Для достижения желаемой цели, мошенник работает в основном не с компьютерами, а непосредственно с жертвой, с психологией конкретного человека.
Как это работает?
Используя давно известные психологам шаблоны поведения, атакующая сторона может, например, незаметно выманить у жертвы критически важную информацию или заставить сделать опрометчивое решение.
Поскольку методы социальной инженерии очень эффективны, а стоимость попытки минимальная, мошенники применяют её повсеместно.
Для начала простой пример: многие почтовые сервисы часто имеет функцию восстановления пароля по секретному вопросу. Зачастую ответом на вопрос является личная информация о пользователе. Само собой, угадать с первого взгляда подобный ответ не представляется возможным. Но, используя коммуникативные навыки, мошенник может, например, завязать переписку в социальной сети, в ходе которой он каким-либо образом скомпрометирует необходимую ему информацию.
Атаки подобного плана в большинстве случаев тщательно планируются заранее. Это не выглядит так: "Привет, меня зовут Саша. Давай дружить. Ах да, чуть не забыл, скажи мне свой номер карточки и cvv" - на это никто не купится.
В поведении каждого человека полно шаблонов. Если жертва будет, например, уверенна, что говорит с сотрудником своего банка, то просьба сообщить данные карты уже начинает казаться не такой фантастической.
Есть, например, сайт банка, на котором располагается форма типа "оставьте свой номер и мы с вам свяжемся". В коде, реализующем её работу, хакеры нашли ошибку, но ничего серьёзнее, чем перехватить введённый номер телефона, сделать невозможно. Но большего и не надо! Хакер, позвонив жертве, может легко выдать себя за сотрудника банка. Тут работает ещё одна закономерность в поведении: человек охотно во что-то поверит, если это соответствует его ожиданием. Заказали перезвон от банка, получайте! Не очень важна изначальная причина, по которой человек заказал перезвон. С очень большой вероятностью жертва сообщит данные карты, если мошенник грамотно её к этому подведёт. Более того, в некоторых случаях атакующему даже удаётся убедить позвонившего, например, отключить защиту в интернет банке.
Социальная инженерия содержит кучу приёмов и уловок. Вот одна из них: если к просьбе сделать что-либо добавить в конец причину, то вероятность вероятность того, что вам откажут сильно падает. Причём сама причина, большой роли не играет: важен факт её наличия. Это факт, проверьте, например, в очереди в поликлинику. «Можно пройти без очереди, пожалуйста? У меня поезд через час»
Был проведён эксперимент. Цель — была воспользоваться копировальной машиной без очереди. Если звучала просто просьба вида "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной?", то увенчивалась она успехом в 60% случаев. Но если просьба была с мотивировкой типа "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной, потому что я спешу?", то вероятность успеха возрастала до 94%. Это кажется логичным, ведь человек объяснил, что он спешит. Но самое интересное, что если просьба была "У меня только 5 страниц. Можно мне воспользоваться копировальной машиной, потому мне надо распечатать 5 страниц?", то она была успешной в тех же 94% случаев, хотя причину пройти вперёд веской назвать нельзя. Этот эксперимент показывает, что в поведении каждого человека есть закономерности, которые зачастую не очевидны. Сама социальная инженерия рассматривает пути практического применения знаний о подобных закономерностях.
Тот факт, что человек легко и без проверок поверит в то, что ему кажется логичным, используют при фишинге. При этом жертве невозможно догадаться, что она только что попалась на фишинг, ведь её не просили ввести пароль или другие личные данные. Всё выглядело очень правдоподобно. Массовые рассылки спама уже не являются эффективными, но если хакер ищет индивидуальный подход, то ситуация резко меняется
Сайты знакомств являются излюбленным местом для применения методов методов соц. инженерии. Мошенники заводят хорошо оформленные страницы с привлекательными фотографиями, которые придутся по вкусу потенциальной жертве. Вступая в диалог с клюнувшим пользователем, атакующая сторона, знакомая с методами общения на подобных сайтах, мастерский поддержит диалог от лица вымышленного человека. Пути развития тут могут быть абсолютно разные. Одно из самых простых: предложение созвониться по skype, но с оговоркой, что веб-камеры нет. Просьба перевести деньги на покупку камеры нередко заканчивается успехом. Само собой, после получения денег переписка обрывается. Но, к сожалению, зачастую хакеры метят на сумы побольше.
Итог
Социальная инженерия являются очень мощным инструментом. Она часто применяется в целях мошенничества и являются очень эффективной в комбинациях с другими методами. Основные её особенности: маленькие затраты на реализацию, низкий порог входа, высокая эффективность, а самое главное — всеприменимость и универсальность.
@mommo, как психиатр, может дать свои комментарии и ответить на Ваши вопросы
Меня иногда веселят потуги "соц.инженеров". Например, недавно в ВК обратился тип с сообщением типа "мы общественная организация, боремся с неадекватами, рассылаются интим-фото девушек, можно ваш логин-пароль, мы и за вас поборемся тоже". Это если коротко, на самом деле там была целая простыня текста, отзывы от "спасённых". На мое предложение "давайте вы мне скажете, кому чего писать, я сама справлюсь" почти обиделся: "нет! Вы не сможете! Доверьтесь мне полностью!"
Кто-то же ведётся на этот бред. Без лоха жизнь плоха...
Лох — не мамонт, не вымрет =)
Мне писала "девушка с Донбасса". Там обстрелы были сильные, умоляла дать денег на билет до Крыма. Очень всё грамотно было сделано. Красивая девочка, подготовленный профайл, история реалистичная, ограниченный промежуток времени для действия. В итоге вызвал в чат общий под предлогом, что денег нет, а товарищи в положение войдут и пока она "думала" я успел пробив каждую из её фоток размещенных в итоге найти профайл в инстаграмме с этой же фоткой и найти реального человека в вк. В итоге раскусили мошенника, а кто-то наверняка повелся.
Может, я циничная свинья и после смерти буду гореть в аду, но денег принципиально не даю никому незнакомому. Быть циничной свиньей выгодно и сильно упрощает жизнь. Всем советую.
А че мне жаловаться? Розовые очки я давно снял. Считаю что каждый человек волен выбирать свой путь, в том числе куда ему тратить деньги, кому показывать свое тело и что употреблять. Ровно до тех пор пока это не вредит окружающим людям.
Из-за циничных свиней и валится Россия в пропасть мира. Но справедливости ради, те кто бездумно подает, не лучше. К примеру цыган люди до сих пор деньги дают!
А не коммунист ли Вы часом?!
Нет, я идеалист.
Не жалуйтесь потом, если что.
Будьте трижды-четырежды внимательны. Мне иногда приходится звонить друзьям, чтобы подтвердить правдивость информации.
Роберта Чалдини вам в настольные книги
оставила статью в закладках, думаю, еще раз почитать помедленнее и поразмышлять... много интересного, спасибо, @archibald116!
Ваш пост поддержали следующие Инвесторы Сообщества "Добрый кит":
losos, anela, gildar, narin, andrvik, archibald116, zoss, lumia, elviento, vasilisapor2, chika25, andreyprosto, vict0r, singa, lex, svinsent, shkiper, gryph0n, karusel1, zivchakh, miroslav, osincevata, yuriks2000, acidgarry, oksana0407, vika-teplo, baltiyka, anomalywolf, myhardmoney, amelina.elena, del137, generationg, ondantr, bospo
Поэтому я тоже проголосовал за него!
Если Вы проголосуете за этот комментарий, то поможете сделать "Доброго Кита" сильнее!
@archibald116, Поздравляю!
Ваш пост был упомянут в моем хит-параде в следующей категории: