его опасности стать жертвой синжеров.
Почему-то многие считают СИ исключительно хакерским занятием. Нарыть паролей на халявный анлим, получить доступ к внутренней сети компании… все это действительно решается с помощью СИ, но вне компьютерных рамок лежит бескрайнее море возможностей. Научившись использовать человеческие слабости, ты сможешь выходить победителем из многих сложных ситуаций, добиваться успеха там, где другие только разведут руками. Поэтому учись, практикуйся, дерзай - эта наука не раз тебе пригодится.
