Кристофер Хэднеги - Искусство обмана

После того как вы разберетесь в механизмах, задействованных в процессе принятия решений, вы начнете понимать, как злоумышленники используют эмоциональные триггеры и психологические принципы, на практике воплощая искусство и науку социальной инженерии. И все это – чтобы вы «предприняли действие, которое может вам навредить».

В 44-м эпизоде СИ-подкаста участвовал доктор наук, профессор Пол Зак, автор книги «Молекула морали» (The Moral Molecule; Dutton, 2012). В своей книге и в нашем подкасте он рассказывал об исследованиях процесса доверия и о роли в нем гормона под названием окситоцин. Доктор Зак озвучил очень важное для нас наблюдение: оказывается, когда мы чувствуем, что кто-то нам доверяет, в кровь выделяется окситоцин. Пожалуйста, отнеситесь к этой информации предельно серьезно. Ваш мозг выделяет окситоцин не только когда вы доверяете кому-то, но и когда вам кажется , что кто-то доверяет вам. Согласно исследованиям Пола Зака, этот феномен наблюдается не только при личном, но и во время телефонного или письменного общения, иными словами, даже когда вы не видите человека, который вам якобы доверяет.

ССЫЛКА НА СИ-ПОДКАСТ

В 44-м выпуске можно послушать увлекательнейшую беседу с Полом Заком о деле его жизни: http://www.social-engineer.org/podcast/ep-044-do-you-trust-me/.

Наш мозг производит и еще одно важное вещество – дофамин. Этот нейромедиатор выделяется в моменты удовольствия, счастья и получения положительной стимуляции. Смешайте окситоцин с дофамином, и вы получите идеальный для социального инженера коктейль, который распахнет перед вами любые двери.

Дофамин и окситоцин обычно выделяются в мозге в процессе близкого общения, но это не обязательное условие. Цель социального инженера – создание располагающей к такому взаимодействию обстановки.

Я уверен, что мы, сами того не зная, применяем эти принципы ежедневно по многу раз: с супругами, начальниками, коллегами, священниками, терапевтами, обслуживающим персоналом – короче говоря, со всеми. А значит, понимание СИ и того, как выстраиваются процессы общения с другими людьми, важны для каждого из нас.

В мире, где в результате развития технологий мы научились общаться с помощью смайликов и сообщений, состоящих из менее чем 280 символов, нарабатывать навыки общения становится все сложнее. И уж совсем сложно выявлять ситуации, в которых эти навыки используются против нас. К тому же благодаря социальным сетям изменилось наше общество: стало нормальным и даже поощряемым рассказывать о себе абсолютно все всем подряд.

Итак, когда я говорю об использовании социальной инженерии в мошеннических целях, я обычно подразумеваю следующие направления деятельности:

СМС-мошенничество (SMiSHing),или фишинг с использованием текстовых сообщений. Когда в 2016 году атаке подверглась банковская компания Wells Fargo, я получил СМС-сообщение, скриншот которого изображен на илл. 1.2.

Самое смешное, что я даже не пользовался услугами Wells Fargo и тем не менее якобы попал в список этой рассылки (и нет, названия своего банка я вам ни за что не выдам, даже не спрашивайте).

Всего один клик – и мошенники получали возможность собрать ваши идентификационные данные и/или загрузить на ваше мобильное устройство вирус.

Вишинг,или голосовой фишинг, о котором мы уже говорили выше. С 2016 года этот тип мошенничества стали применять намного чаще. Это простой, дешевый и очень выгодный для мошенников прием. Злоумышленников, использующих поддельные номера из других стран, практически невозможно найти и привлечь к ответственности.

Фишинг – самая обсуждаемая тема из мира социальной инженерии. Мы подробно писали о ней с техническим консультантом этой книги, Мишель Финчер, в другой нашей совместной работе – книге под названием «Темные воды фишинга: Нападение и защита» (Phishing Dark Waters: The Offensive and Defensive Sides of Malicious Emails; Wiley, 2016). (Ладно, признаю, я только что беззастенчиво прорекламировал другую свою книгу.) С помощью фишинга закрывали целые заводы, взламывали системы числового программного управления (ЧПУ), обманывали системы безопасности Белого дома и десятков крупнейших корпораций, крали миллионы долларов. На данный момент фишинг считается самым опасным из четырех форм СИ.

Имперсонация [8] Имперсонация. От англ. impersonation – перевоплощение. Выдача себя за другого человека, подделка чужого профиля в социальной сети для получения информации, нанесения ущерба репутации или шантажа. Например, подделка сайта органа власти или учетной записи известного человека. – Прим. науч. ред . , или подражание.Метод можно отнести к числу самых эффективных. А в конец этого списка он попал лишь потому, что отличается от остальных. Однако не стоит наивно полагать, будто вы не столкнетесь с ним в жизни. За последний год мы собрали сотни историй о том, как злоумышленники изображали полицейских, агентов федеральных служб или сотрудников еще каких-то ведомств, чтобы совершать поистине ужасные преступления. Например, в апреле 2017 года один из них попался на том, что выдавал себя за полицейского: сначала находил покупателей детского порно, а потом шантажировал их, пользуясь «служебным положением».