Будущее социальной инженерии

Д

авайте на секундочку переключимся на серьезный тон. Ведь социальную инженерию используют не только хакеры (подробнее об этом можно почитать в отчетах DBIR, CISCO и др.), но и намного более опасные злоумышленники.

Каждый день появляются новости о том, как люди уходят из дома, бросают семьи и вступают в террористические организации. Как это происходит?

Если вы проанализируете эти печальные истории, то наверняка увидите в них приемы социальной инженерии, упомянутые в этой книге. Люди, вступающие в ряды террористов, обычно испытывают сильные эмоции, злятся, ищут свое «племя». И когда находят его, получают ответы на свои вопросы и «решения» своих проблем. Люди чувствуют себя нужными, желанными, принятыми. Поначалу новое «племя» не просит от них ничего серьезного: в этот период выстраивается связь и устанавливается доверие. Но это лишь до тех пор, пока не закончится процесс обращения.

В статье Ричарда Флорида под названием «География иностранных бойцов ИГИЛ[20]» (CityLab, август 2016, https://www.citylab.com/equity/2016/08/foreign-fighters-isis/493622/) сказано, что порядка 19 000 людей из Туниса, России, Саудовской Аравии, Турции и Иордании бросили свои семьи и вступили в ИГИЛ. В западных странах показатели ниже (не больше 2000 человек из Великобритании, Франции, Германии, США и др.), но принципы рекрутинга используются те же.

Еще одна тревожная тенденция: принципы социальной инженерии используют преступники, совращающие детей. Они завязывают с детьми отношения в онлайн-чатах, внедряясь в их «племя». Такие хищники отыскивают детей, у которых плохие отношения с родителями или тяжелая атмосфера дома, устанавливают с ними раппорт, активно слушают, задают открытые вопросы, а потом внедряют в детские головы удобные для себя идеи и представления.

Согласно отчету Национального центра поиска пропавших и эксплуатируемых детей (NCMEC), в 2017 году в США пропавшими без вести числились 465 676 детей (http://www.missingkids.com/footer/media/keyfacts). За тот же временной промежуток, по данным ФБР на основе анализа 25 000 случаев побегов из дома, каждый седьмой ребенок становился жертвой секс-торговли. И огромное количество детей оказывались в руках педофилов.

Да, это очень больная тема. Но я хочу доказать вам, что сегодня изучение социальной инженерии не теряет актуальности. Воздействию злоумышленников подвергаются компании, доверчивые старики и дети, жертвы террористической пропаганды. Принципы СИ используются активно, они очень востребованны.

Миру нужны люди, умеющие применять эти принципы в благих целях: чтобы защищать, информировать и вооружать простых людей знаниями и навыками, позволяющими противостоять подобным атакам. Это нелегкий путь. Но поверьте мне, дело того стоит.

За последние восемь лет мне довелось поработать с десятками компаний со всего мира. Я своими глазами видел, как резко снижалась после этого их уязвимость к СИ-атакам. Например, в одной компании количество вредоносного кода, выявляемого в корпоративной сети, снизилось на 87 %. Руководство компании напрямую связывало эти результаты с нашей деятельностью по просвещению сотрудников в вопросах фишинга.

В отчете другой компании говорилось, что благодаря работе с нами их сотрудники научились выявлять, пресекать и сообщать об активных фишинговых атаках.

Один из учеников рассказал, что посещение моего пятидневного курса спасло его брак. Хотя я никогда не позиционировал курс как практику семейной психотерапии, но, конечно, порадовался, что переданные мною знания об общении, раппорте и влиянии помогли ему дома и в личных отношениях.

Кроме того, я принимал участие в спасении детей — как через свою компанию, так и через фонд «Невинные жизни» (https://www.innocentlivesfoundation.org/). Те самые навыки, которым я каждый день обучаю, помогают находить хищников, охотящихся на наших детей. И это очень благодарный труд.

Наконец, последний, и очень личный, аргумент. Мне удалось научить этим навыкам своих детей. Они растут с пониманием своей сущности, они менее уязвимы к подобным атакам и (по моему, не такому уж и скромному, мнению) являются одними из самых гармоничных и удивительных людей, которых я знаю.

Изучение собранных в этой книге навыков приносит пользу не только в профессиональной, но и в повседневной жизни. Я надеюсь, что моя книга вдохновит вас продолжать учиться. Надеюсь, вы почерпнули из нее несколько полезных идей. Ну а если вы скептик или энтузиаст, надеюсь, книга дала вам поводы для увлекательных размышлений.

Я буду очень рад, если вы поделитесь своим мнением о книге и внесете свой вклад в развитие знаний о социальной инженерии. Призываю вас использовать описанные навыки каждый день. И желаю вам безопасности и защищенности.

 

Примечания

1

Allen W. Dulles. Memorandum Respecting Section 202 (Central Intelligence Agency) of the Bill to Provide for a National Defense Establishment, April 25, 1947, p. 525.

 

(<< back)

2

Donna O’Harren, «Opportunity Knocking: Open Source Intelligence For the War on Terrorism,» Thesis, Naval Postgraduate School, December 2006, p. 9.

 

(<< back)

3

Крупные конференции хакеров и специалистов по информационной безопасности. DEF CON проводится в Лас-Вегасе с 1993 года, DerbyCon — с 2011 года в Луисвилле. — Прим. науч. ред.

 

(<< back)

4

«Захват флага» (Capture the Flag) — командная игра, участники которой стремятся захватить «флаг» соперника. В разных вариантах игры «флагом» может быть что угодно: настоящий флаг, предмет или информация. В книге речь идет об игре для специалистов по информационной безопасности, в которой игроки либо выполняют задания по взлому защиты, либо охраняют свои серверы, атакуя при этом серверы противников. «Флагом» здесь становится информация, которую надо выкрасть у других и защитить у себя. Сайт игры в России: https://ctfnews.ru. — Прим. науч. ред.

 

(<< back)

5

От англ. voice + phishing — голосовой фишинг. Выведывание частной информации в телефонном разговоре. Как правило, социальный инженер выдает себя за того, кому жертва вишинга привычно доверяет. Примером вишинга может быть телефонный звонок, в котором мошенник представляется сотрудником службы безопасности банка. Он якобы пытается предотвратить хищение средств с карты жертвы и, пользуясь незнанием обычного человека, склоняет его выдать данные для доступа к удаленному управлению счетом.

 

(<< back)

6

Фишинг. От англ. fishing — «рыбная ловля». Выведывание частной информации с помощью подкладывания пользователю ложного интернет-сайта, внешне неотличимого от того, которым он пользуется. Вводя логин и пароль к ресурсу на поддельном сайте, пользователь передает мошенникам доступ к ресурсу с частной информацией, банковскому счету и т. д. Как правило, при фишинге используют массовую рассылку писем, надеясь, что хотя бы немногие из получивших письма клюнут на поддельный сайт. — Прим. науч. ред.

 

(<< back)

7

Используемой в профессиональном жаргоне кальке с английского «претекст» мы предпочли более употребительное слово «легенда». — Прим. науч. ред.

 

(<< back)

8

Имперсонация. От англ. impersonation — перевоплощение. Выдача себя за другого человека, подделка чужого профиля в социальной сети для получения информации, нанесения ущерба репутации или шантажа. Например, подделка сайта органа власти или учетной записи известного человека. — Прим. науч. ред.

 

(<< back)

9

В текстах по системной инженерии распространен также термин OSINT — Open Source Intelligence. Между профессиональным жаргоном и сочетанием, понятным широкой аудитории, мы выбрали последнее. — Прим. науч. ред.

 

(<< back)

10

Фрейминг. От англ. frame — рамка. Зависимость восприятия ситуации от ее контекста. Изменяя форму подачи информации (по-разному задавая рамки), можно управлять контекстом и через него влиять на ее восприятие. Например, распространена манипуляция с помощью перевода фрейма с рабочего на личный. Начальник говорит подчиненному, что он недоволен его работой. Подчиненный смещает фрейм на личный: «Вы всегда придираетесь ко мне, потому что я вам не нравлюсь». Если начальник поведется на манипуляцию и примет предложенный фрейм, дальнейшая дискуссия пойдет в русло личных пристрастий, а значит, собственно промах подчиненного будет забыт. — Прим. науч. ред.

 

(<< back)

11

Пентест. От англ. penetration + test — тестирование на проникновение. Метод проверки безопасности офиса или закрытой территории, в котором моделируется попытка проникновения людей на охраняемый объект. Этот же термин используют для анализа уязвимостей информационной системы: эксперимент с попыткой ее взлома. — Прим. науч. ред.

 

(<< back)

12

Распознавание лжи. — Прим. науч. ред.

 

(<< back)

13

Спуфинг — от англ. spoofing, подмена. Ситуация, в которой устройство, программа или человек представляются чем-то или кем-то другим с помощью ложного идентификатора. Например, мошенник во время телефонного вызова подставляет знакомый пользователю номер телефона банка. — Прим. науч. ред.

 

(<< back)

14

От англ. «нефтененавистник».

 

(<< back)

15

Признание и принятие своих или чужих мыслей, эмоций, чувств и поступков как понятных. — Прим. ред.

 

(<< back)

16

Согласно исследованиям Пола Экмана, человек в целом способен контролировать мимику и скрывать проявления эмоций, однако на короткое мгновение, до 1/5 секунды, эмоции все же отражаются на лице. Быстрые непроизвольные проявления эмоций Экман назвал микровыражениями. Хотя в большинстве случаев человеку удается скрыть эмоции, тренированный взгляд специалиста способен различать их, что может использоваться, например, для распознавания лжи. — Прим. науч. ред.

 

(<< back)

17

В РФ законодательно ограничен оборот техники для скрытого наблюдения. Наказание за него предусмотрено ст. 138.1 УК России «Незаконный оборот специальных технических средств, предназначенных для негласного получения информации». — Прим. науч. ред.

 

(<< back)

18

Fisher — «рыбак» (англ.).

 

(<< back)

19

Soft skills (англ. «мягкие» навыки) — универсальные компетенции, не поддающиеся количественному измерению: пунктуальность, коммуникабельность, креативность, умение работать в команде и т. п. Зависят от характера человека и приобретаются с личным опытом. — Прим. ред.

 

(<< back)

20

Запрещенная в России организация.

 

(<< back)