Maxim Kuznetsov, Igor Simdianov

Ingeniería social y hackers sociales

Introducción

¿Para quién y para qué es este libro?

El tema del libro es un examen de los principales métodos de ingeniería social, según muchos investigadores, una de las principales herramientas de los piratas informáticos del siglo XXI. En esencia, este es un libro sobre el papel del factor humano en la protección de la información. Ha habido varias publicaciones sobre el factor humano en la programación. Buenos libros, uno de ellos, un libro de Larry Constantine, se llama "El factor humano en la programación". Este es quizás el único libro sobre este tema, traducido al ruso. Esto es lo que escribe el autor en el prefacio de este libro: "El buen software lo crea la gente. Al igual que el mal software. Por eso, el tema principal de este libro no es el hardware ni el software, sino el factor humano en la programación (peopleware). ". A pesar de que el libro de L. Konstantin trata más sobre psicología que sobre programación, la primera edición del libro fue reconocida como un trabajo clásico en el campo de la tecnología de la información.

La información también está protegida por personas, y los principales portadores de información también son personas, con su conjunto habitual de complejos, debilidades y prejuicios con los que se puede jugar y jugar. Este libro está dedicado a cómo lo hacen y cómo protegerse de ello. Históricamente, la piratería del factor humano se ha denominado "Ingeniería social", razón por la cual nuestro libro se llama Ingeniería Social y Hackers Sociales.

Puede protegerse de los piratas informáticos sociales solo conociendo sus métodos de trabajo. Nuestro objetivo, como autores de este libro, es familiarizar a los lectores con estos métodos para despojar a los hackers sociales de su principal baza: la inexperiencia de sus víctimas en materia de fraude y métodos de control humano encubierto. También esperamos que el estudio del material del libro sea útil para los lectores no solo profesionalmente, sino también en la vida. Después de todo, el estudio de esas secciones de la psicología, de las que hablaremos en este libro, le permitirá mirar la realidad circundante a través de los ojos de un psicólogo. Créeme, esto es un gran placer y un gran ahorro de nervios, esfuerzo y tiempo.

Los autores del libro propuesto llegaron a la programación social y sus principales conceptos, por un lado (y en su mayor parte), a través de la programación relacionada con la protección de la información, y por otro lado, a través de una de las áreas de nuestro trabajo profesional. actividad relacionada con el diseño e instalación de medios para proteger la información del acceso no autorizado, sistemas de alarma de seguridad, sistemas de control de acceso, etc. Al analizar las causas y los métodos de piratería de software o canales de fuga de información de varias estructuras, llegamos a una conclusión muy interesante que en alrededor del ochenta (!) Por ciento, la razón de esto es el factor humano en sí mismo o la hábil manipulación del mismo. Aunque este descubrimiento nuestro ciertamente no es nuevo. Un experimento asombroso fue realizado por investigadores británicos. Sin más preámbulos, enviaron cartas a los empleados de una gran corporación, haciéndose pasar por el administrador del sistema de su empresa, pidiéndoles que proporcionen sus contraseñas, ya que está programada una revisión del equipo. El 75% de los empleados de la empresa respondió a esta carta adjuntando su contraseña a la carta. Como dicen, los comentarios sobran. No hay necesidad de pensar que estos son solo estúpidos atrapados. De nada. Como veremos más adelante, las acciones humanas también están bastante bien programadas. Y el punto aquí no está en el desarrollo mental de las personas que caen en ese anzuelo. Es que hay otras personas que dominan muy bien el lenguaje de programación de las acciones humanas. Ahora el interés por la ingeniería social es muy alto. Esto se puede ver de muchas maneras. Por ejemplo, hace un par de años, la búsqueda de "ingeniería social" en el buscador de Google tenía solo 2 enlaces. Ahora hay cientos de ellos... El conocido hacker K. Mitnik, que utiliza métodos de ingeniería social para piratear, da conferencias en el hotel Radisson-Slavyanskaya para altos directivos de grandes empresas de TI y especialistas en seguridad corporativa... Conferencias sobre La ingeniería social comenzó a organizarse, en varias universidades se van a introducir cursos de conferencias sobre este tema ...

Sin embargo, muchas de las conferencias y artículos publicados que los autores han leído tienen varias deficiencias graves. En primer lugar, no se explica el trasfondo psicológico de las técnicas utilizadas. Los autores de los artículos simplemente dicen: "Se hace de esta manera". Y por qué exactamente así, nadie explica. En el mejor de los casos, se dan frases: “los principios de la programación neurolingüística son la base de esta técnica”, que, sin embargo, confunde aún más. A veces también dicen que "para no ser víctima de los piratas informáticos sociales, debes desarrollar un instinto psicológico en ti mismo". Tampoco se dice nada acerca de adónde ir para este mismo estilo y dónde comprarlo. Y, finalmente, la tercera y, quizás, la más grave deficiencia de los artículos sobre ingeniería social actualmente publicados es que la mayoría de los ejemplos que brindan son rebuscados ("cinematográficos"), lo que en vida real no funcionará El lector, al estudiar este ejemplo, comprende que si un hacker de este tipo se le acerca, seguramente lo resolverá. Lo que es cierto: esto, - morderá. Pero cuando el verdadero llega a él, le expone sus secretos más íntimos. El libro propuesto pretende, por un lado, eliminar estas deficiencias y brindar al lector un mínimo psicológico real, que subyace en el "social hacking". Por otro lado, el libro contiene muchos ejemplos reales, no ficticios, que también ayudarán al lector a dominar el material y mostrarán las principales técnicas que utilizan los hackers sociales. Después de leer este libro, los lectores estarán ampliamente protegidos de tales manipulaciones. Y una pequeña observación más. En muchos lugares, el libro está escrito al estilo de un libro de texto de ingeniería social. Por lo tanto, a menudo escribimos como si estuviéramos enseñando a los lectores sobre ingeniería social. Esto no es porque quisiéramos enseñar a los lectores los métodos de fraude, sino porque muy a menudo, para reconocer a un manipulador, es necesario saber cómo actúa, acostumbrarse a este papel... No para "estafar" a alguien. ", pero solo para poder prever el peligro y predecir futuras acciones.

foro "asesinato"

Por supuesto, si puede hacer publicidad con la ayuda de la programación social, también puede hacer antipublicidad. Daré un ejemplo, todo lo demás se hace por analogía. Cierto hacker social durante un par de meses arruinó sin ayuda un conocido foro que había existido durante varios años antes de eso. ¿Cómo lo hizo? Muy simple. Convirtió el foro en un "vertedero de basura". Maldijo, atacó a la administración, "desafió a duelo a los moderadores" y cometió evidentes acciones de provocación. Y como no era un tonto en absoluto, todos los mensajes estaban escritos "al borde de una falta", es decir, parece un mensaje provocativo, y en general no hay nada que borrar. En general, ocupó una típica posición anti-liderazgo en este foro.

Nota

Los antilíderes se describen en detalle en Capítulo 8.

Y actuó bajo varios apodos.

Nota

Mella(De inglés. Mella)(o, más completamente, apodo(apodo)) - un seudónimo que los visitantes de Internet a menudo eligen por sí mismos para dejar mensajes bajo este seudónimo en varios foros, chats, etc. Muchos usuarios activos de Internet están acostumbrados a identificarse a sí mismos y a otros ya no con un nombre real, pero con nadie Este es un fenómeno muy interesante de Internet en términos psicológicos. El hecho es que el nombre que se nos da desde el nacimiento no lo elegimos nosotros. Hay muchos casos en los que, debido al hecho de que a una persona no le gustaba su nombre, "no podía encontrarse a sí mismo". El apodo es elegido conscientemente por la persona misma y, a menudo, se convierte en un segundo nombre ...

Esto, entre otras cosas, lo ayudó a crear rápidamente un grupo anti-líder a su alrededor a partir de visitantes reales del foro. El caso es que cuando escribió bajo varios apodos, solo creó la apariencia de que “no está solo”, es decir, que ya existe un grupo antilíder. El esquema es simple: un apodo anti-líder es "giro", que se vuelve conocido y reconocible en el foro, y luego otros visitantes del foro, insatisfechos con el comportamiento de la administración, parecen unirse a él. Al principio se unen ficticiamente, porque la misma persona actúa bajo todos estos apodos, y luego realmente, cuando los visitantes reales del foro comienzan a unirse a este grupo. Al final, el foro se convierte en una especie de campo de batalla donde se hace casi imposible promocionar nada (productos, ideas...).

En general, aquellos que mantienen el foro en el sitio deben tener mucho cuidado. Incluso si nadie va a "matar" su foro, los administradores de su foro pueden "hablar demasiado", lo que será un sabroso bocado para la inteligencia de la competencia.

La clave principal para el éxito del foro es una política competente de comportamiento en él y competente moderación. Es muy importante. Ya que solo en este caso el foro será un plus de marketing. En todos los demás casos, puede convertirse en un gran inconveniente de marketing.

Nota

Moderación- este es el control sobre el comportamiento de los visitantes en varios foros, chats, etc., y sobre la información que publican en sus mensajes.

Reglas básicas de "realización de un foro". Bajo ninguna circunstancia entable negociaciones con provocadores y varios "terroristas virtuales". Gracias a Dios, a diferencia de los terroristas reales, los terroristas virtuales no toman a nadie como rehén y usted puede darse el lujo de no hablar con ellos. Y simplemente destruir sin piedad. Moderado, quiero decir.

Nota

En este sentido, nos sorprendió indescriptiblemente el comportamiento de una persona muy conocida que mantuvo su propio foro, y luego de ser profanado, decidió, como último recurso, "negociar con terroristas". Ya no sabemos lo que les dijo allí, el mismo hecho de tales negociaciones nos sorprende. Has visto mucho en tu vida, y deberías saber mejor que nadie que es imposible negociar con provocadores. Las negociaciones, por cierto, probablemente no ayudaron, porque el foro pronto dejó de existir. Y el foro fue muy bueno.

Es deseable que el moderador no sea miembro del foro. Esto es necesario para preservar su integridad, lo cual es problemático de mantener si usted mismo es un participante en las discusiones. Esto es exactamente lo que hemos hecho: el moderador no participa en las discusiones del foro.

El moderador debe ser una persona inteligente y equilibrada. Esta disposición, al parecer, es obvia, pero solo esta regla se viola con mucha frecuencia. A menudo, por ejemplo, puedes ver cómo el moderador empieza a borrar de una fila todos los mensajes de la persona que lo insultó. Esto, por supuesto, es inaceptable.

Las acciones del moderador no se discuten, y esto debe estar escrito en las reglas del foro, que debe ser (para referencia, la versión de las reglas que se aplican al foro de SoftTime IT Studio se proporciona a continuación). En estas reglas, se debe escribir en qué caso el moderador inicia su trabajo. Para que todo sea sin ofensas.

Debe haber una persona en el foro que sea muy competente en los temas en discusión. En cualquier foro especializado, la controversia se detiene inmediatamente después de la respuesta del experto, que viene y da una respuesta competente y, a veces, la única correcta. Todo - no hay nada que discutir.

Si mantiene un foro especializado, no le aconsejo que inicie secciones "de por vida" en él. Desde el punto de vista de la manejabilidad, esta es la sección más desagradable que se pueda imaginar, ya que todos tienen una perspectiva diferente de la vida. Y pelear con todos, defender sus puntos de vista, no vale nada. Y jurar en el foro lo convierte en un vertedero de basura (a menos, por supuesto, que haya sido creado específicamente para jurar). Como se dice en la regla anterior, la controversia cesa inmediatamente después de la respuesta del perito, quien acude y da una respuesta competente. Pero en la vida de los expertos, por desgracia, no.

Ahora daremos las reglas que nos guían en nuestros foros.

La recepción, cuando un pirata informático no ataca una computadora, sino una persona que trabaja con una computadora, se denomina ingeniería social. Los hackers sociales son personas que saben cómo "hackear a una persona" programándola para que haga lo que quiera. El libro describe el arsenal de las principales herramientas de un hacker social moderno (análisis transaccional, programación neurolingüística), considera y analiza en detalle las numerosas (ciencias que estudian la programación del comportamiento humano) y formas de protegerse contra el hacking social. El libro será útil para los profesionales de TI, los oficiales de seguridad empresarial, los psicólogos que estudian ingeniería social y programación social, así como para los usuarios de PC, ya que a menudo los hackers sociales los eligen como los objetivos más convenientes. Para una amplia gama de lectores.

* * *

El siguiente extracto del libro Ingeniería social y hackers sociales (I. V. Simdyanov, 2007) proporcionada por nuestro socio de libros - la empresa LitRes.

Qué es la ingeniería social y quiénes son los hackers sociales

La primera parte discute los conceptos básicos de la ingeniería social y la piratería social. El primer capítulo, como de costumbre, es una introducción al tema en discusión, y el segundo capítulo proporciona varios ejemplos del uso de métodos de ingeniería social.

Capítulo 1.

Capitulo 2

Capítulo 3 Ejemplos de programación social

Capítulo 4 Construcción de cortafuegos sociales

Capítulo 5 Aspectos psicológicos de la formación de hackers sociales

La ingeniería social es una de las principales herramientas de los hackers del siglo XXI

... A principios de febrero de 2005, muchos especialistas en seguridad de la información en nuestro país estaban esperando el discurso de K. Mitnick, un conocido hacker, quien se suponía que iba a hablar sobre el peligro de la ingeniería social y qué métodos usan los ingenieros sociales (que llamaremos luego hackers sociales). Por desgracia, las expectativas no estaban muy justificadas: Mitnick solo habló sobre las principales disposiciones de la ingeniería social. Y habló mucho sobre el hecho de que los métodos de ingeniería social son utilizados por delincuentes de todo el mundo para obtener una gran variedad de información clasificada. Según muchos participantes de la reunión, fue interesante escuchar, porque la persona es realmente muy encantadora, pero no se revelaron secretos especiales.

Nota

Kevin Mitnick es un notorio hacker al que se opusieron los mejores expertos en seguridad de la información del FBI y fue condenado en los años 90 por la justicia estadounidense por irrumpir en muchas bases secretas gubernamentales y corporativas. Según muchos expertos, Mitnick no tenía una base técnica importante, ni grandes conocimientos en programación. Pero tenía el arte de comunicarse por teléfono para obtener la información necesaria y lo que ahora se llama "ingeniería social".

Lo mismo puede decirse de sus libros: no hay revelaciones especiales allí. No descartamos en absoluto que Mitnick sepa muy bien todo esto, es más, incluso estamos casi seguros de esto, solo que, lamentablemente, no dice nada de lo que realmente sabe. Ni en sus discursos, ni en los libros.

Nota

Lo cual, probablemente, en general, no es sorprendente, ya que el FBI se lo tomó muy en serio, mostrando quién era el jefe de la casa, y sus nervios estaban bastante nerviosos. Hubo muchas explicaciones, y la prohibición de trabajar con computadoras durante varios años y el encarcelamiento. Uno no debería sorprenderse de que después de tales altibajos se haya convertido en una persona muy respetuosa de la ley, y no secuestrará algunas bases secretas, sino que incluso hablará de cosas no secretas con gran cautela.

Como resultado de tales inconsistencias, la ingeniería social parece ser una especie de chamanismo para la élite, lo que no es así. Además, hay otro punto importante. Muchas descripciones de ataques saltan párrafos enteros, si no páginas. Esto es lo que estamos haciendo. Si tomamos esquemas específicos de algunos de los ataques más interesantes e intentamos reproducirlos de acuerdo con lo que está escrito, lo más probable es que no salga nada. Porque muchos de los esquemas de K. Mitnick se parecen a algo como este diálogo.

- ¡Vasya, dame la contraseña, por favor!

- ¡Si en! lo siento por que buen hombre.

El análisis de este "ataque" se asemeja a algo como lo siguiente: "Vasya le dio un hacker social, porque desde su nacimiento no podía decir" ¡No! "A los extraños. Por lo tanto, el método principal para contrarrestar a los ingenieros sociales es aprender a decir" ¡No! "". ... Tal vez esta recomendación sea adecuada para Estados Unidos, pero me temo que no para Rusia, donde es más probable que la mayoría no pueda decir "Sí", y "No" es bastante bueno para todos. De hecho, hay un tipo de personas que orgánicamente no pueden rechazar a otra persona, pero, en primer lugar, hay pocas personas así, y todos los demás deben ser llevados a ese estado. Y sobre cómo defraudar, no se dice ni una palabra.

Nota

Sobre la tipología psicológica y cómo usar este conocimiento en la ingeniería social, hablaremos en detalle en el Apéndice 2.

Esto es más o menos lo que queremos decir cuando decimos que Mitnick a menudo se salta párrafos enteros. Se puede suponer que la primera frase podría haber tenido lugar al principio y la segunda al final de la conversación. Pero entre ellos todavía había mucho y lo más interesante. Porque para que todo sea tan simple, debe sumergir a una persona en una hipnosis profunda o inyectarle un "suero de la verdad". Pero incluso si fuera así, entonces también se necesita escribir sobre ello.

En la vida real, las cosas suelen ser diferentes. Y se pronuncian contraseñas, y se sacan bases de datos, no porque no puedan responder simplemente "no", sino porque a veces responden "no", ... Realmente no quiero. Y para que sea muy difícil para una persona que posee información seria responder "no", debe llevarlo a ese estado. Síguelo durante, digamos, una semana. ¿De repente algo interesante que descubrir? Tal vez él mismo sea un "cosaco maltratado" o trabaje a tiempo parcial para los competidores por las noches, o tal vez la situación sea más grave en general: por las noches no trabaja a tiempo parcial para los competidores, sino que va a un burdel ... para personas con orientación sexual no tradicional, y, siendo ejemplar para todos los demás hombre de familia, realmente no quiere que nadie lo sepa. Teniendo esta información, puede acercarse a él de manera segura y decirle:

- Vasya, dime todas las contraseñas que conoces. Y abre el acceso a mi red para que no pierda el tiempo en vano.

Y en este caso, muchos Vasyas ya responderán:

- Sí, por favor. Y daré contraseñas y acceso abierto. Lo siento por una buena persona...

En el lenguaje de los oficiales de inteligencia, esto se llama "reclutamiento". Y si de repente en su organización todo desaparece en algún lugar, todas las contraseñas son conocidas por alguien, piense si alguien se ha sentado detrás de uno de sus empleados. Por lo general, no es difícil calcular quién fue golpeado y quiénes fueron golpeados. Los oficiales de seguridad inteligentes, por cierto, antes de confiar a las personas los puestos clave, generalmente lo revisan muy detenidamente en busca de, digamos, las debilidades del candidato para el puesto. Y lo siguen, y organizan todo tipo de pruebas inteligentes para saber qué tipo de persona vino a trabajar.

... Esta introducción no se escribió para criticar a K. Mitnick, cada uno de nosotros tiene algo que criticar, sino para mostrar que la ingeniería social no es tan simple como a veces se presenta, y este tema debe tomarse con seriedad y consideración. Ahora, después de esta introducción, como dicen, comencemos.

El sistema informático en el que irrumpe un hacker no existe por sí mismo. Siempre contiene un componente más: una persona. Hablando en sentido figurado, un sistema informático se puede representar mediante el siguiente diagrama simple (Fig. 1.1).

Arroz. 1.1. Las principales opciones para piratear un sistema informático (hombre - de la caricatura de H. Bidstrup)

El trabajo de un hacker es entrar en un sistema informático. Dado que, como podemos ver, este sistema tiene dos componentes, existen dos formas principales de piratearlo, respectivamente. La primera forma, cuando "la computadora es pirateada", la llamaremos técnica. PERO Ingeniería social se llama cuando, al hackear un sistema informático, se va por el segundo camino y se ataca a la persona que trabaja con el ordenador. Un ejemplo sencillo. Digamos que necesita robar una contraseña. Puedes hackear la computadora de la víctima y averiguar la contraseña. Esta es la primera forma. Y siguiendo el segundo camino, puede encontrar la misma contraseña simplemente pidiéndole a la persona la contraseña. Muchos dicen, si haces la pregunta correcta.

Según muchos expertos, la mayor amenaza para la seguridad de la información, tanto para las grandes empresas como para los usuarios comunes, en las próximas décadas serán los métodos cada vez mejores de ingeniería social utilizados para romper las herramientas de seguridad existentes. Aunque solo sea porque la aplicación de la ingeniería social no requiere inversiones financieras significativas y un conocimiento profundo de la tecnología informática. Entonces, por ejemplo, Rich Mogull, jefe de seguridad de la información en Gartner Corporation, dice que "la ingeniería social es una amenaza más seria que la piratería de redes común. Las investigaciones muestran que las personas tienen algunas tendencias de comportamiento que pueden usarse para una manipulación cuidadosa". las infracciones de seguridad más maliciosas son, y seguirán siendo, la ingeniería social, no la piratería electrónica. Durante la próxima década, la ingeniería social en sí representará la mayor amenaza para la seguridad de la información". Solidaridad con él y con Rob Forsyth, director gerente de una de las divisiones regionales de la compañía de antivirus Sophos, quien puso el ejemplo de "un nuevo tipo cínico de fraude dirigido a los desempleados australianos. Una víctima potencial recibe un Email una carta que pretendía ser de Credit Suisse reclamando una vacante. Se le pide al destinatario que vaya a un sitio que es casi una copia exacta del sitio corporativo real de Credit Suisse, pero la versión falsa contiene un formulario para completar una solicitud de empleo. Y para que la solicitud sea considerada, el "banco" pidió, aunque simbólicamente, pero dinero que debía transferirse a tal o cual cuenta. Cuando mucha gente transfirió el dinero, la cantidad resultó no ser tan simbólica. El sitio falso está diseñado con tanta maestría que los expertos tardaron tiempo en asegurarse de que era falso. Vale la pena reconocer que los atacantes utilizaron una combinación de tecnologías bastante astuta. Su target son los miembros más necesitados de la sociedad, es decir, aquellos que están buscando trabajo. Estas son solo las personas que pueden caer en este tipo de provocación ", dijo Forsythe. Enrique Salem, vicepresidente de Symantec, generalmente cree que las amenazas tradicionales como los virus y el spam son "problemas del ayer", aunque las empresas definitivamente deberían protegerse de ellos. Salem dice que el phishing que usa métodos de ingeniería social es un problema hoy en día.

Nota

Obtenga más información sobre el phishing Capitulo 2.

¿Por qué muchos investigadores creen que la ingeniería social se convertirá en una de las principales herramientas de los hackers del siglo XXI? La respuesta es simple. Porque los sistemas técnicos de protección mejorarán cada vez más, y las personas seguirán siendo personas con sus debilidades, prejuicios, estereotipos, y serán el eslabón más débil de la cadena de seguridad. Puede instalar los sistemas de protección más avanzados y aún así no debe perder la vigilancia ni por un minuto, porque hay un enlace muy poco confiable en su esquema de seguridad: una persona. Configurar un cortafuegos humano, en otras palabras cortafuegos(firewall), es la tarea más difícil e ingrata. Es posible que no se acerque a una técnica bien afinada durante meses. El cortafuegos humano debe modificarse constantemente. Aquí, más que nunca, suena relevante el lema principal de todos los expertos en seguridad: "La seguridad es un proceso, no un resultado". Un ejemplo muy simple y común. Sea usted un director y tendrá un muy buen empleado que, en su opinión, nunca le venderá nada a nadie y nunca le venderá a nadie. Al mes siguiente, le rebajaste el sueldo, digamos, por una u otra razón. Incluso si estas razones son muy objetivas. Y la situación ha cambiado drásticamente: ahora un ojo y un ojo están detrás de él, porque no encuentra un lugar para sí mismo por resentimiento, ya está listo para matarte, ¿qué podemos decir sobre algunos secretos corporativos internos?

También observo que para participar en la seguridad, especialmente en términos de establecer "cortafuegos humanos", debe tener un sistema nervioso y mental estable. Por qué, comprenderán de la siguiente hermosa frase de A. Einstein, que nosotros, siguiendo a Kevin Mitnick, no podemos dejar de repetir: "Solo puedes estar seguro de dos cosas: la existencia del universo y la estupidez humana, y no estoy muy seguro de lo primero.

Todos los ataques de los hackers sociales encajan lo suficiente en uno un circuito sencillo(Figura 1.2).

Arroz. 1.2. El esquema básico de influencia en la ingeniería social.

Nota

Este esquema se llama El esquema de Sheinov. En términos generales, se da en el libro del psicólogo y sociólogo bielorruso V.P. Sheinov, quien ha estado lidiando con la psicología del fraude durante mucho tiempo. En una forma ligeramente modificada, este esquema también es adecuado para la ingeniería social.

Entonces, primero, siempre se formula el objetivo de influir en un objeto particular.

Nota

Luego se recopila información sobre el objeto para encontrar el más conveniente. objetivos. A esto le sigue una etapa que los psicólogos llaman atracción. Atracción (del lat. attraaquí- atraer, atraer) - esta es la creación de las condiciones necesarias para la influencia de un ingeniero social en un objeto. La coerción a la acción necesaria para el hacker social suele lograrse realizando las etapas anteriores, es decir, luego de lograda la atracción, la propia víctima realiza las acciones necesarias para el ingeniero social. Sin embargo, en una serie de casos, esta etapa adquiere un significado independiente, por ejemplo, cuando la coacción a la acción se lleva a cabo mediante la introducción en trance, presión psicológica, etc.

Siguiendo a V.P. Sheinov, ilustraremos este esquema usando el ejemplo de la pesca. El objetivo de la exposición en este caso es la necesidad de alimento del pez. El cebo es un gusano, un trozo de pan, una ruleta, etc. Y la atracción es la creación de las condiciones necesarias para una pesca exitosa: elegir el lugar de pesca adecuado, crear silencio, elegir la boquilla adecuada, alimentar a los peces. Forzar a actuar es, por ejemplo, sacudir la caña, gracias a lo cual el gusano u otra boquilla se contrae y el pez comprende que la comida puede desaparecer y es necesario actuar más activamente. Bueno, con el resultado todo está claro.

Otro ejemplo: sobornar a un empleado. Aquí el objetivo es la necesidad de dinero del empleado. El hecho de que los necesita y que es muy probable que "acepte la oferta" se aprende en la etapa de recopilación de información. La atracción puede ser, por ejemplo, la creación de tales condiciones bajo las cuales el empleado tendrá una gran necesidad de dinero.

Nota

Estas condiciones a menudo se crean intencionalmente. Un ejemplo banal: un empleado conducía un automóvil y "tuvo un accidente leve", después de lo cual el automóvil debe repararse y el jeep en el que se estrelló debe recibir dinero. El número de tales "montajes de tráfico" ahora ha crecido increíblemente, y no es difícil encontrar artistas.

Ahora detengámonos brevemente en un tipo de crimen tan popular como robo de base de datos

Nota

El robo de bases de datos es una de las principales aplicaciones de la ingeniería social. Seguiremos hablando de los robos de bases de datos en Capitulo 2.

No puede encontrar ninguna base ahora: la base MGTS, la base del Banco Central, la base del Fondo de Pensiones, la base BTI, la base del Ministerio del Interior con la policía de tránsito y la base del permiso de residencia ... En este momento, los expertos discuten sobre qué tipo de delitos incluyen el robo de bases de datos de clientes. Por un lado, este tipo de delitos, según muchos expertos, parece estar relacionado con los delitos informáticos. Quienes así lo creen parten de la simple premisa de que las bases de datos se almacenan en los discos duros de los servidores y, por lo tanto, si son robadas, es un delito en TI. Pero por otro lado, esto no es del todo cierto, ya que la mayoría de los robos se cometen utilizando métodos de ingeniería social.

¿Quién roba bases de datos y cómo? Si en respuesta a esta pregunta escucha que son robados por piratas informáticos, pirateando servidores corporativos agencias gubernamentales y grandes empresas - no lo crean. Esto no es verdad. Todo es mucho más simple y más prosaico. La gente común los roba, sin usar, en la mayoría de los casos, ningún dispositivo sofisticado, a excepción de una unidad flash ordinaria conectada a un puerto USB.

Como ya hemos dicho, en unos 80 casos de cada 100, la información no se sustrae por un canal técnico, sino por uno social. Por lo tanto, estos no son piratas informáticos sentados toda la noche y pirateando servidores, sino, digamos, un administrador de sistema ofendido que renuncia. Pero no solo, sino junto con todas las bases de datos y toda la información sobre la empresa. O, por una tarifa moderada, un empleado de la empresa "filtra" información sobre la empresa a un lado. O una persona de fuera acaba de llegar, se presentó como el mejor amigo del administrador del sistema y se sentó a arreglar una base de datos "defectuosa", porque su mejor amigo ahora está enfermo. Después de su partida, esta base realmente empezó a funcionar mejor, pero en un lugar diferente. Si crees que esto es muy trivial y solo ocurre en empresas pequeñas y muy descuidadas, entonces lo piensas en vano. Recientemente, así es como se robó información valiosa de una de las empresas más grandes de San Petersburgo que trabajan en el sector energético. Y hay muchos ejemplos de este tipo. El hecho de que el principal canal de fuga de información sea social hace que la tarea de proteger la información sea extremadamente difícil. Porque la probabilidad de una fuga por un canal técnico puede, en principio, reducirse a cero. Es posible hacer que la red sea muy segura, de modo que ningún ataque externo pueda "penetrarla". Por lo general, puede hacer que la red interna de la institución no se cruce con la externa, como se hace en ruso. las fuerzas del orden , por ejemplo, donde las redes internas no tienen acceso a Internet. Las oficinas ejecutivas y todas las oficinas donde se llevan a cabo reuniones importantes deben estar equipadas con protección contra fugas de información. Nadie grabará nada en la grabadora: hemos instalado supresores de grabadora. Nadie escuchará nada a través del canal de radio y el canal de radiación electromagnética espuria: pusieron un generador de ruido de radio. El canal vibroacústico también se bloqueó, y la recopilación de datos láser sobre las vibraciones del vidrio de la ventana también es imposible, y nadie escuchará nada a través de los conductos de ventilación. Las líneas telefónicas estaban protegidas. … Entonces, todos terminaron. Y la información todavía "hizo sus pies". ¿Cómo por qué? Y la gente lo tomó. Sin manipulaciones técnicas complejas. Una vez más, funcionó ese notorio y obsesivo factor humano, del que todo el mundo parece saber, y del que todo el mundo trata de olvidar, viviendo bajo el principio "hasta que truene...". Nota: es casi imposible robar información de las redes de organismos estatales a través de un canal técnico. Y, sin embargo, es secuestrada. Y esta es otra prueba de que, básicamente, la información se roba utilizando personas, no medios técnicos. Y a veces el secuestro es ridículamente simple. Realizamos una auditoría de una gran empresa en la industria petroquímica para organizar la protección de la información en ella. Y descubrimos una cosa interesante: cualquier limpiador nocturno podría tener acceso al escritorio de la secretaria del director general. Y lo había hecho, aparentemente. Ese es el tipo de democracia que reinó en esta empresa. Y había tantos papeles esparcidos sobre esta mesa que uno podía hacerse una idea de casi todas las actividades actuales de la empresa y los planes para su desarrollo para los próximos 5 años. Haremos una reserva una vez más de que esta es una empresa realmente grande, con una sólida reputación y millones de ventas. En términos de dólares, por supuesto. Y se fijó la protección de la información... Sin embargo, no se fijó de ninguna manera. Otro canal de socio-ingeniería interesante para la fuga de información son varias exposiciones, presentaciones, etc. Un representante de la empresa que se encuentra en el stand, con las mejores intenciones, para complacer a todos, a menudo revela los secretos más íntimos de la empresa que él sabe, y responde a cualquier pregunta. Se lo he dicho repetidamente a muchos de mis conocidos, directores, y uno de ellos me sugirió en broma que me acercara a un representante de su empresa en la próxima exposición y tratara de averiguar algo de él de esta manera. Cuando le traje un disco de dictáfono, se podría decir que lloró, porque una de las frases sonaba algo así: "Pero recientemente nuestro director también fue a Irán...". Este método de extracción de información, por cierto, es utilizado por un número considerable de empresas.

Nota

Para obtener más información sobre cómo se muestra la información en las presentaciones, consulte Capitulo 2.

…Desafortunadamente, muchas personas son extremadamente descuidadas y no quieren cuidar la seguridad de la información. Y a menudo, incluso en organizaciones muy grandes, este "no querer" se extiende desde los empleados más comunes hasta el director general. Y en esta situación, un administrador de sistemas o jefe de seguridad, aunque sean completamente paranoicos, obsesionados con proteger la información, no salvarán la situación. Porque en este momento, por desgracia, incluso aquellos líderes que entienden que la información debe protegerse no siempre se dan cuenta de una cosa más: que la protección de la información debe ser sistémica, es decir, llevarse a cabo a través de todos los canales posibles de fuga. Puede proteger una red informática tanto como quiera, pero si las personas obtienen salarios bajos y odian la empresa para la que trabajan más que el pueblo soviético de los ocupantes nazis, entonces ni siquiera necesita gastar dinero en esta protección. Otro ejemplo de comportamiento no sistemático se puede observar a menudo mientras se espera una recepción en la puerta de algún director. No es raro que quienes diseñan un sistema de seguridad no tengan en cuenta tal cosa: los directores tienden a hablar en voz alta, a veces rompiendo en gritos. Las puertas de la oficina del director general a menudo están tan insonorizadas que uno puede escuchar a los que conferencian en la oficina del "general" sin esforzarse en absoluto, incluso si hablan en un susurro. De alguna manera vine a Moscú para ver a un director "cercano al cuerpo" para consultar con él sobre el tema de lo que le espera a nuestra industria en el futuro. Y resultó que tenía una importante reunión no programada, y me pidieron que esperara. Después de sentarme durante 15 minutos en su oficina, me di cuenta de que aprendí mucho más de lo que quería saber y, en principio, puedo irme. Izquierda sólo por decencia. Lo picante de la situación es que cuando me tocó a mí, el director casi no respondió a mis preguntas, diciendo que, dicen, usted mismo entiende, es muy confidencial, yo mismo no lo sé todavía ... Y así sucesivamente . Sin embargo, le agradecí muy cálida y amablemente.

... Volviendo a las bases de datos que contienen información confidencial, cabe señalar que después de lo anterior, queda completamente claro quién las sustrae y cómo. La gente común los roba. Muy a menudo - los propios empleados de las empresas. Recientemente fue condenado un funcionario de aduanas con el grado de teniente coronel, quien abastecía al mercado de bases de datos aduaneras. En una región vecina, el jefe del departamento de inspección fiscal fue atrapado de la mano, quien filtró datos a los hermanos criminales locales por una tarifa moderada. Etc.

¿Por qué son robados y quién los necesita? Muchos lo necesitan. De joven a viejo. Es necesario tanto para los ciudadanos comunes como para los "tiburones financieros". Si comenzamos con los ciudadanos, entonces, sin entrar en discusiones profundas sobre las peculiaridades de la mentalidad rusa, solo diremos que mientras las jóvenes ruidosas e insatisfechas están sentadas en los servicios de información de nuestras "telecomunicaciones", incluso las más respetuosas de la ley y honesta es mucho más fácil para sus nervios ir y comprar esta base de números de teléfono de organizaciones en el mercado de software pirateado que llamar a la mesa de ayuda.

Esto, por razones obvias, es necesario para todos los involucrados en la inteligencia competitiva.

Esto es lo que necesitan los delincuentes. Por ejemplo, todo ladrón de coches que se precie tiene una base de policía de tráfico. También es importante que los delincuentes sepan si aquellos a quienes "protegen" los están privando. Los ladrones encuentran a sus víctimas utilizando bases de datos.

Esto es necesario para los gigantes financieros que practican la práctica de las incursiones de asaltantes.

Nota

Incursiones de asaltantes es la práctica en el nuevo historia rusa, en el que, a grandes rasgos, una gran empresa se hace cargo de aquellas empresas que son más pequeñas con la ayuda de los llamados asaltantes. Supongamos que cierta empresa grande quisiera comprar otra empresa más pequeña. Para hacer esto, da una orden a los asaltantes, personas que construirán un plan para capturar la empresa y ejecutarla. Leer más sobre asaltantes en Capitulo 2.

... Puede continuar durante mucho tiempo. En general, el mercado es amplio y hay demanda de productos. Y la demanda siempre crea oferta. Esta es una de las leyes básicas de la economía. Si hay demanda, seguro que tarde o temprano, caro o barato, pero habrá oferta. Sea cual sea la demanda. Incluso si esta demanda es muy blasfema, por ejemplo, la demanda de órganos de niños. Es difícil imaginar una demanda peor. Pero todavía hay una oferta. ¿Qué podemos decir sobre algunas bases de datos?

Nota

Actualmente, el precio de emisión por robar una base de datos de una gran empresa es de unos 2000 dólares.

¿Es posible detener por completo el robo de bases de datos? A nivel estatal, esto se puede hacer, probablemente, solo endureciendo el castigo por este delito. Me gustaria ver a alguien que se atreva a robar alguna base en tiempos soviéticos. Es cierto que "endurecerse" no es el término correcto: el hecho es que ahora las bases de datos se pueden robar con casi impunidad. Bueno, ¿qué le cuesta a cualquier empleado de casi cualquier estructura sacar esta misma base? Así es, no cuesta nada. En el peor de los casos, serán despedidos. Pero todavía necesita ser manejado para ser atrapado. Llegó al punto de que, según la publicación en "Komsomolskaya Pravda" con fecha 03.03.06, incluso el Centro de Moscú está comerciando con bases de datos. seguridad economica, que, a juzgar por el nombre, debería proteger estas mismas bases. Por lo tanto, como siempre, uno debe, por supuesto, confiar en el estado, pero no debe contar con él. Y algunas empresas mismas, sin esperar al estado, tomaron otros caminos. Por ejemplo, en el camino de desacreditar a este mercado ya quienes trabajan en él. En pocas palabras, están filtrando información errónea ordinaria, actuando según el principio de que si el estado no puede protegernos, entonces tenemos que aprender a jugar juegos de espionaje. Y muchos lo están haciendo bien. Conozco un caso en el que una empresa, al enterarse de que fue "ordenada", preparó toda la información necesaria, que fue robada por el atacante. Cuando el "cliente" entendió lo que estaba pasando, dicen que estaba fuera de sí. Y el precio de venta era alto. La historia guarda silencio sobre lo que sucedió con quienes obtuvieron esta información, pero, según los rumores, después de este incidente, la cantidad de personas dispuestas, incluidos los empleados, a obtener información confidencial sobre las actividades de esta empresa disminuyó considerablemente.

Por cierto, aunque dicen que no hay estatutos destinados a detener el robo de bases de datos, a menudo no se trata de ellos en absoluto. Sí, efectivamente hay un problema con los estatutos. Pero en la mayoría de los robos, como dijimos antes, las propias organizaciones tienen la culpa. Por cierto, en los tribunales prácticamente no hay recursos de organizaciones de las que se roba información. Lo cual se explica por una simple cosa: nadie quiere lavar la ropa sucia en público. Lo cual, en general, es comprensible, pero, por otro lado, simplifica mucho las cosas para los atacantes. El punto es que incluso en el caso de que la empresa sepa con seguridad que su empleado ha robado información y quiera demandar a este empleado, la probabilidad de que la empresa gane el caso es muy pequeña. Debido al mismo descuido: un número muy mínimo de empresas redactan contratos con los empleados correctamente, es decir, de modo que se establezca que el empleado está familiarizado con el hecho de que está tratando con información confidencial y que estará bien si revela esta informacion.

Las principales diferencias entre la ingeniería social y la programación social

Además de ingeniería social, también utilizaremos el término "programación social" que, aunque a primera vista parezca similar a la ingeniería social, en realidad es muy diferente a ella. Para detener esta confusión en términos, y esta sección está dedicada.

Ingeniería social puede ser determinado como manipular a una persona o grupo de personas para penetrar en los sistemas de seguridad y robar información importante. programación social se puede usar independientemente de cualquier piratería, pero para cualquier cosa, por ejemplo, para frenar a una multitud agresiva o asegurar la victoria de un candidato en las próximas elecciones, o viceversa, para denigrar a un candidato y volver agresiva a una multitud pacífica. Lo importante es que aquí no se menciona en absoluto a tal o cual computadora. Así, utilizaremos el término ingeniería social cuando se trate de un ataque a una persona que es parte de un sistema informático como se muestra en la figura. 1.1.

Nota

A veces, además del término ingeniería social, también se utiliza el término ingeniería social inversa. La conclusión es que con la ingeniería social inversa, no obligas directamente a una persona a hacer nada, sino que creas las condiciones para que él mismo recurra a ti. Por ejemplo, si necesita ingresar a una organización como técnico telefónico, simplemente puede ingresar y comenzar a marcar las casillas telefónicas. En esta terminología, esto es ingeniería social. Y puedes hacerlo de otra manera. Está creando una situación en la que se le conoce en una organización en particular como asistente telefónico. Después de eso, esperas a que les pase algo a los teléfonos, o haces algo con ellos tú mismo, y esperas con calma la llamada para pedirte que vengas. Esto es ingeniería social inversa. Por lo tanto, usted mismo no viene a algún lugar sin razón, pero se le pide que venga. Por supuesto, el segundo caso es mucho más preferible, ya que elimina todas las sospechas de usted en general. Los enfoques de ingeniería social competentes se construyen de esta manera, por lo que consideramos que este término es redundante y no lo utilizaremos.

La programación social puede llamarse una ciencia que estudia los métodos de influencia intencional sobre una persona o un grupo de personas para cambiar o mantener su comportamiento en la dirección correcta. Así, en esencia, un programador social pretende dominar el arte de gestionar personas. El concepto básico de la programación social es que muchas acciones de las personas y sus reacciones a tal o cual influencia externa son predecibles en muchos casos. La cosa es, en general, muy interesante. Pero en su mayor parte, esto es cierto. El esquema general de los métodos de trabajo de los programadores sociales se muestra en la fig. 1.3.

Arroz. 1.3. Esquema general de métodos de trabajo de los programadores sociales

En programación social, el desarrollo de un esquema de impacto parte del fin, es decir, del resultado deseado. Déjame darte un ejemplo muy simple y muy malo. Que haya alguien, por ejemplo, un diputado, que esté muy molesto por el jefe. Supongamos que este diputado sabe que su jefe tiene un corazón enfermo y vasos sanguíneos débiles, y al que tiene un corazón enfermo le gusta mucho "tomar un vaso". Los familiares, por supuesto, casi pisan los talones de caminar y llevarse este vaso, e incluso funciona. y nuestro diputado El jefe, de una forma u otra, comienza a soldar deliberadamente al que tiene el corazón enfermo. Al final, los vasos no resisten. infarto hemorragico. Diputado el jefe se convirtió en jefe. En el funeral, lloró más y luego siguió siendo el amigo más cercano de la familia. A pesar de que en realidad mató al cabeza de familia.

Lo que hace que los métodos de programación social sean geniales para los delincuentes es que nadie los sabrá nunca, como en el ejemplo descrito anteriormente, o incluso si alguien sospecha algo, es muy difícil llevar a esa figura ante la justicia. Bueno, no tenemos un artículo en el código penal "Llevar a un golpe". Y si lo hubo, vaya y demuestre que todo fue así, porque el "traído" hizo todo puramente voluntariamente, siendo capaz, nadie lo puso en hipnosis, no lo irradió con rayos electromagnéticos ...

Hemos considerado un esquema bastante clásico y muy simple para la aplicación negativa de la programación social. En diversas variaciones, este esquema ha estado operando desde la antigüedad, si recordamos la historia. En este caso, el resultado deseado es la eliminación física del oponente. Así que el objetivo está puesto. Además, se trabajaron las características psicofísicas, como resultado de lo cual se esclareció la propensión a beber y la presencia de enfermedades cardiovasculares crónicas. Luego se desarrolla una medida de influencia (consumo excesivo de alcohol) que, si se aplica correctamente, dará el resultado previsto. Es muy importante que el comportamiento humano sea natural para él. que es interesante Para ello se realiza el cálculo de características psicofísicas. Porque de lo contrario no sería programación social. Después de todo, cuando un asesino maníaco, por ejemplo, ya ha elegido una víctima para sí mismo y la va a matar, también sabe sobre el comportamiento futuro de la víctima que ella todavía no sabe por sí misma (que no estará en este mundo pronto). Pero, verá, el comportamiento de la víctima en este caso difícilmente puede llamarse natural: es difícil imaginar que las reuniones con maníacos sean su pasatiempo natural. Por lo tanto, la programación social es cuando modelas artificialmente una situación para una persona específica, en la que sabes cómo actuará esta persona, en función del conocimiento de su psicotipo. Lo mismo se aplica a un grupo de personas.

Nota

EN Capítulo 3 veremos algunos ejemplos más de programación social específicamente, por ejemplo, analizaremos cómo se puede pacificar a una multitud agresiva, y también pensaremos en cómo la infame reciente "crisis de la sal" podría ser causada usando métodos de programación social.

La programación social se basa en los siguientes conceptos psicológicos:

Análisis Transaccional (ver capítulo 6);

Sociología (la ciencia del comportamiento de las personas en grupos) (ver capítulo 8);

Programación neurolingüistica (ver capítulo 7);

Programación de guiones (ver capítulo 6);

tipología psicológica (Ver Anexo 2).

La programación social, a diferencia de la ingeniería social, tiene un alcance más amplio, ya que trabaja con todas las categorías de personas, independientemente del sistema del que formen parte. La ingeniería social, por su parte, siempre trabaja únicamente con una persona que forma parte de un sistema informático, aunque los métodos son similares en ambos casos.

Otra diferencia importante es que la ingeniería social es casi siempre un campo de aplicación negativo, mientras que la programación social, como cualquier campo de conocimiento, tiene un campo de aplicación tanto positivo como negativo. Un ejemplo de un área negativa de aplicación de la programación social es solo la ingeniería social.

Por tanto, cuando hablemos de manipular a una persona en el caso de que sea parte de un sistema informático, o simplemente portador de información secreta que necesita ser robada, hablaremos de ingeniería social, y en el caso de que hablemos de gestionar gente en general, hablaremos de programación social. Nuestro libro trata sobre ingeniería social, pero a veces, para comprender mejor la esencia de muchos métodos, haremos incursiones en la programación social.

Para concluir la conversación sobre la programación social, demos un ejemplo bien conocido de cuán hábilmente se puede manipular a las personas.

Un día, un gran maestro recibió una carta por correo en la que un desconocido, que se presentaba como un joven ajedrecista novato, se ofrecía a jugar una partida de ajedrez a distancia. A distancia, porque los movimientos se enviaban por correo. Por ganar, al gran maestro se le prometió una gran cantidad de dinero, y si hay un empate o, Dios no lo quiera, el gran maestro pierde, entonces paga el dinero. Cierto, la mitad de la cantidad que él mismo recibirá si el joven ajedrecista pierde. El gran maestro, sin dudarlo, estuvo de acuerdo. Hicimos una apuesta y empezamos a jugar. Ya desde los primeros movimientos, el famoso gran maestro se dio cuenta de que no sería posible ganar dinero "gratis", porque los primeros movimientos dieron como resultado un maestro prometedor en un joven ajedrecista. En medio del partido, el gran maestro perdió la paz y el sueño, calculando constantemente los próximos movimientos del oponente, que resultó ser no solo un maestro prometedor, sino un gran maestro. Al final, después de un tiempo considerable, el gran maestro apenas logró dibujar el juego, después de lo cual derramó un montón de elogios sobre el joven y le ofreció no dinero, sino su apoyo, diciendo que con tales talentos lo convertiría en un campeón mundial. Pero el joven ajedrecista dijo que no necesitaba la fama mundial, y que solo pedía cumplir las condiciones de la apuesta, es decir, enviar el dinero que había ganado. Cosa que hizo el gran maestro, a regañadientes. ¿Dónde está la manipulación, preguntas? Y la manipulación aquí es que no fue un joven el que jugó contra el gran maestro, sino... otro gran gran maestro que recibió exactamente la misma carta del joven y accedió a "ganar algo de dinero rápido" de la misma manera. Exactamente en las mismas condiciones: un joven le paga una gran cantidad por una victoria, y un gran maestro le paga a un joven por una pérdida o un empate. Como resultado, los dos grandes ajedrecistas lucharon entre sí durante aproximadamente medio año, y el joven "ajedrecista talentoso", en términos modernos, trabajó como un relevo de correo, es decir, solo se enviaba sus cartas. Y luego, como resultado de un empate, ambos grandes maestros enviaron dinero a... este joven.

Ejemplos de hacks usando métodos de ingeniería social

En este capítulo, hablaremos un poco sobre la historia de la ingeniería social y luego continuaremos dando ejemplos de cómo operan los ingenieros sociales.

Sobre la historia de la ingeniería social

Muy a menudo, el famoso hacker K. Mitnick es llamado el "padre de la ingeniería social", lo cual no es del todo cierto. Mitnick fue uno de los primeros en aplicar el arte de la manipulación humana a un sistema informático, pirateando no el "software", sino la persona que trabaja en la computadora. Y con su mano liviana, todo lo relacionado con el robo de información mediante la manipulación de una persona comenzó a llamarse ingeniería social. En este libro, siguiendo a Mitnick, también nos adherimos a una terminología similar.

De hecho, todos los métodos para manipular a una persona se conocen desde hace mucho tiempo, y básicamente estos métodos llegaron a la ingeniería social, en su mayor parte, del arsenal de varios servicios especiales.

Nota histórica

El primer caso conocido de inteligencia competitiva se remonta al siglo VI a. C. y ocurrió en China, cuando los chinos fueron privados del secreto de la producción de seda, que fue robado de manera fraudulenta por espías romanos.

Los autores de muchos artículos sobre el tema de la ingeniería social suelen limitar su aplicación a llamadas telefónicas para obtener información confidencial (generalmente contraseñas) haciéndose pasar por otra persona. Sin embargo, el alcance de la ingeniería social es mucho más amplio.

Las principales áreas de aplicación de la ingeniería social se muestran en la fig. 2.1.

Echemos un vistazo más de cerca a los ejemplos de cada una de estas áreas.

Arroz. 2.1. Principales Aplicaciones de la Ingeniería Social

Fraude financiero

... Hubo primavera, hubo amor. Natasha, contadora de una mediana empresa, estaba enamorada desinteresadamente de un joven, Ilya. Tan hermoso, tan dulce, tan encantador. Lo conoció por casualidad en un club nocturno, y allí se enteró de que Ilya había venido recientemente a su ciudad para recibir educación en el departamento nocturno de la facultad financiera. Ex cerrajero, manos de oro. "Y qué si un cerrajero", razonó Natasha, "pronto aprenderá y será financiero". Colega, se podría decir. En general, se inició una gran boda, y solo había amor por delante y mucho de todo lo agradable que estaba relacionado con ella. ¿Y qué pasa con el fraude financiero, te preguntarás? Y a pesar de que la vida real interfirió con dureza en los planes de Natasha, en los que, además de amor, también hay crueles engaños. Y un día descubrió que una cantidad considerable de dinero había sido transferida desde su computadora a la cuenta de cierta empresa. Recordaba exactamente que ella no había hecho nada por el estilo, y en efecto la chica era diligente y sin malos hábitos. En general, choque. Lo cual se vio agravado por el hecho de que su amada Ilya desapareció repentinamente en algún lugar. Por cierto, el hecho de que fue Ilya quien hizo esta estafa no se adivinó de inmediato, porque a nadie se le podría haber ocurrido que pudiera ser tan encantador, tan dulce, tan comprensivo.

¿Qué sucedió? Y había una historia clásica. La encantadora Ilya se enamoró de Natasha para aprovechar su posición oficial. La historia sucede muy a menudo, solo los objetivos son diferentes. En este caso, el objetivo era robar dinero.

Nota

El objetivo de la influencia en este caso es la necesidad de amor de Natasha. Atracción, por supuesto, del cortejo amoroso de Ilya por Natasha. Además, la atracción aquí también es una muestra de la seriedad de sus intenciones (como recordamos, se estaba preparando una boda).

Y así, habiendo esperado un momento conveniente cuando estaba solo en un día de trabajo en la oficina de Natasha, transfirió el dinero a donde quería. Ella misma le contó cómo se hace esto, pues él preguntó, motivando sus preguntas por el hecho de que para él era interesante para la educación (él, como recordamos, estudió en la Facultad de Finanzas y, en efecto, todo lo relacionado con la leyenda). en este caso muy bien hecho). Durante estas conversaciones, Ilya descubrió dónde estaban los disquetes con la EDS (Firma Digital Electrónica) del contador jefe y el director. ¿Natasha era una tonta? No, no lo fue. Aunque solo sea porque en los pocos meses que estuvo con Natasha, casi todos los empleados de la empresa se enamoraron de Ilya, incluido el director, quien bendijo personalmente su boda rápida y estaba listo para llevar a Ilya al personal de su empresa en el futuro cercano. Y porque, en general, ella no tiene la culpa de que el dinero en muchas de nuestras empresas se transfiera según un procedimiento simplificado. ¿Cómo se debe transferir el dinero? Por ejemplo, necesita transferir alguna cantidad. Viene el contador jefe, inserta un disquete con su EDS, luego el director inserta su disquete. Y solo después de eso se transfiere el dinero, ya que la presencia de un EDS y un director y contador jefe - condición necesaria para transferir dinero. Y si todo se hace de acuerdo con las reglas, entonces tal ataque, por supuesto, es impensable. Pero… hasta la empresa más pequeña puede hacer hasta diez transferencias al día. Ahora imagine que el director se ejecutará cada vez e insertará su disquete. ¿Qué pasa si la empresa es pequeña? Sí, preferiría cerrar la empresa antes que participar en tal auto-tortura. Por lo tanto, no es raro que ambos disquetes con EDS simplemente estén sobre la mesa del contador que transfiere dinero. Como fue en el caso descrito.

¿Qué pasó con Ilia? Y no había nada. Porque después de hacer todo, inmediatamente se fue a alguna parte. Ya sea en otra ciudad, o en otro país. El pasaporte, por supuesto, era falso, generalmente tenía más de estos pasaportes que en la oficina de pasaportes.

Nota

Dejemos de lado el desarrollo posterior o posible desarrollo de esta situación, ya que, en principio, no es importante para nosotros. El dinero podría transferirse y luego cobrarse, o es posible que no tengan tiempo de cobrarlo, porque los empleados de la empresa "revirtieron la situación" rápidamente. La historia del fraude financiero conoce ejemplos de ambos escenarios. Lo importante para nosotros es el hecho mismo de acceder a la computadora desde la cual se realizaron las transferencias bancarias, y el hecho de que se realizó esa transferencia, es decir, se realizó la etapa de trabajo que está asociada con el social hacking y se realizó con éxito. Hablar de cómo puedes retirar dinero antes de que la empresa (Y/O las autoridades competentes, si fueron informadas de la incidencia) empiece a tomar medidas, cómo puedes hacerlo para que tengas tiempo de retirar dinero, etc., va más allá alcance de este libro.

Para ser honesto, no existen recomendaciones universales que le permitan protegerse de este tipo de ataques. Esta historia, salvo pequeñas variaciones, ha sucedido más de una vez y probablemente sucederá más de una vez. Muchos autores en casos similares dicen que debe tener más cuidado, debe seguir las instrucciones claramente y esas cosas simplemente serán imposibles. Por supuesto, estamos totalmente de acuerdo con estas palabras, pero, por desgracia, estas son solo palabras. Palabras que no tienen nada que ver con la vida real. Y si se toma en serio el asunto, y gente seria que sepa cómo se hacen esas cosas, se puede garantizar que el 90 por ciento de la población caerá en este anzuelo. Y muchas más de una vez. Por lo tanto, no nos rebajaremos a lugares comunes y honestamente diremos: no hay métodos de protección garantizados. Ahora imagina por un segundo que te enamoraste no de la chica Natasha, sino del director. E imagina las consecuencias. Además, no es muy difícil hacer todo esto: se determina el psicotipo de una persona, sobre la base de lo cual resulta qué chicas (o chicos) le gustan, y después de un tiempo la víctima descubre que "esa y único amor con el que ha soñado toda su vida". El método favorito de los estafadores de todos los tiempos y pueblos. Y un método muy efectivo, porque es un ataque basado en las necesidades fisiológicas de una persona. Estamos hablando de necesidades fisiológicas aquí más ampliamente de lo que es habitual, y entendemos por estas necesidades no solo, digamos, la necesidad de comida, sexo, etc., sino también la necesidad de amor, la necesidad de dinero, la necesidad de comodidad. , etc., etc. Y así, cuando el target es una de estas necesidades, la cosa va mal. En el sentido de que es muy difícil. Y los ingenieros sociales inteligentes se enfocan precisamente en esas necesidades. El ataque que hemos considerado es precisamente de esta categoría, cuando se eligió la necesidad de amor como objetivo de la influencia.

Hace tiempo que se sabe que en ciudades importantes Rusia, hay agencias enteras que contienen las seductoras del diferente tipo para los gustos más variados, incluso sofisticados. El propósito de su existencia es obtener ganancias "divorciándose" de los hombres ricos. De hecho, ¿por qué construir una combinación bastante complicada, como en el ejemplo que se acaba de dar, cuando puede hacer que todo sea más fácil: enamórese de un hombre rico que, por su propia voluntad, transferirá dinero a su cuenta? No es necesario contratar una horda de piratas informáticos, convertir estafas financieras, mantener el equilibrio al borde de la ley: todo se puede hacer de tal manera que una persona misma dé dinero y lo dé voluntariamente. El flujo de trabajo es así. En la primera etapa, los empleados de la agencia averiguan todo lo posible sobre el "cliente": qué tipo de comida prefiere, qué libros, qué chicas, qué autos, qué tipo de música, en general, todo. Aquí operan sobre el principio de que la información no puede ser superflua. Esto se hace para, de acuerdo con los gustos de la víctima, elegir para él el único, del que simplemente no puede rechazar fisiológicamente. De hecho, bueno, qué hombre rechazaría a una mujer que no solo es en su gusto y belleza no escrita, sino también una apasionada fanática del fútbol (como él, por supuesto), e incluso fanática del mismo equipo. Y, - oh horror, cuando él la llevó una vez en un auto, ella dijo con pesar y con cierta coquetería:

- Volodya, si no fuera por una cosa, pero podría decir que eres el hombre de mis sueños.

- ¿Qué es no? – pregunta el banquero Volodya, ligeramente alerta, pero dando su tono jocoso.

- No te gustan los clásicos...

- ¿Por qué? ¿Por qué decidiste eso?, - tartamudeó levemente, y ya sin ninguna broma en su voz, preguntó.

- Y siempre pones algún tipo de música pop en el auto, pero nunca pusiste los clásicos, y no soporto la música pop.

- ¿Por qué no lo dijiste antes? Porque también amo los clásicos, solo tenía miedo de admitirlo, pensé que no me considerarías moderno.

“Qué diablos es la modernidad, todos estos “Musi-pusi, trawl-wali, bésame Lucy antes de que nos desgarren”, cantó con malicia, “no quiero vivir de este clásico actual. Ya sea Beethoven... Todos estos trali-wali en comparación con él...

"Mi compositor favorito", pensó, y preguntó en voz alta:

¿Qué es lo que más te gusta de Beethoven?

"Sonata en do menor, supongo", respondió ella, pensando por un momento.

"Mi sonata favorita", piensa, "oh, horror... No, no puede haber tales coincidencias. La primera vez que conocí a una chica hermosa y moderna, de la que ya estoy casi loco, y que, además, le gustan los clásicos, y, además, hasta en los clásicos nuestros gustos coincidían. Pero, por cierto, ¿por qué lo creo? ¿No merecía yo que el Señor me enviara a ese único? ¿No ayudé? niños suficientes, transfirió dinero al orfanato No. 5? Tal vez esta es esa recompensa por las buenas obras de la que los autores inteligentes hablan en libros inteligentes, sobre los cuales mis amigos solo se ríen cínicamente. mi dinero, ha dejado de estar interesado en todo en absoluto, se sienta solo en casa, toda flácida... Uf, es desagradable de ver. Además, el servicio de seguridad informa que parece estar con alguien al lado, con un joven programador al que le gustan las mujeres "en jugo" Diablos, le gustan las mujeres . entonces, aquí está defraudando a mi tonto de mi dinero. ¿O tal vez este, que está cerca, también es por el dinero? Preguntémosle ahora...

– Marin, te pido disculpas por la pregunta indiscreta, pero ¿qué haces?

- Volodya, soy el director de una agencia de modelos. Volodya, si sospechas que me subí deliberadamente a tu auto para seducirte, entonces esto se resuelve fácilmente. Detenga el auto, por favor. Aquí, si no es difícil.

- ¡Sí, qué eres, Marina! solo lo hago por curiosidad...

Dios mío, parece estar leyendo mi mente, pensó. "Idiota. Tú, Volodya, ya no necesitas estar a cargo de un banco, pero ve a Kashchenko para rendirte voluntariamente para que puedas curarte de tus sospechas allí. No puedo simplemente dejarla. Nunca la veré tú otra vez. No, no te puedes perder tanta felicidad", siguió pensando, cambiando de carril a la extrema derecha. "¿Pero qué pasa con los niños?" preguntó una severa voz interior. - "¿Qué les dirás a los niños cuando destruyas a la familia?". "Los niños ya crecieron y son bastante independientes", le respondió a una voz interior, "el dinero que les doy no es suficiente para que los niños corran detrás de todas las "faldas", y no deben ofenderse conmigo". , Yo también tengo derecho a amar, y sin embargo por ellos no hice tan poco. prestigiosas universidades, tres veces al año vacacionan en el extranjero, patrocino sus amores, finalmente. Y los niños, por cierto, nunca preguntaron cómo estaba papá.

"Marin", finalmente decidió, "¿te importa si nos sentamos en un restaurante acogedor hoy?"

- Volodya, para ser honesto, en contra.

- ¿Por qué?

- No, no soy reacio a pasar una velada contigo, por primera vez conocí a un hombre que combina la riqueza con el amor por la sonata en do menor. Y hablé mucho con personas que son mucho más ricas que yo, y algo de todos ellos dejó una especie de impresión inútil. Y tú eres algún otro... Y quiero, para ser honesto, estar contigo al menos por un rato, pero más tiempo, ni te mentiré. Pero no me gustan los restaurantes...

– Marin, para ser honesto, ¡yo también los odio! Vayamos a mi segundo departamento, donde a veces me gusta estar solo conmigo mismo. ¿PERO? Llamaré ahora, traerán comida, vino, nos sentaremos por la noche ...

- No, déjame cocinar algo a toda prisa. Realmente me encanta cocinar, pero, por desgracia, ahora no siempre es posible hacerlo yo mismo, pero este es un caso así.

- Estoy de acuerdo, si tú, por supuesto, lo quieres tú mismo. ¿Y qué vas a cocinar, sino un secreto?

- Secreto. Verás. Voy a cocinar mi plato favorito. Comparemos nuestros gustos, como dicen.

“No soporto esas sorpresas, ahora cocinará algo que no podrás comer, y tendrás que dominarte, sería mejor invitar a mi cocinera a cocinar lo que me gusta…”…

- Marinochka, qué tipo de plato es este, - gritó, sin haber terminado su pensamiento hasta el final, cuando Marina entró en la sala de estar con un "plato corona" recién preparado.

- Volodya, no hay necesidad de gritar así. Es solo salmón en salsa de caviar.

"¿Cómo... cómo lo supiste?"

- ¿Que has descubierto?

– ¿Cuál es mi plato favorito?

- ¡¿Sí?! Para ser honesto, ni siquiera sospechaba. Volodya, resulta que tú y yo tenemos mucho en común ... Y este, fíjate, es mi plato favorito, mi papá me enseñó a cocinar, se desempeñó como oficial en la Flota del Pacífico y, a veces, lo echó a perder. nosotros con este manjar en vacaciones.

... Eso es todo, todo sucede con algunas variaciones. No hablaré más sobre cómo se desarrolló la relación entre Volodya y Marina. Digamos que luego Volodia transfirió voluntariamente grandes sumas a la cuenta de Marina para que ella no se negara nada, abandonó a su familia e incluso convenció a Marina de que dejara su agencia de modelos para estar con él la mayor cantidad de veces posible. Su felicidad se habría ensombrecido mucho si supiera que Marina transfirió el cuarenta por ciento de las cantidades transferidas por él a la titular de la agencia, “shahina”, como la llamaban entre ellos. Y el auto que le dio Volodia, también tuvo que venderlo, después de romper con él, o encontrar el cuarenta por ciento de su valor en términos monetarios, para dárselos a la "shahina". Volodia no sabía que su encuentro con Marina se había organizado de acuerdo con todas las reglas de la inteligencia. Que el problema en su auto fue fingido, y el hecho de que él estaba junto a ella en ese momento también fue fingido. Tampoco sabía que había muchas opciones para reuniones tan aleatorias. Tampoco sabía que pronto dejaría de ser gerente de banco, ya que los datos que Marina había recopilado sobre él ya habían sido transferidos a la “shahina”, quienes los vendían por una cantidad decente a aquellas personas que dormían y veían que Vladimir Anatolyevich dejó de ser un rico gerente de banco para convertirse en un pobre conserje. Bueno, y claro, no sospechaba que tras un derrumbe en sus asuntos, se convertiría en una persona muy irritable, cosa que Marina aprovecharía para dejarlo. Ahora ya es una mujer muy rica, ya que el dinero que "sacó" de la ahora desafortunada Volodia será suficiente para ella durante mucho tiempo de una existencia cómoda, incluso menos el porcentaje que se le dio a la "shahina". .

Un pequeño comentario sobre el tema de los "encuentros fortuitos"

Los hackers sociales son muelles en la organización de "reuniones fortuitas". Tomaron prestados una serie de trucos, principalmente del arsenal de los servicios especiales, pero no puedes rechazar muchos de tu propio ingenio. Eso sí, detrás de las seductoras de las que hablamos en este momento, hay bastantes "luchadoras del frente invisible" que escenifican todas estas actuaciones. Porque la operación "reunión fortuita" es una etapa importante en todo este gran juego y se planifica teniendo en cuenta las recomendaciones de los psicólogos que, según los datos de la primera etapa, predicen con bastante precisión el psicotipo y el sociotipo de la víctima. y predecir el comportamiento del cliente en una situación dada. Después de todo, un "cliente" puede "flotar" inmediatamente después de la primera reunión, pero se necesita otro enfoque más terco y sospechoso: debe reunirse con él varias veces, no debe hablar de nada serio con él durante la primera conversación. . Entonces, es necesario que la chica a la que la víctima lleva "accidentalmente", "accidentalmente" olvidó su celular en su auto, por ejemplo. Preferiblemente el mismo modelo que él prefiera. Bueno, esa era una razón para encontrarnos. Y el tercero, por ejemplo, no mete a nadie en sus coches para nada. Entonces, debes torcer la pierna en la puerta de su casa o desmayarte. Y caen, y caen bien, porque todo esto está ensayado de antemano más de una vez. Y a la cuarta persona no le importan mucho los desmayos de otras personas, incluso cuando los realizan chicas muy hermosas, porque una persona es muy cruel y prefiere "perras" en lugar de vagos que se desvanecen débilmente en los negocios y no en los negocios. Esto está organizado por una configuración de automóvil, en la que el automóvil de la niña choca contra su automóvil genial. Por supuesto, está sentado en el automóvil, esperando que sus guardias se ocupen de las "violaciones de las reglas de tránsito", y de repente escucha una voz femenina gutural: "Oigan, guardaespaldas, shoo otsedova. Dime cuánto le debo a tu papá". , toma el dinero y vete, no me impida disfrutar de mi difícil suerte femenina. Y dile a tu tonto al volante que se vaya en su auto genial tan pronto como vea a una mujer al volante ". El hombre cruel Pyotr Semenovich, propietario de varias estaciones de servicio grandes en el centro de la capital y una pequeña refinería de petróleo, escucha esta voz baja y gutural y ya comprende inconscientemente que esta voz pertenece a la "perra de sus sueños". Y decide mirarla con sus propios ojos. Y después de eso, desapareció. Porque, mientras miraba, ya se dio cuenta conscientemente de que esta era exactamente la chica que soñaba con él por la noche. Y para el quinto, además del dinero obsesionado con el cuerpo a cuerpo y el sentido de la autoestima, se escenifica un espectáculo en el que intervienen la chica de sus sueños y varios idiotas de aspecto rudo y desaliñado. Esos tontos están molestando a esa hermosa chica de ahí, y oh Dios mío, incluso le están rasgando el vestido. Naturalmente, en la zona de visibilidad del "cliente". Y decide apresurarse a la refriega y ayudar a la niña, y se apresura y solo los dientes salen volando de debajo de sus puños entrenados, y los hooligans se dispersan en diferentes direcciones de sus golpes (porque están instruidos sobre el tema de que "cuanto más lejos y más hermosos se van volando, la tarifa de rendimiento más alta"). La niña, por supuesto, le agradece entre lágrimas, y él, por supuesto, la lleva (bueno, ¿adónde irá ella misma con un vestido roto?) y, por supuesto, todo el camino ella le canta odas en el tema "qué valiente es, y con qué destreza se sale de esos reptiles que casi la tienen...".

Nota

Aproximadamente las mismas actuaciones, por cierto, a menudo son organizadas por algunos candidatos antes de las elecciones. Sobornan a algunos punks, a quienes les dicen que digan: "ves ese auto, corre de inmediato ... Sí, no debajo de un auto, otros correrán debajo de un auto, pero a cualquier chica hermosa. Y comienza a golpearla. Sin lesiones , sino para gritar. "¿Está claro? Y cuando un hombre con pantalones blancos y una chaqueta blanca sale corriendo de este auto y comienza a golpearte, no te rindes ante él de inmediato, pero también te confundes un poco. Él está al tanto y no se ofenderá. Y después de que los golpee a todos para que salgan corriendo en todas direcciones desde este lugar, preferiblemente con gritos y gemidos, y ... Sí, no se laman las heridas, ganó. No te pego duro, sino a la estación. Y para que no estés en la ciudad hasta tal fecha. Aquí están los billetes. Todo está claro Y si al menos alguien tiene una palabra... Bueno, No es estúpido, ¿entiendes? Luego, todo va según lo planeado: al ver el automóvil, los "hooligans" se precipitan sobre la niña, nuestro héroe de blanco la saca heroicamente de las garras de los "adolescentes desenfrenados", la prensa, por supuesto, está allí. ¿Cómo lo supo la prensa? Pero de ninguna manera. Es solo que accidentalmente filmó un informe de la vida de la ciudad cercana, que, por supuesto, la sede del candidato conocía. Después de eso, en todas las páginas de los diarios y en los primeros minutos de las noticias de la ciudad, el candidato se muestra después de una pelea, con una chaqueta que ya no es blanca, consolando a una niña que se ha convertido en "víctima de un ataque". Luego entrevistan al candidato, donde sonríe con modestia y dice que “siempre ha sido así en su vida”. Luego, la niña misma da muchas entrevistas, en las que dice con franqueza (nadie le pagó) que "No sé los demás, pero definitivamente votaré por Boris Viktorovich, aunque solo sea como muestra de gratitud. Nadie vino arriba, pero él... Gracias a él".

Información sobre los planes de marketing de la organización.

Encontrar información sobre los planes de marketing de la organización y estar a la vanguardia es quizás el bocado más sabroso para cualquier competidor. Es más fácil hacer esto usando métodos de ingeniería social. No hay necesidad de romper la red, eludiendo innumerables cortafuegos y buscando en qué máquina está este documento con una estrategia de marketing. No coloque dispositivos de escucha en una junta de accionistas o en una junta de directores ejecutivos. No es necesario obtener información sobre las vibraciones del vidrio de la ventana con un rayo láser ... Todos estos son métodos muy costosos y no siempre confiables. Puede utilizar los métodos más simples de ingeniería social. Dos ejemplos fáciles. Una vez le aseguré a un director general de una empresa que penetraría en su red informática y robaría todos sus planes de marketing, los leería y luego los volvería a contar. Se rió y dijo que era imposible, que "tres firewalls, todo un departamento que se ocupa de la seguridad de la información, en el que los especialistas son geniales". No puedes, por favor. Porque es básicamente imposible. Pero la disputa, como dicen, aceptó. Sobre la red, por supuesto, se decía para desviar las miradas. De hecho, nadie iba a penetrar en ninguna red. Todo fue más fácil.

Nota

La popularidad de la ingeniería social entre los estafadores, los involucrados en inteligencia competitiva y similares se debe, en nuestra opinión, al hecho de que la mayoría de los métodos de ingeniería social son simples. A veces son tan simples que ni siquiera son interesantes de describir en un libro. Piensas: bueno, es obvio, qué diablos es la ingeniería social, porque esta técnica se mostró por primera vez en el cine allá por el año 50. Y luego cien veces más lo mostraron en varias variaciones. Seguro que nadie se enamorará de él. Y... la paradoja radica en que son precisamente trucos tan sencillos en los que cae la mayoría. Pero aun cuando se requiere una combinación compleja para llevar a cabo una u otra técnica, lo que implica un buen dominio de la psicología, todavía es más fácil para quienes se dedican, por ejemplo, a la inteligencia competitiva, aplicar técnicas de ingeniería social que dedicarse a inteligencia técnica. Basado, entre otras cosas, en el importante factor de que aplicar la ingeniería social costará muchas veces más barato.

Visitando los stands de la empresa en la feria

Para recopilar la mayor parte de la información, bastaba con visitar el stand de esta organización en la próxima exposición de sus productos. La mayoría de los gerentes que están en su stand, si muestra el más mínimo interés, estarán encantados de contarle todo lo que saben sobre los productos y las perspectivas de futuro. Muy a menudo, solo necesita pararse y escuchar con atención (o no solo escuchar, sino grabar en una grabadora, si no confía en la memoria).

Nota

Así es como una empresa de San Petersburgo robó el secreto de la producción de salsas de sus competidores, casi arruinándolos. Las personas son criaturas asombrosas, pueden permanecer en silencio cuando son torturadas por empleados de una empresa competidora, pero al mismo tiempo, con mucho gusto le revelarán todos los secretos a la primera persona que conozcan en la exposición.

Naturalmente, al mismo tiempo, debe verse como un cliente sólido, y es deseable que su insignia tenga algo muy significativo, como "Presidente de OJSC Mikron".

Nota

Pero si se hacen llamar presidente, entonces deberían parecerse al presidente. Esto no significa en absoluto que deba ahorcarse con anillos, cadenas, por el contrario, puede vestirse con modestia: ya es una persona importante y ya no necesita impresionar. Pero deben vestirse con gusto, ser muy pulcros y comportarse significativamente: como un presidente. Un poco más sobre esto, más adelante en la nota "Sobre la importancia de acostumbrarse al papel".

Si el gerente no es muy hablador, puede aplicar una serie de trucos simples dirigidos al hecho de que el gerente tiene miedo de presentar la organización de manera desventajosa (en nuestro esquema universal, este es el objetivo. La atracción puede ser, por ejemplo , su significado, aunque creado artificialmente, usando una insignia y un comportamiento). Por ejemplo, usted, presentándose como una especie de presidente, puede preguntar: "¿Qué hay de nuevo para usted este año? ¿Sabe algo al respecto?" Alguien dirá de inmediato, alguien no dirá ... A aquellos que están en silencio, puede decir: "Está bien, si no lo sabe, llamaré a Maryashevich yo mismo, le preguntaré" (debe conocer el nombre del director general y de todas las demás personas significativas). Y, al salir, murmura, "mandan al diablo, podrían enviar a una persona con conocimientos a tales eventos" ... Un punto importante: la pregunta anterior, donde te enojaste tanto que no te respondieron, debería ser significativo para ti, pero... no mucho. Porque luego te pareces a otros soportes, después de un rato hora de volver al stand que le interese y haga una pregunta que ya es muy importante para usted: “Pero usted sabe sobre esto, esos muchachos de allí tienen todo muy bien escrito, y ¿usted hará lo mismo o debo cerrar un acuerdo de inmediato con a ellos"? Y lo más probable es que cuente sobre esto, porque tiene miedo de su influyente director Maryashevich, y contará incluso más de lo necesario.

Nota

Solo me encontré una vez con el gerente, quien, aunque fue extremadamente amable, no dijo nada más allá de lo posible. El gerente resultó ser ... el director general de esta empresa, a quien a veces le gustaba "salir a la gente" así.

... Después de haber aprendido mucho del gerente, fui a entrevistar a los empleados de la empresa.

Entrevistas con personas clave

Hacer una entrevista es una de las formas más sencillas, pero a la vez más atractivas, de saber qué está pasando en la empresa: cuáles son los planes de marketing, quién es amigo de quién, quién ofendió a quién... El método es realmente simple, pero al mismo tiempo muy efectivo. El objetivo aquí es el sentido de importancia personal de las personas. La gente quiere sentir su importancia, Carnegie escribió excelentemente sobre esto, y para satisfacer este sentimiento, a menudo se olvidan de todo, de cualquier seguridad. Por lo tanto, muchas personas están felices de dar entrevistas (especialmente si se trata de una entrevista para televisión). Y para un hacker social, tal cobertura es muy confiable y rentable, ya que le permite hacer casi cualquier pregunta sin mucha vergüenza y sin el riesgo de despertar sospechas.

Nota

extracción información útil de una conversación con alguien que no sabe que es el objetivo de la extracción de información, se llama interrogatorio encubierto. El interrogatorio encubierto es una serie de técnicas que le permiten obtener discretamente la información que necesita. Esta táctica es utilizada por vendedores psicológicamente alfabetizados que venden su producto, psicoterapeutas para obtener información sobre el paciente y muchos otros. Naturalmente, los hackers sociales también lo usan.

Para que el entrevistado pase a la pregunta que le interesa, debe estar ligeramente "ofendido", para lo cual a veces basta con decir una frase como "Pero la organización A (nombre de una organización competidora), en Vesti Rossii periódico, se dice que sus productos, de acuerdo con características técnicas muy superiores a productos similares fabricados en su empresa?" para que el entrevistado se apresure a defender el honor de su empresa natal y cuente todo lo que sabe sobre este producto. Solo más tarde se apresurará a buscar un número de este periódico para ver con sus propios ojos la insolencia de los competidores, y no encontrará ese número, por supuesto. Sí, y un periódico con el mismo nombre no lo encontrará. Para una mayor persuasión, a veces puede imprimir deliberadamente una sola copia de este periódico específicamente para el entrevistado para la entrevista, o crear un sitio web de periódico en el que demostrar el artículo que mencionó durante la entrevista. Por supuesto, en total, resolver tales insignificancias puede llevar tiempo y conllevar gastos financieros, pero si vale la pena, entonces cuantas más pequeñas cosas se proporcionen, mejor. Luce mucho más espectacular y prácticamente anula cualquier sospecha, aunque fuera al principio.

Nota

Estoy completamente convencido de que muchos de sus oficiales de inteligencia y los nuestros toman una parte considerable de la información de los periódicos. También creo que las palabras de uno de nuestros conciudadanos, que fue condenado por espionaje, que tomó todos los "secretos" puramente de materiales periodísticos, esto es cierto. En general, según diversas opiniones, alrededor del 90% de todos cerrado exploradores de todas las tendencias y rangos reciben información de abierto fuentes. Me dijeron que muchos directores, después de enterarse de lo que dijeron sus empleados (a veces a nivel de diputados) en las entrevistas, se apresuraron a cortar los teléfonos de las oficinas editoriales y ofrecer cualquier beneficio, si solo esta entrevista no salía.

A menudo, el enfoque inverso también es beneficioso, cuando no atacas al entrevistado, sino que, por el contrario, haciendo el "tonto técnico" de ti mismo, pides una explicación de uno u otro detalle. Esta también es una forma muy efectiva.

Nota

De cara al futuro, notamos que en términos de análisis transaccional, en este caso se está comunicando a través de la transacción Niño-Padre (hablaremos sobre el análisis transaccional en detalle en Capítulo 5). Usted está en el papel del Niño, dándole al entrevistado el papel del Padre. ¿Y adónde debe ir el Padre sabio, sino para enseñar al Niño todo lo que él mismo sabe? La transacción Niño-Padre es perfecta para iniciar muchas manipulaciones, y también hablaremos de esto en capítulo 5, que describe las principales disposiciones del análisis transaccional. Piense en este ejemplo mientras estudia este capítulo. En el mismo caso, cuando le dijiste al entrevistado que, según dicen, los competidores tendrán mejores productos que los tuyos, realizaste una recepción inversa, y te asignaste el papel de Padre agresor, y el que dio la entrevista fue empujado a el papel de un Niño, obligándote a poner excusas. En otras palabras, su comunicación tuvo lugar a lo largo de la línea Padre-Hijo.

Así, habiendo estado en la exposición, tomando 10 entrevistas en cinco días, bebiendo cerveza con algunos entrevistados especialmente benévolos en un bar y hablando "de por vida", así como leyendo todos los periódicos durante los últimos seis meses que informaron sobre las actividades de esta empresa, sabía prácticamente todo, incluso los aspectos íntimos de las actividades de la alta dirección, que informó a este liderazgo en su informe.

La disputa fue ganada y el liderazgo reflexionó profundamente. Luego, juntos descubrimos cómo minimizar las consecuencias de tales ataques. Que, sin embargo, difícilmente pueden llamarse ataques. Nadie rompió las defensas del enemigo, arriesgando su propia vida, nadie puso a nadie en trance y, en general, no se hizo nada ilegal. Todo era absolutamente legal y bastante simple. Pero eso no lo hace menos aterrador, porque así, cuando las piezas de información empiezan a tomar forma en un mosaico, puede salir una buena bomba, que en manos hábiles puede hacer esas cosas...

Nota

Además de la entrevista, es útil llevar a cabo una serie de actividades relacionadas. Asegúrese de pararse en las salas de fumadores, pase el rato en la salida principal. Una vez fuimos a un cliente, a una empresa, y olvidé mi pase, y tuve que aburrirme esperando a un colega en el vestíbulo principal de la empresa durante un par de horas. Entonces, durante este par de horas, sin saberlo, aprendí mucho sobre las actividades de la empresa y sobre los problemas que tiene actualmente.

Ahora unos pequeños comentarios sobre esta subsección.

Sobre la importancia de acostumbrarse al rol o habilidades actorales de los hackers sociales

Sea quien sea el hacker social, sea cual sea el papel que desempeñe, debe hacerlo de manera convincente. Y para ello debe “acostumbrarse” al personaje que interpreta. Todos los hackers sociales exitosos son grandes actores. Al acostumbrarse al papel, controlan, entre otras cosas, sus reacciones no verbales.

Nota

Para respuestas no verbales, véase aplicación 1.

Un ejemplo sencillo. Digamos que eres un hombre y te vistes como una mujer y quieres que todos crean que eres una mujer. Usted mismo comprende que cambiarse de ropa no es suficiente. Porque para que los demás crean que eres exactamente el personaje que estás interpretando, debes vivir este papel. En nuestro caso, debes actuar como una mujer. Aunque para ti trabaje una docena de los mejores maquilladores, que harán todo lo posible para que "un mosquito no te socave la nariz". Y arruinarás todo su trabajo encendiendo un cigarrillo de una manera típicamente masculina. Etc. Si juegas a un vagabundo alcohólico, significa que tan pronto como ingreses a la tienda, todos deben alejarse de ti, gritarte, los guardias deben saltar hacia ti y sacarte de la tienda con sus manos blancas, mientras hacen muecas. desdeñosamente.

Si una persona es un buen actor, entonces puede considerarse un hacker social 50% consumado. Si también entiende de psicología, entonces podemos suponer que como hacker social tiene un 100% de éxito, porque "estupefará" a casi cualquiera. El punto aquí es que mucha gente mira solo la parafernalia externa y no mira la esencia. Esta es una de las reglas básicas de la ingeniería social. Una regla que ha sido entendida durante mucho tiempo por todos los que están relacionados de alguna manera con la manipulación de la conciencia humana: hackers sociales, productores, personas de relaciones públicas de todas las tendencias y rangos, etc. Puede dar tantos ejemplos de la efectividad de esta regla como desee. , debería al menos mirar los resultados de las pasadas elecciones.

Nota

La misma regla funciona muy bien cuando se negocia, lo cual discutiremos en detalle en aplicación 1.

Para ilustrar esta regla, considere el siguiente ejemplo con más detalle. Supongamos que uno de los autores de este libro viene a dar una conferencia. Al mismo tiempo, entrará en la audiencia con un paso inestable, dará una conferencia con voz tartamuda, en general, será una especie de concentración de timidez frente a la audiencia. Pero al mismo tiempo, dirá que él es el ganador de este, este, el quinto y el décimo, el líder allí, y también el consultor aquí y aquí, y también pondrá frente a él todos los artículos científicos. y libros escritos, de los cuales hay muchos. Y si, después de la conferencia, se le hacen algunas preguntas a la audiencia, entre ellas "¿Cómo crees que el autor entiende la vida?", la gran mayoría responderá que es "un completo tonto" en la vida. Por lo tanto, todos prestarán atención solo a las manifestaciones externas (en este caso, la incertidumbre), sobre el hecho de que los premios y premios no se entregan así, los libros no salen volando de su propia pluma, los consultores no reciben dinero por hermoso ojos, y en general, para lograr todo esto, necesita al menos un poco de "inteligencia en la vida cotidiana", por regla general, nadie presta atención.

Nota

Desde el punto de vista del análisis transaccional, que se discutirá un poco más adelante, esto se explica por el hecho de que en este caso el autor desempeñó el papel de Niño, y a los oyentes se les asignó el papel de Padres. Naturalmente, dado que las personas en lugares simplemente están obsesionadas con su propio significado, sus padres son sabios y entienden mucho en la vida (por supuesto, desde el punto de vista de su opinión subjetiva, como en realidad, solo se puede adivinar). Bueno, ¿qué Padre dirá que el Niño entiende la vida? Así es, ninguno. En general, la posición cuando usted está en el rol de Niño y asigna el rol de Padre a otros, mientras trabaja en el marco de la transacción Niño-Padre, es la más conveniente para cualquier manipulación.

Supongamos ahora que el mismo autor da una conferencia a la misma audiencia tres días después. Pero al mismo tiempo, ya hablará con confianza, claramente, no tendrá miedo de la audiencia, sino que, por el contrario, se comportará con ellos incluso con un poco de arrogancia, y así sucesivamente. Y después de la conferencia, se le preguntará nuevamente a la audiencia sobre la comprensión de la vida por parte del autor. Y ahora la mayoría responderá que desde la última conferencia el autor "se ha vuelto más sabio en la vida" lo suficiente. Por lo tanto, nuevamente, casi todos prestarán atención solo a la parafernalia externa, y el hecho de que pocas personas lograron "volverse más inteligentes en la vida" en tres días, y el profesor permaneció exactamente igual que la última vez, nunca se le ocurriría a nadie. .

Si un hacker social, además de actuar, también sabe de psicología, entonces, como ya hemos dicho, “todas las edades se le someten”. Porque es muy consciente de otras dos debilidades humanas, jugando en las que puedes lograr mucho.

La siguiente regla de los hackers sociales es que "La mayoría de las personas son adictas negativamente a su sentido de la importancia personal". Y esto significa que esta dependencia negativa puede ser un buen blanco para el ataque. La dependencia de un sentido de autoestima en general no significa nada malo en sí mismo. Al contrario: cualquiera de nosotros quiere sobresalir de alguna manera y de alguna manera, es decir, queremos sentir nuestra trascendencia. La pregunta es que puedes sobresalir de diferentes maneras y también puedes relacionarte con el hecho de que de alguna manera necesitas sobresalir de diferentes maneras. La dependencia negativa se observa cuando una persona quiere sobresalir a toda costa y hacerlo con la mayor frecuencia posible. Cualquier hacker, por ejemplo, es una persona con una dependencia negativa de un sentido de autoestima.

Nota

Desde el punto de vista del análisis transaccional, la dependencia negativa de un sentido de autoestima puede explicarse por el hecho de que esa persona tiene un componente Adulto débil. Por cierto, si una persona de análisis tiene un Adulto débil (o, en la terminología de Freud, un SuperYo débil), entonces esa persona solo necesita un poco de halago, y "él es tuyo". Como dice el refrán, "lo que no supo, lo dirá, y lo que no supo, lo hará".

Las personas que tienen esta, digamos, deficiencia son muy vulnerables a las acciones de los hackers sociales. Realmente, muy a menudo solo necesitan un poco de halago, para que hagan por ti lo que quieras. Otra desventaja de estas personas es que son muy envidiosas. Y la envidia, según la acertada expresión de A. Rosenbaum, es un sentimiento que "hace ganado muy grande a gente muy buena, ya veces en muy poco tiempo". La envidia es la raíz de toda intriga. Jugando con la envidia de un empleado de la empresa a otro, puedes hacer mucho. En una organización, no es difícil reconocer a un empleado que es propenso a una dependencia negativa de un sentido de autoestima. A veces, para esto, es suficiente para él hacer solo un comentario justo sobre su trabajo. Una persona normal, si el comentario es realmente justo y se hace en un tono normal, pensará cómo asegurarse de que esto no vuelva a suceder. El que piensa demasiado en sí mismo reaccionará algo así. Primero, al principio se emborrachará. Después de eso, él discrepa desafiante contigo: comenzará a tejer cualquier tontería científica, solo para demostrar su desacuerdo. Y entonces, o bien se ofenderá abiertamente, y con toda su apariencia demostrará cómo lo ofendiste en los mejores sentimientos, o albergará este insulto. Ahora imaginemos que un gerente de una organización competidora, que duerme y ve, se acercará a un "empleado ofendido" para robarle un par de empleados junto con una base de clientes. Tal gerente aparecerá, hablará un poco "de por vida", halagará y luego dirá:

Veo que no eres muy apreciado aquí. ¿Sabes que? Te gustaria unirte a nosotros? ¿PERO? El salario es mejor, las condiciones son mejores, el equipo es mejor, y lo más importante, no buscarás clientes gratis, como aquí, sino por algo de dinero: 10% de la transacción de cada cliente traído (necesitas un cliente base, más que el propio empleado, por lo que necesita que le interese para arrastrar a todos los clientes).

Y mucha gente irá.

La tercera regla de la ingeniería social establece que "Muchas personas quieren que todo lo bueno que solo les puede pasar en la vida suceda lo más rápido posible y preferiblemente con el mínimo esfuerzo de su parte". Un ejemplo del funcionamiento de esta regla son los miles de inversores engañados de la misma notoria MMM, que creyeron que invirtiendo 100 rublos (saliendo con costes mínimos) se puede conseguir un millón en un año (y rápido, lo más importante). Otro ejemplo muy conocido es cuando la mayoría de la gente vota por las promesas de los candidatos en los que dicen lo mismo de diferentes maneras: "en cuanto vengan, todo estará bien de una vez".

La cuarta regla dice que "muchos seres humanos son excepcionalmente ávidos de dinero". O dicho de otro modo, algunos pierden el sentido de la realidad después de agitar un billete frente a sus narices. Y si no con un billete, sino con una maleta con billetes, entonces el sentido de la realidad se pierde seriamente y durante mucho tiempo. Aprovechar esta debilidad es una de las principales técnicas de la ingeniería social. Se usa en diferentes variaciones: desde sobornos banales hasta "cartas de felicidad", que dicen que "si transfiere dos dólares a esta cuenta, recibirá veinte en un mes".

La ingeniería social es, con raras excepciones, casi siempre un juego de vicios y debilidades humanas. Raras excepciones incluyen, por ejemplo, excesiva credulidad. Aunque aquí, cómo decir.

Sobre la importancia de pensar en los detalles

Un hacker social exitoso siempre piensa en todo hasta el más mínimo detalle. Por ejemplo, si fue a tomar una entrevista, entonces tendrá preparada una tarjeta de presentación, donde se escribirá que es corresponsal de tal o cual periódico. Si llama al número de teléfono especificado, tampoco encontrará nada extraño, porque la niña levantará el teléfono y dirá con voz encantadora:

- La redacción del periódico "Mundo de la Ciudad". Svetlana Kupriyanova. Hola.

Hacer arreglos para que alguien se siente al teléfono durante un par de horas es un asunto corto. De la misma manera, cómo negociar no solo con una chica, sino también con un hombre que, en ese caso, dirá que es el redactor jefe y le pedirá perdón al entrevistado por el hecho de que "así como , sin previo aviso, enviaron un corresponsal, disculpe, el número está encendido, y la información sobre su empresa es muy necesaria, porque su empresa es una de las más importantes de nuestra ciudad, pero si está en contra, de Por supuesto, entonces Pyotr Semenovich se irá de inmediato y no lo molestará, pero realmente le pido que le dedique tiempo, por supuesto, tanto como pueda, entiendo todo, dado su ajetreo, lo difícil que es ... " . Y estupefacto por una charla tan halagadora del CEO, acepta tomarse el tiempo para una entrevista.

Algunas reglas para realizar una "entrevista"

Asegúrese de halagar al interlocutor mostrando que es consciente de su importancia en la empresa. Es mejor hacer esto ya sea al principio, justo durante la introducción a la entrevista, o más cerca de la mitad de la conversación.

Asegúrese de resolver todos los pequeños detalles e intente obtener la mayor cantidad de información posible sobre el entrevistado y sus actividades antes de la entrevista. Las personas se revelan solo a aquellas en las que ven un interlocutor interesado en su persona. Además, si estás "en el saber", entonces tendrás el papel de una persona informada, y en relación a una persona informada, el porcentaje de confianza es mayor (dicen, la tuya), y los "frenos internos " debilitar (no da miedo que una persona bien informada diga algo superfluo, ya que probablemente él mismo sepa todo esto, pero lo que pregunta, bueno, de acuerdo con el plan de su entrevista, se supone que debe preguntar sobre eso allí. Sin embargo, no te olvides de decir cosas obviamente incorrectas.Esta también es una muy buena técnica, ya que muchas personas tienen un deseo inherente de mostrar tu importancia, y tan pronto como muestras tu incompetencia, inmediatamente comienzan a corregirte.

Se paciente. El interrogatorio encubierto requiere paciencia. Nunca apresures las cosas. Si tu interlocutor entiende que necesitas algo más de él que una simple entrevista, simplemente se cerrará y comenzará a hablar sobre el clima. De la misma serie, consejos de que en ningún caso se debe "presionar" al interlocutor, llevándolo a la fuerza a la pregunta correcta.

Escuche atentamente al interlocutor. EN a lo largo de la duración de la entrevista. En ningún caso debe hacerlo para mostrar su interés en un tema en particular. Porque debe estar interesado en todas las preguntas, y la pregunta que realmente le interesa debe ser solo "una de" en la serie de preguntas que hace. Incluso es recomendable planificar la conversación para que la pregunta que te interesa no la hagas tú, sino el propio interlocutor. Por lo tanto, debe planificar la conversación de tal manera que lleve al interlocutor sin problemas al tema que le interesa.

No termine la entrevista justo después de que todos lo sepan.

Después de eso, cambie a temas neutrales y de esta manera termine la conversación. Esto es importante no solo para que el interlocutor no sospeche que algo anda mal, sino también para cumplir con "ley de la tierra" según el cual se recuerdan mejor aquellos momentos de una conversación que ocurren al principio y al final. Y lo que está en el medio, respectivamente, se recuerda mucho peor. En general, la regla de buena forma en "sacar" información es construir un interrogatorio encubierto para que el interlocutor no sepa en absoluto que soltó algo superfluo. Para hacer esto, debe seguir dos reglas simples, que en el 70% de los casos conducirán al resultado deseado:

- enmascare las preguntas que son significativas para usted con una serie de preguntas insignificantes;

- hacer las preguntas adecuadas en medio de la conversación, para que, según la ley de la región, el entrevistado las olvide primero.

Dejar una impresión favorable en la entrevista. en tu interlocutor Esto es importante, en primer lugar, para que su interlocutor tenga el deseo de continuar la comunicación en el futuro.

Nota

Sobre las reglas de negociación y las leyes psicológicas que las subyacen, hablaremos en detalle en solicitud 1.

Reglas simples para evitar este tipo de ataques

Hay dos reglas muy simples para evitar este tipo de ataque.

Regla uno. Ninguno de los empleados de la empresa debe saber más de lo que se supone que sabe por puesto. Desafortunadamente, esta regla a menudo no se respeta y sucede que cualquier empleado sabe nada menos que el director general. Lo cual, por supuesto, no solo es incorrecto, sino muy peligroso.

La mayoría de las personas son malas guardando secretos.

Si usted es un líder de cualquier escala y rango, recuerde una de las reglas más importantes, cuya implementación lo protegerá en un gran porcentaje de muchos ataques de ingeniería social. La regla es esta: la gran mayoría de las personas ni siquiera pueden guardar sus propios secretos, y mucho menos los de otra persona. Si comparte en privado cualquier información con cien de los mejores empleados, advirtiendo a todos que la información es estrictamente secreta, puede estar seguro de que 90 personas seguramente "la filtrarán". Por muchas razones. Alguien por estupidez mundana, alguien con su esposa en el té de la tarde, alguien "borracho", alguien se sentirá abrumado por la sensación de su propia importancia, porque "el general mismo confió y le dijo" y, por supuesto, debe contarlo. este amigos a los que nunca nadie ha confiado información tan importante... Hay muchas razones para ello. Y no son lo principal: el resultado es importante: la mayoría no puede guardar secretos. Y, por supuesto, una de las cualidades de un buen líder es la capacidad de entender a las personas, lo cual es útil al menos para distinguir a esas cinco o diez personas de este centenar que realmente no tienen miedo de confiar.

Nota

Y además. Una pequeña adición a la segunda regla. No puede limitarse en los medios de intimidar a sus empleados sobre lo que les sucederá después de que roben algo en su organización. Porque algunos trabajadores solo pueden ser disuadidos de malas acciones por el miedo. Ya que el miedo por su futuro futuro para muchos es el único sentimiento que es más fuerte que la pasión por el dinero.

Robo de bases de datos de clientes

Continuemos lo que empezamos Capítulo 1 hablar de robar bases de datos de clientes. A pesar de que solo unos pocos casos de robo de bases de datos de clientes son públicos, la cantidad de casos conocidos por el público en general ha crecido significativamente en los últimos años. Para nosotros, lo más interesante es que la mayor parte del robo de información está asociado al uso de métodos de ingeniería social.

Nota

La razón por la que solo un pequeño porcentaje de tales robos se hace público es que las empresas, naturalmente, no quieren estropear su reputación confesando su propio descuido.

La forma más fácil de obtener bases de datos de clientes es aprovechar el descuido de los empleados que trabajan en la empresa. A menudo, las facturas y otros documentos están tirados en las mesas de los empleados que todavía tienen la costumbre de salir de la oficina durante 10-30 minutos, por lo que si no es necesario, reconsiderará todo por aburrimiento. En algunas tiendas, por ejemplo, de venta de material de oficina, muebles, etc., muchos vendedores elaboran facturas de espaldas a su ordenador, y el hecho de que yo, por ejemplo, pueda ser empleado de una empresa competidora, y nada impide que me quede atrás y mire la lista de clientes, a nadie le importa. Una vez, a una señora que tardó demasiado en completar mi compra (en una tienda de informática), le dije: "Niña, veo que no estás muy familiarizada con 1C-enterprise, déjame ayudarte". La chica aceptó mi pedido con mucho gusto, se levantó de la computadora y... generalmente se fue por 15 minutos. Probablemente beba té. Aún más interesante, ninguno de los empleados que corrían de un lado a otro junto a mí (su computadora estaba en el centro de la tienda) no preguntó qué era realmente yo ( extraño) Me siento detrás de él.

Son muy comunes los casos de robo de bases de datos de clientes, aprovechando el descuido del personal que labora en la empresa.

Por ejemplo, para empezar, puede presentarse como empleado de una empresa que instala bases de datos y, por lo tanto, penetrar en una computadora, o simplemente pedir a los empleados que averigüen qué bases de datos ya están instaladas en las máquinas de los usuarios. Y si tienes suerte, descárgalos al mismo tiempo.

Puede hacer lo que sucedió en una compañía de energía en San Petersburgo (describimos este caso en Capítulo 1), cuando una persona, presentándose como amigo de un empleado enfermo (administrador del sistema), dijo que un amigo le pidió que lo reemplazara hoy. Aunque es muy fácil averiguar si lo preguntó un amigo u otra persona: llame a su empleado y verifique la información. Es cierto que puedes actuar con más astucia y realmente asegurarte de que un amigo confirme esta información. Puede convertirse en amigo del administrador del sistema por un tiempo. Puede que no sea el mejor. Lo principal es que esta amistad debería ser suficiente para el hecho de que cuando realmente se enferma (o simplemente por alguna razón no puede ir a trabajar), acude a quien necesita ayuda. A un amigo, es decir, que solo está esperando esto. O no solo esperar, sino tratar de forzar la situación. Por ejemplo, de repente recibiste una citación a la oficina de registro y alistamiento militar, y qué casualidad, esa noche cuando la encontraste en tu buzón, justo ibas a tu casa con un amigo a tomar cerveza.

- Oh, e..., - le dices a tu "amigo", - Definitivamente necesito estar en el trabajo mañana. que hacer entonces...

Y es amigo por eso y amigo, para asegurar un compañero en el momento oportuno.

“Sí, es una tontería”, te dice, “vale tres kopeks”. Déjame ir mañana en tu lugar y hacer todo. Llame a su jefe, advierta que, bueno, dicen, y así, tengo una situación así y mi buen amigo vendrá en mi lugar.

Y, regocijándose de lo bien que se resolvió todo, tú y tu “amigo” vais a tomar cerveza tranquilos.

Puedes conseguir un trabajo durante un mes en una empresa de la que necesites robar bases, como jefe de ventas. Y lo dejo para el segundo día, diciendo que no le sentaba bien al equipo en general y al director en particular.

Nota

Una de las formas más fáciles de robar la base de datos deseada. Por lo tanto, un taller de relojes de Moscú robó una base de datos de clientes de su competidor. El precio de emisión fue de alrededor de $ 1500.

Y, por último, el tipo más común de robo de base de datos es "abandonar" la empresa junto con los empleados, como sucedió hace algún tiempo con una empresa de venta de muebles de Moscú, cuando todos los gerentes clave se fueron y abrieron su propio negocio. Una situación similar ocurrió recientemente en San Petersburgo en gran compañía se dedica a la venta de celulares. En ambos casos, sólo la capacidad de negociación de los directores con los socios, a quienes les explicaron la situación, ayudó a salvar el caso. Hay un caso bien conocido en Novosibirsk cuando los gerentes clave abandonaron una empresa dedicada al suministro corporativo de computadoras y crearon su propia empresa, naturalmente, para trabajar con aquellos clientes a los que atendían mientras trabajaban en la organización anterior. Se pueden dar ejemplos durante mucho tiempo.

¿Cómo protegerse del robo de bases de clientes? Lo más sencillo es seguir las reglas de protección de las que hablamos en el apartado anterior, complementándolas con unas cuantas más. Asi que.

Ninguno de los empleados de la empresa debe saber más de lo que se supone que sabe por puesto.

El contrato de trabajo con el empleado debe contener una cláusula que establezca que el empleado será responsable de la divulgación de información comercial, hasta la responsabilidad penal.

Nota

Una vez más, este punto es uno de los más importantes para proteger a la empresa de estos casos. En el contrato de trabajo con el empleado, debe establecerse claramente, en primer lugar, cuál es el objeto de un secreto comercial y, en segundo lugar, qué problemas le esperan al empleado, incluidos aquellos que renuncian después de la divulgación del secreto comercial por parte de este empleado. El empleado debe explicar claramente que, de acuerdo con el art. 7, 8, 10 y 11 de la Ley Federal "Sobre Secretos Comerciales", el patrón tiene derecho a suscribir con el trabajador un documento de no divulgación de información que, a juicio del patrón, constituya objeto de un contrato comercial. secreto de la empresa, y para cuya divulgación puede aplicar ciertas medidas al empleado, hasta antes del enjuiciamiento, y de acuerdo con el art. 4 de esta ley, el empleado estará obligado a compensar las pérdidas causadas a la empresa como resultado de la divulgación de información confidencial por su parte (el monto de los daños lo establece el tribunal). Se sabe que después de tal sesión informativa, para la mayoría de los empleados, la idea de revelar algo desaparece en el momento en que aparece. Especialmente para aquellos para quienes esto no es suficiente, puede entrar en casuística legal y explicar que la base de datos de clientes, de hecho, puede ser considerada como un medio de producción, que es propiedad del empleador. De lo que se deduce que el robo de esta base ya puede considerarse como robo de la propiedad de otra persona, que es objeto del artículo correspondiente del Código Penal (Artículo 159 del Código Penal de la Federación Rusa). Además, puede informar al empleado que, si realmente lo desea, puede iniciar una acción judicial por el robo de una base de datos en virtud de cuatro artículos del Código Penal: el ya mencionado art. 159 ("Robo"), art. 272 ("Acceso no autorizado a la información informática"), art. 183 ("Divulgación y recepción ilícitas de información constitutiva de secreto comercial, bancario o fiscal") y el art. 146 ("Violación de derechos de autor y derechos conexos"). La práctica demuestra que cuando las personas tienen la oportunidad de ser procesadas por robar información, se vuelven mucho más circunspectas en sus acciones.

Los extraños no deben tener fácil acceso a la oficina.

Si hay otras personas en la habitación, los empleados no deben abandonar la habitación bajo ninguna circunstancia.

A menudo sucede que casi cualquier empleado tiene acceso a la base de clientes, ya que la base de datos se encuentra en un servidor Doc común, al que solo la señora de la limpieza no tiene acceso. Por supuesto, esto no debería suceder. El acceso a la base de datos de clientes sólo debe darse a aquellos empleados que tienen derecho a ella por puesto. Esta es una regla bien conocida, según la cual cuantas menos personas tengan acceso a información confidencial, menos probable es que esta información "se deje de lado".

Comentario

Muchos expertos en el campo de la inteligencia competitiva también dan una regla según la cual todas las computadoras que tienen acceso a la base de clientes no deben tener acceso a Internet, estar sin unidades de disco, unidades de CD y DVD-ROM, entradas USB y nada puede ser impresos a partir de ellos, etc. En nuestra opinión, esta regla, en primer lugar, no es realista, ya que tales medidas simplemente dificultarán mucho el trabajo y, en segundo lugar, no conducirán a nada, ya que en este caso las computadoras aún deberían estar y sin monitores. , por lo que era imposible volver a fotografiar la información de la pantalla del monitor. Actualmente, algunos expertos se inclinan a creer que la introducción de sistemas ayudará a reducir las pérdidas por el robo de bases de clientes de las computadoras. CRM(sistemas de gestión y contabilidad para las relaciones con los clientes).

El phishing es uno de los tipos más comunes de ingeniería social en la actualidad. En esencia, el phishing consiste en obtener información para acceder a cuentas bancarias de usuarios incautos. Es común en aquellos países donde los servicios bancarios por Internet son populares. La mayoría de las veces, los "phishers" usan correos electrónicos falsos que pretenden ser enviados por un banco, pidiéndoles que confirmen una contraseña o una notificación sobre una transferencia de una gran cantidad de dinero.

Nota

La palabra "phishing" en sí proviene del inglés fishing, que, a su vez, se traduce como pesca. Se le dio ese nombre a este tipo de fraude porque en realidad es muy similar a la pesca, ya que el pescador esencialmente lanza el anzuelo (o más bien, varios cientos de anzuelos) y espera a que alguien lo “muerda”.

La esencia del phishing es la siguiente. El atacante obliga al usuario a proporcionarle cierta información secreta: información sobre cuentas bancarias, tarjetas de crédito, etc. Lo más importante es que la víctima realiza todas estas acciones de forma absolutamente voluntaria: los phishers son buenos psicólogos y actúan con claridad.

Hay tres tipos principales de phishing:

Correo;

En línea;

Conjunto.

Suplantación de identidad por correo electrónico apareció primero: el público se enteró de este tipo de fraude en 1996.

Nota

Luego, varios miles de clientes del proveedor America Online recibieron correos electrónicos de un "representante de la empresa" con la solicitud de enviar un nombre de usuario y contraseña para ingresar al sistema. Y muchos han sido enviados.

La esencia del phishing por correo electrónico es que se envía un correo electrónico a la víctima, que contiene una solicitud para enviar ciertos datos confidenciales. Por ejemplo, en nombre de un proveedor de Internet, se envía una carta desde una dirección de correo electrónico similar (o idéntica), que dice que el proveedor necesita averiguar el nombre de usuario y la contraseña para acceder a Internet del usuario especificado, ya que el propio proveedor , por una u otra razón "colapsado") no puede hacer esto. Un ejemplo más interesante está relacionado con un conocido banco estadounidense, cuyos clientes una vez recibieron mensajes de que había llegado a su cuenta una gran transferencia (digamos varias decenas de miles de dólares), y de acuerdo con el acuerdo, ya que la cantidad de la transferencia superó los $ 1000, para confirmar la recepción de la transferencia, debe seguir el enlace provisto al final de la carta e ingresar toda la información necesaria para confirmar la transferencia. De lo contrario, la transferencia será devuelta. Pocos pudieron superar su codicia y varios miles de clientes bancarios se convirtieron en el objetivo de un ataque de phishing.

Nota

Este es exactamente el caso cuando los piratas informáticos sociales jugaron brillantemente con uno de los vicios humanos: la codicia.

Suplantación de identidad en línea radica en el hecho de que los estafadores copian cualquiera de los sitios conocidos uno a uno, y se elige para él un nombre de dominio muy similar (o el mismo, solo que en una zona diferente), y se crea un diseño idéntico.

Nota

Como cebo (atracción), los productos de estas tiendas online falsas se venden a precios casi de dumping, lo que no es de extrañar, porque en realidad nadie vende nada.

Lo que sucede a continuación es algo como esto. Habiendo decidido realizar una compra en la tienda, el usuario ingresa su nombre de usuario, contraseña y número de tarjeta de plástico, después de lo cual el atacante conoce todos estos datos. Después de eso, el estafador inmediatamente "anula" la tarjeta de crédito de la víctima.

Nota

Este tipo de phishing a veces se denomina imitación de marca(suplantación de marca).

Suplantación de identidad combinada es una combinación de los dos tipos anteriores de phishing. Su aparición se debe a que el correo electrónico y el phishing en línea ya están bastante desactualizados y los usuarios se han vuelto más alfabetizados en términos de seguridad de la información. Así que a los phishers se les ocurrió una táctica diferente. Al igual que en el phishing en línea, se crea un sitio falso y luego, como en el phishing por correo electrónico, se envían correos electrónicos a los usuarios pidiéndoles que visiten este sitio.

Nota

Este es un movimiento psicológico bastante fuerte, gracias al cual el phishing combinado se generalizó de inmediato. El hecho es que los visitantes se han vuelto más cautelosos, y ya algunos solo dirán sus contraseñas (aunque las hay). Y en el phishing combinado, esta alerta simplemente se elimina, debido a que en la carta no se le pide al usuario que proporcione ningún dato confidencial, sino que simplemente se le pide que ingrese al sitio. Sólo. El usuario simplemente está invitado a ir a cualquier sitio y hacer todas las operaciones necesarias por sí mismo.

Ahora hay un verdadero auge en el phishing. Esto, en particular, puede evidenciarse con las siguientes cifras: de octubre a enero de 2005, la Comisión Federal de Comercio de EE. UU. registró más de 10 millones (!) Quejas de usuarios que fueron víctimas de ataques de phishing. El monto total de las pérdidas, según la misma organización, fue de unos 15.000 millones de dólares en 2005.

Nota

Naturalmente, las leyes de todos los países no eran adecuadas para este nuevo tipo de fraude.

De la historia del phishing ruso

En Rusia, el primer caso reportado de phishing se remonta a mayo de 2004, cuando los clientes de Citibank recibieron correos electrónicos pidiéndoles que visitaran el sitio web del banco (un sitio web falso, por supuesto) y verificaran su número de tarjeta y PIN.

Los pescadores en sus actividades utilizan perfectamente la conexión con ciertos eventos. Por ejemplo, una persona recibe una tarjeta de felicitación exactamente el día de su cumpleaños, que dice que el día de su cumpleaños, el banco, del cual es cliente, transfirió $500 a su cuenta como parte de la campaña "Cumpleaños" en curso. Para obtenerlos, debe ir al sitio web del banco (falso, por supuesto) e ingresar la información necesaria. Muchos no rehuyen usar eventos tan tristes para todos como grandes ataques terroristas o desastres naturales, cuando varias organizaciones piden a las personas que transfieran dinero al fondo de ayuda para las víctimas. Pregunte y phishers. De acuerdo con los mismos esquemas que consideramos: vaya al sitio, regístrese y cancele una cantidad de su cuenta.

Nota

En el momento de escribir este artículo, Opera es el único navegador equipado con protección antiphishing de forma predeterminada, a partir de la versión 8.0.

Actualmente, muchos profesionales de TI de todo el mundo están ocupados desarrollando formas de protegerse de los ataques de phishing. Además de incluir en la lista negra los sitios de phishing en los navegadores, se han propuesto varios otros métodos.

Generadores OTP

Dado que la esencia del phishing es obtener las contraseñas y la información bancaria necesaria para acceder a las cuentas electrónicas de los usuarios, el uso de generadores de contraseñas de un solo uso le permite sortear este tipo de fraude. El generador de contraseñas de un solo uso se parece a una pequeña calculadora de bolsillo ordinaria. Cuando un usuario ingresa al sitio web del banco, para poder acceder a su cuenta, necesita ingresar la secuencia de caracteres que muestra el generador. El banco aplica el mismo algoritmo para crear una contraseña. El acceso se otorga solo si ambas contraseñas coinciden. Dicha contraseña no puede ser robada por la sencilla razón de que solo se puede acceder a ella una vez. Las desventajas de usar un sistema de este tipo son los costos adicionales para los clientes.

Nota

Actualmente, muchos bancos en los EE. UU. y Europa, así como grandes proveedores de Internet, como AOL, utilizan generadores de contraseñas de un solo uso.

Uso de dispositivos USB

La esencia de esta técnica es que el usuario no podrá acceder a su cuenta si no conecta un dispositivo USB a su computadora. En este caso, los estafadores tampoco podrán acceder a la cuenta del usuario.

Nota

Junto con los dispositivos USB, también se propuso utilizar tarjetas especiales con microcircuitos que se insertan en un lector conectado a una computadora. Sin embargo, esta opción se rechaza por cara.

Verificación móvil

La esencia de esta técnica es que el acceso a la tarjeta se realiza solo después de que el usuario envíe un mensaje SMS (Short Message Service) desde su teléfono móvil, cuyo número informó al banco.

Hashing de las contraseñas de un sitio web específico

El hashing de contraseñas evita el robo de datos confidenciales al agregar información específica del sitio donde se supone que se aplica la contraseña. El usuario simplemente ingresa su contraseña en un formulario especial, y el navegador la convierte y agrega la información necesaria. La conclusión es que el sitio web en el que el usuario ingresa la contraseña no está informado de esta contraseña en su forma pura, la contraseña ya cifrada llega al sitio. Por lo tanto, incluso si el usuario ingresa su contraseña en un sitio falso, los piratas informáticos no podrán usarla. El sitio real utiliza el mismo esquema hash que el titular de la tarjeta.

Una forma de fraude más peligrosa que el phishing es el llamado agricultura. El pharming consiste en cambiar las direcciones DNS para que las páginas que visita el usuario no sean páginas originales de, por ejemplo, bancos, sino páginas de phishing.

Dado que la esencia del pharming es redirigir automáticamente a los usuarios a sitios falsos, el pharming es mucho más peligroso que el phishing, ya que, a diferencia de este último, el nuevo método de robo de datos no requiere el envío de cartas a las posibles víctimas y, en consecuencia, su respuesta. . Este es, por supuesto, un método de fraude más sofisticado, aunque técnicamente mucho más complejo que el phishing. Pero, por otro lado, cuando se cultiva, el usuario prácticamente no tiene motivos para mostrar su desconfianza: nadie envió cartas, nadie pidió ingresar al sitio. El propio usuario, a petición propia, decidió ir a la web del banco, y fue. Solo que no en el original, sino en un sitio falso.

Muchos investigadores también atribuyen el peligro del pharming al hecho de que, para desarrollarlo, los piratas informáticos realizarán cada vez más ataques a los servidores DNS, y estos ataques se volverán más sofisticados. El peligro es que si aumenta el número de hackeos de servidores DNS, se generará un verdadero caos en la red global.

Nota

El servicio DNS (Domain Name System) está diseñado para hacer coincidir la dirección del sitio que el usuario ingresó en el navegador con la dirección IP real del servidor en el que se encuentra este sitio. El servicio DNS a menudo se compara con un directorio telefónico, donde primero selecciona un nombre, luego busca el número y luego llama al número especificado. Entonces está aquí: elige el nombre del sitio, el servicio DNS le dice su "número" (dirección IP), después de lo cual va al sitio especificado.

Además de un aumento en la piratería de servidores DNS, los investigadores también predicen un aumento en la piratería de redes, como la suplantación de ARP, que, en esencia, es una suplantación de dirección MAC y está diseñada para escuchar el tráfico entre dos máquinas.

Nota

Las computadoras utilizan el protocolo ARP para comunicarse entre sí dentro de la misma red al convertir la dirección IP en la dirección MAC de la computadora deseada, después de lo cual la comunicación se realiza a través del protocolo Ethernet.

Ataques de asaltantes

asaltantes Son secuestradores de negocios. En consecuencia, un ataque de asaltante es un ataque para capturar una empresa.

El esquema clásico de un ataque de asaltante es el siguiente.

Nivel 1. Recopilación de información sobre la empresa capturada

Como siempre, en cualquier tipo de actividad, la recopilación de información es la etapa preparatoria más importante. En esta etapa, se recopila y analiza toda la información sobre la empresa: la situación financiera de la empresa, la lista de contrapartes, la lista de clientes, la lista de accionistas (el registro de accionistas), información sobre las debilidades y fortalezas de la empresa, sobre los malos hábitos de la gerencia y los empleados, quién está con quién y contra quién amigos en la empresa, información sobre planes de marketing, etc. En la primera etapa, en su mayor parte, funcionan los métodos de ingeniería social, con la ayuda de los cuales, como dijimos anteriormente, es más fácil recopilar información. Como regla general, esta etapa toma de uno a tres meses, dependiendo de la escala de la empresa y la complejidad de obtener la información necesaria. Lo más importante para el asaltante en esta etapa es obtener, de una forma u otra, una copia del registro de accionistas.

Etapa 2. inicio de ataque

El comienzo del ataque puede considerarse el momento en que el asaltante comienza a comprar acciones de los accionistas minoritarios. Los accionistas minoritarios, por regla general, se desprenden de las acciones con mucha facilidad, ya que prácticamente no reciben dividendos tangibles por ellas, y los asaltantes ofrecen sumas por la cantidad de un salario anual por acciones.

Nota

Accionistas minoritarios son accionistas con un pequeño número de acciones. Por ejemplo, a principios de la década de 1990, durante la privatización desenfrenada, era muy común que casi todos los empleados de una gran empresa con varios miles de empleados tuvieran dos o tres acciones. Estos accionistas se denominan accionistas minoritarios.

Paralelamente a la compra de acciones a los accionistas minoritarios, se trabaja en "pesadillar la empresa", por decirlo en lenguaje asaltante. El objetivo principal de la "pesadilla" es la desorganización del trabajo de la empresa. Además, también se consigue un objetivo secundario: se demuestra a los indecisos accionistas que la empresa tiene grandes problemas, tras lo cual están mucho más dispuestos a desprenderse de sus acciones. La segunda etapa para la empresa es realmente una pesadilla, mejor palabra es difícil pensarlo: la gerencia está acusada de reclamos en nombre de los accionistas con respecto a la violación de varias transacciones con acciones, violación del procedimiento para realizar transacciones (que el asaltante se entera en la primera etapa), se inician casos penales contra la dirección y los empleados de la empresa (no importa por razones reales o no, el objetivo principal es torturar a las personas), varios servicios (inspección fiscal, estación epidemiológica sanitaria, servicio de bomberos, etc.) inician inspecciones de las actividades de la empresa. fiscalía ambiental, etc. - cuanto más mejor), se utilizan tácticas greenmailer para paralizar el funcionamiento de la empresa, etc.

Nota

En el lenguaje de los asaltantes correo verde es el chantaje corporativo, logrado mediante el ejercicio de los derechos de los pequeños accionistas de forma agresiva o "pesadillas" de la empresa.

Hay muchas formas, y absolutamente legales, de "pesadilla" en casi cualquier empresa. De hecho, cuando se "pesadilla" una empresa, se organiza un clásico ataque DDoS (denegación de servicio) a nivel social.

Nota

Como regla general, cuando se "pesadilla" una empresa, el papel principal lo desempeñan los piratas informáticos sociales que utilizan métodos de programación social en su trabajo.

La dirección de la empresa, al ver que se ha convertido en objeto de un ataque de asaltantes, por regla general comienza a despedir a los empleados que venden sus acciones para intimidar a los que aún no han vendido sus acciones. A veces funciona, a veces no. Además, las acciones de la empresa se transfieren a la administración del fideicomiso o se comprometen en alguna oficina controlada por la empresa. Después de eso, la gerencia, por regla general, realiza una emisión adicional de acciones y organiza una contracompra de acciones.

Etapa 3. Introducción de una división en la composición de la gestión de la empresa

Para obtener la empresa casi legalmente, los asaltantes necesitan solo el 30% más una acción. Sin embargo, en la actualidad la situación es tal que la dirección de la empresa tiene en sus manos el 70% o más de las acciones (las denominadas paquete consolidado). Por lo tanto, el asaltante necesita hacer una división entre los miembros del órgano de gobierno de la empresa, para lo cual el asaltante intenta dividir el órgano de gobierno jugando con varias contradicciones internas entre los gerentes de la empresa (sus contradicciones internas también se aprenden en El primer escenario). De hecho, la 3ª etapa es la etapa de "tejer intrigas" entre los líderes de la empresa y la etapa de compra de acciones de los principales tenedores, a quienes se les hacen varias "ofertas interesantes".

Además, en la misma etapa, se forma una oposición de accionistas minoritarios insatisfechos, para que los asaltantes puedan penetrar en la empresa bajo la bandera de esta oposición.

La gestión de la empresa en esta etapa, por regla general, sigue dos pasos:

Intenta de una forma u otra mitigar el conflicto entre los administradores de la empresa;

Hace concesiones a los accionistas minoritarios para mitigar la presión de la oposición.

Etapa 4. Trabajar con activos empresariales

En esta etapa, la gerencia de la empresa está tratando de hacer que la captura de la empresa pierda su significado para el asaltante. Para hacer esto, la gerencia necesita retirar los activos de la empresa o gravarlos de alguna manera. Los asaltantes, por supuesto, están tratando de evitar esto.

Etapa 5 Inicio de sesión empresarial

Ahora el asaltante necesita ingresar legalmente a la empresa. El método principal: una junta extraordinaria de accionistas y reelección de la junta directiva. Esto se hace aproximadamente de la siguiente manera. Si el asaltante tiene el 30% más una acción, se envía una solicitud al órgano de administración actual de la empresa para convocar una junta extraordinaria de accionistas. Después de que la reunión principal ignore la demanda, los asaltantes tienen derecho a celebrar dicha reunión por su cuenta.

Nota

Como regla general, tales reuniones se llevan a cabo en secreto para que solo puedan asistir los accionistas controlados por el asaltante. Hay muchos casos en que tales reuniones se llevaron a cabo en unidades militares. Por lo tanto, los asaltantes están haciendo todo lo posible para evitar que "accionistas innecesarios" lleguen a la reunión. Hay casos en que los asaltantes jugaron actuaciones completas para este propósito. Por ejemplo, antes de ingresar al edificio donde se iba a realizar la asamblea de accionistas, los representantes del asaltante en la entrada del edificio interceptaron a los asistentes innecesarios a la asamblea y los condujeron a otro salón del mismo edificio, donde se realizó una actuación denominada " reunión de accionistas" se jugó frente a ellos, y en ese momento en una reunión real en otro salón, el partido asaltante reeligió a la junta directiva por mayoría de votos. A veces se utiliza el enfoque opuesto, en el que, por el contrario, se permite que los oponentes asistan a la reunión para mostrarle al mundo entero que todo es legal, que a la reunión asistieron no solo los oponentes controlados por el asaltante, sino también los representantes. del lado opuesto. Solo en este caso, las acciones del oponente están "bloqueadas" de alguna manera, es decir, se hace de tal manera que el oponente no puede usar temporalmente sus acciones (y, por lo tanto, tener derecho a voto), por ejemplo, debido a la hecho de que un caso penal sobre el tema del hecho de que una vez obtuvo estas acciones ilegalmente.

En la primera reunión, el 30% más una acción no es quórum suficiente para tomar una decisión, por lo tanto, en la primera reunión, se declara la ausencia de quórum, esta declaración se deja constancia en el acta de la reunión y todos se dispersan. Lo más destacado es que si se vuelve a convocar a la asamblea, ya será quórum el 30% más una acción, y las decisiones se toman por mayoría de votos. Se toman decisiones: dar por terminados los poderes de la antigua junta directiva y elegir una nueva junta directiva. Así, se crea un órgano de control paralelo. Los asaltantes inteligentes tienden a tomar otro movimiento ingenioso. Hacen que uno de los participantes en la reunión... envíe un reclamo al tribunal para que se celebre la reunión y le pide al tribunal que reconozca la reunión como inválida. Parecería: ¿por qué los asaltantes necesitan esto? Esto también parece ilógico. De hecho, todo es lógico. El motivo de la demanda se elige muy formal y, preferentemente, algún tipo de absurdo, en general, que el tribunal no reconozca como significativo. El tribunal ni reconoce ni desestima la demanda. Y dado que la sesión de la corte ha pasado, el asaltante tiene un documento que establece que la corte realmente reconoció la reunión como legítima (esto se llama la palabra prejuicio). Este documento es, por supuesto, muy valioso.

Después de la junta de accionistas con la reelección de la junta directiva, de hecho, la empresa está en manos de los asaltantes, y el órgano de administración paralelo toma el control de las actividades de la empresa.

El desarrollo posterior de los eventos depende del objetivo que se propongan los asaltantes, capturando la empresa. Si se apoderaron de la empresa solo por motivos de lucro, luego de la captura, se implementa rápidamente una cadena para la venta de la empresa. A menudo, como resultado de la implementación de esta cadena, la empresa termina con un propietario consciente. Si el objetivo de los asaltantes era el negocio de la empresa, luego de la captura, comienza la etapa de "liquidación de las consecuencias de las hostilidades": comienzan los pagos de salarios a los empleados, se realizan transferencias al presupuesto, etc.

Nota

No es raro que los antiguos jefes de la empresa se vuelvan a entrenar como asaltantes y comiencen a quitarles su antigua empresa nativa a los invasores de acuerdo con todas las reglas de un ataque de asaltante.

Así es como se llevan a cabo los ataques de asaltantes en varias empresas.

Nota

Naturalmente, una descripción detallada de todas las etapas de un ataque de asaltante está más allá del alcance de este libro, pero esto no es particularmente importante para nosotros. Es importante para nosotros que las técnicas de ingeniería social y programación social se utilicen en muchas etapas de este ataque.

¿Dónde se utiliza la ingeniería social y la programación social en la organización de ataques de asaltantes?

La ingeniería social en su forma clásica se utiliza principalmente en la primera etapa, es decir, cuando se recopila información sobre la organización. Y como dijimos anteriormente, la forma más fácil de recopilar información es mediante métodos de ingeniería social. En la segunda etapa, los métodos de programación social se agregan a los métodos de ingeniería social, ya que la segunda etapa, el comienzo de un ataque de asaltantes, ya no es la recopilación de información, sino el trabajo para desestabilizar las actividades de la empresa, y varios métodos. de programación social se adaptan mejor aquí, uno de los cuales es el dispositivo para el ataque empresarial "rechazo al servicio". Los métodos de ingeniería social en la segunda etapa también se pueden utilizar, por ejemplo, para desacreditar a una empresa en Internet. Para esto, por regla general, se utilizan foros en el sitio web de la empresa y otras herramientas, a través de las cuales los representantes de la empresa se comunican en Internet con los visitantes de su sitio web. Y, por supuesto, en la tercera etapa, la etapa de intrigas y conspiraciones, tampoco hay ningún lugar sin programación social (por supuesto, en el área de su aplicación negativa). Por lo tanto, las etapas principales y significativas de la "incursión de asaltantes" son la piratería social en su forma más pura.

¿Por qué la piratería social y la programación social son una herramienta popular para los ataques de asaltantes?

El hecho es que el concepto principal de la programación social es que muchas acciones de personas y grupos de personas previsible y obedecer ciertas leyes. Un ejemplo simple y banal. Si la empresa se vuelve mala, la gente huirá de ella. Una cosa completamente comprensible. Pero esto es programación social en estado puro. Los empleados de la empresa son un gran grupo social. Y habiendo dicho la frase "si la empresa enferma, entonces la gente huirá de ella", de hecho, dijimos que habíamos desarrollado un método para influir en un gran grupo social, que en este caso es un ejército de miles de empleados de la empresa. Así, hemos predicho cómo se comportará un determinado grupo social bajo la influencia de alguna fuerza externa. La fuerza externa aquí es el deterioro de la situación en la empresa, y la forma en que predecimos el comportamiento es una afirmación del hecho de que si las condiciones empeoran, los empleados dejarán la empresa. Todo es simple y banal y, a pesar de ello, hemos visto que incluso un gran grupo social puede gestionarse de manera bastante consciente, ya que sus acciones son bastante predecibles.

¿Cómo determinar el comienzo de un ataque de asaltante?

El hecho de que ha comenzado a ser atacado puede determinarse por los siguientes signos.

Se iniciaron los controles de la empresa por parte de varias autoridades: la policía fiscal, la estación sanitaria y epidemiológica, el Ministerio de Situaciones de Emergencia, el Ministerio del Interior, varias organizaciones de supervisión, etc. Además, se solicita a los inspectores que proporcionen copias de los documentos que contienen información sobre los activos de la empresa, las cuentas por pagar y los accionistas.

Aparecen artículos negativos sobre la empresa, sobre su gestión en los medios de comunicación (medios de comunicación) y, en general, de repente, sin ningún motivo, los medios de comunicación de repente comenzaron a mostrar una mayor actividad en relación con la empresa.

Nota

Este punto debe alertarle especialmente si existen informaciones en los medios de comunicación sobre la vulneración de los derechos de los accionistas minoritarios.

Los accionistas de repente recibieron cartas certificadas con acuse de recibo, que contienen, por ejemplo, felicitaciones por las próximas vacaciones. O nada en absoluto. O hay una simple hoja de papel en blanco. No importa Lo principal es que de esta forma quienes te van a atacar imiten una formalidad, ya que según la ley, antes de convocar a una junta extraordinaria de accionistas, necesitan enviar una propuesta para convocar dicha junta. Eso es lo que enviaron. Y luego, en la corte, los atacantes dirán que a los accionistas se les envió una propuesta para vender sus acciones, y a la junta directiva de la empresa se le envió una propuesta para convocar una junta extraordinaria de accionistas. El juez pedirá pruebas de que se enviaron dichas cartas. Esta prueba será un aviso de recepción de la carta. Y el hecho de que el lado opuesto diga eso, dicen, no es cierto, allí había postales, entonces siempre se puede decir que allí había documentos reales, pero en cuanto a las postales, todo esto es una mentira descarada.

Los accionistas minoritarios están comenzando a mostrar interés en las actividades de la empresa, que nunca habían notado.

Nota

Es especialmente necesario estar alerta en el caso de que no sean ellos mismos los que actúen, sino algunos familiares que, por cierto, son grandes especialistas en derecho societario, actúen en su nombre en virtud de un poder general.

Comenzaste a recibir ofertas frecuentes para vender tus acciones o sus acciones.

Ahora algunos ejemplos de cómo los asaltantes atacaron algunas empresas.

A altas horas de la noche, cuando regresaba del trabajo, el titular de Pamir LLC fue abordado por dos personas que se presentaron como agentes del orden público y se ofrecieron a acompañarlos para firmar documentos sobre la transferencia de su participación accionaria, motivando esto diciendo que, como la empresa no paga impuestos, pronto tendrá serios problemas. Y los agentes del orden, por casualidad, son buenos simpatizantes de la empresa, ya que ellos mismos han solicitado repetidamente los servicios de Pamir y ahora quieren ayudar a la gerencia. Por ejemplo, tienen un comprador sentado en un apartamento secreto, y si le vendes tu parte ahora, obtendrás al menos algo de dinero, pero en seis meses seguirás arruinado y solo tendrás que quedarte. La empresa pagaba impuestos regularmente, no había señales de tormenta y los "agentes de la ley" no tenían argumentos serios. El director rechazó un trato tan dudoso y todo pareció calmarse. Pero un año después de este incidente, un hombre llegó a la dirección de 000 "Pamir" con una propuesta para vender toda la empresa o una parte de ella, a lo que el jefe respondió que nadie iba a vender nada. Tiempo después, propuestas similares fueron recibidas por los demás accionistas de la Compañía. También se negaron a vender e informaron a la gerencia, que concluyó correctamente que alguien tomó la empresa "sobre la marcha". La gerencia, luego de analizar la situación, se dio cuenta de que alguien se había percatado de algunos vacíos en la documentación estatutaria de la Compañía y los corrigió con urgencia. Después de que se adoptaron las enmiendas a los estatutos de la Compañía, según las cuales cualquier cambio en los documentos constitutivos solo puede ser realizado personalmente por el director o los fundadores que recibieron un poder general de él, las propuestas para la venta dejaron de llegar.

Pero las cosas no siempre salen tan bien. Según una publicación en uno de los periódicos, Eleron CJSC, que era el propietario de un gran terreno e inmuebles en él, siguió un ataque de asaltantes a pesar de que todos los documentos se ejecutaron perfectamente. Según el estatuto de la empresa, las acciones en ella solo podían transferirse entre los accionistas de la empresa, mientras que terceros, según el estatuto, tenían prohibido vender acciones. Luego de que una de las participantes vendiera sus acciones, comenzó un ataque de asaltantes en su nombre, aunque, de acuerdo con la ley, su participación fue transferida al resto de la sociedad. Raiders en su nombre envió un reclamo al tribunal de arbitraje. Luego hubo muchos problemas, audiencias judiciales y "pesadillas". La dirección de la empresa y sus abogados acudieron a muchas instancias, pero en todas partes les dijeron lo mismo, que, dicen, hasta que no les quiten la empresa, no esperen una vida tranquila. La situación se resolvió solo después de que los líderes consiguieron el apoyo de los más altos funcionarios de la región.

Tenga en cuenta que ahora el número de ataques de asaltantes en el marco del esquema clásico considerado ha comenzado a disminuir. Esto se debe a que la legislación ha cambiado para mejor, dejando a los asaltantes no tan un gran número de oportunidades legítimas de hacerse cargo de la empresa. Además, en grandes regiones, casi todo ya ha sido capturado. Y, finalmente, la razón principal, en nuestra opinión, es que el negocio está aprendiendo a defenderse con éxito, y ya es muy difícil que los asaltantes obtengan la mayor cantidad de cositas (el bloque principal de acciones y activos de la empresa), porque los activos de la empresa, por regla general, se esconden de forma segura, y la dirección consolida el bloque principal de acciones. Por lo tanto, ahora, por regla general, ya no se utiliza un ataque de asaltante clásico, sino el llamado tácticas de greenmailer. El punto aquí es que, de acuerdo con la ley "Sobre Sociedades Anónimas", la propiedad de una sola acción permite a dicho accionista solicitar cualquier información sobre las transacciones de la empresa, información sobre los accionistas, etc. Y, en principio, después de trabajar, incluso puede tomar el poder del liderazgo real. La gerencia, por otro lado, sabe que contactar a los chantajistas profesionales es más costoso para ellos, por lo que prefieren pagarles. Como resultado, por un pequeño bloque de acciones (o incluso por una acción, el greenmailer recibe una buena cantidad). Así es más o menos cómo los greenmailers ganan dinero.

Ejemplos de programación social

En este capítulo, veremos varios ejemplos de programación social. Ejemplos y aplicaciones positivas, que incluyen la transformación de una multitud agresiva en ocasional (para varios tipos de multitudes, ver. más adelante en este capítulo y en el capítulo 8), y negativos, que incluyen, digamos, métodos de empresas "pesadilla" durante las incursiones de asaltantes, hablamos de ellos en el capitulo anterior.

La esencia de este capítulo es mostrar ejemplos del hecho de que en varios casos es realmente posible "programar" el comportamiento de las personas, tanto de una persona como de un gran grupo de personas. Los ejemplos de esta sección entran en la categoría de social hacking precisamente porque en todos ellos la gente estaba haciendo la voluntad de otra persona, como si obedecieran a un "programa" escrito por un social hacker. Estos ejemplos son muy diferentes. Y por los objetivos establecidos por los hackers sociales, y por los métodos de ejecución, y por las consecuencias, y por los plazos. Hay elegantes movimientos múltiples y ejemplos simples, positivos y negativos, la categoría de piratería social incluye numerosos ejemplos de PR en blanco y negro (PR - abreviatura de inglés. relaciones públicas), algunos de los cuales también se enumeran en Este capítulo.

"Fuego" en el cine

Un clásico de la programación social es el ejemplo del "fuego" en el cine, descrito por uno de los periódicos allá por la época soviética. Entonces, un grupo de bromistas lanzó varias bombas de humo en la sala de cine mientras veía una de las películas y gritó desgarradoramente "¡Fuego, fuego!". Naturalmente, provocando así un pánico masivo, como resultado del cual murieron varias personas. Solo queda adivinar si ese "bromista" perseguía algún objetivo específico o simplemente "bromeaba" con sangre. Lo único que se puede decir casi exactamente es que los "comodines" se prepararon para esta acción y la llevaron a cabo de acuerdo con todas las reglas. Primero, el momento de tirar la ficha y gritar "¡Fuego!" fue elegido con bastante precisión: se realizó durante uno de los momentos más dramáticos de la película, cuando el público estaba en gran tensión y algo de miedo por lo que estaba sucediendo en la pantalla. En segundo lugar, uno de los participantes en esta "broma", que estaba sentado más cerca de la salida, tan pronto como se escucharon los primeros gritos de fuego, corrió hacia la salida, dando así un ejemplo a todas las demás personas. Lo cual, por supuesto, siguió su ejemplo.

Nota

¿Podría ese "bromista" perseguir objetivos muy específicos? Por supuesto que podría. Por ejemplo, por una razón u otra, podría querer arruinar este cine. Un par de esos trucos y la gente dejará de ir a este cine, porque la gloria del "cine sangriento" quedará fijada detrás de él.

Este ejemplo se llama clásico porque se llevó a cabo de acuerdo con el esquema clásico, según el cual, al principio, se da a la multitud un estímulo externo, después de lo cual, como respuesta a este estímulo, se produce una reacción completamente previsible reacción. Un estímulo externo pueden ser los gritos de "Fuego", el generador de madera y las serpientes, lo que quieras. La reacción es el pánico masivo.

Curiosamente, al conocido físico Robert Wood, que llegó a los cines con un generador de oscilaciones de baja frecuencia que emitía oscilaciones en el rango de 7-9 Hz, también le gustaba "bromear", por extraño que parezca. Cuando encendió su generador, la gente comenzó a correr presa del pánico y salió corriendo del cine a la calle. Varias veces esto condujo a varias lesiones corporales a la audiencia.

Nota

El significado de la "broma" es que nuestros órganos internos también oscilan con una cierta frecuencia baja, y para la mayoría de ellos, la frecuencia de oscilación es solo de 7 a 9 Hz. cuando está encendido generador de madera, que generó oscilaciones de la misma frecuencia que la frecuencia de las oscilaciones de los órganos internos, se observó un efecto de resonancia, como resultado de lo cual las personas comenzaron a sentir una gran incomodidad y un estado de pánico.

Mucho después, "La broma de Wood" se repitió mano a mano también en el cine de una ciudad, aunque con consecuencias más trágicas.

Nota

La literatura también ha descrito casos de asesinatos utilizando el generador de Wood. O mejor dicho, suicidio. Los delincuentes actuaron de acuerdo con el siguiente esquema. Cerca del apartamento de la víctima, cuyo psicotipo sugería tendencias suicidas, se montó, encendió y funcionó casi continuamente un generador. El generador podría estar ubicado en el ático, encima del apartamento de la víctima, si ella vivía en el último piso, en un apartamento vecino y, a menudo, justo en el apartamento. Durante la operación del generador, la víctima sintió incomodidad, pánico y, a menudo, tomó la decisión de suicidarse.

También hay un caso conocido en el que los atacantes usaron ... serpientes como motivo de pánico. O mejor dicho, ya. Imagínense que está pasando una película, el protagonista de una película de terror está buscando algo en el cementerio, música inquietante, y de repente, en ese momento dramático, uno de los espectadores siente que algo le gatea en la pierna. Se agacha para ver qué es y se da cuenta con horror de que se trata de una serpiente. "Serpientes, hay serpientes en el pasillo", grita, agarra a esta desafortunada serpiente y se la arroja. Y más cerca de la cabeza de algún espectador. Luego se separa y corre hacia la salida. El efecto es casi el mismo que en el caso en que gritaron "Fuego".

Cómo hacer una "crisis de sal" usando métodos de programación social

Todos recuerdan la reciente "crisis de la sal" que pasó en nuestro país. Esto es lo que escribió en ese momento la conocida publicación en línea Lenta.ru. El texto del artículo se da con algunas abreviaturas para restaurar la cronología de los hechos.

"La crisis de la sal está cobrando impulso en Rusia, amenazando con convertirse en un motín de la sal. La sal ha desaparecido de varias regiones del país. Los proveedores ya han subido los precios varias veces, y los ciudadanos, temiendo que esta crisis dure mucho tiempo tiempo, hacer cola y comprar bienes esenciales para el futuro. Aunque la crisis de la sal lleva al menos una semana, solo a mediados de febrero quedó claro que las colas no se reducirían, las pasiones no disminuirían y la historia no quedaría sin la atención de las autoridades, desgajándose del ámbito local hacia el federal.

Con cierto grado de confianza, podemos decir que todo comenzó el 10 de febrero, cuando los habitantes de Tula descubrieron la escasez de sal, y en los depósitos mayoristas de Tula el precio de un paquete de kilogramo de sal era de 3 rublos 60 kopeks. Luego, los medios locales afirmaron que la escasez de sal era un problema puramente de Tula y citaron como ejemplo las regiones vecinas, donde un kilogramo de sal cuesta ochenta rublos. Las autoridades trataron de tranquilizar a los tulanos prometiéndoles entregas de quinientas toneladas para fines de semana. Es interesante que el mismo día se sintió una escasez de sal en Kaluga. Del 11 al 14 de febrero, se compraron suministros de sal para tres meses en la región de Tambov. Aparecieron y empezaron a correr rumores de que Ucrania había dejado o podría dejar de suministrar sal a Rusia. Los vendedores y fabricantes explicaron la exageración a su manera: los reglamentos técnicos habían cambiado, lo que dio lugar a rumores sobre la escasez de sal. El 15 de febrero, los residentes de Nizhny Novgorod dieron la voz de alarma. A pesar de que en la región se ha acumulado un suministro de sal para medio año, los habitantes de la región agotaron el suministro de un mes en un día. Y si en la región de Tambov el precio de un kilogramo de sal alcanzó los 30 rublos, entonces en Nizhny Novgorod alcanzó los 50 rublos. Los habitantes de la región de Novgorod no eran inferiores a los residentes de Nizhny Novgorod. Compraron 300 toneladas de sal en dos días. La administración regional ofreció su propia explicación para el fenómeno de la sal. Creen que el alboroto lo provocaron los mayoristas rusos, que acumularon exceso de sal en sus almacenes. El pánico llegó a su clímax el 16 de febrero, cuando se sintió la escasez en Saratov y Regiones de Volgogrado, en Cheboksary y Tyumen. No todo estaba en calma en Moscú y la Región de Moscú tampoco. Las autoridades de Moscú incluso tuvieron que explicar a los ciudadanos que las reservas de sal en la capital durarían dos meses. Pánico, diligentemente alimentado por las noticias de televisión, provocó la formación de enormes colas. Los ciudadanos que hacían cola ocuparon el lugar de familiares y vecinos. Los vendedores, anticipando que la demanda caerá pronto, ya que los suministros de sal durarán mucho tiempo para los consumidores, incluso comenzaron a difundir rumores sobre la próxima reducción de precios. En algún lugar funcionó. La gran demanda de sal dio lugar a vagos recuerdos de tiempos de guerra entre los compatriotas. Además de la sal, los ciudadanos comenzaron a comprar azúcar, fósforos, harina y cereales, por si acaso podían ser útiles. Las autoridades de Voronezh, por su parte, pacificaron el precio de la sal. Es cierto que para esto fue necesario aumentar las existencias de un producto valioso a 600 - 800 toneladas, y también realizar una serie de redadas en mercados y tiendas con la ayuda del regimiento de policía de la ciudad. Llegó al punto de que las autoridades federales se interesaron por el problema. El 17 de febrero, la Duma del Estado instruyó a uno de los comités para averiguar del gobierno las razones del aumento de los precios de los productos esenciales.

Además, la revisión señala: "Es interesante notar que el mercado de la sal no suele estar sujeto a fuertes fluctuaciones: el suministro de bienes proviene de varias fuentes, los bienes mismos están sujetos a las leyes básicas del mercado y la exageración debería acelerarse rápidamente". disminuyen, dando paso a un bajo nivel de demanda.Sin embargo, de cada regla hay excepciones, y una frase o línea mal entendida en un documento se convierte en la desaparición de todas las existencias de sal de los almacenes.

Recuerda también que servicio antimonopolio federal(FAS), en el curso de su investigación, llegó a la conclusión de que "ni los productores de sal ni las empresas comerciales mayoristas y minoristas tienen la culpa de la crisis de la sal. Solo Salt Company LLC, registrada en Tyumen, violó las reglas de competencia. Pero solo una organización no podría causar una crisis tan masiva". Al no encontrar violaciones entre los fabricantes, la FAS concluyó que los consumidores tenían la culpa: "La razón principal del aumento de precios fue la demanda apresurada de la población de sal comestible, provocada por la difusión de información falsa sobre la escasez de este producto en el mercado ruso". mercado", dice el comunicado de prensa oficial de FAS.

Pensemos si podría organizarse por métodos de programación social. Y pensándolo bien, llegamos a la conclusión de que podría. Además, un escándalo de tal magnitud, como resultado del cual algunos ministros casi fueron destituidos, es muy capaz de ser organizado por ... una persona. Y el más común. En el sentido de que esta persona puede ser una persona común y corriente "de la calle". Y hacer esto con uno, y no con un grupo de personas, generalmente no es difícil. Considere un esquema hipotético de cómo se podría implementar esto.

Nota

Los autores desconocen por completo cómo se hizo esto realmente y qué intereses se perseguían. Es posible que de esta manera uno de los grupos ministeriales intentara debilitar la influencia, o incluso eliminar al otro grupo. Y eligieron a los hackers sociales como artistas. Si así fue también, entonces, al menos, todo se hizo muy bien.

El esquema general hipotético para el desarrollo de tal o similar crisis escandalosa es simple.

Primero, se crea una crisis en una ciudad en particular. Esta crisis la recoge la televisión local, que necesita altos ratings y que sabe que a la audiencia le gustan sobre todo los escándalos y las sensaciones. Por lo tanto, es bastante natural que la televisión no pase por alto el escándalo. Y ahora, en el noticiero de la noche, el locutor anuncia con voz emocionada que por alguna razón desconocida, la sal está desapareciendo de las tiendas de la ciudad. Y añade que los analistas de nuestro canal, que como sabes, son de los mejores analistas en la materia (bueno, cómo no elogiarte y una vez más no autopromocionarte), dicen que no se puede descartar. que la crisis de la sal en nuestra ciudad es el comienzo de una gran guerra entre los mayores proveedores de sal a Rusia. Los mayores proveedores de sal, al no ver la televisión local de la ciudad de N-ska y desconocer las conclusiones de los mayores analistas de la televisión local de la ciudad de N-ska, desconocen por completo que algún tipo de la guerra ha comenzado entre ellos. Los residentes locales, después de ver el informe, cortaron sus teléfonos, llamaron a sus amigos y pronunciaron solo una frase:

- ¿Lo escuchaste? ¡La sal pronto desaparecerá! ¿Ya corres tras ella? Y nosotros ya.

Y ahora una cuarta parte de la ciudad, a pesar de la hora tardía, corre a los supermercados 24 horas a comprar sal.

Los equipos de filmación de los principales canales regionales están de servicio las 24 horas. Porque las televisiones autonómicas necesitan altos ratings, y además saben que a la audiencia le encantan los escándalos de todo tipo y sobre todo las sensaciones, por lo que la caza de sensaciones es a todas horas. Naturalmente, tan pronto como se sabe que se ha comprado toda la sal en N-sk, se envía un equipo de filmación allí, y ahora la historia sobre la crisis de la sal en N-sk se transmite por todos los principales canales regionales. Los residentes de todas las demás ciudades, sin ser tontos, entienden que lo que sucedió en N-sk les puede pasar a ellos. Y ahora no hay sal en toda la región. También desaparece en las fronteras de las regiones vecinas, porque no todos los habitantes de la región "desalinizada" lograron comprar sal y ahora están asaltando regiones vecinas. Aquellos que son demasiado perezosos para hacer incursiones, o por alguna razón no pueden hacerlo, llaman a sus familiares en todo el país y les piden que compren veinte kilogramos de sal y se los envíen por paquete.

En la televisión central de Rusia, la gente no es más estúpida que en la televisión local y regional, y también son muy conscientes de cómo aumentan los índices de audiencia. Y ahora, en el área donde estalló la crisis de la sal, varios equipos de filmación de varios canales de toda Rusia están aterrizando una fuerza de aterrizaje. Gracias a lo cual la noticia de que "pronto puede que no haya sal en el país" llega incluso a aquellos pueblos que no se pueden encontrar en el mapa sin binoculares. Como resultado, el pánico comienza a cubrir todo el país, y el problema de los niveles locales y regionales se convierte en un problema de escala federal.

Pero todo esto podría hacerlo un grupo muy pequeño de personas, y si fuera realmente necesario, incluso una sola persona. Y para provocar todo esto, en circunstancias favorables, podrían necesitar un día y varios miles de rublos. Lo que, como ven, es un presupuesto muy pequeño para organizar una crisis a escala de toda Rusia. ¿Cómo es esto posible? Y es muy simple. Imagina que una persona entra corriendo a un supermercado y pregunta nerviosa a todas las vendedoras: "¿Dónde está su sal aquí?" Después de mostrarle dónde está la sal, corre a este mostrador y lo compra todo. Después de eso, otra persona entra corriendo al supermercado con la misma pregunta. Pero no tiene sal, o queda muy poca. Al mismo tiempo, todas estas personas les dicen a los compradores y vendedoras que "acaba de escuchar en la radio que pronto no habrá sal en el país". Los que escuchan esto de nuestros compradores de sal caen en una ligera ansiedad, y deciden comprar uno o dos kilogramos de sal "para un día lluvioso" por si acaso. Pero el supermercado en el que están ya se quedó sin sal. La gente está un poco más preocupada y va a otro supermercado a comprar de cinco a diez kilogramos de sal. Por si acaso. Mientras tanto, nuestros matones, mientras tanto, están haciendo el mismo truco en otro supermercado, en el tercero, en el décimo, y todos los clientes están felices de contar que "Aquí lo transmitieron en la radio...". Algunos compradores, mientras tanto, ya empiezan a llamar a sus conocidos para aconsejarles que compren sal, porque escucharon en la tienda que pronto se acabaría, y que ante sus ojos la gente compraba toda la sal de la tienda, y ellos mismos tuvo que correr a otro, donde "milagrosamente lo arrebataron". Y así es como comienza una reacción en cadena en una ciudad en particular. Y en principio, nuestros hipotéticos provocadores de la crisis de la sal ya no pueden hacer nada, porque el mecanismo ya se puso en marcha. Pero no, eso no es suficiente para ellos. Y siguen llamando a todos los periódicos de la ciudad y a la televisión de la ciudad, donde, en el papel de vecinos indignados, aconsejan a los medios que se fijen en que no se puede comprar sal en ninguna parte de la ciudad y, como prueba de sus palabras, te aconsejan que vayas al supermercado más cercano. Pues entonces “la crisis la recoge la televisión local, que necesita mucha audiencia y que sabe…”, en general, como un cuento de hadas sobre un toro blanco.

Por lo tanto, incluso una persona que posee los métodos de programación social puede influir en los procesos en el estado.

Coronas en la pista

Se encargó a una agencia de relaciones públicas que se asegurara de que la menor cantidad posible de personas viajara por una de las carreteras principales. La historia de fondo es esta. Como resultado de la construcción de la carretera paralela, los dueños de las tiendas en la carretera vieja perdieron sus ingresos, porque la mayoría de la gente comenzó a conducir por la nueva carretera, que era más conveniente, más ancha, mejor iluminada, etc. Los dueños de las tiendas contribuyó y ordenó una "campaña de relaciones públicas negra" para esta pista. ¿Qué hicieron los publicistas? Por supuesto, no recurrieron a la destrucción de la calzada mediante excavaciones, voladuras y otras cosas. Ellos simplemente... compraron varios cientos de coronas de empresas funerarias. Y los colgaron en casi uno de cada tres árboles de la nueva ruta. En principio, después de eso no pudieron hacer nada. Porque el flujo de autos por la carretera vieja ya ha aumentado. Lo cual es comprensible: es psicológicamente extremadamente incómodo para las personas viajar por la carretera, en cada décima de metro en la que alguien "murió" (como lo demuestran numerosas coronas de flores). Es como conducir por un cementerio. Y, por supuesto, la gente empezó a optar por los desvíos, es decir, la carretera vieja, “que, aunque está llena de baches, nadie la pisa”. Pero los publicistas no se detuvieron ahí. En los medios de aquellas ciudades adyacentes a la nueva ruta (es decir, los habitantes de los cuales la mayoría de las veces usa esta ruta), se ordenó una serie de publicaciones sobre el tema de que la nueva ruta es solo una especie de "trágicamente mística". Como, uno de cada 10 autos que pasa por ahí choca. Y casi todos son fatales. Después de estas publicaciones, el flujo de automóviles en la nueva carretera disminuyó aún más, y se secó casi por completo después de que se agregaron cruces con monumentos a las coronas, y la ruta realmente comenzó a parecerse a un camino a través de un cementerio.

Cuando las autoridades se dieron cuenta de lo que estaba pasando, ya era demasiado tarde. Se quitaron las coronas, se colgaron otras nuevas... También se dirigió una poderosa campaña de relaciones públicas a la pista antigua. Potente en el sentido de que se robó mucho dinero. Y por eso es débil. Porque sus tesis principales estaban dirigidas a los baches en la carretera vieja, al hecho de que es más lento conducir por ella, al hecho de que los autos fallan a menudo, porque, nuevamente, solo hay baches. La gente de relaciones públicas de la vieja pista "cortó" todo esto en un solo movimiento. Más bien, un cartel, que se colocó frente a la bifurcación de las carreteras vieja y nueva. En el cartel estaba escrita en letras grandes una frase "¿Quieres llegar rápido o vivo?". Encima de la palabra "rápido" había una flecha en nueva pista, encima de la palabra "vivir" - ​​a la anterior.

Fin del segmento introductorio.

27 de diciembre de 2009 a las 16:38

Hacking social en la vida cotidiana (nos protegemos de estupideces)

• Seguridad de información

Sé que muchos piratas informáticos han leído las memorias de piratas informáticos bravucones, donde queda muy claro que el eslabón más débil en la cadena de seguridad de la información, por regla general, no es un protocolo, un programa o una máquina, sino Humano(administrador, usuario e incluso gerente).

Yo también lo leí, hasta me indigné: “No, cómo puedes decirle tu contraseña a alguien por teléfono”. Pero, ¡ay!, el golpe de un rastrillo en la propia frente se recuerda mejor. Y así sucedió. En los últimos meses, me he convertido en testigo e incluso en partícipe de varias situaciones de las que es vergonzoso hablar, pero socialmente útiles.

Eliminación cuidadosa: no tirar ni perder información

Por supuesto, hay trituradoras y cosechadoras para destruir discos ópticos e incluso discos duros. Pero su lugar está en la empresa (donde las instrucciones de seguridad no solo deben estar escritas y firmadas, sino también leer y seguir cuidadosamente por todos los empleados), y en casa, por regla general, debe hacer todo a mano.

Con los discos ópticos todo es sencillo: se rayan perfectamente por la esquina de cualquier enchufe USB (búscalo en una memoria USB o en cualquier cable, eso sí). La foto del teaser ilustra el resultado de manipulaciones de 10 segundos. Aunque el disco no es legible después de una rasguño profundo a lo largo del radio(comprobado en la unidad NEC modelo siete mil algunos). Fuera del peligro: haga muchos rasguños. En los comentarios, dudan de la fiabilidad de este método y recomiendan romper discos o rascar en profundidad en ambos lados(De lo contrario, pulirán y leerán). Bueno, propongo partir del valor real de la información y elegir una medida proporcional de daño al portador.

No es suficiente que un disco duro rompa solo el controlador, es necesario arruinar las placas, al igual que una unidad flash, no es suficiente romper solo el enchufe (es necesario destruir los chips de memoria). O, como aconseja razonablemente, formatee los medios para que sea imposible restaurar algo desde allí (el formateo rápido, borrando solo la estructura, por supuesto, no funcionará). Por supuesto, los discos duros y las unidades flash no suelen tirarse a la basura, pero estos últimos suelen perderse.

El papel (si es demasiado perezoso para rasgarlo) se puede llenar con agua o mejor con algún tipo de detergente: incluso en paquetes de 20-30 hojas, todo se corroe y se desdibuja de manera muy famosa.

Espantapájaros sobre el tema: Hace poco tiré un paquete de DVD con copias de seguridad de sitios web de 2008. No había contraseñas de usuario en los volcados de la base de datos (había hashes con sal), pero en las configuraciones de CMS había contraseñas para acceder a la base de datos. Sí, los cambié. Sí, casi todos los hosts prohíben conectarse a la base de datos desde un host remoto de forma predeterminada. Pero aún.

Phishing social: no compartas contraseñas con personas anónimas o a través de canales abiertos

Si un proveedor, hoster, sistema de pago o los propietarios de algún servicio web te piden una contraseña, entonces no les creas, no son ellos en absoluto, sino unos intrusos.

Si alguien más necesita tener acceso a sus contraseñas, hágale saber todos los peligros potenciales. Explique de tal manera que lo entiendan (por ejemplo, las esposas están convencidas del peligro de malgastar el presupuesto familiar en facturas del proveedor).

Espantapájaros primero: el conocido trabaja al proveedor en un soporte. Le da pereza subirse a la facturación, así que le pide al cliente la contraseña en el teléfono para comprobar si la ha introducido correctamente. Y el proveedor utiliza activamente el servicio de devolución de llamada. Si vuelve a llamar a tiempo, una persona desprevenida le dictará sus contraseñas. Al menos a un amigo nunca se le ha negado esto.

Segunda historia de terror: Una vez, cuando estaba enviando una carta a un hoster, confié en el autocompletado del cliente de correo. Como resultado, la carta fue al destinatario equivocado. Nunca he cambiado las contraseñas tan rápido. Por cierto, ahora mi hoster también ha entrado en razón: ya no pide (y probablemente ni siquiera recomienda) especificar una contraseña al contactar cuando se envía la carta desde el correo autorizado en la cuenta.

Fuerza criptográfica banal: qwerty no es una contraseña

En general, no creo que la audiencia de Habr esté tan loca como para establecer las fechas de nacimiento de sus hijos con contraseñas o hacer algo por el estilo. Pero hay momentos más sutiles. Un ejemplo es una historia de terror.

Además, se debe consultar a las personas que lo rodean sobre las contraseñas si le preocupa su privacidad (y también puede ser la suya; por ejemplo, algunas fotos familiares no están destinadas al público).

Espantapájaros: mientras se desarrolla el proyecto, no hay mucho que proteger allí, ¿verdad? Por lo tanto, generalmente en el momento del desarrollo, la contraseña se establece simplemente con el espíritu de "abcd1234". Así que verifiqué: de los últimos 4 proyectos lanzados en producción, tenemos la contraseña de administrador predeterminada en uno, no la hemos cambiado. Es bueno que todos sepan la contraseña predeterminada, pero se inventa por separado para cada proyecto.

No anotes las contraseñas (al menos en esos papeles que tiras o guardas junto a los inicios de sesión)

Mejor, siempre que sea posible, configurar la autorización por clave. Y guarde la clave privada en un servidor local (y una copia en una unidad flash en una caja fuerte). Para propósitos de trabajo menos, existen programas de administración de contraseñas (en los comentarios, RoboForm o KeePas multiplataforma son los más recomendados), realmente intenta recordar la contraseña maestra en su cabeza y no la escribe en ningún lado. En el caso más simple, guarde las contraseñas en un archivo de texto y cífrelo con una contraseña de su cabeza.

Si guarda las contraseñas en un cliente de correo o FTP, cuídese de la protección antivirus normal, cualquier troyano o puerta trasera con gusto robará un archivo con sus contraseñas.

Un consejo aparte para aquellos que almacenan la contraseña en el navegador (de un comentarista): use una contraseña maestra en aquellos navegadores que la admitan.

• En Opera: Herramientas - Configuración - Avanzado - Seguridad - Establecer contraseña.
• En FF: Herramientas - Configuración - Protección - Usar una contraseña maestra.

No utilice las mismas contraseñas para diferentes sistemas y servicios. No almacene las contraseñas de otras personas en texto claro en su software y servicios.

Espantapájaros primero: personas mayores o simplemente lejos de TI a menudo raspan su PIN directamente en una tarjeta de plástico (esto folklore ya, pero aún).

Segunda historia de terror: sucedió, el troyano robó la contraseña guardada en el cliente FTP (parece que no era el Total Commander más reciente, pero muchos otros clientes no son mejores en este sentido) del administrador de la computadora local y bloqueó los marcos de infección en vivo sitios asociados donde los clientes potenciales (como resultado, los visitantes se infectaron o recibieron gritos del antivirus). Por cierto, ahora Yandex marca los sitios con troyanos en los resultados de búsqueda de una manera especial; además, puede matar el troyano ahora, pero la marca desaparecerá solo después de la próxima reindexación, por ejemplo, una semana después.

Puede ser robado por otros, puede perderse o regalarse por error

No almacene nada importante en su netbook o teléfono.

En netbooks, establezca contraseñas (normales) y cifre el sistema de archivos.

En las unidades flash, almacene todo (o al menos todo lo importante) en forma encriptada (por ejemplo, en un archivo RAR con una contraseña normal).

Si tiene varias unidades flash de aspecto idéntico, pegue algunas etiquetas en ellas para que no se las dé repentinamente a la unidad flash de impuestos con una copia de seguridad de toda la contabilidad negra de su oficina en lugar de un informe trimestral (la oficina de impuestos estará feliz, pero el gerente es poco probable).