Сергей Мартынов
Социальная инженерия: уровень «Firmware»
В предыдущих сериях мы говорили об инструментах социального инженера, которые работают на уровне физиологических рефлексов человека – мы его назвали уровень «Hardware», потому что эти свойства человека заложены на уровне, в принципе не контролируемом рассудком и не могут быть изменены никаким обучением. Более того, эти инструменты работают в отношении любого человека и не требуют «индивидуальной настройки». Что хорошо – их можно применять ко всем подряд (как это делают цыганки и продавцы в салонах мобильной связи). И, одновременно, плохо – их не так сложно распознать подготовленному человеку и освоить методы противодействия. Хотя практика показывает, что даже подготовленного человека они застают врасплох.
Следующий уровень – уровень «Firmware» — то есть то, что можно переделать, но с большим трудом, и в массе этого не случается. Так же, как большинство пользователей не обновляют BIOS у своего компьютера – и даже не знают этого слова.
Человек последние 10 тысяч лет занимался несколькими основными занятиями, и те, кто в них преуспел – выжили, и передали эти способности своим потомкам с помощью механизма естественного отбора. И важнейшее из этих занятий – охота. Охоте можно научиться, в принципе. Но все мы – в той или иной мере охотники и собиратели «по наследству». Например, шоппинг – это типичная охота.
Итак, охота. Что самое важное для социального инженера – жертву увлекает даже не результат (поймать добычу), а процесс погони за добычей, азарт. Как говорится, «важен не результат, а участие». Даже сытая домашняя кошка, увлекшись охотой за голубями, может упасть с балкона. А мы? Тем более. Типичная схема социальной атаки:
Этап 1. Спровоцировать принять задачу догнать цель (например, обещание вознаграждения) «Вы сможете бесплатно прочитать эту книгу» или «Мы поможем вам найти работу»; и так далее.
Этап 2. Создать ощущение, что цель вот-вот будет достигнута. «Вам надо перейти на этот сайт и зарегистрироваться»; или «Пришлите нам свое резюме»
Этап 3. Постоянно отодвигать приманку, как при игре с кошкой, пока у атакуемого азарт преследования не блокирует способность критически мыслить. А потом – дать ключевую команду: «Эта книга доступна только в формате нашего ридера. Для чтения вам нужно только скачать и установить его» или «Вы получите месяц бесплатного использования нашей системы поиска работы, только введите данные своей кредитной карты»
Жертва, увлеченная погоней за добычей, «падает с балкона» — скачивает и устанавливает вредоносную программу, или вводит данные кредитной карты и начинает платить непонятно за что. Если непонятно, как это работает, посмотрите сайт некоей компании Ivy Exec.
Обычно этот прием отключения критического мышления в процессе азарта охоты используется в сочетании с какими-либо острыми жизненными потребностями человека – например, найти работу; излечиться от смертельной болезни, спасти своих родственников и так далее. Хорошо работает в отношении людей с исходно ослабленной способностью критически мыслить – стариками и детьми. Но и большинство нормальных людей, озабоченных конкретной проблемой, попадаются в эту ловушку.
Это было введение в Инструмент №3. Про собирательство и другие наши наследственные навыки поговорим в следующий раз.
© 2015 — 2016, Ассоциация экспертов системного менеджмента «МихиКо». Все права защищены.
Leave A Comment
You must be logged in to post a comment.