книги хакеры / Искусство_обмана_Социальная_инженерия_в_мошеннических_схемах

и вызывать у людей радостные эмоции. И первый навык, который послужит вам на этом пути, — умение отличать искреннюю улыбку от фальшивой. Главный критерий в этом процессе — активация круговой мышцы глаза. Именно она отвечает за подъем щек и специфические морщинки вокруг глаз («гусиные лапки»).

В середине XIX века французский исследователь Дюшен де Булонь показал, что искреннюю улыбку можно имитировать. Он проводил неврологические эксперименты с инвазивными формами электрошока: так ученый стимулировал необходимые мышечные движения

(https://www.thevintagenews.com/2016/05/07/44782-2/).

Поскольку его эксперименты были болезненными, исследования далеко не продвинулись. Но именно Дюшен де Булонь доказал, что мышцы лица представляют собой средство прямого выражения эмоций. В 1855 году он разработал метод стимуляции мышечного ответа током. А затем описал этот опыт в своей книге «Механизм человеческой мимики»

(Mécanisme de la physionomie humaine). Пример такой стимуляции изображен на илл. 8.24.

Результаты этого исследования помогают понять, почему радость обычно вызывает у нас улыбку. Однако профессиональному инженеру нужно научиться различать и другие невербальные проявления радости.

ЗАМЕТКА У всех животных самой уязвимой частью тела считается живот, поэтому его демонстрация воспринимается как жест доверия. У людей этот сигнал передается через раскрытие кистей, яремной вены и других частей тела, которые инстинктивно хочется защищать во время нападения.

организации, и он наглядно продемонстрировал мне, насколько это важно — всегда помнить о невербалике.

Обычно на этой конференции мы с моей командой постоянно чем-то заняты. Я работаю практически без перерывов, даже пары минут себе не уделяю. Просто тружусь в режиме нон-стоп, подпитываясь энергией и позитивом от толпы посетителей.

Я люблю это состояние, хотя в нем трудно понимать чувства окружающих. Бегаю туда-сюда, раздаю указания и слежу за тем, чтобы все шло как по маслу. Так вот, однажды я попросил нескольких сотрудников кое-что упаковать. Шел последний день мероприятия, и мы очень спешили собраться, чтобы пойти всей командой на прощальный ужин в наш любимый японский ресторан.

Все шло нормально, я бы даже сказал, на 100% идеально. Оставалось провести церемонию закрытия — и можно было наконец-то расслабиться. Но когда я вдруг задумался о том, что сейчас чувствуют члены моей прекрасной команды, то заметил на лице одного из них даже не усталость, а настоящее изнеможение. А у другой — мучения и боль.

Первому я сказал:

—Слушай, если ты совсем умотался, можешь отпроситься с церемонии закрытия.

—Серьезно? Можно просто не приходить?

—Да, конечно. Я думал, это и так понятно.

—А я понятия не имел, что можно уйти. Думал, присутствовать обязательно.

—Только для Мишель. Все остальные при желании могут уйти.

Услышав это, сотрудник выдохнул с облегчением.

Подходя к другой сотруднице, я понял, что нужно действовать деликатнее. Нельзя просто окликнуть ее и при всех расспрашивать, потому что на лице у нее отражалась смесь грусти, злости и страха — а значит, случилось что-то серьезное.

Я улучил момент, когда можно было тихонько отозвать ее в сторонку, и спросил, все ли у нее в порядке. Не буду описывать, что именно происходило дальше — но слез пролилось много. Оказалось, она сильно переживала из-за того, что некоторые задачи приходилось бросать не доделав. И буквально валилась с ног от усталости.

Тогда я сделал очень важные для себя выводы. И на протяжении последнего дня конференции внимательно наблюдал за эмоциями членов моей команды (конечно, об этом стоило подумать намного раньше, до того как ситуация стала критической).

наблюдательными не только во время выполнения заданий. При поиске «флагов» не забывайте и о наблюдательности в процессе общения. Следите за изменениями базовой эмоции объекта воздействия. Это поможет разобраться в том, что человек чувствовал до, в процессе и после взаимодействия с вами.

Умение читать невербальные сигналы — навык действительно эффективный. А если вы научитесь использовать невербалику с тем, чтобы вызвать у объекта определенные эмоции, то просто вознесетесь до уровня супергероя.

На этой прекрасной ноте я и закончу главы, посвященные навыкам, необходимым в работе социального инженера. Дальше мы обсудим, как применять их в ходе пентестов. При каких векторах атаки они применимы? Разберемся в следующей главе.

Если деньги — ваша надежда на независимость, то вы никогда не станете независимым. Единственная настоящая гарантия, которую человек может получить в этом мире, — это запас его знаний, опыта и возможностей.

Генри Форд

В предыдущих главах я описал изменения, произошедшие в сфере социальной инженерии за последние семь лет: в методах сбора данных из открытых источников и их использовании, в моделировании коммуникации, легендировании, установлении раппорта, влиянии, манипуляциях, извлечении информации и трактовке невербальных сигналов. Получилась отличная база знаний с точки зрения развития коммуникативных навыков. Но я же профессиональный социальный инженер, а значит, не могу не рассказать, как применять все эти знания в практике СИ.

Преступники и мошенники обычно используют четыре вектора атаки: фишинг, вишинг, СМС-мошенничество и имперсонацию. Для пущей эффективности их могут комбинировать.

В этой главе мы разберемся, как использовать коммуникативные навыки в контексте каждого из перечисленных векторов. Затем я изложу свои соображения по горячо любимой всеми теме составления отчетов (обещаю, буду краток). И наконец, расскажу, как вообще попасть в этот бизнес и привлечь клиентов.

Однако прежде всего нам необходимо обсудить принципы пентестинга. Они должны лечь в основу любой вашей работы в роли социального инженера.

ОБРАТИТЕ ВНИМАНИЕ В этой главе я не говорю о том, как использовать перечисленные навыки в мошеннических целях. Книга

социальным инженером, после общения с которым люди будут чувствовать себя лучше, чем до этого общения. Если же эти навыки используют преступники, стремящиеся навредить своей жертве, то о состоянии объекта воздействия они, конечно же, не задумываются.

Перед социальной инженерией все равны

Сразу хочу подчеркнуть, что социальную инженерию можно применять не только к простакам и дуракам. Ее методы действуют на всех нас. Если подобрать правильное эмоциональное воздействие, осуществить его в правильной ситуации с использованием правильной легенды, то в роли жертвы сможет оказаться любой.

Меня часто спрашивают, попадался ли я сам на удочку социальных инженеров-мошенников. К сожалению, попадался. Грамотное эмоциональное воздействие, осуществленное в правильное время, заставили меня купиться на фишинг. К счастью, я отделался легко, но потом было стыдно. Впрочем, мне повезло: я знал, как действовать, чтобы быстро нивелировать последствия. У меня был ПМиП (которому посвящена вся десятая глава этой книги).

Я не любитель слоганов в духе «Нет пределов человеческой глупости». Понятное дело, многие проблемы, связанные с обеспечением безопасности, возникают вследствие лени, а иногда и действительно глупости. Но это вовсе не значит, что мошенники способны обмануть только дураков.

Например, однажды на пресловутое «нигерийское письмо» повелся университетский профессор. Причем он поверил мошенникам до такой степени, что не только опустошил семейный бюджет, но и залез в университетскую казну. Даже после того, как его поймали с поличным и за дело взялось ФБР, профессор обвинял федеральных агентов в желании забрать его деньги и самим поживиться миллионами, которые вот-вот перечислят на его счет.

ОБРАТИТЕ ВНИМАНИЕ «Нигерийские письма» (они же «схема 419») получили свое название благодаря нигерийскому закону по борьбе с мошенничеством. Обычно эти письма начинались с фразы в духе «Я наследный принц с состоянием в миллионы долларов…», хотя в последнее время все чаще пишутся от лица попавшей в беду вдовы. В любом случае эта схема продолжает работать на людях, которые надеются получить огромную прибыль за небольшое вложение.

Согласитесь, глупый поступок. Но это — легкий ответ для тех, кто не хочет разбираться в деталях. Я же предлагаю проанализировать все обстоятельства в целом и подумать о том, что заставило профессора так упорно продолжать верить мошенникам:

мошенники дали ему надежду на финансовую свободу.

· Когда профессор увидел огромные суммы, которые должны были в итоге оказаться на его банковском счете, им овладела жадность.

· Однажды вложившись, он хотел быть последовательным и не противоречить принятым ранее решениям.

· Он был уверен, что помогает жителю страны третьего мира, а заодно и себе.

Если смотреть на ситуацию с этой точки зрения, несложно понять, почему профессор поверил в мошенничество, которое разрушило его жизнь, пошел на воровство и даже обманул жену. Он руководствовался надеждой, жадностью и желанием оставаться последовательным, помогая другому человеку и себе.

Уже и не сосчитаю, сколько раз руководители разных уровней заявляли, что ни за что не поведутся на мой «развод» — и сколько раз потом злились на самих себя за слив информации, необходимой для получения удаленного доступа в ходе пентеста. Жертвой атаки может стать любой человек, вне зависимости от положения в корпоративной иерархии.

Принципы пентестинга

Пентестинг (или тестирование на проникновение) заказывают компании, желающие проверить, насколько их корпоративная сеть защищена от посягательств профессиональных взломщиков. Главная цель подобных мероприятий — выявить существующие в системе проблемы и найти для них решение до того, как уязвимостью воспользуются реальные преступники.

Со временем пентестинг превратился в стандартный инструмент обеспечения безопасности, и отделы корпоративного регулирования во многих компаниях требуют проводить подобные проверки ежегодно. Однако законов, которые требовали бы использования социальной инженерии в ходе пентестинга, на государственном уровне сейчас существует немного.

Поэтому компании, стремящиеся просто поставить галочку в графе «проверка безопасности», обычно оказываются не лучшими клиентами. Они заказывают проверки, повинуясь требованиям, а не потому, что видят необходимость подобных мероприятий. Как дети, которые убирают за собой на кухне не потому, что любят чистоту или хотят вас удивить, а потому, что вы их заставили.

Существует несколько утвержденных стандартов в отношении пентестинга, а также ряд нормативных требований, на основе которых пентестеры могут подобрать подходящие практики для решения профессиональных задач. В 2009 году я начал разрабатывать системный подход к пониманию социальной инженерии (своего рода СИ-

engineer.org/. В настоящий момент многие организации по всему миру используют эту систему для описания оказываемых в ходе пентестинга услуг. И несмотря на это, нельзя сказать, что стандарты социальной инженерии разработаны и утверждены. Думаю, в первую очередь это связано с динамической природой социальной инженерии, из-за которой практически невозможно заранее распланировать все аспекты воздействия на людей.

Тем не менее можно выделить определенные фазы, из которых состоит любая социально-инженерная атака (см. схему на илл. 9.1).

Информация — важнейшая часть любой такой атаки, поэтому первый шаг — это всегда сбор данных из открытых и иных источников. Невозможно спланировать атаку, не собрав предварительно все необходимые данные.