Всем Хай! Вы всё ещё брутите аккаунты? А удавалось ли вам сбрутить аккаунт определённой цели? Конечно же нет, всё что вы брутили - это случайные аккаунты. А что если вдруг вам понадобился доступ к определённой цели и у вас нет нужных навыков, чтобы взломать её? Социальная Инженерия, друзья мои.
Наверняка вы думаете, что для этого нужно читать книги по психологии, знать все подходы к людям, определённые аспекты психологии. Я прочитал пару статей и сделал вывод, что это довольно просто и не нужно ничего изучать, если вы умеете думать и размышлять. Всё дело в практике, чем больше, тем лучше, но всё же, чтобы стать действительно профессионалом в этой сфере - придётся и почитать.
Что из себя представляет социальная инженерия?
Социальная инженерия - это метод управления действиями человека без использования технических средств.
Она основана на использовании слабостей человека и включает в себя несколько принципов:
Принцип возвратности: Многие люди устроены так, что если вы окажете им услугу, то и они окажут тебе услугу. Скромный пример: Заходите вы в помещение (Например: подъезд с домофоном) и замечаете, что немного вдали в этот же идёт человек и вы придерживаете дверь, чтобы ему не пришлось доставать ключ или вводить код. Как только он подошёл, вы отпускаете дверь, заходите и роняете стопку бумаг - скорей всего этот человек проявит инициативу помочь вам. Но это же соседи, все знакомы и т.д. и т.п. У меня универсальный ключ от домофонов и это проверенно на чужом подъезде, только я случайно обронил мелочь, конечно женщина, которой я придержал дверь не нырнула в пол собирать мне монеты, но когда я начал их поднимать, она сказала: "Молодой человек, позади вас ещё монетки есть".
Принцип социальной проверки: Люди оценивают своё поведение правильным, если наблюдают такое-же поведение у большинства. Ну примеров тут тьма, оглянитесь вокруг и вы поймёте, что каждый не хочет показаться глупым и довольно часто повторяет действия окружающих. Наверняка и вы не редко повторяете за другими.
Принцип авторитетности: Большинство людей проявляют большую степень доверия к сотрудникам полиции, тех. поддержки, и прочим специалистам в своей области.
К примеру, когда к вам домой приходит сотрудник полиции и интересуется о вашей осведомлённости о каком-либо событии. Вы естественно, доверяя ему,
как представителю исполнительной власти, можете рассказать необходимую ему информацию.
Не знаю как назвать данный принцип, но он основан на желаниях и потребностях человека: Если человек желает чего-либо, то он будет идти к своей цели и когда у него появляется лёгкая возможность, то он скорей всего решит ею воспользоваться.
Это универсальные для всех людей способы построения взаимоотношений в обществе и удовлетворения социальных инстинктов, которыми могут воспользоваться другие в корыстных целях.
Всё ещё считаете, что между психологией и хакерством связь ничтожно мала? Но на самом деле Социальный Инженер знает, на какие "кнопки" нажимать, чтобы получить желаемый результат.
Ему даже не обязательно самому выходить с вами на связь, достаточно лишь заставить его обратиться к вам, например: Сымитировать или действительно нанести вред вашему ПК и аккуратно "подкинуть" вам свою визитку специалиста по компьютерам (можно даже заранее вывесить заметное, красочное объявление в вашем подъезде или же перед этим помочь человеку с которым вы регулярно общаетесь и наверняка сообщите ему о своей проблеме).
Для опытных специалистов в данной сфере не составит труда получить от человека необходимой информации или действий. Но порой они составляют целое досье о жертве, так как вполне возможно, что при ошибке в данный момент непосредственно они уже не смогут повторить попытку и им понадобятся посредники,
которые не имеют опыта и легко могут допустить ошибки.
Скромный пример (Я не специалист, но всё же):
Я вбил в поисковик имя Настя и открыл страницы нескольких девушек, у второй из них я увидел в месте работы группу "Я хочу быть с тобой", естественно я сразу понял, что она не является ни создателем, ни модератором группы и то, что она регулярно его посещает, что подтвердилось наличием репостов с на её странице. Далее, я просто представился ответственным за подбор кандидатов на должность модераторов группы, сделал пару комплиментов, ну вообщем вот сообщение.
Далее я написал ей, что у меня возникли проблемы с выдачей модерки и придумал некое ограничение прав на аккаунте, которое стоит устранить.
Мне так и не удалось выведать у неё пароль. Но это не значит, что всё провалилось. А как же ссылка, которую я скинул? Она же перешла по ней(это мы видим её сообщению о том, что сайт не открывается). Я просто выдумал ссылку, но вместо выдуманной ссылки я мог скинуть ей фишинговую ссылку. Да, я выбрал слабую жертву, но я написал ей сразу, как нашёл её, а ведь для достижения цели даже опытные специалисты могут долгое время собирать необходимую информацию.
К чему эта статья?
Чтобы не стать жертвой - нужно знать, хотя бы поверхностно. Но всё же не стоит бросать трубку, когда с другой стороны говорят, что это из тех.поддержки, мы же не параноики. Я никакой не специалист и написал эту статью в целях ознакомления, может кого заинтересует и он пойдёт сёрфить по интернету в целях обучения.
«Компания может тратить сотни тысяч долларов на брандмауэры, шифрование и другие технологии обеспечения безопасности, но, если мошенник может позвонить одному из надежных сотрудников и через него получить доступ к конфиденциальной информации, все средства, потраченные во имя безопасности, были потрачены зря» © Кевин Митник
