Всем салют, дорогие друзья! Сегодня я решил познакомить вас с такой важной для хакера сферой, как социальная инженерия.
В отличие от традиционной информационной безопасности, которая заимствует концепции из информатики, системного администрирования, программирования и администрирования баз данных, социальная инженерия заимствует большинство своих концепций из психологии. По этой причине специалисты в области социальной инженерии должны хорошо разбираться в психологии и человеческом поведении.
✅ В этой статье я рассмотрю некоторые основные психологические концепции, полезные для социальной инженерии.
Влияние
Влияние – это нейтральный термин, обозначающий деятельность человека, которая побуждает других к определенному результату. Влияние может быть положительным или отрицательным. Примером влияния может служить врач, беседующий с пациентом о его состоянии здоровья, изменениях в образе жизни, которые он должен предпринять, и рисках, с которыми он сталкивается, чтобы вдохновить пациента вести более здоровый образ жизни.
Манипуляции
За пределами мира психологии люди обычно не видят разницы между манипуляцией и влиянием. Но среди специалистов эти термины имеют совершенно разные значения. Манипуляция – это пагубное влияние, обычно направленное на причинение вреда.
✅ В социальной инженерии как злоумышленники, так и благонамеренные пентестеры часто используют манипуляции вместо влияния из-за недостаточной подготовки или по недомыслию.
Взаимопонимание (раппорт)
Если коротко, взаимопонимание – это взаимное доверие. Большинство словарей определяют взаимопонимание как «дружеские, гармоничные отношения» и добавляют, что такие отношения обычно «характеризуются соглашением, взаимным доверием или сопереживанием, которые делают общение возможным или легким».
Американская психологическая ассоциация (АПА) основывается на этом определении, говоря, что «установление взаимопонимания с клиентом в психотерапии часто является важной промежуточной целью для терапевта, чтобы облегчить и углубить терапевтический опыт и способствовать оптимальному прогрессу и улучшению».
Как и психотерапевты, специалисты по социальной инженерии пытаются установить контакт со своими объектами для завоевания их доверия. Чтобы построить взаимопонимание, они часто полагаются на общий опыт (реальный или выдуманный), играют на интересах жертвы и подчеркивают свои собственные черты характера.
✅ Вы можете использовать OSINT, чтобы узнать о симпатиях и антипатиях жертвы.
Семь принципов влияния на людей
Если разобраться в теме, то можно выделить основные принципы влияния: авторитет, привлекательность, срочность и дефицит, постоянство и последовательность, социальное доказательство, взаимность.
Давайте рассмотрим подробнее эти принципы и их применение...
1️⃣ Авторитет
Люди склонны совершать определенные действия, когда кто-то, наделенный властью, просит их об этом или когда их заставляют поверить (правдиво или под ложным предлогом), что такое же действие совершает авторитетная фигура.
✅ Мне, например, нравится использовать в вишинге ссылки на авторитеты. Можно позвонить цели и сказать, что действуем по распоряжению генерального директора, директора по информационной безопасности или в соответствии с определенным законом.
✅ Использование авторитета может быть очень эффективным.
❌ Однако, имейте в виду, что вы никогда не должны прикидываться сотрудником правоохранительных органов, налоговой службы, таможни и других государственных организаций, обладающих особыми полномочиями на сбор конфиденциальной и иной информации. Это незаконно.
2️⃣ Привлекательность
Люди, как правило, стремятся помочь тем, кого считают милым и привлекательным. Вы когда-нибудь встречали продавца, который хотя бы не пытался выглядеть приятным человеком? Скорее всего, он будет делать вам комплименты по поводу одежды, внешности и интеллекта, чтобы завоевать ваше расположение
3️⃣ Срочность и дефицит
Если есть риск, что человек чего-то не получит, он начинает хотеть этого намного сильнее.
Давайте объясню на примере: недавно я воспользовался рекламной акцией местного спортзала. В процессе регистрации на странице сайта появился таймер, предупреждающий о том, что осталась одна минута, чтобы завершить процедуру, иначе я буду исключен из списка льготных клиентов. В качестве эксперимента я прошел процедуру регистрации трижды. Первые два раза я проделал регистрацию с одного и того же IP-адреса в течение минуты. В третий раз я потратил около пяти минут, и таймер просто сбрасывался без последствий каждый раз, когда минута заканчивалась.
Мораль этой истории: спортзал пытался использовать срочность, чтобы заставить нам подписаться на что-то, что могло принести мне пользу, а могло и не принести. Таймер дает потенциальным клиентам искусственное ограничение по времени и ощущение, что они потеряют что-то важное, если не будут действовать быстро.
✅ Занимаясь фишингом, многие мошенники заявляют, что продают или раздают что-то такое, чего существует лишь небольшое количество. Чтобы соблазнить жертву действовать, будь то переход по ссылке или ввод информации, они предлагают нечто ценное в сделке, которая слишком хороша, чтобы быть правдой, но с оговоркой, что жертва должна действовать в кратчайший срок.
✅ В других случаях преступник может попытаться заставить заплатить выкуп за свою программу-вымогатель, выделяя жертве всего несколько часов на оплату, прежде чем безвозвратно удалить, украсть или обнародовать данные, – независимо от того, собирается ли он исполнить угрозу. В любом случае преступник надеется напугать жертву и заставить ее действовать до того, как она успеет все обдумать.
4️⃣ Постоянство и последовательность
Люди ценят постоянство и в большинстве своем не любят перемены.
✅ Специалисты по социальной инженерии иногда остаются последовательными, а иногда нарушают постоянство и последовательность, чтобы влиять на жертву.
Простой пример из жизни: продавец может утверждать, что больше заинтересован в успехе своего клиента, чем в комиссионных, говоря что-то вроде: «Я всегда заботился о своих клиентах. Я понимаю ваши потребности с первого дня сотрудничества. Я всегда работаю с вами по принципу “что обещано, то и сделано”». Этот прием особо распространен среди продавцов, успех которых зависит от прочных долгосрочных отношений.
5️⃣ Социальное доказательство
Общество требует от нас «не отставать от соседа». Другими словами, мы часто делаем что-то исключительно потому, что остальные считают это нормальным, уместным или статусным.
✅ Вы можете попытаться убедить свою жертву в том, что определенное поведение или действие повышает социальный статус или что все другие эффективные сотрудники выполняют некое нужное вам действие.
Убеждение собеседника в желательности чего-либо называется социальным доказательством.
Простой пример из жизни: продавец автомобилей может попытаться уговорить вас купить роскошную машину, сказав, например, что на ней ездят успешные люди вашего возраста.
✅ Злоумышленник может придумать социальное доказательство, используя информацию, полученную из OSINT. Например, он может определить, кто в компании является влиятельным лицом. Затем отправит вам электронное письмо, утверждая, что разговаривал с авторитетным человеком, который восторженно отзывался о вас и предоставил вашу контактную информацию, чтобы вы помогли «решить проблему».
6️⃣ Взаимность
Согласитесь, мы более охотно помогаем людям, которые помогли нам.
✅ Часто пентестеры помогают кому-то, а затем просят сделать что-то взамен (и не всегда это в интересах того, кто помогает).
7️⃣ Симпатия или эмпатия
Отличным способом установить взаимопонимание является проявление симпатии – это забота о человеке, который чувствует себя плохо или испытывает стресс, например после потери любимого человека или домашнего животного.
В отличие от симпатии, эмпатия – это способность испытывать те же чувства, что и другие люди, как будто вы оказались на их месте. Эмпатия означает общие эмоции или точки зрения, тогда как симпатия выражает сочувствие и заботу с вашей стороны.
То и другое важно для установления взаимопонимания при определенных обстоятельствах. Вы должны уметь выражать свои чувства и понимать чувства жертвы, иметь возможность оказывать влияние и знать, когда вы заходите слишком далеко.
✅ Взаимодействуя с жертвой, можете поделиться историей (будь то реальность, вымысел или какая-то приукрашенная комбинация) о похожей ситуации, в которой вы оказались, и о том, как вы себя чувствовали при этом.
Это позволит им проявить встречное сочувствие к вашей ситуации и улучшит ваше взаимопонимание. В качестве альтернативы, если кто-то рассказывает о ситуации, к которой вы не имеете никакого отношения, просто задавайте уточняющие вопросы, а потом скажите, что вы сожалеете о том, что это произошло, выражая таким образом сочувствие.
⚠️ Однако будьте осторожны: если у вас есть наготове ответ или история абсолютно на все, что вам рассказывает человек, у него могут возникнуть подозрения, поэтому используйте этот подход с осторожностью.
На этом, думаю, закончим. Рекомендую вам испробовать описанные выше концепции на практике и отточить их до идеала. На сегодняшний день, социальная инженерия - необходимый хакеру инструмент, независимо от того, на какой стороне он ведет свою деятельность.
Comments