ماکسیم کوزنتسوف، ایگور سیمدیانوف

مهندسی اجتماعی و هکرهای اجتماعی

معرفی

این کتاب برای چه کسی و برای چیست؟

موضوع کتاب بررسی روش های اصلی مهندسی اجتماعی است - به گفته بسیاری از محققان، یکی از ابزارهای اصلی هکرهای قرن بیست و یکم. در هسته خود، این کتاب در مورد نقش عامل انسانی در حفاظت از اطلاعات است. مسائل متعددی در رابطه با عامل انسانی در برنامه نویسی وجود داشته است. کتاب های خوبیکی از آنها، کتاب لری کنستانتین، "عامل انسانی در برنامه نویسی" نام دارد. این شاید تنها کتاب در این زمینه باشد که به روسی ترجمه شده است. این همان چیزی است که نویسنده در پیشگفتار این کتاب می نویسد: "نرم افزار خوب توسط مردم ساخته می شود. همچنین بد. به همین دلیل است که موضوع اصلی این کتاب سخت افزار یا نرم افزار نیست، بلکه عامل انسانی در برنامه نویسی (Peopleware) است. " علیرغم اینکه کتاب L. Konstantin بیشتر درباره روانشناسی است تا برنامه نویسی، ویرایش اول کتاب به عنوان یک اثر کلاسیک در زمینه فناوری اطلاعات شناخته شد.

اطلاعات نیز توسط مردم محافظت می‌شود و حاملان اصلی اطلاعات نیز مردم هستند، با مجموعه‌ای از عقده‌ها، ضعف‌ها و تعصبات معمولی که می‌توان با آنها بازی کرد. این کتاب به نحوه انجام آن و نحوه محافظت از خود در برابر آن اختصاص داده شده است. از لحاظ تاریخی هک عوامل انسانی نامیده می شود "مهندسی اجتماعی"به همین دلیل کتاب ما مهندسی اجتماعی و هکرهای اجتماعی نام دارد.

تنها با دانستن روش های کاری آنها می توانید از خود در برابر هکرهای اجتماعی محافظت کنید. هدف ما به عنوان نویسندگان کتاب این است که خوانندگان را با این روش ها آشنا کنیم تا هکرهای اجتماعی را از برگ برنده اصلی خود محروم کنیم: بی تجربگی قربانیان آنها در مسائل کلاهبرداری و روش های کنترل پنهان انسانی. همچنین امیدواریم مطالعه مطالب کتاب نه تنها از نظر حرفه ای، بلکه در زندگی برای خوانندگان مفید واقع شود. از این گذشته، مطالعه آن بخش‌هایی از روان‌شناسی که در این کتاب درباره آن‌ها صحبت خواهیم کرد، به شما این امکان را می‌دهد که از چشم یک روانشناس به واقعیت اطراف بنگرید. باور کنید، این یک لذت بزرگ و صرفه جویی بزرگ در اعصاب، تلاش و زمان است.

نویسندگان کتاب پیشنهادی از یک سو (و در اکثر موارد) از طریق برنامه‌نویسی مرتبط با امنیت اطلاعات و از سوی دیگر از طریق یکی از حوزه‌های فعالیت حرفه‌ای ما که مربوط به طراحی و نصب ابزارهای امنیت اطلاعات در برابر دسترسی های غیرمجاز، سیستم های هشدار امنیتی، سیستم های کنترل دسترسی و .... با تحلیل دلایل و روش های هک نرم افزارها یا کانال های نشت اطلاعات از ساختارهای مختلف، به نتیجه بسیار جالبی رسیدیم که حدود هشتاد ( !) درصد دلیل این امر به خودی خود عامل انسانی یا دستکاری ماهرانه آن است. اگرچه این کشف ما مطمئناً جدید نیست. یک آزمایش شگفت انگیز توسط محققان انگلیسی انجام شد. بدون هیچ مقدمه ای، آنها نامه هایی را به کارمندان یک شرکت بزرگ، ظاهراً از طرف مدیر سیستم شرکتشان، ارسال کردند و از آنها خواستند رمز عبور خود را ارائه دهند، زیرا یک بررسی برنامه ریزی شده تجهیزات برنامه ریزی شده بود. این نامه توسط 75 درصد از کارکنان شرکت با درج رمز عبور خود در نامه پاسخ داده شده است. همانطور که می گویند، نظرات اضافی است. فکر نکنید که اینها فقط افرادی هستند که گرفتار شده اند. اصلا. همانطور که بعدا خواهیم دید، اعمال انسان نیز کاملاً به خوبی برنامه ریزی شده است. و نکته اینجا در رشد ذهنی افرادی نیست که گرفتار چنین طعمه هایی می شوند. فقط افراد دیگری هستند که در زبان برنامه نویسی اعمال انسان بسیار خوب هستند. امروزه علاقه به مهندسی اجتماعی بسیار زیاد است. این را می توان از بسیاری جهات مشاهده کرد. به عنوان مثال، چند سال پیش، تنها 2 لینک برای جستجوی "مهندسی اجتماعی" در موتور جستجوی گوگل وجود داشت. اکنون صدها نفر از آنها ... هکر معروف K. Mitnik که از روش های مهندسی اجتماعی برای هک استفاده می کند، در هتل Radisson-Slavyanskaya برای مدیران ارشد شرکت های بزرگ فناوری اطلاعات و متخصصان امنیت شرکت ها سخنرانی می کند ... تعدادی دانشگاه ها قصد دارند دوره های سخنرانی در این زمینه را معرفی کنند ...

با این حال، بسیاری از سخنرانی ها و مقالات منتشر شده بررسی شده توسط نویسندگان دارای چندین کاستی جدی است. اول، پیشینه روانشناختی تکنیک های مورد استفاده توضیح داده نشده است. نویسندگان مقالات به سادگی می گویند: "این کار به این صورت انجام می شود." و چرا دقیقاً چنین است - هیچ کس توضیح نمی دهد. در بهترین حالت، این عبارات آمده است: "این تکنیک بر اساس اصول برنامه ریزی عصبی زبانی است"، که با این حال، حتی بیشتر گیج می شود. گاهی اوقات آنها همچنین می گویند که "برای اینکه قربانی هکرهای اجتماعی نشوید، باید استعداد روانی ایجاد کنید." در مورد این که برای این غریزه به کجا باید رفت و از کجا به دست آورد، چیزی گفته نشده است. و در نهایت سومین و شاید جدی ترین ایراد مقالاتی که در حال حاضر در زمینه مهندسی اجتماعی منتشر شده اند این است که بیشتر نمونه هایی که در آنها آورده شده ساختگی ("سینما") هستند که در زندگی واقعیکار نخواهد کرد خواننده با مطالعه این مثال می‌فهمد که اگر چنین هکری به او مراجعه کند، مطمئناً متوجه خواهد شد. درست است: این یکی - او از طریق آن خواهد دید. اما وقتی یک شخص واقعی به سراغش می آید، صمیمی ترین رازها را به او می گوید. کتاب پیشنهادی از یک سو برای رفع این کاستی ها و ارائه یک حداقل روانشناختی واقعی به خواننده، که مبنای «هک اجتماعی» است، طراحی شده است. از سوی دیگر، کتاب حاوی مثال‌های واقعی و نه تخیلی بسیاری است که به خواننده در تسلط بر مطالب کمک می‌کند و تکنیک‌های اولیه مورد استفاده هکرهای اجتماعی را نشان می‌دهد. پس از خواندن این کتاب، خوانندگان تا حد زیادی از چنین دستکاری‌هایی در امان خواهند بود. و یک نکته کوچک دیگر خیلی جاها کتاب به سبک کتاب مهندسی اجتماعی نوشته شده است. بنابراین، ما اغلب به گونه‌ای نوشته‌ایم که گویی به خوانندگان درباره مهندسی اجتماعی آموزش می‌دهیم. این به این دلیل نیست که ما می‌خواستیم روش‌های کلاهبرداری را به خوانندگان خود آموزش دهیم، بلکه به این دلیل است که اغلب برای شناسایی یک دستکاری، باید بدانید که چگونه او عمل می‌کند تا به این نقش عادت کنید ... "، اما فقط به ترتیب تا بتواند خطر را پیش بینی کند و اقدامات بعدی را پیش بینی کند.

"قتل" از انجمن

البته اگر بتوانید با کمک برنامه نویسی اجتماعی تبلیغات انجام دهید، می توانید ضد تبلیغات نیز انجام دهید. من برای شما یک مثال می زنم، بقیه موارد به قیاس انجام می شود. در عرض چند ماه، یک هکر اجتماعی خاص به تنهایی یک فروم معروف را که چندین سال قبل وجود داشت، نابود کرد. او چطور این کار را انجام داد؟ بسیار ساده. انجمن را به یک "انبوه زباله" تبدیل کرد. او سوگند خورد، به دولت حمله کرد، "مدیران را به دوئل دعوت کرد"، مرتکب اقدامات تحریک آمیز آشکار شد. و از آنجایی که او اصلاً احمق نبود، پس همه پیام ها "در آستانه خطا" نوشته شده بود، یعنی پیام تحریک آمیزی به نظر می رسید و در کل چیزی برای حذف وجود نداشت. به طور کلی، او یک موقعیت معمولی ضد رهبر در این انجمن داشت.

توجه داشته باشید

ضد رهبران به تفصیل در شرح داده شده است فصل 8.

علاوه بر این، او تحت چندین نام مستعار عمل می کرد.

توجه داشته باشید

بریدگی کوچک(از انگلیسی. بریدگی کوچک)(یا به طور کامل تر، نام مستعار(نام مستعار)) نام مستعاری است که بازدیدکنندگان اینترنتی اغلب برای خود انتخاب می کنند تا با این نام مستعار در انجمن های مختلف، چت ها و غیره پیام بگذارند. بسیاری از کاربران فعال اینترنت عادت دارند خود و دیگران را با نام واقعی شناسایی کنند، اما با نام مستعار این یک پدیده بسیار جالب اینترنت از نظر روانشناسی است. واقعیت این است که نامی که از بدو تولد به ما داده می شود توسط ما انتخاب نشده است. بسیاری از موارد شناخته شده وجود دارد که به دلیل این واقعیت که شخصی نام خود را دوست نداشت، "خود را پیدا نکرد". نام مستعار به عمد توسط خود شخص انتخاب می شود و اغلب به نام دوم تبدیل می شود ...

این، در میان چیزهای دیگر، به او کمک کرد تا به سرعت یک گروه ضد رهبر در اطراف خود از بازدیدکنندگان واقعی انجمن ایجاد کند. واقعیت این است که وقتی او از زیر چندین نام مستعار می نوشت، فقط این ظاهر را ایجاد می کرد که "او تنها نیست"، یعنی گروه ضد رهبر از قبل وجود دارد. این طرح ساده است: یک نام مستعار ضد رهبر "ترفیع" است که در انجمن شناخته شده و قابل تشخیص است و سپس بقیه بازدیدکنندگان تالار که از رفتار مدیریت ناراضی هستند به نظر می رسد به آن پایبند هستند. در ابتدا، آنها به صورت ساختگی پایبند هستند، زیرا همان شخص از زیر همه این نام مستعار عمل می کند، و سپس زمانی که بازدیدکنندگان واقعی انجمن شروع به پایبندی به این گروه بندی می کنند، از قبل واقعی است. در پایان، انجمن به نوعی میدان جنگ تبدیل می شود که در آن تبلیغ هر چیزی (کالاها، ایده ها ...) تقریبا غیرممکن می شود.

به طور کلی کسانی که در سایت تالار گفتگو دارند باید بسیار مراقب باشند. حتی اگر کسی قرار نیست تالار گفتمان شما را "کشتن" کند، مدیران شما در فروم می توانند "بیش از حد بگویند"، که یک نکته برای هوش رقیب خواهد بود.

ضامن اصلی موفقیت تالار، یک سیاست رفتار شایسته و شایسته در مورد آن است اعتدالاین خیلی مهمه. از آنجایی که تنها در این مورد، انجمن یک امتیاز بازاریابی خواهد بود. در همه موارد دیگر، می تواند یک ضرر بزرگ بازاریابی باشد.

توجه داشته باشید

اعتدال- این کنترل بر رفتار بازدیدکنندگان در انجمن های مختلف، چت ها و غیره و اطلاعاتی است که آنها در پیام های خود ارسال می کنند.

قوانین اساسی برای "برگزاری انجمن". تحت هیچ شرایطی نباید با تحریک کنندگان و "تروریست های مجازی" مختلف وارد مذاکره شوید. خدا را شکر، برخلاف تروریست های واقعی، مجازی ها هیچکس را گروگان نمی گیرند و شما می توانید با آنها صحبت نکنید. و فقط بی رحمانه نابود کنید. منظورم متوسطه

توجه داشته باشید

در این راستا، رفتار یکی از افراد سرشناس که تریبون خود را حفظ کرده بود، به طرز غیرقابل وصفی متعجب شدیم و پس از آلوده شدن، به عنوان آخرین راه حل تصمیم به «مذاکره با تروریست ها» گرفت. ما نمی دانیم که او در آنجا به آنها چه گفته است، برای ما واقعیت چنین مذاکراتی تعجب آور است. شما در زندگی چیزهای زیادی دیده اید و بهتر از دیگران باید بدانید که نمی توانید با تحریک کنندگان مذاکره کنید. به هر حال، مذاکرات احتمالاً کمکی نکرد، زیرا این انجمن به زودی وجود نداشت. و انجمن خیلی خوبی بود.

مطلوب است که ناظم عضو انجمن نباشد. این برای حفظ پایبندی او به اصول ضروری است که اگر خود شما در بحث ها شرکت می کنید حفظ آن مشکل ساز است. این دقیقاً همان کاری است که ما انجام داده ایم: ناظم عضوی از بحث های انجمن نیست.

مجری باید فردی باهوش و متعادل باشد. به نظر می رسد این ماده بدیهی است، اما این قاعده اغلب نقض می شود. اغلب، برای مثال، می توانید ببینید که چگونه ناظم شروع به حذف تمام پیام های شخصی که او را به طور متوالی توهین کرده است، می کند. این البته غیرقابل قبول است.

اقدامات ناظم مورد بحث قرار نمی گیرد و این باید در قوانین انجمن که باید وجود داشته باشد مشخص شود (برای مرجع، نسخه قوانینی که در انجمن استودیوی SoftTime IT عمل می کند در زیر آورده شده است). در این قوانین باید نوشته شود که در چه صورت مجری کار خود را شروع می کند. به طوری که همه چیز بدون توهین بود.

باید فردی در انجمن وجود داشته باشد که در موضوعات مورد بحث بسیار صلاحیت داشته باشد. در هر انجمن تخصصی بلافاصله پس از پاسخ کارشناس که می آید و شایسته و گاه تنها پاسخ صحیح را می دهد، جنجال متوقف می شود. این همه چیز است - چیزی برای بحث وجود ندارد.

اگر یک انجمن تخصصی دارید، توصیه نمی‌کنم بخش‌های "برای زندگی" را در آن راه اندازی کنید. از نقطه نظر مدیریت پذیری، این بدترین قسمتی است که می توانید به آن فکر کنید، زیرا نگاه هرکسی به زندگی متفاوت است. و نزاع با همه، دفاع از نظرات آنها، هزینه ای ندارد. و فحش دادن در انجمن آن را به یک سطل زباله تبدیل می کند (البته مگر اینکه به طور خاص برای فحش دادن ایجاد شده باشد). همان طور که در قاعده قبل گفته شد، پس از آمدن پاسخ کارشناس و دادن پاسخ شایسته بلافاصله بحث متوقف می شود. اما در زندگی متخصصان، افسوس که نه.

اکنون قوانینی را که بر اساس آن در انجمن های خود هدایت می شویم، ارائه می دهیم.

تکنیکی که یک هکر نه به کامپیوتر، بلکه به شخصی که با کامپیوتر کار می کند حمله می کند، مهندسی اجتماعی نامیده می شود. هکرهای اجتماعی افرادی هستند که می دانند چگونه یک فرد را با برنامه ریزی برای انجام اقدامات مورد نظر "هک کنند". این کتاب زرادخانه ابزارهای اساسی یک هکر اجتماعی مدرن (تحلیل تراکنش، برنامه‌ریزی عصبی زبانی) را توصیف می‌کند، و روش‌های محافظت در برابر هک اجتماعی متعدد (علمی که برنامه‌ریزی رفتار انسان را مطالعه می‌کند) را به تفصیل در نظر می‌گیرد. این کتاب برای متخصصان فناوری اطلاعات، افسران امنیت سازمانی، روانشناسانی که در زمینه مهندسی اجتماعی و برنامه نویسی اجتماعی مطالعه می کنند و همچنین کاربران رایانه شخصی مفید خواهد بود، زیرا آنها اغلب توسط هکرهای اجتماعی به عنوان راحت ترین هدف انتخاب می شوند. برای طیف وسیعی از خوانندگان.

* * *

بخش مقدماتی داده شده از کتاب مهندسی اجتماعی و هکرهای اجتماعی (I.V.Simdyanov، 2007)ارائه شده توسط شریک کتاب ما - شرکت Liters.

مهندسی اجتماعی چیست و هکرهای اجتماعی چه کسانی هستند

بخش اول مفاهیم اولیه مهندسی اجتماعی و هک اجتماعی را مورد بحث قرار می دهد. فصل اول طبق معمول مقدمه ای بر موضوع مورد بحث است و در فصل دوم نمونه های مختلفی از استفاده از تکنیک های مهندسی اجتماعی ارائه شده است.

فصل 1.

فصل 2.

فصل 3.نمونه هایی از برنامه های اجتماعی

فصل 4.ساخت فایروال های اجتماعی

فصل 5.جنبه های روانشناختی آموزش هکرهای اجتماعی

مهندسی اجتماعی یکی از ابزارهای اصلی هکرهای قرن بیست و یکم است

... در ابتدای فوریه 2005 بسیاری از متخصصان امنیت اطلاعات در کشورمان منتظر سخنرانی K. Mitnik هکر معروف بودند که قرار بود در مورد خطرات مهندسی اجتماعی و اینکه چه روش هایی استفاده می شود صحبت کند. مهندسین اجتماعی (که در ادامه آنها را هکرهای اجتماعی می نامیم). افسوس که انتظارات محقق نشد: میتنیک فقط در مورد اصول اولیه مهندسی اجتماعی صحبت کرد. و او در مورد این واقعیت صحبت کرد که روش های مهندسی اجتماعی توسط مجرمان در سراسر جهان برای به دست آوردن انواع اطلاعات طبقه بندی شده استفاده می شود. به گفته بسیاری از شرکت کنندگان در جلسه، گوش دادن به آن جالب بود، زیرا شخص واقعاً بسیار جذاب است، اما هیچ راز خاصی فاش نشد.

توجه داشته باشید

کوین میتنیک یک هکر معروف است که با مخالفت بهترین کارشناسان امنیت اطلاعات FBI روبرو شد و در دهه 90 توسط دادگستری ایالات متحده به دلیل نفوذ به بسیاری از پایگاه های مخفی دولتی و شرکتی محکوم شد. به گفته بسیاری از کارشناسان، میتنیک پایه فنی قابل توجهی یا دانش زیادی از برنامه نویسی نداشت. اما او هنر برقراری ارتباط تلفنی را داشت تا اطلاعات لازم را به دست آورد و امروزه به آن «مهندسی اجتماعی» می گویند.

همین را می توان در مورد کتاب های او گفت - هیچ مکاشفه خاصی در آنجا وجود ندارد. ما اصلاً رد نمی کنیم که میتنیک همه اینها را به خوبی می داند، علاوه بر این، ما تقریباً از این مطمئن هستیم، فقط، متأسفانه، او چیزی از آنچه واقعاً می داند، نمی گوید. نه در سخنرانی هایم، نه در کتاب هایم.

توجه داشته باشید

امری که احتمالاً به طور کلی و جای تعجب نیست، زیرا اف‌بی‌آی پس از آن خیلی محکم با او برخورد کرد و نشان داد که رئیس کیست و اعصابش تقریباً به هم می‌خورد. توضیحات زیادی وجود داشت و ممنوعیت کار با کامپیوتر برای چندین سال و حبس. جای تعجب نیست که او پس از چنین تحولاتی تبدیل به فردی کاملاً قانون مدار شد و هیچ پایگاه سری را ربوده نیست، اما حتی با احتیاط زیادی در مورد چیزهای پنهانی صحبت خواهد کرد.

در نتیجه چنین محفوظاتی، به نظر می رسد مهندسی اجتماعی نوعی شمنیسم برای نخبگان است، که اینطور نیست. علاوه بر این، یک نکته مهم دیگر وجود دارد. بسیاری از توصیفات حمله از کل پاراگراف ها، اگر نه صفحات، صرف نظر می کنند. این چیزی است که ما برای آن هستیم. اگر به طور خاص طرح‌های برخی از جالب‌ترین حملات را در نظر بگیریم و سعی کنیم آنها را مطابق آنچه نوشته شده است بازتولید کنیم، به احتمال زیاد چیزی از آن نخواهد شد. زیرا بسیاری از طرح های K. Mitnik تقریباً شبیه چنین گفت وگویی است.

- واسیا، لطفا رمز عبور را به من بده!

- بله ادامه دارد! برای یه چیزی متاسفم مردخوب.

تحلیل این "حمله" به چیزی شبیه به موارد زیر است: "واسیا آن را به یک هکر اجتماعی داد، زیرا از بدو تولد نمی دانست چگونه بگوید" نه!" به غریبه ها. بنابراین، روش اصلی مقابله با مهندسان اجتماعی این است که "نه" گفتن را یاد بگیر ... شاید این توصیه برای آمریکا مناسب باشد، اما می ترسم برای روسیه نباشد، جایی که اکثریت نمی دانند چگونه "بله" و "نه" بگویند، همه کارشان خیلی خوب است. در واقع، نوعی از افراد وجود دارند که به طور ارگانیک نمی توانند از شخص دیگری امتناع کنند، اما اولاً، چنین افراد زیادی وجود ندارند و همه باید به چنین وضعیتی برسند. و حتی یک کلمه در مورد چگونگی شکست گفته نشده است.

توجه داشته باشید

در پیوست 2 به تفصیل درباره گونه‌شناسی روان‌شناختی و نحوه استفاده از این دانش در مهندسی اجتماعی صحبت خواهیم کرد.

این تقریباً همان چیزی است که می گوییم میتنیک اغلب کل پاراگراف ها را نادیده می گیرد. می توان فرض کرد که اولین عبارت می تواند در ابتدا باشد و دومی - در پایان مکالمه. اما بین آنها هنوز چیزهای زیادی و جالب ترین وجود داشت. زیرا برای اینکه همه چیز به این سادگی باشد، باید فرد را یا در هیپنوتیزم عمیق غوطه ور کنید، یا به او «سرم حقیقت» تزریق کنید. اما حتی اگر اینطور بود، این نیز باید نوشته شود.

در زندگی، به عنوان یک قاعده، به روش دیگری اتفاق می افتد. و رمزهای عبور گفته می شود و پایگاه های داده تحمل می شوند، نه به این دلیل که نمی توانند فقط "نه" پاسخ دهند، بلکه به این دلیل که پاسخ "نه" وجود دارد، ... من واقعاً نمی خواهم. و برای اینکه فردی که اطلاعات جدی دارد پاسخ دادن به "نه" برای او بسیار دشوار باشد، باید او را به این وضعیت برسانید. مثلاً یک هفته او را ردیابی کنید. ناگهان، چه چیزی جالب است برای نشان دادن؟ شاید خودش یک "قزاق فرستاده شده" باشد یا عصرها برای رقبا پول درمی آورد، یا شاید موضوع به طور کلی جدی تر باشد: عصرها برای رقبا کار نمی کند، اما به فاحشه خانه می رود... برای افراد غیر - گرایش جنسی سنتی، و مثال زدنی برای همه افراد خانواده، او واقعاً نمی خواهد کسی در مورد آن بداند. با داشتن تقریباً این اطلاعات، می توانید با خیال راحت به او نزدیک شوید و با او صحبت کنید:

- واسیا، همه پسوردهایی را که می دانی به من بگو. و به من اجازه دسترسی به شبکه خود را بدهید تا وقت را تلف نکنم.

و در این مورد، بسیاری از واسیا پاسخ خواهند داد:

- بله لطفا. و پسوردها را می دهم و دسترسی باز می کنم. حیف برای من، شاید برای یک آدم خوب...

در اصطلاح اطلاعاتی به این کار «استخدام» می گویند. و اگر ناگهان همه چیز در سازمان شما در جایی ناپدید شد، همه رمزهای عبور برای کسی شناخته شده است، به این فکر کنید که آیا کسی روی دم یکی از کارمندان شما نشسته است یا خیر. معمولاً محاسبه اینکه چه کسانی سوار شده اند و چه کسانی که سوار شده اند دشوار نیست. به هر حال، افسران امنیتی هوشمند، به هر حال، قبل از سپردن پست های کلیدی به افراد، معمولاً به شدت او را برای، مثلاً، نقاط ضعف نامزد این موقعیت را بررسی می کنند. و او را دنبال می کنند و انواع تست های هوشمند را ترتیب می دهند تا بدانند چه جور آدمی سر کار آمده است.

... این مقدمه نه برای انتقاد از کی میتنیک - هرکدام از ما چیزی برای نقد کردن داریم - بلکه برای این نوشته شده که نشان دهد مهندسی اجتماعی به این سادگی که گاهی مطرح می شود نیست و این موضوع را باید جدی و تامل کرد. حالا بعد از این مقدمه به قول خودشان شروع کنیم.

یک سیستم کامپیوتری که یک هکر به آن نفوذ کند به تنهایی وجود ندارد. همیشه شامل یک جزء دیگر است: یک شخص. به طور تصویری، یک سیستم کامپیوتری را می توان با نمودار ساده زیر نشان داد (شکل 1.1).

برنج. 1.1.گزینه های اصلی برای هک کردن یک سیستم کامپیوتری (یک فرد - از کارتون H. Bidstrup)

کار یک هکر هک کردن یک سیستم کامپیوتری است. از آنجایی که همانطور که می بینیم این سیستم دارای دو جزء است، به ترتیب دو راه اصلی برای شکستن آن وجود دارد. راه اول، زمانی که "کامپیوتر هک می شود" را فنی می نامیم. آ مهندسی اجتماعیزمانی فراخوانی می شود که با هک کردن یک سیستم کامپیوتری، راه دوم را طی کرده و به شخصی که با کامپیوتر کار می کند حمله کنید. یک مثال ساده فرض کنید باید رمز عبور را بدزدید. می توانید کامپیوتر قربانی را هک کنید و رمز عبور را پیدا کنید. این اولین راه است. و اگر مسیر دوم را دنبال کنید، می توانید به سادگی از شخص رمز عبور را بخواهید. خیلی ها می گویند، اگر درست پرسیده شود.

به گفته بسیاری از کارشناسان، بزرگترین تهدید برای امنیت اطلاعات، چه شرکت‌های بزرگ و چه کاربران عادی، در دهه‌های آینده، روش‌های بهبود روزافزون مهندسی اجتماعی برای شکستن ابزارهای امنیتی موجود خواهد بود. فقط به این دلیل که کاربرد مهندسی اجتماعی به سرمایه گذاری مالی قابل توجه و دانش کامل فناوری رایانه نیاز ندارد. برای مثال، ریچ موگول، رئیس امنیت اطلاعات در شرکت گارتنر، می‌گوید که «مهندسی اجتماعی تهدیدی بزرگ‌تر از هک کردن شبکه‌های متعارف است. دستکاری. بسیاری از مخرب‌ترین نقض‌های امنیتی از طریق مهندسی اجتماعی اتفاق می‌افتند، نه هک الکترونیکی. برای دهه آینده، خود مهندسی اجتماعی بالاترین تهدید را برای امنیت اطلاعات ایجاد خواهد کرد. راب فورسایت، مدیر عامل یکی از بخش‌های منطقه‌ای شرکت آنتی‌ویروس سوفوس، با او موافق است، که نمونه‌ای از «نوع بدبینانه جدیدی از کلاهبرداری با هدف افراد بیکار در استرالیا را ارائه کرد. پست الکترونیکنامه ای که ظاهراً توسط Credit Suisse ارسال شده است که در آن جای خالی وجود دارد. از گیرنده خواسته می شود از سایتی بازدید کند که تقریباً شبیه به سایت اصلی شرکت Credit Suisse است، اما نسخه جعلی فرمی برای پر کردن یک درخواست شغلی ارائه می دهد. و برای رسیدگی به درخواست، «بانک» درخواست کرد، هرچند نمادین، اما پولی که لازم بود به فلان حساب واریز شود. زمانی که افراد زیادی پول را جابجا کردند، این مبلغ چندان نمادین نبود. سایت جعلی آنقدر استادانه است که متخصصان برای اطمینان از جعلی بودن آن زمان بردند. باید اعتراف کرد که مهاجمان از ترکیبی هوشمندانه از فناوری ها استفاده کردند. هدف آنها نیازمندترین افراد جامعه یعنی کسانی هستند که به دنبال کار هستند. اینها همان افرادی هستند که می توانند تسلیم این نوع تحریک شوند، "- فورسایت می گوید. انریکه سالم، معاون سیمانتک، به طور کلی معتقد است که تهدیدهای سنتی مانند ویروس ها و هرزنامه ها مشکلات دیروز هستند. " اگرچه شرکت ها باید از خود در برابر آنها دفاع کنند. سالم، فیشینگ با استفاده از روش های مهندسی اجتماعی را امروزه یک مشکل می نامد.

توجه داشته باشید

درباره فیشینگ در بیشتر بدانید فصل 2.

چرا بسیاری از محققان بر این باورند که مهندسی اجتماعی به یکی از ابزارهای اصلی هکرها در قرن بیست و یکم تبدیل خواهد شد؟ پاسخ ساده است. زیرا سیستم‌های حفاظت فنی روز به روز بهبود می‌یابند و مردم با ضعف‌ها، تعصبات، کلیشه‌های خود انسان باقی می‌مانند و ضعیف‌ترین حلقه در زنجیره امنیتی خواهند بود. شما می توانید پیشرفته ترین سیستم های حفاظتی را وارد کنید، و هنوز هم نباید برای یک دقیقه هوشیاری خود را از دست بدهید، زیرا در طرح امنیتی شما یک پیوند بسیار غیر قابل اعتماد وجود دارد - یک شخص. به عبارت دیگر فایروال انسانی را پیکربندی کنید دیواره آتش(دیوار آتش) سخت ترین و ناسپاس ترین کار است. یک تکنیک خوب تنظیم شده ممکن است ماه ها طول بکشد. فایروال انسان باید دائماً اصلاح شود. در اینجا، بیش از هر زمان دیگری، شعار اصلی همه کارشناسان امنیتی مرتبط به نظر می رسد: "ایمنی یک فرآیند است، نه یک نتیجه." یک مثال بسیار ساده و رایج. فرض کنید شما یک مدیر هستید و یک کارمند بسیار خوب دارید که به نظر شما هرگز به کسی چیزی نمی فروشد و به کسی نمی فروشد. ماه بعد، مثلاً به دلایلی، حقوق او را کاهش می دهید. حتی اگر این دلایل بسیار عینی باشند. و وضعیت به طرز چشمگیری تغییر کرده است: اکنون یک چشم و یک چشم پشت سر او وجود دارد ، زیرا او به دلیل رنجش جایی برای خود پیدا نمی کند ، او قبلاً آماده است شما را بکشد ، در مورد برخی از اسرار شرکت داخلی چه می توانیم بگوییم.

همچنین متذکر می شوم که برای اینکه بتوانید امنیت را به خصوص در زمینه راه اندازی "فایروال های انسانی" انجام دهید، باید یک سیستم عصبی و روانی پایدار داشته باشید. چرا، شما از عبارت عالی زیر از A. Einstein که ما، پیرو کوین میتنیک، نمی توانیم آن را تکرار نکنیم، متوجه خواهید شد: "شما می توانید فقط از دو چیز مطمئن باشید: وجود جهان و حماقت انسان، و من کاملاً نیستم. در مورد اول مطمئن هستم."

همه حملات هکرهای اجتماعی به اندازه کافی در یک مورد قرار می گیرند طرح ساده(شکل 1.2).

برنج. 1.2.طرح تاثیر اساسی در مهندسی اجتماعی

توجه داشته باشید

این طرح نامیده می شود طرح شینوف... به شکل کلی، در کتاب روانشناس و جامعه شناس بلاروسی V.P. شینوف که مدتهاست درگیر روانشناسی کلاهبرداری بوده است. در شکل کمی تغییر یافته، این طرح برای مهندسی اجتماعی نیز مناسب است.

بنابراین، ابتدا هدف تأثیرگذاری بر یک یا شیء دیگر همیشه فرموله می شود.

توجه داشته باشید

سپس اطلاعات مربوط به شی جمع آوری می شود تا راحت ترین مورد را پیدا کند اهداف تاثیر... بعد از این مرحله ای فرا می رسد که روانشناسان فرا می خوانند جاذبه... جاذبه (از لات. در اینجا- جذب کردن، جذب کردن) - این ایجاد شرایط لازم برای تأثیر مهندس اجتماعی بر شی است. اجبار به عمل لازم برای هکر اجتماعی معمولاً با انجام مراحل قبلی حاصل می شود، یعنی پس از حصول جذابیت، خود قربانی اقدامات لازم را برای مهندس اجتماعی انجام می دهد. با این حال، در تعدادی از موارد، این مرحله اهمیت مستقلی پیدا می کند، به عنوان مثال، زمانی که اجبار به عمل با وارد شدن به خلسه، فشار روانی و غیره انجام می شود.

دنبال V.P. شینوف، ما این طرح را با مثال ماهیگیری نشان خواهیم داد. هدف ضربه در این مورد نیاز ماهی به غذا است. طعمه یک کرم، یک تکه نان، یک قاشق و ... است و جاذبه ایجاد شرایط لازم برای ماهیگیری موفق است: انتخاب محل صید مناسب، ایجاد سکوت، انتخاب دلبستگی مناسب، تغذیه ماهی. اجبار به عمل، برای مثال، تکان دادن با میله است که به لطف آن یک کرم یا سایر وابستگی ها تکان می خورد و ماهی می فهمد که غذا می تواند و باید از بین برود و لازم است فعالانه تر عمل کند. خوب، همه چیز با نتیجه مشخص است.

مثال دیگر: رشوه دادن به کارمند. در اینجا هدف، نیاز کارمند به پول است. این واقعیت که او به آنها نیاز دارد و احتمالاً "پیشنهاد را می پذیرد" در مرحله جمع آوری اطلاعات آموخته می شود. به عنوان مثال، ایجاد چنین شرایطی می تواند یک جاذبه باشد که در آن کارمند به شدت به پول نیاز داشته باشد.

توجه داشته باشید

این شرایط اغلب به عمد ایجاد می شود. یک مثال بی اهمیت - یک کارمند در حال رانندگی ماشین بود و "تصادف خفیفی داشت"، پس از آن ماشین باید تعمیر شود و جیپی که با آن تصادف کرد باید پول پرداخت شود. تعداد چنین "قاب های جاده" اکنون به طرز باورنکردنی افزایش یافته است و یافتن مجریان کار دشواری نیست.

حال اجازه دهید به اختصار به گونه ای از جنایات رایج مانند سرقت پایگاه های داده

توجه داشته باشید

سرقت پایگاه‌های اطلاعاتی یکی از کاربردهای اصلی مهندسی اجتماعی است. در ادامه گفتگو در مورد سرقت پایگاه داده ها را نیز در ادامه خواهیم داد فصل 2.

اکنون انواع پایگاه‌ها را پیدا نمی‌کنید: پایگاه‌های MGTS، و پایگاه‌های بانک مرکزی، و پایگاه‌های صندوق بازنشستگی، و پایگاه‌های BTI، و پایگاه‌های وزارت کشور در بازرسی ایمنی ترافیک کشور، و پایگاه‌های ثبت نام. .. پایگاه های داده. این نوع جرایم از یک سو به نظر بسیاری از کارشناسان به جرایمی در حوزه فناوری اطلاعات اشاره دارد. کسانی که اینطور فکر می‌کنند، از این گزاره ساده استفاده می‌کنند که پایگاه‌های اطلاعاتی بر روی هارد دیسک‌های سرورها ذخیره می‌شوند و بنابراین، اگر به سرقت رفتند، در فناوری اطلاعات جرم است. اما از سوی دیگر، این موضوع کاملاً درست نیست، زیرا بیشتر سرقت ها با استفاده از روش های مهندسی اجتماعی انجام می شود.

چه کسی و با چه روشی پایگاه داده ها را سرقت می کند؟اگر در پاسخ به این سوال می شنوید که هکرها با نفوذ به سرورهای شرکتی آنها را می دزدند سازمان های دولتیو شرکت های بزرگ - باور نکنید. این درست نیست. همه چیز بسیار ساده تر و ساده تر است. مردم عادی آنها را می دزدند، در بیشتر موارد از هیچ دستگاه پیچیده ای استفاده نمی کنند، البته اگر فلش درایو معمولی متصل به پورت USB را در نظر نگیریم.

همانطور که قبلاً گفتیم، در حدود 80 مورد از 100 مورد، اطلاعات نه از طریق یک کانال فنی، بلکه از طریق یک کانال اجتماعی به سرقت می رود. بنابراین، این هکرها نیستند که تمام شب را می نشینند و سرورها را هک می کنند، بلکه مثلاً یک مدیر سیستم توهین شده استعفا می دهد. اما نه یک، بلکه همراه با تمام بانک های اطلاعاتی و تمام اطلاعات مربوط به شرکت. یا، در ازای یک هزینه معقول، خود یکی از کارمندان شرکت اطلاعات مربوط به شرکت را به طرف دیگر "نشت" می کند. یا فقط یک فرد خارجی آمد، خود را به عنوان بهترین دوست مدیر سیستم معرفی کرد و نشست تا یک پایگاه داده "باگ" راه اندازی کند، زیرا بهترین دوست او اکنون بیمار است. بعد از رفتن او، این پایگاه واقعاً بهتر شروع به کار کرد، اما در مکانی متفاوت. اگر فکر می کنید که این بسیار پیش پا افتاده است و فقط در شرکت های کوچک و بسیار بی دقت اتفاق می افتد، پس نباید اینطور فکر کنید. اخیراً به این ترتیب اطلاعات ارزشمندی از یکی از شرکت های بسیار بزرگ سنت پترزبورگ که در زمینه انرژی کار می کند به سرقت رفته است. و از این قبیل نمونه ها زیاد است. این واقعیت که کانال اصلی نشت اطلاعات اجتماعی است، کار حفاظت از اطلاعات را به شدت دشوار می کند. زیرا احتمال نشتی از طریق کانال فنی اصولاً می تواند به صفر برسد. این امکان وجود دارد که شبکه را بسیار ایمن کرد تا هیچ حمله خارجی به آن نفوذ نکند. به طور کلی، می توانید آن را طوری بسازید که شبکه داخلی موسسه با خارجی تلاقی نداشته باشد، همانطور که به زبان روسی انجام می شود. سازمان های اجرای قانون به عنوان مثال، جایی که شبکه های داخلی به اینترنت دسترسی ندارند. دفاتر رهبری و کلیه دفاتری که جلسات مهم در آنها برگزار می شود باید مجهز به تدابیر امنیتی در برابر نشت اطلاعات باشند. هیچ کس چیزی را روی دیکتافون ضبط نمی کند - ما سرکوب کننده های دیکتافون را نصب کرده ایم. هیچ کس از طریق کانال رادیویی و کانال تابش الکترومغناطیسی اتفاقی به چیزی گوش نمی دهد - آنها یک مولد نویز رادیویی نصب کردند. کانال ارتعاشی نیز مسدود شده است، همچنین دریافت اطلاعات لیزری در مورد ارتعاشات شیشه پنجره غیرممکن است، هیچ کس از طریق شفت های تهویه نیز چیزی نمی شنود. خطوط تلفن محافظت شد. … بنابراین، همه کار تمام است. و اطلاعات همه همان "ساخته شده پاها". چگونه چرا؟ و مردم آن را بردند. بدون هیچ گونه دستکاری فنی پیچیده. یک بار دیگر، عامل بدنام و تحمیلی انسانی که به نظر می رسد همه از آن مطلع هستند و همه سعی می کنند آن را فراموش کنند، با زندگی بر اساس اصل "تا زمانی که رعد و برق بیفتد ..." کار کرد. توجه: سرقت اطلاعات از شبکه های ارگان های دولتی از طریق کانال فنی تقریباً غیرممکن است. و او، با این حال، ربوده شده است. و این دلیل دیگری است بر این که اساساً اطلاعات با استفاده از افراد دزدیده می شود و نه ابزار فنی. و گاهی آدم ربایی به طرز مضحکی ساده است. ما حسابرسی یک شرکت بزرگ در صنعت پتروشیمی را به منظور سازماندهی امنیت اطلاعات انجام دادیم. و ما به یک چیز جالب پی بردیم: هر خانم نظافتی شبانه می تواند به میز منشی مدیر عامل دسترسی داشته باشد. و ظاهرا داشت. این همان دموکراسی بود که در این شرکت حاکم بود. و کاغذهای زیادی روی این جدول پراکنده شده بود که می شد تقریباً از تمام فعالیت های فعلی شرکت و برنامه های توسعه آن برای 5 سال آینده ایده گرفت. بیایید یک بار دیگر رزرو کنیم که این یک شرکت واقعاً بزرگ با شهرت قوی و میلیون ها گردش مالی است. البته به دلار. و حفاظت از اطلاعات در جای خود قرار گرفت ... اما به هیچ وجه تنظیم نشده بود. یکی دیگر از کانال های مهندسی اجتماعی جالب نشت اطلاعات، نمایشگاه های مختلف، ارائه ها و غیره است. یک نماینده شرکت که از بهترین نیت در غرفه می ایستد تا همه را راضی نگه دارد، اغلب صمیمی ترین اسرار شرکت را که می داند را فاش می کند. ، و به هر سوالی پاسخ می دهد. من این را بیش از یک بار به بسیاری از کارگردانان آشنای خود گفته ام و یکی از آنها به شوخی به من پیشنهاد کرد که در نمایشگاه بعدی به یکی از نمایندگان شرکت او مراجعه کنم و به این ترتیب سعی کنم چنین چیزی را از او بفهمم. وقتی صفحه دیکتافون را برایش آوردم، شاید بتوان گفت، گریه می کرد، زیرا یکی از جمله ها چیزی شبیه به این بود: "اما اخیراً کارگردان ما هنوز به ایران سفر کرده است ...". به هر حال، این روش کسب اطلاعات توسط تعداد قابل توجهی از شرکت ها استفاده می شود.

توجه داشته باشید

برای اطلاعات بیشتر در مورد نحوه نمایش اطلاعات در ارائه ها، رجوع کنید به فصل 2.

... متأسفانه بسیاری از افراد به شدت بی توجه هستند و نمی خواهند نگران امنیت اطلاعات باشند. و اغلب، حتی در سازمان‌های بسیار بزرگ، این «عدم تمایل» از معمولی‌ترین کارمندان تا مدیرعامل گسترش می‌یابد. و در این شرایط، یک مدیر سیستم یا رئیس سرویس امنیتی، حتی اگر کاملاً پارانوئید، وسواس حفاظت از اطلاعات باشند، وضعیت را نجات نمی دهند. زیرا در حال حاضر، متأسفانه، حتی مدیرانی که درک می کنند که اطلاعات باید محافظت شود، همیشه یک چیز دیگر را متوجه نمی شوند: اینکه حفاظت از اطلاعات باید سیستمی باشد، یعنی از طریق تمام کانال های نشت احتمالی انجام شود. شما می توانید تا آنجایی که می خواهید از شبکه کامپیوتری محافظت کنید، اما اگر مردم دستمزد پایینی دریافت می کنند و از شرکتی که در آن بیشتر از مردم شوروی اشغالگران نازی کار می کنند متنفرند، دیگر حتی نیازی به خرج کردن پول برای این محافظت ندارید. نمونه دیگری از غیر سیستماتیک بودن را اغلب می توان در زمان انتظار برای پذیرایی درب منزل کارگردان مشاهده کرد. برای کسانی که یک سیستم امنیتی طراحی می کنند چنین چیزی را نادیده می گیرند غیرمعمول نیست: کارگردانان تمایل دارند با صدای بلند صحبت کنند، گاهی اوقات فریاد می زنند. درهای دفتر مدیر کل اغلب به قدری قابل نفوذ صدا هستند که می توانید بدون هیچ زحمتی به کنفرانس در دفتر «ژنرال» گوش دهید، حتی اگر با زمزمه صحبت کنند. یک بار به مسکو آمدم تا یکی از کارگردانان "نزدیک به بدن" را ببینم تا با او در مورد آنچه در آینده در انتظار صنعت ما است مشورت کنم. و او فقط یک جلسه مهم بدون برنامه داشت و از من خواسته شد که منتظر بمانم. بعد از 15 دقیقه نشستن در مقابل دفتر او، متوجه شدم که خیلی بیشتر از آنچه می خواستم بدانم یاد گرفته ام و اصولاً می توانم آنجا را ترک کنم. فقط از روی نجابت باقی ماند. تلخی ماجرا این است که وقتی نوبت من رسید، کارگردان تقریباً به سؤالات من پاسخ نداد و گفت که می گویند خودت می فهمی، خیلی محرمانه است، من خودم هنوز خیلی از آن مطلع نیستم ... و غیره. . با این وجود از او بسیار صمیمانه و با مهربانی تشکر کردم.

... در بازگشت به پایگاه های اطلاعاتی حاوی اطلاعات محرمانه، لازم به ذکر است که پس از موارد فوق کاملا مشخص است که چه کسی و چگونه آن را سرقت می کند. مردم عادی آنها را می دزدند. خیلی اوقات - همان کارمندان شرکت ها. اخیراً یک مأمور گمرک با درجه ستوانی که بازار را با بانک های اطلاعاتی گمرک عرضه می کرد، محکوم شد. در منطقه همسایه، رئیس اداره بازرسی مالیاتی به دست رئیس بازرسی مالیاتی گرفتار شد که در ازای هزینه ای معقول اطلاعات را به بچه های جنایتکار محلی درز می کرد. و غیره.

چرا آنها دزدیده می شوند و چه کسی به آن نیاز دارد؟بسیاری از مردم به آن نیاز دارند. از جوان تا پیر. مورد نیاز شهروندان عادی و کوسه های مالی. اگر از شهروندان شروع کنیم، بدون پرداختن به استدلال عمیق در مورد ویژگی های ذهنیت روسی، فقط خواهیم گفت که در حالی که خانم های جوان پر سر و صدا و ناراضی در سرویس های اطلاعاتی "تلکام" ما نشسته اند، حتی قانونمندترین و آدم صادق خیلی راحت تر از تماس با میز کمک، برود و این پایگاه داده شماره تلفن های سازمان های موجود در بازار نرم افزارهای دزدی را بخرد.

این به طور قابل درک برای همه کسانی که در هوش رقابتی درگیر هستند ضروری است.

جنایتکاران به آن نیاز دارند. مثلاً هر دزد ماشینی که به خودش احترام می گذارد، پایگاه پلیس راهنمایی و رانندگی دارد. همچنین برای مجرمان مهم است که بدانند آیا کسانی که او از آنها "حفاظت" می کند محروم نیستند. سارقان قربانیان خود را با استفاده از پایگاه های داده پیدا می کنند.

این برای غول های مالی که تمرین حملات مهاجم را انجام می دهند ضروری است.

توجه داشته باشید

حملات مهاجمآیا چنین عملی در جدید است تاریخ روسیه، که در آن، به طور کلی، یک شرکت بزرگ با کمک به اصطلاح رایدر، آن دسته از شرکت هایی را که کوچکتر هستند، تصاحب می کند. فرض کنید یک شرکت بزرگ می خواهد یک شرکت کوچکتر دیگر را بخرد. برای انجام این کار، او به مهاجمان دستور می دهد - افرادی که نقشه ای برای تصرف شرکت و اجرای آن خواهند ساخت. جزئیات بیشتر در مورد مهاجمان در شرح داده شده است فصل 2.

... شما می توانید برای مدت طولانی ادامه دهید. به طور کلی، بازار گسترده است و تقاضا برای محصولات وجود دارد. و تقاضا همیشه باعث عرضه می شود. این یکی از قوانین اساسی اقتصاد است. اگر تقاضا باشد، لازم است، دیر یا زود، گران یا ارزان، اما عرضه خواهد بود. این خواسته هر چه باشد. حتی اگر این خواسته بسیار کفرآمیز باشد، مثلاً تقاضای اعضای بدن کودکان. تصور تقاضای شدیدتر دشوار است. و هنوز یک پیشنهاد وجود دارد. در مورد نوعی پایگاه داده چه می توانیم بگوییم.

توجه داشته باشید

در حال حاضر، هزینه سرقت یک پایگاه داده از یک شرکت بزرگ حدود 2000 دلار است.

آیا می توانید کلاً سرقت پایگاه های داده را متوقف کنید؟در سطح دولتی، احتمالاً تنها با تشدید مجازات این جرم می توان این کار را انجام داد. من دوست دارم کسی را ببینم که جرات کند نوعی پایگاه را در آنجا بدزدد زمان شوروی... با این حال، پس از تشدید آن، این کاملاً اصطلاح نیست: واقعیت این است که اکنون پایگاه‌های داده را می‌توان بدون مجازات به سرقت برد. خوب، برای هر کارمندی در هر ساختاری چقدر هزینه دارد که این پایگاه را بیرون بیاورد؟ درست است - هیچ هزینه ای ندارد. در بدترین حالت اخراج خواهند شد. اما شما هنوز هم باید موفق شوید که گرفتار شوید. کار به جایی رسید که طبق انتشارات "Komsomolskaya Pravda" مورخ 03.03.06، حتی مرکز مسکو در پایگاه های داده تجارت می کند. امنیت اقتصادی، که با قضاوت از نام، باید از همین پایگاه ها محافظت کند. بنابراین مثل همیشه باید به دولت تکیه کرد، البته، اما نباید به آن تکیه کرد. و برخی از شرکت ها خود، بدون انتظار دولت، راه های دیگری را انتخاب کردند. مثلا در مسیر بی اعتباری این بازار و کسانی که در آن کار می کنند. به بیان ساده، آنها "اطلاعات غلط" معمولی را می ریزند، و بر اساس این اصل عمل می کنند که اگر دولت نتواند از ما محافظت کند، پس باید خودمان یاد بگیریم که جاسوس بازی کنیم. و بسیاری از آنها خوب مطالعه می کنند. من موردی را می شناسم که یک شرکت با اطلاع از "سفارش" بودن، تمام اطلاعات لازم را خودش تهیه کرد که مهاجم آن ها را دزدید. وقتی «مشتری» متوجه شد موضوع از چه قرار است، می گویند که او از خودش جدا بوده است. و قیمت موضوع بالا بود. تاریخ در مورد اتفاقاتی که برای کسانی که این اطلاعات را به دست آورده اند ساکت است، اما بر اساس شنیده ها، پس از این اتفاق، تعداد کسانی که مایل به کسب اطلاعات محرمانه از فعالیت های این شرکت هستند، از جمله کارمندان، به شدت کاهش یافته است.

به هر حال، اگرچه آنها می گویند که هیچ آیین نامه ای برای جلوگیری از سرقت پایگاه های اطلاعاتی وجود ندارد، اما نکته اغلب در آنها نیست. بله واقعاً آیین نامه مشکل دارد. اما در اکثر سرقت ها همانطور که قبلا گفتیم خود سازمان ها مقصر هستند. به هر حال، در دادگاه ها عملاً هیچ درخواست تجدیدنظری از سازمان هایی که اطلاعات را سرقت می کنند وجود ندارد. که می توان با یک چیز ساده توضیح داد: هیچ کس نمی خواهد کتانی کثیف را در ملاء عام بشوید. که به طور کلی قابل درک است، اما از طرف دیگر موضوع را برای مهاجمان بسیار ساده می کند. نکته اینجاست که حتی اگر شرکت مطمئناً بداند که کارمندش اطلاعات را دزدیده است و بخواهد از این کارمند شکایت کند، احتمال برنده شدن شرکت در پرونده بسیار کم است. به دلیل همین بی احتیاطی: تعداد بسیار کمی از شرکت ها قراردادهایی را با کارکنان به درستی منعقد می کنند، یعنی در آن نوشته شده است که کارمند با اطلاعات محرمانه سر و کار دارد و حقوق به او پرداخت می شود. اگر او این اطلاعات را افشا کند.

تفاوت های اصلی مهندسی اجتماعی و برنامه ریزی اجتماعی

علاوه بر مهندسی اجتماعی، از این اصطلاح نیز استفاده خواهیم کرد "برنامه نویسی اجتماعی"که اگرچه در نگاه اول شبیه به مهندسی اجتماعی به نظر می رسد، اما در واقع بسیار متفاوت از آن است. این بخش به پایان دادن به این سردرگمی در اصطلاح اختصاص داده شده است.

مهندسی اجتماعیمی توان تعیین کرد به عنوان دستکاری یک فرد یا گروهی از افراد به منظور نفوذ به سیستم های امنیتی و سرقت اطلاعات مهم. برنامه نویسی اجتماعیمی توان از آن بدون توجه به هر نوع هک استفاده کرد، اما برای هر کاری، به عنوان مثال، برای مهار یک جمعیت متجاوز یا اطمینان از پیروزی یک نامزد در انتخابات بعدی، یا برعکس، برای تحقیر یک نامزد و به منظور ایجاد یک جمعیت صلح دوست پرخاشگر. مهم است که در اینجا هیچ اشاره ای به کامپیوتر خاصی نشده است. بنابراین، زمانی که در مورد حمله به شخصی صحبت می کنیم، از اصطلاح مهندسی اجتماعی استفاده خواهیم کرد بخشی از یک سیستم کامپیوتری، همانطور که در شکل نشان داده شده است. 1.1.

توجه داشته باشید

گاهی علاوه بر اصطلاح مهندسی اجتماعی از این اصطلاح نیز استفاده می شود مهندسی اجتماعی معکوسنکته اصلی این است که با مهندسی اجتماعی معکوس شما مستقیماً شخص را به چیزی مجبور نمی کنید، بلکه شرایطی را ایجاد می کنید که خود او شما را مخاطب قرار دهد. به عنوان مثال، اگر نیاز دارید که به عنوان یک تکنسین تلفن به سازمانی بیایید، می توانید به سادگی وارد یک سازمان شوید و جعبه های تلفن را بررسی کنید. این، در این اصطلاح، مهندسی اجتماعی است. و شما می توانید آن را متفاوت انجام دهید. شما موقعیتی ایجاد می کنید که در یک سازمان خاص به عنوان یک تکنسین تلفن شناخته می شوید. بعد از آن منتظر می مانید تا برای گوشی ها اتفاقی بیفتد یا خودتان کاری با آن ها انجام دهید و با آرامش منتظر تماس باشید و درخواست بیایید. این مهندسی اجتماعی معکوس است. بنابراین، این شما نیستید که از ناکجاآباد آمده اید، بلکه از شما خواسته می شود که بیایید. البته مورد دوم بسیار ارجح است، زیرا همه شبهات را از شما دور می کند. رویکردهای اجتماعی-مهندسی شایسته به این ترتیب ساخته شده است، بنابراین ما این اصطلاح را اضافی می دانیم و از آن استفاده نمی کنیم.

برنامه‌ریزی اجتماعی را می‌توان علمی نامید که روش‌های تأثیرگذاری هدفمند بر یک فرد یا گروهی از افراد را به منظور تغییر یا حفظ رفتار آنها در جهت درست مطالعه می‌کند. بنابراین، در اصل، برنامه نویس اجتماعی هدف خود را تسلط بر هنر مدیریت افراد قرار می دهد. مفهوم اساسی برنامه ریزی اجتماعی این است که بسیاری از اقدامات افراد و واکنش آنها به این یا آن تأثیر خارجی در بسیاری از موارد قابل پیش بینی است.به طور کلی، موضوع بسیار جالب است. اما در بیشتر موارد، این درست است. طرح کلی روش های کار برنامه نویسان اجتماعی در شکل 1 نشان داده شده است. 1.3.

برنج. 1.3.طرح کلی روش های کار برنامه نویسان اجتماعی

در برنامه ریزی اجتماعی، توسعه طرح نفوذ از انتها، یعنی از نتیجه مطلوب حاصل می شود. بگذارید یک مثال بسیار ساده و بسیار بد برای شما بزنم. یک نفر مثلا معاون باشد که رئیس خیلی اذیتش کند. فرض کنید این معاون می داند که رئیسش دلش بد است و رگ های خونی ضعیفی دارد و آن که دلش بد است خیلی دوست دارد «شیشه را ببوسد». اقوام البته تقریباً روی پاشنه هستند و این لیوان را برمی دارند و حتی کار می کند. و معاون ما به هر طریقی، رئیس شروع به لحیم کردن عمدی فردی با قلب بیمار می کند. در نهایت کشتی ها از کار می افتند. سکته هموراژیک. قائم مقام رئیس شد رئیس. در مراسم تشییع جنازه او بیشترین هق هق گریه کرد و سپس صمیمی ترین دوست خانواده باقی ماند. علیرغم اینکه او در واقع سرپرست خانواده را کشته است.

چرا روش های برنامه نویسی اجتماعی برای مجرمان عالی است، که یا هیچ کس هرگز از آنها مطلع نخواهد شد، مانند مثال بالا، یا حتی اگر کسی در مورد چیزی حدس بزند، پیگرد قانونی چنین شخصیتی بسیار دشوار است. خب ما ماده ای در قانون کیفری "رانندگی تا سکته" نداریم. و اگر وجود داشت - بروید و ثابت کنید که همه چیز همینطور است ، زیرا "آورده" همه کارها را کاملاً داوطلبانه انجام داد ، با توانایی ، هیچ کس او را وارد هیپنوتیزم نکرد ، هیچ اشعه الکترومغناطیسی به او تابش نکرد ...

این یک طرح نسبتاً کلاسیک و بسیار ساده از کاربرد منفی برنامه‌ریزی اجتماعی را در نظر گرفته‌ایم. اگر تاریخ را به یاد بیاوریم، در انواع مختلف، این طرح از زمان های قدیم فعال بوده است. در این صورت نتیجه مطلوب حذف فیزیکی حریف است. بنابراین، هدف تدوین شده است. ویژگی های روانی فیزیکی بیشتری بررسی شد که در نتیجه تمایل به نوشیدن و وجود بیماری های مزمن قلبی عروقی روشن شد. سپس معیاری از قرار گرفتن در معرض (مصرف بیش از حد الکل) ایجاد می شود که در صورت استفاده صحیح، نتیجه برنامه ریزی شده را می دهد. بسیار مهم است که رفتار یک فرد برای او طبیعی باشد. که جالبه برای این، محاسبه ویژگی های روانی انجام می شود. زیرا در غیر این صورت برنامه نویسی اجتماعی نخواهد بود. از این گذشته، وقتی یک قاتل دیوانه، برای مثال، قبلاً قربانی را برای خود انتخاب کرده و قصد دارد او را بکشد، از رفتار آینده قربانی نیز می‌داند که او هنوز در مورد خودش نمی‌داند (که به زودی نخواهد بود. در این دنیا). اما، باید اعتراف کنید، رفتار قربانی در این مورد را به سختی می توان طبیعی نامید: تصور اینکه ملاقات با دیوانه ها سرگرمی طبیعی او است دشوار است. بنابراین، برنامه‌ریزی اجتماعی زمانی است که شما به‌طور مصنوعی موقعیتی را برای یک فرد خاص شبیه‌سازی می‌کنید، که در آن می‌دانید این شخص بر اساس شناخت روان‌نوع این شخص چگونه عمل خواهد کرد. همین امر در مورد گروهی از افراد نیز صادق است.

توجه داشته باشید

V فصل 3ما چند نمونه دیگر از برنامه‌ریزی اجتماعی را در نظر خواهیم گرفت، برای مثال، تحلیل خواهیم کرد که چگونه می‌توان یک جمعیت پرخاشگر را آرام کرد، و همچنین به این فکر خواهیم کرد که چگونه می‌توان به کمک شبکه‌های اجتماعی باعث ایجاد "بحران نمک" بدنام اخیر شد. روش های برنامه نویسی

برنامه ریزی اجتماعی مبتنی بر مفاهیم روانشناختی زیر است:

تحلیل تراکنش (به فصل 6 مراجعه کنید)؛

جامعه شناسی (علم رفتار گروهی) (به فصل 8 مراجعه کنید)؛

برنامه ریزی عصبی-زبانی (به فصل 7 مراجعه کنید)؛

برنامه نویسی اسکریپت (به فصل 6 مراجعه کنید)؛

گونه شناسی روانشناختی (به پیوست 2 مراجعه کنید).

برنامه نویسی اجتماعی، بر خلاف مهندسی اجتماعی، حوزه کاربرد گسترده تری دارد، زیرا با همه دسته های افراد کار می کند، صرف نظر از اینکه آنها بخشی از کدام سیستم هستند. مهندسی اجتماعی همیشه فقط با شخصی کار می کند که بخشی از یک سیستم کامپیوتری است، اگرچه روش ها در هر دو مورد مشابه هستند.

تفاوت مهم دیگر این است که مهندسی اجتماعی تقریباً همیشه یک حوزه کاربردی منفی است، در حالی که برنامه نویسی اجتماعی مانند هر حوزه دانشی دارای کاربردهای مثبت و منفی است. یکی از نمونه های حوزه منفی کاربرد برنامه نویسی اجتماعی فقط مهندسی اجتماعی است.

بنابراین، هنگامی که صحبت از دستکاری یک شخص در موردی می شود که او بخشی از یک سیستم کامپیوتری است یا فقط حامل اطلاعات سری است که باید به سرقت برود، در مورد مهندسی اجتماعی صحبت خواهیم کرد و در مورد مدیریت صحبت خواهیم کرد. مردم به طور کلی، ما در مورد برنامه های اجتماعی صحبت خواهیم کرد. کتاب ما در مورد مهندسی اجتماعی است، اما گاهی اوقات برای درک بهتر ماهیت بسیاری از روش‌ها، به برنامه‌نویسی اجتماعی دست می‌زنیم.

برای پایان دادن به گفتگو در مورد برنامه نویسی اجتماعی، مثال معروفی از اینکه چگونه می توانید افراد را به طرز ماهرانه ای دستکاری کنید، بیان می کنیم.

یک بار استاد بزرگ نامه ای از طریق پست دریافت کرد که در آن شخص ناشناس با معرفی خود به عنوان یک شطرنج باز جوان مبتدی، پیشنهاد داد که یک بازی شطرنج از راه دور انجام دهد. از راه دور، زیرا حرکات از طریق پست ارسال شده است. به استادبزرگ قول مبلغ بسیار زیادی برای برد داده شد و اگر مساوی شد یا خدای ناکرده استاد بزرگ شکست خورد، پول را پرداخت می کند. درست است ، نیمی از مبلغی که خودش در صورت شکست یک شطرنج باز جوان دریافت می کند. استاد بزرگ، بدون تردید، موافقت کرد. ما شرط بندی کردیم و شروع به بازی کردیم. از همان اولین حرکت ها ، استاد بزرگ معروف متوجه شد که نمی تواند "مفت" کسب درآمد کند ، زیرا از قبل اولین حرکات در شطرنج باز جوان به یک استاد امیدوار کننده خیانت می کرد. در وسط دکل، استاد بزرگ آرامش و خواب خود را از دست داد و مدام حرکات بعدی حریف را محاسبه می کرد که معلوم شد نه فقط یک استاد امیدوار، بلکه یک استاد بسیار عالی است. در نهایت استاد بزرگ بعد از مدت ها به سختی توانست بازی را به تساوی بکشاند و پس از آن یک مشت تعریف و تمجید بر سر مرد جوان ریخت و نه پول، بلکه از او حمایت کرد و گفت که با چنین استعدادهایی او را وادار می کند. قهرمان جهان. اما این شطرنج باز جوان گفت که نیازی به شهرت جهانی ندارد و فقط خواسته است تا شرایط شرط بندی را انجام دهد، یعنی پولی را که برنده شده ارسال کند. کاری که استاد بزرگ با اکراه انجام داد. می پرسی اینجا دستکاری کجاست؟ و دستکاری در اینجا این است که این یک مرد جوان نبود که مقابل استاد بزرگ بازی می کرد، بلکه ... استاد بزرگ دیگری بود که دقیقاً همان نامه را از مرد جوان دریافت کرد و به همان ترتیب موافقت کرد "سریع پول اضافی به دست آورد. " دقیقاً با همین شرایط: یک مرد جوان مبلغ زیادی را برای برد به او می پردازد و یک استاد بزرگ به یک مرد جوان برای باخت یا تساوی پرداخت می کند. در نتیجه این دو شطرنج باز بزرگ حدود شش ماه با یکدیگر جنگیدند و «شطرنج باز مستعد» جوان به تعبیر امروزی به عنوان رله پست مشغول به کار شد، یعنی فقط نامه های آنها را برای یکدیگر ارسال می کرد. و سپس، در نتیجه یک تساوی، هر دو استاد بزرگ پول ... برای این مرد جوان فرستادند.

نمونه هایی از هک های مهندسی اجتماعی

در این فصل کمی در مورد تاریخچه مهندسی اجتماعی صحبت می کنیم و سپس با مثال هایی از نحوه کار مهندسین اجتماعی ادامه می دهیم.

درباره تاریخچه مهندسی اجتماعی

هکر معروف K. Mitnick را اغلب «پدر مهندسی اجتماعی» می نامند که کاملاً درست نیست. میتنیک یکی از اولین کسانی بود که هنر دستکاری انسان را در یک سیستم کامپیوتری به کار برد، نه "نرم افزار"، بلکه شخصی که در رایانه کار می کند. و با دست سبک او، همه چیز مربوط به سرقت اطلاعات از طریق دستکاری یک شخص شروع شد به نام مهندسی اجتماعی. در این کتاب به پیروی از میتنیک، ما نیز به اصطلاحی مشابه پایبند هستیم.

در واقع، همه روش‌های دستکاری یک فرد از دیرباز شناخته شده‌اند و اساساً این روش‌ها عمدتاً از زرادخانه خدمات ویژه مختلف به مهندسی اجتماعی رسیده است.

یادداشت تاریخی

اولین مورد شناخته شده هوش رقابتی به قرن ششم قبل از میلاد در چین برمی گردد، زمانی که چینی ها راز ابریشم سازی خود را که توسط جاسوسان رومی فریب خورده بود، از دست دادند.

نویسندگان بسیاری از مقالات با موضوع مهندسی اجتماعی معمولاً کاربرد آن را به تماس های تلفنی کاهش می دهند تا با جعل هویت شخص دیگری به نوعی اطلاعات محرمانه (معمولاً رمزهای عبور) دست یابند. با این حال، زمینه های کاربرد مهندسی اجتماعی بسیار گسترده تر است.

زمینه های اصلی کاربرد مهندسی اجتماعی در شکل 1 نشان داده شده است. 2.1.

بیایید با استفاده از مثال‌هایی به هر یک از این حوزه‌ها نگاه دقیق‌تری بیندازیم.

برنج. 2.1.زمینه های اصلی کاربرد مهندسی اجتماعی

کلاهبرداری مالی

... بهار بود، عشق بود. حسابدار یک شرکت متوسط ​​ناتاشا فداکارانه عاشق مرد جوان ایلیا بود. خیلی زیبا، خیلی شیرین، خیلی جذاب. آنها به طور اتفاقی او را در یک کلوپ شبانه ملاقات کردند و در آنجا متوجه شد که ایلیا به تازگی برای تحصیل در بخش عصرانه بخش مالی به شهر آنها آمده است. قفل ساز سابق، دستان طلایی. ناتاشا استدلال کرد: "پس اگر او یک قفل ساز باشد، او به زودی یاد می گیرد و یک سرمایه گذار خواهد بود." همکار، شاید بتوان گفت. در کل یک عروسی بزرگ در حال برنامه ریزی بود و فقط عشق و چیزهای خوشایند زیادی در پیش داشت. و این چه ربطی به کلاهبرداری مالی دارد؟ و با وجود این واقعیت که زندگی واقعی به شدت در برنامه های ناتاشا مداخله کرد که در آن علاوه بر عشق، فریب بی رحمانه ای نیز وجود دارد. و یک روز متوجه شد که مقدار قابل توجهی پول از رایانه او به حساب یک شرکت خاص منتقل شده است. او دقیقاً به یاد داشت که چنین کاری انجام نمی داد و به طور کلی دختر کوشا و بدون عادت های بد بود. به طور کلی، شوک. که با این واقعیت تشدید شد که ایلیا محبوبش ناگهان در جایی ناپدید شد. به هر حال ، بلافاصله حدس زده نمی شد که این کلاهبرداری توسط ایلیا انجام شده باشد ، زیرا هرگز به ذهن کسی نمی رسید که چنین جذاب ، خیلی ناز و دلسوز می تواند چنین باشد.

چی شد؟ و یک طرح کلاسیک وجود داشت. ایلیا جذاب برای استفاده از موقعیت رسمی خود عاشق ناتاشا شد. داستان اغلب اتفاق می افتد، فقط اهداف متفاوت است. در این مورد، هدف سرقت پول بود.

توجه داشته باشید

هدف تاثیر در این مورد نیاز ناتاشا به عشق است. جذابیت، البته، عشق ورزی ایلیا برای ناتاشا است. علاوه بر این، جذابیت اینجا نیز نشان دادن جدیت نیت شخص است (همانطور که به یاد داریم، عروسی در حال آماده شدن بود).

و بنابراین، پس از انتظار برای یک لحظه مناسب زمانی که در یک روز کاری در دفتر ناتاشا تنها بود، پول را به هر کجا که می خواست منتقل کرد. او خودش به او گفت که چگونه این کار انجام می شود ، زیرا او با انگیزه سؤالات خود با این واقعیت که به آن برای آموزش علاقه مند بود (او همانطور که به یاد می آوریم ، در دانشکده مالی تحصیل کرد و در واقع همه چیز مربوط به افسانه بود ، پرسید. در این مورد بسیار شایسته انجام شد). در طی این مکالمات، ایلیا متوجه شد که فلاپی دیسک های دارای EDS (امضای دیجیتال الکترونیکی) حسابدار ارشد و مدیر کجاست. آیا ناتاشا احمق بود؟ نه، اینطور نبود. فقط به این دلیل که تقریباً همه کارمندان شرکت در چند ماهی که او با ناتاشا بود عاشق ایلیا شدند ، از جمله مدیر که شخصاً عروسی سریع آنها را برکت داد و آماده بود تا ایلیا را در آینده نزدیک به کارکنان شرکت خود ببرد. و از آنجا که، به طور کلی، این تقصیر او نیست که پول در بسیاری از شرکت های ما طبق یک رویه ساده منتقل می شود. انتقال پول بر اساس قوانین چگونه باید انجام شود؟ به عنوان مثال، شما نیاز به انتقال مقداری دارید. حسابدار ارشد می آید، یک فلاپی دیسک را با EDS خود وارد می کند، سپس مدیر فلاپی دیسک خود را وارد می کند. و تنها پس از آن پول منتقل می شود، زیرا حضور یک EDS و یک مدیر و حسابدار ارشد - شرط لازمبرای انتقال پول و اگر همه چیز طبق قوانین انجام می شد، البته چنین حمله ای غیرقابل تصور بود. اما ... حتی کوچکترین شرکت می تواند تا ده انتقال در روز انجام دهد. حال تصور کنید که کارگردان هر بار اجرا می کند و فلاپی دیسک خود را وارد می کند. و اگر شرکت کوچک نیست؟ بله، او زودتر شرکت را تعطیل می کرد تا اینکه دست به چنین شکنجه ای بزند. بنابراین، اغلب زمانی اتفاق می‌افتد که هر دو فلاپی دیسک دارای EDS فقط در میز حسابداری که پول را منتقل می‌کند، قرار می‌گیرند. همانطور که در مورد شرح داده شده بود.

و ایلیا چه شد؟ اما چیزی نبود. چون بعد از انجام همه کارها بلافاصله جایی را ترک کرد. یا به شهر دیگری، یا به کشوری دیگر. پاسپورت البته جعلی بود، عموماً تعداد این پاسپورت ها بیشتر از اداره گذرنامه بود.

توجه داشته باشید

بیایید توسعه بیشتر یا توسعه احتمالی این وضعیت را کنار بگذاریم، زیرا اصولاً برای ما مهم نیست. پول می‌توانست منتقل شود، و سپس نقد شود، یا ممکن است وقت نداشته باشند آن را نقد کنند، زیرا کارمندان شرکت به سرعت "وضعیت را پس زدند". تاریخچه کلاهبرداری مالی نمونه هایی از هر دو سناریو را می شناسد. آنچه برای ما مهم است، همین واقعیت دسترسی به رایانه ای است که از آن حواله های بانکی انجام شده است و واقعیت این انتقال، یعنی مرحله کار مرتبط با هک اجتماعی انجام شده و با موفقیت انجام شده است. مکالمه در مورد اینکه چگونه می توانید قبل از اینکه شرکت (و/یا مقامات ذیصلاح در صورت اطلاع از حادثه) اقدامات لازم را انجام دهند، نحوه انجام این کار برای داشتن زمان برای پول نقد و غیره شروع به پرداخت نقدی کنید. فراتر از محدوده این کتاب است.

صادقانه بگویم، هیچ توصیه جهانی برای دفاع در برابر این نوع حمله وجود ندارد. این داستان با دقتی از تغییرات کوچک، بیش از یک بار اتفاق افتاده و مطمئناً بیش از یک بار اتفاق خواهد افتاد. بسیاری از نویسندگان در موارد مشابه می گویند که می گویند، شما باید مراقب باشید، باید به شدت دستورالعمل ها را دنبال کنید و چنین چیزهایی به سادگی غیرممکن خواهد بود. ما البته کاملاً با این سخنان موافقیم، اما افسوس که اینها فقط کلمات هستند. کلماتی که هیچ ربطی به زندگی واقعی ندارند. و اگر موضوع به صورت جدی مطرح شود و افراد جدی در آن دخیل باشند که می دانند چگونه چنین کارهایی انجام می شود، می توان تضمین کرد که 90 درصد مردم به دام این طعمه خواهند افتاد. و بسیاری دیگر و بیش از یک بار. بنابراین، ما به رکیک نمی پردازیم و صادقانه می گوییم: هیچ راه تضمینی برای محافظت وجود ندارد. حالا یک لحظه تصور کنید که عاشق دختر ناتاشا نیستید، بلکه عاشق کارگردان شده اید. و عواقب آن را تصور کنید. علاوه بر این، انجام همه اینها خیلی دشوار نیست: نوع روانی فرد تعیین می شود، بر اساس آن مشخص می شود که او (او) کدام دختر (یا پسر) را دوست دارد - و پس از مدتی قربانی می یابد "که تنها عشقی که او در تمام عمر آرزویش را داشته است." روش مورد علاقه کلاهبرداران همه زمان ها و مردم. و یک روش بسیار موثر است، زیرا این حمله بر اساس نیازهای فیزیولوژیکی یک فرد است. ما در اینجا بیشتر از آنچه مرسوم است در مورد نیازهای فیزیولوژیکی صحبت می کنیم، و ما با این نیازها نه تنها نیاز به غذا، رابطه جنسی و غیره را درک می کنیم، بلکه نیاز به عشق، نیاز به پول، نیاز به آسایش و غیره و غیره و بنابراین، وقتی یکی از این نیازها هدف باشد، اوضاع بد است. به این معنا که خیلی سخت است. و مهندسان اجتماعی هوشمند دقیقاً این نیازها را هدف قرار می دهند. حمله ای که ما در نظر گرفتیم فقط از این دسته است، زمانی که نیاز به عشق به عنوان هدف تأثیر انتخاب شد.

مدتهاست که شناخته شده است که در شهرهای بزرگروسیه، آژانس های کاملی وجود دارد که خود اغواگران را در خود جای داده است نوع متفاوتبرای طعم بسیار متفاوت، از جمله پیچیده. هدف از وجود آنها کسب سود از طریق "طلاق" مرد ثروتمند است. در واقع، چرا مانند مثالی که ارائه شد، یک ترکیب نسبتاً پیچیده بسازید، در حالی که می توانید همه چیز را آسان تر انجام دهید: عاشق مرد ثروتمندی شوید که به میل خودش پول را به حساب شما منتقل می کند. نیازی به استخدام انبوهی از هکرها، دور زدن کلاهبرداری های مالی، تعادل در آستانه قانون نیست - همه چیز را می توان به گونه ای انجام داد که خود شخص پول را بدهد و داوطلبانه آن را بدهد. طرح کار به شرح زیر است. در مرحله اول، کارمندان آژانس به همه چیزهایی که در مورد "مشتری" ممکن است می فهمند: چه نوع غذایی را ترجیح می دهد، چه کتاب هایی، چه دخترانی، چه ماشین هایی، چه نوع موسیقی - به طور کلی، همه چیز. در اینجا آنها بر اساس این اصل عمل می کنند که اطلاعات نمی تواند اضافی باشد. این کار به این منظور انجام می شود که مطابق با سلیقه قربانی، آن یکی و تنها را برای او انتخاب کند، که او به سادگی نمی تواند از نظر فیزیولوژیکی از آن امتناع کند. به راستی چه مردی از زنی که نه تنها در ذوق و زیبایی خود نانوشته است، بلکه یک هوادار پرشور فوتبال (البته مثل خودش) و حتی ریشه در همان تیم را رد می کند. و - اوه، وحشت، وقتی یک بار او را سوار ماشین کرد، با تأسف و با کمی عشوه گفت:

- ولودیا، اگر نه برای یک چیز، اما می توانم بگویم که تو مرد رویاهای من هستی.

- چی اما؟ - بانکدار Volodya می پرسد، کمی هوشیار، اما به لحن بازیگوشی.

- تو از کلاسیک خوشت نمیاد...

- چرا؟ چرا چنین تصمیمی گرفتی - او کمی لکنت زد و بدون هیچ بازیگوشی در صدایش پرسید.

- و شما همیشه نوعی موسیقی پاپ را در ماشین پخش می کنید، اما هرگز کلاسیک را روشن نکردید، و من از موسیقی پاپ متنفرم.

- قبلاً چه چیزی نگفتی، چون من هم عاشق کلاسیک هستم، فقط می ترسیدم به شما اعتراف کنم، فکر می کردم که مرا مدرن نمی دانید.

- چه لعنتی، مدرنیته، این همه "موسی-پوسی، ترال-ولی، مرا ببوس، لوسی، تا زمانی که ما از هم جدا شدیم"، او با بدخواهی خواند، - من نمی خواهم از این کلاسیک های فعلی زندگی کنم. چه تجارت بتهوون ... این همه تراول در مقایسه با او ...

او فکر کرد: "آهنگساز مورد علاقه من" و با صدای بلند پرسید:

- چه چیزی را در مورد بتهوون بیشتر دوست دارید؟

او در حالی که برای لحظه ای فکر می کرد، پاسخ داد: "سونات در سی مینور، حدس می زنم."

او فکر می کند: "سونات مورد علاقه من، اوه، وحشت ... نه، چنین تصادفی نمی تواند وجود داشته باشد. برای اولین بار با یک دختر زیبا و مدرن آشنا شدم که تقریباً از او دیوانه شده ام و او نیز کلاسیک را دوست دارد. و علاوه بر این، حتی در کلاسیک ها، سلیقه ما مطابقت داشت. اما، اتفاقا، چرا من اینطور فکر می کنم؟ پول کم، اهدایی به یتیم خانه شماره 5؟ شاید این همان پاداش کارهای خوب باشد که نویسندگان باهوش در کتاب های زیرکانه از آن صحبت می کنند، که دوستانم فقط بدبینانه به آن می خندند. شاید همه اینها در انجیر باشد؟ به طور کلی پول من تمام شده است به همه چیز علاقه مند است، فقط در خانه می نشیند، تمام پف کرده ... اوه، نگاه کردن به آن ناخوشایند است. علاوه بر این، سرویس امنیتی گزارش می دهد که به نظر می رسد او با یک نفر در کنارش است، با یک برنامه نویس جوان که زنان را دوست دارد. آبمیوه" لعنتی، او زن ها را دوست دارد. سپس، اینجا او احمق من را از پول من بیرون می کشد. یا شاید این یکی که همین نزدیکی هستش هم بخاطر پولش؟ خوب، ما اکنون از او می خواهیم ... "

- مارین، بابت سوال بی ادبانه عذرخواهی می کنم، اما تو چه کار می کنی؟

- ولودیا، من مدیر یک آژانس مدلینگ هستم. ولودیا، اگر مشکوک هستید که من عمداً برای اغوای شما سوار ماشین شما شدم، این موضوع به سادگی قابل حل است. ماشین رو نگه دار لطفا اینجا، اگر سخت نباشد.

- آره، چی هستی مارینا! من فقط برای سرگرمی هستم ...

او فکر کرد: "خدای من، به نظر می رسد که او ذهن من را می خواند." "احمق. تو، ولودیا، دیگر نیازی به مدیریت بانک نداری، اما برو به کاشنکا تا داوطلبانه تسلیم شوی تا تو را در آنجا از سوء ظن خلاص کنم. ما دیگر هرگز شما را نخواهیم دید. نه، چنین شادی را نباید از دست داد. "در مورد بچه ها چطور؟" - با صدای خشن درونی پرسید. - "وقتی خانواده را خراب کردی به بچه ها چه خواهی گفت؟" او به صدای درونی پاسخ داد: "بچه ها قبلاً بزرگ شده اند و کاملاً مستقل هستند." من هم حق دارم که دوست داشته باشم، اما برایشان کم کاری نکردم. دانشگاه های معتبر، سه بار در سال تعطیلات در خارج از کشور، من حمایت امور عشق خود را، در نهایت. و بچه ها، اتفاقا، هرگز یک بار نپرسیدند که حال پدر چگونه است."

- مارین، - بالاخره تصمیم گرفت، - اشکالی ندارد که امروز در یک رستوران دنج بنشینیم؟

- ولودیا، صادقانه بگویم، مخالف آن است.

- چرا؟

- نه، من مخالف این نیستم که یک شب را با شما بگذرانم، برای اولین بار با مردی آشنا شدم که ثروت را با عشق به سونات در سی مینور ترکیب می کند. و من با افرادی که بسیار ثروتمندتر از من هستند زیاد صحبت کردم و چیزی از همه آنها نوعی تأثیر بیهوده گذاشت. و تو کس دیگری هستی... و راستش را بخواهم می خواهم حداقل کمی با تو باشم، اما بیشتر، حتی دروغ نمی گویم. اما من رستوران دوست ندارم...

- مارین، راستش من هم از آنها متنفرم! سپس به آپارتمان دوم من که گاهی اوقات دوست دارم با خودم خلوت کنم، بیا. آ؟ الان بهت زنگ می زنم، غذا، شراب می آورند، عصر می نشینیم...

- نه بذار خودم با عجله یه چیزی آماده کنم. من واقعا عاشق آشپزی هستم، اما، افسوس، در حال حاضر اغلب خودم نمی توانم این کار را انجام دهم، اما در اینجا چنین موردی وجود دارد.

- موافقم، البته اگر خودت بخواهی. اگر راز نیست چه می خواهید بپزید؟

- راز. خواهید دید. من غذای مورد علاقه ام را درست خواهم کرد. به قول خودشان سلایقمان را بررسی کنیم.

"من از چنین غافلگیری متنفرم، حالا او چیزی می پزد که شما نمی توانید بخورید، و شما باید بر خود غلبه کنید، بهتر است آشپز من را دعوت کنید تا چیزی را که دوست دارم بپزد ..." ...

- مارینوچکا، این چه نوع ظرفی است، - فریاد زد، بدون اینکه به فکر خود فکر کند، زمانی که مارینا با یک "ظروف امضا" تازه آماده شده وارد اتاق نشیمن شد.

- ولودیا، نیازی به اینطور فریاد زدن نیست. این فقط ماهی سالمون در سس خاویار است.

- چطور ... از کجا فهمیدی؟

- یاد گرفتی چی؟

- غذای مورد علاقه من چیست؟

- آره؟! راستش را بخواهید حتی نمی دانستم. ولودیا، همانطور که معلوم شد، من و شما اشتراکات زیادی داریم ... و این غذای مورد علاقه من است، پدرم به من آشپزی آموخت، او به عنوان افسر در ناوگان اقیانوس آرام و گاهی اوقات در تعطیلات خدمت می کرد. او ما را با این لذیذ خراب کرد.

... مثل این، همه چیز با تغییراتی اتفاق می افتد. من در مورد چگونگی توسعه روابط بین ولودیا و مارینا صحبت نمی کنم. بیایید بگوییم که سپس ولودیا داوطلبانه مبالغ هنگفتی را به حساب مارینا واریز کرد تا چیزی را انکار نکند، خانواده خود را ترک کرد و حتی مارینا را متقاعد کرد که آژانس مدلینگ خود را ترک کند تا هر چه بیشتر با او باشد. خوشحالی او بسیار تیره می شد اگر متوجه می شد که 40 درصد از مبالغی که به او منتقل می شود توسط مارینا به صاحب آژانس، به قول خودشان، "شاهینا" منتقل شده است. و ماشینی را که ولودیا به او داده بود، پس از جدایی از او مجبور شد بفروشد یا چهل درصد ارزش آن را به صورت پولی بیابد تا به شاهین بدهد. ولودیا همچنین نمی دانست که ملاقات او با مارینا طبق تمام قوانین اطلاعاتی تقلب شده است. اینکه مشکل ماشینش شبیه سازی شده بود و اینکه اون لحظه کنارش بود هم جعلی بود. او همچنین نمی دانست که گزینه های زیادی برای چنین جلسات تصادفی وجود دارد. او همچنین نمی دانست که به زودی مدیر بانک نخواهد بود ، زیرا اطلاعاتی که مارینا از او جمع آوری کرده بود قبلاً به "شاهینا" منتقل شده بود که آنها را به مبلغ مناسبی به افرادی فروخت که خوابیدند و دیدند که ولادیمیر آناتولیویچ دیگر مدیر بانک ثروتمند نخواهد بود، اما تبدیل به یک سرایدار فقیر می شد. خوب، و، البته، او گمان نمی کرد که پس از سقوط در امور او، او تبدیل به یک فرد بسیار تحریک پذیر می شود که مارینا از آن برای ترک او استفاده می کند. اکنون او یک زن بسیار ثروتمند است ، زیرا پولی که از ولودیا اکنون بدبخت "سیفون" کرده است برای مدت طولانی زندگی راحت برای او کافی خواهد بود ، حتی منهای بهره ای که به "شاهین" داده شد.

توضیحی کوچک در مورد "برخوردهای شانسی"

هکرهای اجتماعی اسکله هایی در سازمان "برخوردهای شانسی" هستند. تعدادی از تکنیک ها توسط آنها عمدتاً از زرادخانه خدمات ویژه وام گرفته شده است ، اما بسیاری از آنها را نمی توان نبوغ خود را انکار کرد. البته پشت سر اغواگرانی که در حال حاضر از آنها صحبت می کنیم، «مبارزان جبهه نامرئی» زیادی هستند که همه این اجراها را به صحنه می برند. زیرا عملیات "ملاقات تصادفی" مرحله مهمی در کل این بازی بزرگ است و با در نظر گرفتن توصیه های روانشناسانی برنامه ریزی شده است که بر اساس داده های مرحله اول، به طور کاملاً دقیق، نوع روانی و اجتماعی قربانی را پیش بینی می کنند. پیش بینی رفتار مشتری در یک موقعیت معین. از این گذشته، یک "مشتری" می تواند بلافاصله پس از اولین جلسه "شناور" شود، اما برای دیگری، رویکردی سرسخت تر و مشکوک تر مورد نیاز است - باید چندین بار با او ملاقات کنید، در طول اولین مکالمه نباید در مورد چیزی صحبت کنید. اصلا جدی این بدان معناست که دختری که قربانی "به طور تصادفی" او را بلند می کند، مثلاً "به طور تصادفی" تلفن همراه خود را در ماشین خود فراموش کرده است. ترجیحا همان مدلی که او ترجیح می دهد. خوب، برای اینکه دلیلی برای ملاقات داشته باشیم. و سومی مثلا اصلاً کسی را داخل ماشینش نمی‌گذارد. بنابراین، شما باید پای خود را در دروازه خانه او بچرخانید یا بیهوش شوید. و آنها سقوط می کنند، و آنها به خوبی سقوط می کنند، زیرا همه اینها بیش از یک بار از قبل تمرین می شود. و چهارمی به غش دیگران اهمیتی نمی دهد، حتی توسط دختران بسیار زیبا انجام می شود، زیرا شخص بسیار ظالم است و " عوضی" را ترجیح می دهد و نه لکه دار، که در تجارت غش می کند نه در تجارت. برای این کار، یک راه اندازی ماشین ترتیب داده شده است که در آن ماشین دختر با ماشین جالب او تصادف می کند. او البته در ماشین می نشیند و منتظر برخورد امنیتی اش با «ناقض قوانین راهنمایی و رانندگی» است و ناگهان صدای زن غمگینی می شنود: «ای محافظان، از تخت بلند شو، بگو چقدر من به پدرت مدیونم، پول را بگیر و برو بیرون، مزاحم من نشو تا از سهم سخت زنم لذت ببرم، و به احمقت که در فرمان نشسته، بگو به محض اینکه زن پشت فرمان دید، با ماشینش با شیب تند پیاده شود.» مرد ظالم پیوتر سمنوویچ، صاحب چندین پمپ بنزین بزرگ در مرکز پایتخت و یک پالایشگاه نفت کوچک، به این صدای آهسته روده گوش می‌دهد و ناخودآگاه می‌فهمد که این صدا متعلق به "زوزه رویاهای او" است. و تصمیم می گیرد با چشمان خود به او نگاه کند. و بعد از آن ناپدید شد. زیرا همانطور که نگاه می کرد، قبلاً آگاهانه دریافته بود که این دقیقاً همان دختری است که شب او را در خواب دیده است. و برای پنجمی، علاوه بر پول، که هنوز درگیر مبارزه تن به تن و احساس ارزشمندی است، نمایشی روی صحنه می رود که در آن دختر رویاهای او و چندین دمدمی مزاج با ظاهر خونسرد و نامرتب شرکت می کنند. این لعنتی ها اونجا به اون دختر خوشگل میچسبن و خدای من حتی لباسشو پاره میکنن. طبیعتاً در میدان دید «مشتری». و تصمیم می گیرد خود را به دعوا بیندازد و به دختر کمک کند و با عجله می رود و فقط دندان های زیر مشت های آموزش دیده اش بیرون می زند و هولیگان ها از ضربات او به جهات مختلف پراکنده می شوند (چون به آنها دستور داده می شود که «هر چه دورتر و زیباتر آنها پرواز می کنند، هزینه عملکرد بالاتر "). دختر البته در میان اشکهایش از او تشکر می کند و او طبیعتاً او را بلند می کند (خب ، خودش با لباس پاره کجا می رود) و البته در تمام طول این موضوع برای او قصیده می خواند. "او چقدر شجاع است و چگونه با زیرکی از بین آن حرامزاده هایی که تقریباً او را داشتند ... ".

توجه داشته باشید

اتفاقاً همین اجراها اغلب توسط برخی از نامزدها قبل از انتخابات روی صحنه می رود. آنها به چند پانک رشوه می دهند که به آنها گفته می شود می گویند: "هر وقت ماشینی دیدی، فوراً عجله کن... بله، نه زیر ماشین، دیگران به زیر ماشین هجوم می آورند، بلکه به سمت هر دختر زیبایی. و شروع به زدن او می کنند. بدون اینکه جراحات، اما طوری که او فریاد بزند." مشخص است؟ و چگونه یک مرد با شلوار سفید و ژاکت سفید از این ماشین فرار می کند و شروع به کتک زدن شما می کند، شما بلافاصله تسلیم او نمی شوید، بلکه کمی هم به هم می خورید. او آگاه است و دلخور نخواهد شد و بعد از اینکه همه شما را کتک زد، به طوری که ترجیحاً با جیغ و ناله از این مکان پراکنده شدند و ... بله، برای لیسیدن زخم های شما در خانه، محکم نمی زند. اما به ایستگاه. و برای اینکه تا فلان تاریخ در شهر نباشی. این هم بلیط ها. سپس همه چیز طبق برنامه پیش می رود: با دیدن ماشین ، "اولیگان" به سمت دختر هجوم می آورند ، قهرمان ما با لباس سفید قهرمانانه او را از چنگ "نوجوانان خشمگین" بیرون می کشد ، البته مطبوعات دقیقاً آنجا هستند. مطبوعات از کجا فهمیدند؟ اما به هیچ وجه. فقط این بود که او به طور تصادفی گزارشی از زندگی شهر آن نزدیکی فیلمبرداری می کرد که البته ستاد نامزدی از آن خبر داشت. پس از آن در تمام صفحات روزنامه ها و در اولین دقایق اخبار شهر، نامزدی را پس از دعوا، با ژاکتی که دیگر سفید نیست، نشان می دهند که به دختری که «قربانی حمله» شده، دلداری می دهد. سپس با کاندیدا مصاحبه می کنند، در آنجا او لبخند متواضعی می زند و می گوید که "او همیشه در زندگی اینگونه بوده است." سپس خود دختر مصاحبه های زیادی انجام می دهد که در آنها صمیمانه (هیچ کس به او پول نداد) می گوید: "من نمی دانم بقیه چگونه هستند ، اما من قطعاً به بوریس ویکتورویچ رای خواهم داد ، اگر فقط به عنوان سپاسگزاری باشد. هیچ کس بالا نیامد، اما او ... از او تشکر کنید.

اطلاعات در مورد برنامه های بازاریابی سازمان

پیدا کردن اطلاعات در مورد برنامه های بازاریابی یک سازمان و جلوتر ماندن از منحنی ها شاید خوشمزه ترین لقمه برای هر رقیبی باشد. مهندسی اجتماعی ساده ترین راه برای انجام این کار است. نیازی به شکستن شبکه، دور زدن تعداد بی‌شماری فایروال و جستجوی ماشینی که این سند با استراتژی بازاریابی روی آن قرار دارد، وجود ندارد. نیازی به کاشت اشکالات در جلسه سهامداران یا جلسه با مدیرعامل نیست. لازم نیست اطلاعات مربوط به ارتعاشات شیشه پنجره را با پرتو لیزر حذف کنید ... اینها همه روشهای بسیار گران قیمت هستند و همیشه قابل اعتماد نیستند. می توانید از ساده ترین روش های مهندسی اجتماعی استفاده کنید. دو مثال ساده من یک بار به یکی از مدیران کل یک شرکت اطمینان دادم که به شبکه کامپیوتری آنها نفوذ می کنم و تمام برنامه های بازاریابی آنها را می دزدم، آنها را می خوانم و سپس بازگو خواهم کرد. او خندید و گفت که غیرممکن است، "سه فایروال، یک بخش کامل با امنیت اطلاعات سر و کار دارد، که در آن متخصصان عالی هستند." آنها می گویند شما نمی توانید. زیرا در اصل غیرممکن است. اما به قول خودشان اختلاف پذیرفت. البته گفته شد که این شبکه توجهات را منحرف می کند. در واقع هیچ کس قرار نبود به هیچ شبکه ای نفوذ کند. همه چیز ساده تر بود.

توجه داشته باشید

محبوبیت مهندسی اجتماعی در بین کلاهبرداران، کسانی که به هوش رقابتی و مانند آن مشغول هستند، به نظر ما با این واقعیت مرتبط است که اکثر روش های مهندسی اجتماعی ساده هستند. گاهی آنقدر ساده هستند که حتی توصیف آنها در کتاب جالب نیست. شما فکر می کنید: خوب، بالاخره، این واضح است، لعنتی مهندسی اجتماعی است، زیرا این تکنیک اولین بار در سال 50 در سینما نمایش داده شد. و سپس آن را صد بار در انواع مختلف نشان دادند. هیچ کس به او دل نمی بندد. و ... تناقض که این همان ترفندهای ساده ای است که اکثریت به آن دچار می شوند. اما حتی زمانی که برای اجرای یک تکنیک خاص به ترکیب پیچیده ای نیاز است، که به تسلط خوبی بر روانشناسی دلالت دارد، باز هم برای کسانی که درگیر مثلاً هوش رقابتی هستند، استفاده از تکنیک های مهندسی اجتماعی آسان تر از مشارکت در هوش فنی است. از جمله عوامل مهم این است که استفاده از مهندسی اجتماعی چندین برابر ارزان تر خواهد بود.

بازدید از غرفه های شرکت در نمایشگاه

برای جمع آوری بیشتر اطلاعات کافی است که در نمایشگاه بعدی محصولات این سازمان از غرفه این سازمان دیدن کنید. اکثر مدیرانی که در غرفه خود هستند، اگر شما فقط کوچکترین علاقه ای نشان دهید، خوشحال خواهند شد که هر آنچه را که در مورد محصول و چشم اندازهای بعدی می دانند به شما بگویند. اغلب اوقات شما فقط باید بایستید و با دقت گوش دهید (یا نه فقط گوش دهید، بلکه با دیکتافون ضبط کنید، اگر به حافظه امیدوار نیستید).

توجه داشته باشید

اینگونه بود که یک شرکت از سنت پترزبورگ راز ساخت سس را از رقبای خود ربود و تقریباً آنها را خراب کرد. مردم موجودات بسیار شگفت انگیزی هستند، آنها می توانند در هنگام شکنجه توسط کارمندان یک شرکت رقیب سکوت کنند، اما در عین حال با خوشحالی تمام اسرار خود را برای اولین فردی که در نمایشگاه ملاقات می کنند، درمیان می گذارند.

طبیعتاً در عین حال باید مانند یک مشتری محترم به نظر برسید و مطلوب است که نشان شما دارای چیزی بسیار مهم مانند "رئیس JSC Mikron" باشد.

توجه داشته باشید

اما اگر آنها خود را رئیس جمهور نامیدند، پس باید شبیه رئیس جمهور شوند. این به هیچ وجه به این معنی نیست که شما باید خود را با حلقه ها، زنجیر آویزان کنید، برعکس - می توانید لباسی متواضعانه بپوشید: شما در حال حاضر یک فرد قابل توجه هستید و دیگر نیازی به تأثیرگذاری ندارید. اما آنها باید با سلیقه لباس بپوشند، بسیار مرتب باشند و رفتار قابل توجهی داشته باشند: مانند یک رئیس جمهور. کمی بیشتر در این مورد - بعداً در یادداشت "در مورد اهمیت عادت کردن به یک نقش".

اگر مدیر به خصوص پرحرف نیست، می توانید تعدادی ترفند ساده را با هدف این واقعیت به کار ببرید که مدیر می ترسد سازمان را در یک نور نامطلوب نشان دهد (در طرح جهانی ما، این هدف است. جذابیت می تواند برای به عنوان مثال، اهمیت شما، هر چند مصنوعی ایجاد شده است - با نشان و رفتار). به عنوان مثال، شما که خود را به عنوان نوعی رئیس جمهور معرفی می کنید، ممکن است بپرسید: "امسال چه خبر است؟ آیا چیزی در این مورد می دانید؟" یک نفر فوراً می گوید ، کسی نمی گوید ... هرکسی که ساکت است ، می توانید بگویید: "باشه ، اگر نمی دانی ، من خودم به ماریاشویچ زنگ می زنم ، از او می پرسم" (نام مدیر کل و سایر افراد مهم باید شناخته شوند). و با رفتن، زمزمه کن "شیطان می فرستند، می توانستند یک عالم را به چنین حوادثی بفرستند"... یک نکته مهم: سوال قبل که آنقدر عصبانی شدی که جواب ندادی، باید برای شما قابل توجه باشد. شما، اما... نه خیلی. زیرا پس از مدتی در غرفه های دیگر قدم می زنید زمان باز خواهد گشتبه غرفه ای که به آن علاقه دارید بپرسید و سؤالی بپرسید که واقعاً برای شما مهم است: "اما شما در این مورد می دانید، آن بچه ها همه چیز را به خوبی نوشته اند و شما هم همین کار را می کنید یا باید فوراً با آنها توافق کنم؟" و او به احتمال زیاد در این مورد خواهد گفت ، زیرا از کارگردان تأثیرگذار خود ماریاشویچ می ترسد و حتی بیش از حد لازم خواهد گفت.

توجه داشته باشید

تنها باری که ملاقات کردم مدیری بود که با اینکه بسیار صمیمی بود، چیزی فراتر از آنچه ممکن بود نگفت. مدیری معلوم شد ... مدیر کل این بنگاه که گاهی دوست داشت اینطور "بیرون مردم برود".

... بعد از اینکه خیلی از مدیر یاد گرفتم رفتم با کارمندان شرکت مصاحبه کنم.

مصاحبه با افراد کلیدی

مصاحبه یکی از ساده‌ترین و در عین حال جذاب‌ترین راه‌ها برای اطلاع از آنچه در شرکت می‌گذرد است: چه برنامه‌های بازاریابی، چه کسی علیه چه کسی دوست است، چه کسی به چه کسی توهین کرده است... این روش واقعاً است. ساده، اما در عین حال بسیار موثر. هدف در اینجا احساس ارزش خود افراد است. مردم می خواهند ارزش خود را احساس کنند، کارنگی در این مورد بسیار عالی نوشت، و برای ارضای این احساس، اغلب همه چیز، هر گونه امنیت را فراموش می کنند. بنابراین، بسیاری از مصاحبه ها خوشحال می شوند (به خصوص اگر این مصاحبه برای تلویزیون باشد). و برای یک هکر اجتماعی، چنین پوششی بسیار قابل اعتماد و سودآور است، زیرا به شما امکان می دهد، بدون اینکه خیلی خجالت بکشید، تقریباً هر سؤالی را بدون خطر ایجاد سوء ظن بپرسید.

توجه داشته باشید

بازیابی اطلاعات مفیداز مکالمه با کسی که مشکوک نیست که او هدف گرفتن اطلاعات است، تماس گرفت بازجویی پنهانیبازجویی پنهان مجموعه ای از تکنیک هاست که به شما امکان می دهد تا اطلاعات مورد نیاز خود را به صورت نامحسوس به دست آورید. این تاکتیک توسط فروشندگان با سواد روانشناسی که کالاهای خود را می فروشند، روان درمانگران برای یافتن اطلاعات در مورد یک بیمار و بسیاری دیگر استفاده می شود. طبیعتا هکرهای اجتماعی نیز از آن استفاده می کنند.

برای اینکه مصاحبه شونده به سوال مورد نظر شما بپردازد، باید کمی "لمس" شود، که گاهی اوقات کافی است عبارتی مانند "اما سازمان الف (نام یک سازمان رقیب)، روزنامه" وستی را بیان کند. Rossii "می گوید که محصولات آنها بسیار برتر از محصولات مشابه در مرکز شما هستند؟" به طوری که مصاحبه شونده برای دفاع از شرف بنگاه مادری خود عجله کند و هر آنچه را که در مورد این محصول می داند بگوید. تازه آن وقت است که به دنبال شماره این روزنامه می شتابد تا وقاحت رقبا را به چشم خود ببیند و البته این موضوع را نخواهد یافت. و روزنامه ای با این نام هم پیدا نمی کند. برای اقناع بیشتر، گاهی اوقات می توانید عمداً یک نسخه از این روزنامه را به طور خاص برای مصاحبه شونده برای مصاحبه چاپ کنید، یا یک وب سایت روزنامه ایجاد کنید که در آن می توانید مقاله ای را که در طول مصاحبه ذکر کرده اید نشان دهید. البته، در مجموع، کار با چنین چیزهای کوچکی می تواند زمان بر باشد و مستلزم آن باشد هزینه های مالی، اما اگر ارزشش را داشته باشد، هرچه این چیزهای کوچک بیشتر فراهم شود، بهتر است. بسیار دیدنی تر به نظر می رسد و عملاً هرگونه سوء ظن را خنثی می کند، حتی اگر در ابتدا باشد.

توجه داشته باشید

من کاملاً معتقدم که بسیاری از آنها و افسران اطلاعاتی ما بخش قابل توجهی از اطلاعات را از روزنامه ها می گیرند. من همچنین معتقدم که سخنان یکی از همشهریانمان که به اتهام جاسوسی محکوم شده است، مبنی بر اینکه تمام "اسرار" را منحصراً از مطالب روزنامه گرفته است، درست است. به طور کلی، طبق نظرات مختلف، حدود 90٪ از همه بستهافسران اطلاعاتی از هر رده و درجه ای اطلاعات دریافت می کنند باز کنمنابع به من گفتند که بسیاری از مدیران پس از اینکه متوجه شدند کارکنانشان (گاهی در سطح معاونین) در مصاحبه ها چه می گویند، هجوم بردند تا تلفن تحریریه ها را قطع کنند و هر گونه مزیتی ارائه دهند، تا زمانی که این مصاحبه بیرون نیامد. .

رویکرد معکوس نیز اغلب مفید است، زمانی که به مصاحبه‌شونده حمله نمی‌کنید، بلکه برعکس، به عنوان یک «احمق فنی» عمل می‌کنید، از او بخواهید این یا آن جزئیات را توضیح دهد. این نیز یک راه بسیار موثر است.

توجه داشته باشید

با نگاهی به آینده، متذکر می شویم که از نظر تحلیل تراکنش، در این مورد شما در حال برقراری ارتباط با تراکنش فرزند - والدین هستید (ما به طور مفصل در مورد تجزیه و تحلیل تراکنش صحبت خواهیم کرد. فصل 5).شما در نقش کودک هستید و به مصاحبه شونده نقش والدین را می دهید. و کجا باید به پدر و مادر دانا رفت، جز اینکه چگونه به کودک همه آنچه را که خودش می داند آموزش ندهیم؟ تراکنش Child - Parent برای شروع بسیاری از دستکاری ها عالی است، و ما همچنین در مورد آن صحبت خواهیم کرد فصل 5، که مفاد اصلی تجزیه و تحلیل معاملات را مشخص می کند. این مثال را در حین مطالعه این فصل به خاطر بسپارید. در همین مورد، وقتی به مصاحبه‌شونده گفتید که می‌گویند رقبا محصولات بهتری نسبت به شما خواهند داشت، برعکس دریافت کردید و نقش والد مهاجم را به خود اختصاص دادید و کسی که مصاحبه می‌کرد رانده شد. نقش کودک، وادار کردن به بهانه جویی. به عبارت دیگر، ارتباط شما در امتداد خط والدین-کودک صورت گرفت.

از این رو، پس از بازدید از نمایشگاه، 10 مصاحبه در پنج روز، نوشیدن آبجو در یک بار با برخی از مصاحبه شوندگان به خصوص خیرخواه و گفتگوی "مادام العمر"، و همچنین خواندن تمام روزنامه های شش ماه گذشته که در مورد فعالیت ها گزارش می کردند. از این شرکت، من تقریباً همه چیز را می دانستم، از جمله جنبه های صمیمی فعالیت های مدیریت ارشد، که او در گزارش خود به این مدیریت گزارش داد.

اختلاف برنده شد و مدیریت عمیقاً فکر کرد. سپس با هم فهمیدیم که چگونه عواقب چنین حملاتی را به حداقل برسانیم. اما به سختی می توان آن را حمله نامید. هیچ کس دفاع دشمن را شکست، جان خود را به خطر انداخت، کسی را در حالت خلسه قرار نداد و به طور کلی هیچ کار غیرقانونی انجام نشد. همه چیز کاملا قانونی و بسیار ساده بود. اما این باعث می شود کمتر ترسناک نباشد، زیرا به این ترتیب، زمانی که دانه های اطلاعات شروع به جمع شدن به صورت موزاییکی می کنند، یک بمب خوب می تواند ظاهر شود که در دستان درست می تواند چنین کارهایی را انجام دهد ...

توجه داشته باشید

علاوه بر مصاحبه، انجام تعدادی فعالیت مرتبط نیز مفید است. حتما در اتاق های سیگار بایستید، در خروجی اصلی ضربه بزنید. یک بار به یک مشتری رفتیم، به یک شرکت، و من پاس خود را فراموش کردم، و برای چند ساعت در حالی که منتظر یک همکار در لابی اصلی شرکت بودم، خسته شدم. بنابراین در این چند ساعت، بدون اینکه بخواهم، چیزهای زیادی در مورد فعالیت های شرکت و مشکلاتی که در حال حاضر دارد، یاد گرفتم.

اکنون چند نظر کوچک در مورد این بخش فرعی.

اهمیت قرار گرفتن در نقش یا نقش هکرهای اجتماعی

هکر اجتماعی هر کسی که به نظر می رسد، هر نقشی که بازی می کند، باید آن را قانع کننده ایفا کند. و برای این کار باید به شخصیتی که بازی می کند «عادت کند». همه هکرهای اجتماعی موفق بازیگران خوبی هستند. آنها با زندگی در نقش، از جمله، واکنش های غیرکلامی خود را کنترل می کنند.

توجه داشته باشید

برای پاسخ‌های غیرکلامی، رجوع کنید به پیوست 1.

یک مثال ساده فرض کنید شما یک مرد هستید و به یک زن تبدیل می شوید و می خواهید همه باور کنند که شما یک زن هستید. خودت می فهمی که فقط تعویض لباس کافی نیست. زیرا برای اینکه دیگران باور کنند که شما دقیقاً همان شخصیتی هستید که بازی می کنید، باید آن نقش را زندگی کنید. در مورد ما، شما باید مانند یک زن رفتار کنید. حتی اگر یک دوجین از بهترین میکاپ آرتیست ها برای شما کار کنند که همه کارها را طوری انجام می دهند که "پشه بینی را تضعیف نکند." و شما با روشن کردن یک سیگار به شیوه ای معمولی مردانه همه کار آنها را خراب می کنید. و غیره. اگر نقش یک الکلی بی خانمان را بازی می کنید، به محض اینکه وارد مغازه می شوید، همه باید از شما دوری کنند، سر شما فریاد بزنند، نگهبانان باید به سمت شما بپرند و در حالی که با اخم های تحقیرآمیز اخم های تحقیرآمیزی دارید، شما را زیر خودکارهای سفید از فروشگاه خارج کنند.

اگر فردی بازیگر خوبی باشد، پس می تواند خود را 50 درصد هکر اجتماعی موفق بداند. اگر او روانشناسی را نیز درک کند، می توانیم فرض کنیم که او به عنوان یک هکر اجتماعی 100٪ موفق است، زیرا تقریباً هر کسی را "گول خواهد زد". نکته اینجاست که بسیاری از مردم فقط به صفات ظاهری می نگرند و به ماهیت آن نگاه نمی کنند.این یکی از قوانین اساسی مهندسی اجتماعی است. قاعده ای که مدت هاست برای همه کسانی که به نوعی با دستکاری آگاهی انسان در ارتباط هستند درک کرده اند: هکرهای اجتماعی، تولیدکنندگان، افراد روابط عمومی از هر رده و درجه و غیره. نمونه هایی از کارآمدی این قانون را می توان به عنوان مثال ذکر کرد. هر چقدر که دوست دارید، ارزش دارد حداقل به نتایج انتخابات گذشته نگاه کنید.

توجه داشته باشید

همین قانون هنگام انجام مذاکرات عالی عمل می کند، که در مورد آن به تفصیل صحبت خواهیم کرد پیوست 1.

برای نشان دادن این قانون، مثال زیر را با جزئیات بیشتر در نظر بگیرید. فرض کنید یکی از نویسندگان این کتاب برای سخنرانی بیاید. در عین حال با راه رفتن نامطمئن وارد حضار خواهد شد، سخنرانی را با صدای لکنت زبان می خواند، به طور کلی نوعی تمرکز ترسو در مقابل حضار خواهد بود. اما در عین حال خواهد گفت که او برنده این جایزه است، این پنجمین و دهمین، رهبر آنجا، و همچنین مشاور اینجا و اینجا، و همچنین تمام آثار علمی مکتوب را پیش روی خود خواهد گذاشت. و کتابهایی که تعدادشان زیاد است. و اگر پس از سخنرانی، چندین سوال از مخاطب پرسیده شود، از جمله "به نظر شما نویسنده چقدر در زندگی می فهمد"، اکثریت قاطع پاسخ خواهند داد که او در زندگی "یک احمق کامل" است. بنابراین، همه فقط به جلوه های بیرونی (در این مورد، عدم اطمینان) توجه خواهند کرد، همان چیزی که جوایز و جوایز به همین ترتیب داده نمی شود، کتاب ها نیز از قلم نمی افتند، به مشاوران پولی پرداخت نمی شود. چشمان زیبا، و به طور کلی، برای رسیدن به همه اینها، حداقل لازم است "به شیوه ای از زندگی روزمره فکر کنیم"، به عنوان یک قاعده، هیچ کس توجهی نمی کند.

توجه داشته باشید

از نقطه نظر تحلیل معاملاتی، که کمی بعدتر، این با این واقعیت توضیح داده می شود که در این مورد نویسنده نقش کودک را بازی می کند و به شنوندگان نقش والدین اختصاص داده می شود. طبیعتاً، از آنجایی که مردم صرفاً در مکان‌ها وسواس زیادی به اهمیت خود دارند، والدین عاقل هستند و چیزهای زیادی در زندگی می‌فهمند (البته از نظر ذهنی خود، مانند واقعیت، فقط می‌توان حدس زد). خوب، کدام پدر و مادر خواهد گفت که کودک زندگی را درک می کند؟ درست است، هیچ کدام. به طور کلی، موقعیت زمانی که شما در نقش یک کودک قرار می گیرید و نقش والدین را به دیگران اختصاص می دهید، در حالی که در چارچوب تراکنش Child - Parent کار می کنید، راحت ترین حالت برای هرگونه دستکاری است.

حال فرض کنید همان نویسنده سه روز بعد برای همان مخاطب سخنرانی کند. اما در عین حال ، او قبلاً با اطمینان ، واضح صحبت می کند ، از مخاطب نمی ترسد ، بلکه برعکس ، با آنها حتی کمی متکبرانه رفتار می کند و غیره. و پس از سخنرانی مجدداً از مخاطبان در مورد درک نویسنده از زندگی سؤال می شود. و اکنون اکثریت پاسخ خواهند داد که از آخرین سخنرانی نویسنده به اندازه کافی "در زندگی عاقل تر شده است". بنابراین، دوباره، تقریباً همه فقط به ویژگی های بیرونی توجه خواهند کرد، و این واقعیت که "در زندگی عاقل تر شوید" در سه روز، تعداد بسیار کمی از افراد موفق شدند، و مدرس دقیقاً همان چیزی بود که دفعه قبل بود، هیچ کس فکر نمی کرد. ...

اگر یک هکر اجتماعی علاوه بر بازیگری، به روانشناسی هم تسلط داشته باشد، همانطور که قبلاً گفتیم «همه سنین مطیع هستند». زیرا او به خوبی از دو نقطه ضعف انسانی دیگر آگاه است که با بازی کردن با آنها می توان به موفقیت های زیادی دست یافت.

قانون بعدی هکرهای اجتماعی این است "بیشتر مردم به طور منفی به احساس ارزشمندی خود وابسته هستند.". یعنی این رابطه منفی می تواند هدف خوبی برای حمله باشد. وابستگی به احساس ارزشمندی به خودی خود به معنای هیچ چیز بدی نیست. برعکس: هر یک از ما می خواهیم به نحوی و به نحوی برجسته شویم، یعنی می خواهیم اهمیت خود را احساس کنیم. سوال این است که شما می توانید به روش های مختلف برجسته شوید و می توانید با این واقعیت ارتباط برقرار کنید که باید به روش های مختلف برجسته شوید. اعتیاد منفی زمانی اتفاق می‌افتد که فرد بخواهد به هر قیمتی برجسته باشد و این کار را تا حد امکان انجام دهد. برای مثال، هر هکری فردی است که وابستگی منفی به ارزش خود دارد.

توجه داشته باشید

از نقطه نظر تحلیل معاملاتی، وابستگی منفی به ارزش خود را می توان با این واقعیت توضیح داد که چنین فردی دارای مولفه بزرگسال ضعیف است. به هر حال، اگر یک فرد تحلیلگر یک بزرگسال ضعیف (یا به تعبیر فروید، یک سوپرایگو ضعیف) داشته باشد، چنین فردی فقط باید کمی تملق بگوید و «او مال شماست». به قول معروف «آنچه را که نداند، خواهد گفت و آنچه را که نتوانست انجام دهد».

افرادی که این آسیب را دارند، باید بگوییم، در برابر اقدامات هکرهای اجتماعی بسیار آسیب پذیر هستند. آنها واقعاً، خیلی اوقات فقط نیاز دارند کمی تملق و چاپلوسی کنند تا مجبور شوند هر کاری را که شما می خواهید برای شما انجام دهند. یکی دیگر از معایب چنین افرادی این است که بسیار حسود هستند. و حسادت، همانطور که A. Rosenbaum به درستی بیان کرده است، احساسی است که "از گاوهای بسیار بزرگ، و گاهی در مدت زمان بسیار کوتاه، افراد بسیار خوبی می سازد." حسادت ریشه همه دسیسه هاست. بازی با حسادت یک کارمند شرکت برای دیگری، می توانید کارهای زیادی انجام دهید. در یک سازمان، تشخیص کارمندی که مستعد خودارزشمندی منفی است کار دشواری نیست. گاهی اوقات برای این کار کافی است که او فقط در مورد کار خود اظهار نظر منصفانه کند. یک فرد معمولی اگر واقعاً اظهار نظر منصفانه باشد و با لحن معمولی گفته شود، به این فکر می کند که چگونه آن را بیان کند تا این اتفاق تکرار نشود. کسی که بیش از حد به خودش فکر می کند اینگونه واکنش نشان می دهد. اول از همه، اول از همه سرگردان است. پس از آن، او به شدت با شما مخالفت خواهد کرد: او شروع به بافتن هرگونه مزخرف شبه علمی می کند، فقط برای نشان دادن مخالفت خود. و سپس یا او آشکارا توهین می شود و با تمام ظاهر خود نشان می دهد که چگونه با بهترین احساسات به او توهین کرده اید ، یا او این توهین را تحمل می کند. حالا تصور کنید که یک مدیر یک سازمان رقیب که می‌خوابد و می‌بیند، به چنین «کارمند آزرده‌ای» نزدیک شود تا همراه با مشتری، چند کارمند را از شما بدزدد. چنین مدیری می آید، کمی "مدام العمر" صحبت می کند، چاپلوسی می کند و سپس می گوید:

- می بینم که اینجا واقعاً از شما قدردانی نمی شود. میدونی چیه؟ اگر می خواهید - پیش ما بیایید؟ آ؟ حقوق بهتر است، شرایط بهتر است، تیم بهتر است، و مهمتر از همه، شما مانند اینجا به صورت رایگان به دنبال مشتری نخواهید بود، بلکه برای پول جداگانه: 10٪ تراکنش از هر مشتری آورده شده (پایه مشتری بیشتر از خود کارمند مورد نیاز است، بنابراین شما نیاز دارید که او را علاقه مند کنید تا همه مشتریان را بکشد).

و بسیاری از مردم این کار را خواهند کرد.

قانون سوم مهندسی اجتماعی بیان می کند که "بسیاری از مردم دوست دارند همه چیزهای خوبی که ممکن است در زندگی برایشان اتفاق بیفتد، در اسرع وقت و ترجیحاً با حداقل تلاش آنها اتفاق بیفتد."نمونه ای از عملکرد این قانون هزاران سرمایه گذار فریب خورده همان MMM بدنام است که معتقد بودند با سرمایه گذاری 100 روبل (خروج با حداقل هزینه) می توانید یک میلیون در یک سال (و به سرعت مهمتر از همه) دریافت کنید. نمونه معروف دیگر این است که اکثر مردم به وعده های کاندیداها رای می دهند که در آن به شکل های مختلف همین را می گویند: «به محض اینکه بیایند همه چیز یکدفعه درست می شود».

قانون چهارم این را می گوید "بسیاری از مردم به طور استثنایی برای پول حریص هستند." یا به بیان دیگر، برخی پس از تکان دادن صورتحساب جلوی بینی خود، حس واقعیت خود را از دست می دهند. و اگر نه یک اسکناس، بلکه یک چمدان با اسکناس، پس حس واقعیت به طور جدی و برای مدت طولانی از بین می رود. بازی روی این ضعف یکی از ترفندهای اصلی در مهندسی اجتماعی است. این در انواع مختلف استفاده می شود: از رشوه پیش پا افتاده تا "نامه های شادی" که می گویند "اگر دو دلار به این حساب واریز کنید، در یک ماه بیست دلار دریافت می کنید."

با استثنائات نادر، مهندسی اجتماعی تقریباً همیشه یک بازی با رذایل و ضعف های انسانی است.استثناهای نادر عبارتند از، برای مثال، زودباوری بیش از حد. اگر چه در اینجا، چگونه می گویند.

اهمیت اندیشیدن به چیزهای کوچک

یک هکر اجتماعی موفق همیشه به همه چیز تا کوچکترین جزئیات فکر می کند. مثلاً اگر برای مصاحبه رفت، کارت بازرگانی تهیه می کند که در آن نوشته می شود خبرنگار فلان روزنامه است. اگر با شماره تلفن مشخص شده تماس بگیرید، چیز عجیبی نیز پیدا نمی کنید، زیرا دختر تلفن را برمی دارد و با صدایی جذاب می گوید:

- تحریریه روزنامه «دنیای شهر». سوتلانا کوپریانوا. سلام.

موافقت با این که یک نفر چند ساعت پشت تلفن بنشیند، موضوع طولانی نیست. به همین ترتیب، چگونه می توان نه تنها با یک دختر، بلکه با مردی نیز به توافق رسید که اگر اتفاقی بیفتد، می گوید سردبیر است و از مصاحبه شونده طلب بخشش می کند که « به این ترتیب، بدون هشدار، آنها یک خبرنگار فرستادند، متاسفید، شماره در آتش است، و اطلاعات مربوط به شرکت شما بسیار ضروری است، زیرا شرکت شما یکی از مهم ترین شرکت های شهر ما است، اما اگر البته بر خلاف آن ، پیوتر سمیونوویچ فوراً می رود و شما را اذیت نمی کند ، اما من بسیار از شما می خواهم که وقت خود را به او اختصاص دهید ، البته تا آنجا که می توانید ، من همه چیز را درک می کنم ، با توجه به مشغله شما ، چقدر دشوار است .. . ". و، با عصبانیت از زبان متملق مدیر عامل، موافقت می کنید که برای مصاحبه وقت بگذارید.

چندین قانون برای انجام "مصاحبه"

مطمئن شوید که با نشان دادن اینکه از اهمیت او در شرکت آگاه هستید، به او تملق بگویید. بهتر است این کار را یا در ابتدا، درست در هنگام مقدمه مصاحبه یا نزدیکتر به اواسط گفتگو انجام دهید.

حتماً تمام جزئیات کوچک را بررسی کنید و سعی کنید قبل از مصاحبه تا حد امکان اطلاعات بیشتری در مورد مصاحبه شونده و فعالیت های او کسب کنید.مردم خود را فقط برای کسانی آشکار می کنند که در آنها مخاطب را علاقه مند به شخص خود می بینند. علاوه بر این، اگر «در موضوع» باشید، نقش یک فرد آگاه را خواهید داشت و در رابطه با یک فرد آگاه، درصد اعتماد (می گویند خود شما) بیشتر است و «ترمز داخلی» در حال ضعیف شدن هستند (یک فرد آگاه نمی ترسد چیز اضافی را به زبان بیاورد، زیرا احتمالاً خودش همه اینها را می داند، اما آنچه را که می پرسد - خوب، طبق برنامه مصاحبه او در آنجا، قرار است در مورد آن بپرسد. اهمیت آنها ، و به محض اینکه بی کفایتی خود را نشان دادید، بلافاصله شروع به اصلاح شما می کنند.

صبور باش. بازجویی پنهان نیاز به صبر دارد. هرگز در کارها عجله نکنید. اگر همکار شما متوجه شود که شما به چیزی بیشتر از مصاحبه نیاز دارید، به سادگی کنار می‌رود و شروع به صحبت در مورد آب و هوا می‌کند. از همان سریال توصیه می شود که به هیچ وجه نباید با اجبار او را به سؤال درست "فشار" کرد.

با دقت به صحبت های طرف مقابل گوش دهید. Vدر طول مصاحبه به هیچ وجه نباید این کار را انجام دهید تا علاقه خود را به یک موضوع خاص نشان دهید. زیرا شما باید به همه سوالات علاقه مند باشید و سوالی که واقعا برای شما جالب است باید فقط "یکی از" از مجموعه سوالاتی باشد که می پرسید. حتی توصیه می شود مکالمه را طوری برنامه ریزی کنید که سؤال مورد علاقه شما از شما پرسیده نشود، اما خود طرف صحبت شروع به صحبت در مورد آن کند. بنابراین، شما باید مکالمه را به گونه ای برنامه ریزی کنید که به راحتی مخاطب را به سؤال مورد علاقه خود هدایت کنید.

بلافاصله بعد از اینکه همه متوجه شدند مصاحبه را تمام نکنید.

پس از آن به سراغ موضوعات خنثی بروید و به این ترتیب گفتگو را تمام کنید. این مهم است نه تنها به این دلیل که طرف مقابل مشکوک به اشتباه نیست، بلکه برای رعایت آن نیز مهم است "قانون لبه"،بر اساس آن لحظاتی از یک مکالمه که در ابتدا و انتهای آن اتفاق می افتد به بهترین شکل به یاد می آیند. و این واقعیت که در وسط، به ترتیب، بسیار بدتر به یاد می آورد. به طور کلی، قاعده شکل خوب در "کشیدن" اطلاعات این است که یک بازجویی پنهانی بسازید به طوری که طرف صحبت حتی نداند که چیز اضافی را به زبان آورده است. برای این کار باید دو قانون ساده را رعایت کنید که در 70 درصد موارد به نتیجه مطلوب می رسد:

- سوالات مهم را با یک سری سوالات بی اهمیت بپوشانید.

- سوالات لازم را در میانه گفتگو مطرح کنید تا طبق قانون منطقه، مصاحبه شونده ابتدا آنها را فراموش کند.

تاثیر خوبی از مصاحبه به جا بگذاریددر همکار شما این مهم است، قبل از هر چیز، به طوری که همکار شما تمایل به ادامه ارتباط در آینده داشته باشد.

توجه داشته باشید

ما به تفصیل در مورد قوانین مذاکره و قوانین روانی که زیربنای آنها هستند صحبت خواهیم کرد ضمیمه 1.

قوانین ساده برای جلوگیری از این نوع حمله

دو قانون بسیار ساده برای جلوگیری از این نوع حمله وجود دارد.

قانون یکهیچ کارمند شرکت نباید بیشتر از آن چیزی که قرار است از کار بداند بداند. متأسفانه اغلب این قانون رعایت نمی شود و اغلب اتفاق می افتد که هر کارمندی به اندازه مدیر عامل می داند. که البته نه تنها اشتباه است، بلکه بسیار خطرناک است.

اکثر مردم نمی دانند چگونه اسرار را حفظ کنند.

اگر در هر مقیاس و رتبه ای رهبر هستید، یکی از مهمترین قوانین را به خاطر بسپارید که اجرای آن تا درصد زیادی از شما در برابر بسیاری از حملات مهندسی اجتماعی محافظت می کند. قاعده این است: اکثریت قاطع مردم نمی توانند حتی درونی ترین رازهای خود را حفظ کنند، چه رسد به غریبه ها. اگر به طور خصوصی هر گونه اطلاعاتی را با صد نفر از بهترین کارمندان به اشتراک بگذارید و به همه هشدار دهید که این اطلاعات بسیار محرمانه است، می توانید مطمئن باشید که 90 نفر مطمئناً "آن را به کناری خواهند انداخت". به دلایل مختلف. کسی از طریق حماقت زندگی روزمره، کسی به همسرش در هنگام چای عصرانه، کسی "مست"، کسی غرق در احساس اهمیت خود می شود، زیرا "خود ژنرال اعتماد کرد و گفت" و، البته، شما باید در مورد این دوستانی که هیچ کس تا به حال به این اطلاعات مهم اعتماد نکرده است بگویید ... دلایل زیادی وجود دارد. و آنها چیز اصلی نیستند - نتیجه مهم است: اکثریت نمی توانند اسرار را حفظ کنند. و البته یکی از ویژگی های یک رهبر خوب توانایی درک افراد است که حداقل برای جدا کردن آن پنج تا ده نفر از این صد نفر مفید است که واقعاً از اعتماد نمی ترسند.

توجه داشته باشید

و بیشتر یک اضافه کوچک به قانون دوم. شما مجبور نیستید خود را در ترساندن کارکنان خود در مورد آنچه که بعد از سرقت چیزی از سازمان شما برای آنها اتفاق می افتد محدود کنید. زیرا برخی از کارگران را تنها با ترس می توان از انجام کارهای بد باز داشت. از آنجایی که ترس از آینده آنها برای بسیاری دقیقاً تنها احساسی است که قوی تر از اشتیاق به پول است.

سرقت پایگاه داده های مشتری

بیایید کاری را که در آن شروع کردیم ادامه دهیم فصل 1در مورد سرقت پایگاه داده های مشتری صحبت کنید. علیرغم این واقعیت که تنها چند حقایق دزدی از پایگاه‌های اطلاعاتی مشتری به صورت عمومی منتشر می‌شود، اخیراً تعداد مواردی که حتی برای عموم مردم شناخته شده است به طور قابل توجهی افزایش یافته است. آنچه برای ما بسیار جالب است این است که بیشتر سرقت اطلاعات با استفاده از روش های مهندسی اجتماعی مرتبط است.

توجه داشته باشید

دلیل علنی شدن تنها درصد کمی از این سرقت‌ها این است که شرکت‌ها طبیعتاً نمی‌خواهند شهرت خود را خراب کنند و به بی‌احتیاطی خود اعتراف می‌کنند.

ساده ترین راه برای به دست آوردن پایگاه داده های مشتریان، استفاده از بی دقتی کارکنان شاغل در شرکت است. اغلب، فاکتورها و سایر اسناد روی میز کارمندانی قرار دارد که هنوز عادت دارند 10 تا 30 دقیقه دفتر خود را ترک کنند، بنابراین اگر نیازی به این کار ندارید، از روی کسالت همه چیز را مرور خواهید کرد. در برخی از فروشگاه ها، مثلاً برای فروش لوازم اداری، مبلمان و غیره، بسیاری از فروشندگان فاکتور تهیه می کنند و به رایانه خود مراجعه می کنند و اینکه مثلاً من ممکن است کارمند یک شرکت رقیب باشم و هیچ چیز. مانع از این می شود که پشت سرم بایستم و لیست مشتریان را ببینم، هیچ کس اهمیتی نمی دهد. یک بار، به خانمی که مدت زیادی بود (در یک فروشگاه کامپیوتر) خرید من را انجام می داد، گفتم: "دختر، می بینم که هنوز با شرکت 1C خیلی راحت نیستی، بگذار کمکت کنم." دختر با خوشحالی درخواست من را پذیرفت، از پشت کامپیوتر بلند شد و ... عموماً 15 دقیقه رفت. احتمالا در حال نوشیدن چای جالب‌تر اینکه هیچ‌کدام از کارمندانی که با سرعت از کنار من رد می‌شدند (کامپیوتر او در مرکز فروشگاه بود) نپرسید که من چیست ( غریبه) من پشت سرش نشسته ام.

مواردی که پایگاه داده های مشتری با سوء استفاده از بی دقتی پرسنل شاغل در شرکت به سرقت می روند، بسیار رایج است.

به عنوان مثال، برای شروع، می توانید خود را به عنوان کارمند شرکتی که پایگاه های داده را نصب می کند معرفی کنید و با نفوذ به رایانه یا به سادگی از کارمندان بپرسید که کدام پایگاه داده قبلاً روی دستگاه های کاربر نصب شده است. و اگر خوش شانس هستید، آنها را همزمان دانلود کنید.

شما می توانید همانطور که در یک شرکت انرژی در سن پترزبورگ بود عمل کنید (این مورد را در توضیح دادیم فصل 1)،وقتی شخصی با معرفی خود به عنوان دوست یک کارمند بیمار (مدیر سیستم) گفت که یکی از دوستان از او خواسته است تا امروز او را جایگزین کند. با این حال، فهمیدن اینکه آیا دوستی سؤال کرده است یا شخص دیگری می تواند بسیار ساده باشد: با تماس با کارمند خود و بررسی مجدد اطلاعات. درست است، شما می توانید حیله گری بیشتری انجام دهید و واقعاً دوست خود را مجبور کنید این اطلاعات را تأیید کند. شما فقط می توانید برای مدتی با مدیر سیستم دوست شوید. حتی اگر بهترین نباشد. نکته اصلی این است که این دوستی کافی است تا وقتی واقعاً بیمار می شود (یا به دلایلی به سادگی نمی تواند سر کار بیاید) برای کمک به هر کسی که نیاز داشت مراجعه کند. به دوستی که فقط منتظر این است. یا نه فقط منتظر، بلکه تلاش برای تحمیل شرایط. مثلاً ناگهان احضاریه ای به اداره ثبت نام و سربازی دریافت کردید و چه تصادفی، آن روز عصر، وقتی آن را در جعبه خود پیدا کردید، با یکی از دوستانتان برای نوشیدن آبجو به خانه می رفتید.

- اوه، ای ...، - به "دوستت" می گویی، - فردا باید سر کار باشم. آن وقت چه باید کرد ...

و رفیق و رفیق است تا در فرصت مناسب رفیقش را بیمه کند.

- بله، مزخرف، - به شما می گوید، - کارها برای سه کوپک. بگذار فردا به جای تو بروم و همه کارها را انجام دهم. به رئیست زنگ بزن، به من تذکر بده که فلان می گویند و فلان، من چنین شرایطی دارم و به جای من دوست خوبم می آید.

و با خوشحالی از اینکه همه چیز با موفقیت حل شد ، شما و "دوست" خود با خیال راحت به نوشیدن آبجو می روید.

شما می توانید به مدت یک ماه در شرکتی که نیاز به سرقت پایگاه های داده از آن دارید، به عنوان مدیر فروش شغلی پیدا کنید. و در روز دوم آن را رها کنید و بگویید که به طور کلی به تیم و کارگردان به طور خاص نمی خورد.

توجه داشته باشید

یکی از ساده ترین راه ها برای سرقت پایگاه داده مناسب. بنابراین، یک ساعت ساز مسکو پایگاه داده مشتریان را از یک رقیب به سرقت برد. قیمت نسخه حدود 1500 دلار بود.

و در نهایت، گسترده‌ترین نوع سرقت پایگاه داده، «ترک» شرکت همراه با کارمندان است، همانطور که مدتی پیش با یک شرکت فروش مبلمان در مسکو اتفاق افتاد، زمانی که همه مدیران کلیدی آن را ترک کردند و کسب‌وکار خود را شروع کردند. یک وضعیت مشابه اخیرا در سن پترزبورگ در شرکت بزرگفروش تلفن همراه در هر دو مورد، تنها توانایی مدیران برای مذاکره با شرکای که شرایط را برای آنها توضیح داده بودند به نجات پرونده کمک کرد. یک مورد شناخته شده در نووسیبیرسک وجود دارد، زمانی که مدیران کلیدی شرکتی را ترک کردند که درگیر تامین کامپیوترهای شرکتی بود و شرکت خود را ایجاد کردند، طبیعتاً برای کار با مشتریانی که در حین کار در سازمان قبلی به آنها خدمت می کردند. برای مدت طولانی می توان مثال زد.

چگونه می توانید از خود در برابر سرقت پایگاه های مشتریان محافظت کنید؟ ساده ترین کار پیروی از قوانین حفاظتی است که در بخش قبل در مورد آنها صحبت کردیم و آنها را با چندین مورد دیگر تکمیل کنید. بنابراین.

هیچ کارمند شرکت نباید بیشتر از آن چیزی که قرار است از کار بداند بداند.

قرارداد کار با کارمند باید الزاماً حاوی بند باشد مبنی بر اینکه کارمند در قبال افشای اطلاعات تجاری از جمله مسئولیت کیفری مسئول خواهد بود.

توجه داشته باشید

بار دیگر تکرار می کنیم که این نکته یکی از مهمترین موارد در حفظ شرکت در برابر چنین مواردی است. در قرارداد کار با یک کارمند باید به صراحت ذکر شود که اولاً موضوع اسرار تجاری چیست و ثانیاً چه مشکلاتی در انتظار کارمند است، از جمله کسانی که پس از افشای موضوع اسرار تجاری توسط این کارمند، کار را ترک می کنند. کارمند باید به وضوح توضیح دهد که طبق هنر. 7، 8، 10 و 11 قانون فدرال "در مورد اسرار تجاری"، کارفرما حق دارد با کارمند سندی مبنی بر عدم افشای اطلاعات امضا کند که به نظر کارفرما موضوع اسرار تجاری را تشکیل می دهد. شرکت و برای افشای آن می تواند اقدامات خاصی را تا و از جمله قبل از تعقیب قانونی برای کارمند اعمال کند و طبق ماده. در ماده 4 این قانون، کارمند موظف است خسارات وارده به شرکت در نتیجه افشای اطلاعات محرمانه را جبران کند (میزان زیان توسط دادگاه تعیین می شود). مشخص است که پس از چنین جلسه ای، اکثر کارمندان ایده افشای چیزی را در لحظه ظاهر شدن از دست می دهند. مخصوصاً برای کسانی که به این اندازه کافی نیستند، می توانید وارد پرونده حقوقی شوید و توضیح دهید که بانک اطلاعات مشتری در واقع می تواند به عنوان یک وسیله تولید در نظر گرفته شود که دارایی کارفرما است. از آن نتیجه می شود که سرقت از این پایگاه داده قبلاً می تواند به عنوان سرقت دارایی شخص دیگری در نظر گرفته شود که موضوع ماده مربوطه قانون جزا (ماده 159 قانون کیفری فدراسیون روسیه) است. علاوه بر این، می توانید به کارمند اطلاع دهید که اگر می خواهید پایگاه داده را سرقت کنید، می توانید تحت چهار ماده قانون کیفری تعقیب او را آغاز کنید: ماده قبلاً ذکر شده. 159 ("سرقت")، هنر. 272 ("دسترسی غیرمجاز به اطلاعات رایانه")، ماده. 183 ("افشای غیرقانونی و دریافت اطلاعاتی که اسرار تجاری، بانکی یا مالیاتی را تشکیل می دهد") و ماده. 146 ("نقض کپی رایت و حقوق مرتبط"). عمل نشان می دهد که وقتی افراد فرصت تعقیب کیفری برای سرقت اطلاعات را دارند، در اعمال خود بسیار محتاط تر می شوند.

افراد غریبه نباید به راحتی به دفتر کار دسترسی داشته باشند.

اگر افراد غریبه در اتاق هستند، کارمندان به هیچ عنوان نباید اتاق را ترک کنند.

اغلب اتفاق می افتد که تقریباً هر کارمندی به پایگاه مشتری دسترسی دارد، زیرا پایگاه روی یک سرور Doc مشترک قرار دارد که فقط پاک کننده به آن دسترسی ندارد. البته نباید اینطور باشد. فقط آن دسته از کارمندانی که حق انجام این کار را دارند باید به پایگاه داده مشتری دسترسی داشته باشند. این یک قانون شناخته شده است که بر اساس آن، هر چه تعداد افراد کمتری به اطلاعات محرمانه دسترسی داشته باشند، احتمال اینکه این اطلاعات به طرف مقابل برود کمتر می شود.

اظهار نظر

بسیاری از کارشناسان در زمینه هوش رقابتی نیز قانونی را ذکر می کنند که بر اساس آن همه رایانه هایی که به پایگاه مشتری دسترسی دارند نباید اتصال اینترنت داشته باشند، بدون درایوهای فلاپی، درایوهای CD و DVD-ROM، ورودی USB و هیچ چیز نباشند. می توان از آنها چاپ کرد. و غیره. به نظر ما، این قانون اولاً واقعی نیست، زیرا چنین اقداماتی به سادگی کار را بسیار پیچیده می کند و ثانیاً منجر به هیچ چیز نمی شود، زیرا در این مورد رایانه ها باید همچنان و بدون مانیتور باشد، به طوری که اطلاعات را نمی توان از صفحه نمایش مانیتور عکس گرفت. در حال حاضر، برخی از کارشناسان تمایل دارند بر این باورند که معرفی سیستم ها به کاهش ضررهای ناشی از سرقت پایگاه های مشتری از رایانه ها کمک می کند. CRM(سیستم های مدیریت و حسابداری برای روابط با مشتری).

فیشینگ امروزه یکی از رایج ترین انواع مهندسی اجتماعی است. در اصل، فیشینگ منبع یابی اطلاعات برای دسترسی به حساب های بانکی کاربران ساده لوح است. این امر در کشورهایی که خدمات بانکداری اینترنتی در آنها رایج است، گسترده است. بیشتر اوقات، فیشرها از ایمیل های جعلی استفاده می کنند که گفته می شود توسط بانک ارسال شده است و از آنها می خواهند رمز عبور یا اعلانی در مورد انتقال مقدار زیادی پول را تأیید کنند.

توجه داشته باشید

خود کلمه "فیشینگ" از ماهیگیری انگلیسی گرفته شده است که به نوبه خود ماهیگیری ترجمه می شود. این نوع کلاهبرداری به این دلیل نامگذاری شد که در واقع بسیار شبیه به ماهیگیری است، زیرا فیشر اساسا طعمه را پرتاب می کند (یا بهتر است بگوییم چند صد طعمه) و منتظر می ماند تا کسی آن را گاز بگیرد.

ماهیت فیشینگ به شرح زیر است. مهاجم کاربر را مجبور می کند تا برخی از اطلاعات محرمانه را به او ارائه دهد: اطلاعاتی در مورد حساب های بانکی، کارت های اعتباری و غیره. مهمترین چیز این است که قربانی همه این اقدامات را کاملاً داوطلبانه انجام می دهد - فیشرها روانشناسان خوبی هستند و به وضوح عمل می کنند.

سه نوع اصلی فیشینگ وجود دارد:

پست الکترونیکی

برخط؛

ترکیب شده.

فیشینگ ایمیلاولین بار ظاهر شد - عموم مردم در مورد این نوع کلاهبرداری در سال 1996 مطلع شدند.

توجه داشته باشید

در آن زمان چندین هزار مشتری آمریکا آنلاین از یک «نماینده شرکت» ایمیل هایی دریافت کردند که در آن درخواست ارسال نام کاربری و رمز عبور برای ورود به سامانه را داشتند. و بسیاری اخراج شده اند.

ماهیت فیشینگ ایمیل این است که یک ایمیل برای قربانی ارسال می شود که حاوی درخواستی برای ارسال برخی اطلاعات محرمانه است. به عنوان مثال، از طرف ارائه دهنده اینترنت، نامه ای از یک آدرس پستی مشابه (یا یکسان) ارسال می شود که در آن نوشته شده است که ارائه دهنده باید ورود و رمز عبور برای دسترسی به اینترنت کاربر مشخص شده را پیدا کند، زیرا خود ارائه دهنده به دلایلی (پایه "فروپاش") نمی تواند این کار را انجام دهد. مثال جالب‌تر مربوط به یکی از بانک‌های معروف آمریکایی است که مشتریانش زمانی پیام‌هایی دریافت کردند که حواله بزرگی به حساب آنها رسیده است (بگذریم چند ده هزار دلار) و مطابق توافقنامه، زیرا مبلغ انتقال بیش از 1000 دلار، آنها برای تایید دریافت حواله، باید لینک ارائه شده در انتهای نامه را دنبال کرده و تمام اطلاعات لازم برای تایید انتقال را وارد کنید. در غیر این صورت، ترجمه ارسال خواهد شد. تعداد کمی توانستند بر طمع خود غلبه کنند و چندین هزار نفر از مشتریان بانک هدف حمله فیشینگ قرار گرفتند.

توجه داشته باشید

این دقیقاً موردی است که هکرهای اجتماعی به طرز درخشانی روی یکی از رذایل انسانی - طمع بازی کردند.

فیشینگ آنلایندر این واقعیت نهفته است که کلاهبرداران یکی را در یکی از سایت‌های معروف کپی می‌کنند و یک نام دامنه بسیار مشابه برای آن انتخاب می‌شود (یا همان، فقط در یک منطقه متفاوت)، و طرحی یکسان ایجاد می‌شود.

توجه داشته باشید

به عنوان یک طعمه (جاذبه)، محصولات در این فروشگاه های آنلاین تقلبی با قیمت های تقریباً دامپینگ فروخته می شوند، که جای تعجب نیست، زیرا هیچ کس در واقع چیزی نمی فروشد.

سپس چیزی شبیه به زیر اتفاق می افتد. پس از تصمیم گیری برای خرید در فروشگاه، کاربر نام کاربری، رمز عبور و شماره کارت پلاستیکی خود را وارد می کند و پس از آن همه این داده ها برای مهاجم مشخص می شود. سپس کلاهبردار بلافاصله کارت اعتباری قربانی را "صفر" می کند.

توجه داشته باشید

گاهی اوقات به این نوع فیشینگ نیز گفته می شود برند تقلیدی(جعل برند).

فیشینگ ترکیبیترکیبی از دو نوع قبلی فیشینگ است. ظاهر آن به این دلیل است که ایمیل و فیشینگ آنلاین منسوخ شده اند و کاربران از نظر امنیت اطلاعات آگاه تر شده اند. بنابراین فیشرها تاکتیک متفاوتی را ارائه کردند. درست مانند فیشینگ آنلاین، یک سایت جعلی ایجاد می شود و سپس مانند فیشینگ پستی، نامه هایی با درخواست ورود به این سایت برای کاربران ارسال می شود.

توجه داشته باشید

این یک حرکت روانشناختی نسبتاً قوی است که به لطف آن فیشینگ ترکیبی بلافاصله گسترده شد. واقعیت این است که بازدیدکنندگان محتاط تر شده اند و در حال حاضر تعداد کمی رمز عبور خود را می گویند (اگرچه تعدادی وجود دارد). و در فیشینگ ترکیبی، این هشدار فقط حذف می شود، به این دلیل که از نامه کاربر برای ارائه هیچ اطلاعات محرمانه ای درخواست نمی شود، بلکه صرفاً از کاربر خواسته می شود تا وارد سایت شود. فقط به سادگی از کاربر خواسته می شود که به یک وب سایت برود و تمام عملیات لازم را خودش انجام دهد.

در حال حاضر یک رونق واقعی فیشینگ وجود دارد. این امر به ویژه با ارقام زیر قابل اثبات است: از اکتبر تا ژانویه 2005، کمیسیون تجارت فدرال ایالات متحده بیش از 10 میلیون (!) شکایت از کاربرانی که قربانی حملات فیشینگ شده بودند ثبت کرد. مجموع ضرر و زیان طبق داده های همین سازمان بالغ بر 15 میلیارد دلار در سال 2005 بوده است.

توجه داشته باشید

طبیعتاً قوانین همه کشورها با این نوع جدید کلاهبرداری سازگار نبوده است.

از تاریخچه فیشینگ روسیه

در روسیه، اولین مورد ثبت شده فیشینگ به می سال 2004 برمی گردد، زمانی که مشتریان بانک شهر ایمیل هایی را از طریق ایمیل دریافت کردند که از آنها می خواستند به وب سایت بانک (البته یک وب سایت جعلی) مراجعه کرده و شماره کارت و پین خود را تأیید کنند.

فیشرها در فعالیت های خود از ارتباط با رویدادهای خاص به خوبی استفاده می کنند. به عنوان مثال، شخصی دقیقاً در روز تولد خود یک کارت تبریک دریافت می کند که در آن نوشته شده است که در روز تولد او بانکی که او مشتری آن است 500 دلار به عنوان بخشی از کمپین تولد به حساب او واریز کرده است. برای دریافت آنها باید به سایت بانک مراجعه کنید (البته جعلی) و اطلاعات لازم را وارد کنید. بسیاری از استفاده از رویدادهای غم انگیز مانند حملات تروریستی بزرگ یا بلایای طبیعی، هنگامی که سازمان های مختلف از مردم می خواهند که برای کمک به قربانیان پول به صندوقی اهدا کنند، ابایی ندارند. فیشرها هم می پرسند. طبق همان طرح هایی که در نظر گرفتیم: به سایت بروید، ثبت نام کنید و مقداری از حساب خود را حذف کنید.

توجه داشته باشید

در زمان نگارش این مقاله، اپرا تنها مرورگری است که از نسخه 8.0 به طور پیش فرض محافظت در برابر فیشینگ دارد.

امروزه بسیاری از متخصصان فناوری اطلاعات در سراسر جهان در حال کار بر روی راه هایی برای دفاع در برابر حملات فیشینگ هستند. علاوه بر ایجاد لیست سیاه سایت های فیشینگ در مرورگرها، چندین روش دیگر نیز پیشنهاد شده است.

مولدهای رمز یکبار مصرف

از آنجایی که ماهیت فیشینگ به دست آوردن رمزهای عبور و اطلاعات بانکی لازم برای دسترسی به حساب های الکترونیکی کاربران است، استفاده از مولدهای رمز یک بار مصرف به شما امکان می دهد این نوع کلاهبرداری را دور بزنید. تولید کننده رمز یک بار مصرف شبیه یک ماشین حساب جیبی کوچک معمولی است. هنگامی که کاربر وارد وب سایت بانک می شود، برای دسترسی به حساب خود، باید دنباله کاراکترهای نشان داده شده توسط مولد را وارد کند. بانک از همین الگوریتم برای ایجاد رمز عبور استفاده می کند. دسترسی تنها در صورتی اعطا می شود که هر دو رمز عبور مطابقت داشته باشند. چنین رمز عبوری را نمی توان دزدید به این دلیل ساده که فقط یک بار می توان به آن دسترسی داشت. معایب استفاده از چنین سیستمی هزینه های اضافی برای مشتریان است.

توجه داشته باشید

در حال حاضر، بسیاری از بانک ها در ایالات متحده آمریکا و اروپا و همچنین ارائه دهندگان بزرگ اینترنت، به عنوان مثال، AOL، از تولید کننده های رمز یک بار مصرف استفاده می کنند.

استفاده از دستگاه های USB

ماهیت این تکنیک این است که اگر کاربر یک دستگاه USB را به رایانه خود وصل نکند، نمی تواند به حساب خود دسترسی پیدا کند. در این صورت کلاهبرداران نیز نمی توانند به حساب کاربری کاربر دسترسی پیدا کنند.

توجه داشته باشید

در کنار دستگاه‌های USB، استفاده از کارت‌های مخصوص با ریزمدارها نیز پیشنهاد شد که در یک خواننده متصل به رایانه قرار داده می‌شوند. با این حال، این گزینه به عنوان پرهزینه کنار گذاشته می شود.

تایید موبایل

ماهیت این تکنیک این است که دسترسی به کارت تنها پس از ارسال پیامک (خدمات پیام کوتاه) توسط کاربر از تلفن همراه خود که شماره آن را به بانک اطلاع داده است، انجام می شود.

هش کردن رمزهای عبور برای یک وب سایت خاص

هش کردن رمزهای عبور با افزودن اطلاعاتی به رمز عبور که مخصوص سایتی است که قرار است رمز عبور در آن استفاده شود، از سرقت اطلاعات حساس جلوگیری می کند. کاربر به سادگی رمز عبور خود را در یک فرم خاص وارد می کند و مرورگر آن را تبدیل کرده و اطلاعات لازم را اضافه می کند. نکته اصلی این است که به وب‌سایتی که کاربر رمز عبور را وارد می‌کند، این رمز به شکل خالص آن گفته نمی‌شود، رمز عبور هش شده در وب‌سایت دریافت می‌شود. بنابراین، حتی اگر کاربر رمز عبور خود را در یک سایت جعلی وارد کند، هکرها نمی توانند از آن استفاده کنند. این سایت از همان طرح هش کردن دارنده کارت استفاده می کند.

یک نوع کلاهبرداری خطرناک تر از فیشینگ، به اصطلاح است کشاورزی Pharming در مورد تغییر آدرس های DNS است به طوری که صفحات بازدید شده توسط کاربر صفحات اصلی مثلاً بانک ها نیستند، بلکه صفحات فیشینگ هستند.

از آنجایی که ماهیت فارمینگ به هدایت خودکار کاربران به سایت‌های جعلی خلاصه می‌شود، فارمینگ بسیار خطرناک‌تر از فیشینگ است، زیرا برخلاف دومی، روش جدید سرقت اطلاعات نیازی به ارسال نامه به قربانیان احتمالی و بر این اساس، پاسخ آنها به آنها این به طور طبیعی یک روش کلاهبرداری پیچیده تر، هرچند از نظر فنی بسیار پیچیده تر از فیشینگ است. اما از سوی دیگر، هنگام کشاورزی، کاربر عملاً دلیلی برای بی اعتمادی ندارد: هیچ کس نامه ای ارسال نکرده است، هیچ کس درخواستی برای رفتن به سایت ندارد. کاربر داوطلبانه تصمیم گرفت به سایت بانک مراجعه کند و وارد شد. نه به اصل، بلکه به یک سایت جعلی.

بسیاری از محققان خطر فارمینگ را با این واقعیت مرتبط می دانند که برای توسعه آن، هکرها حملات بیشتری را به سرورهای DNS انجام می دهند و این حملات پیچیده تر می شوند. خطر این است که اگر تعداد هک سرورهای DNS افزایش یابد، منجر به هرج و مرج واقعی در شبکه جهانی خواهد شد.

توجه داشته باشید

سرویس DNS (سیستم نام دامنه) به گونه ای طراحی شده است که آدرس سایتی را که کاربر در مرورگر تایپ کرده است با آدرس IP واقعی سروری که این سایت در آن قرار دارد مطابقت دهد. DNS اغلب با یک فهرست تلفن مقایسه می شود که در آن ابتدا نامی را انتخاب می کنید، سپس به شماره نگاه می کنید و سپس با آن شماره تماس می گیرید. بنابراین در اینجا: نام سایت را انتخاب کنید، سرویس DNS "شماره" آن (آدرس IP) را به شما می گوید، پس از آن به سایت مشخص شده می روید.

علاوه بر رشد هک سرورهای DNS، محققان همچنین افزایش هک های شبکه مانند جعل ARP را پیش بینی می کنند که در اصل جعل آدرس MAC است و برای گوش دادن به ترافیک بین دو ماشین طراحی شده است.

توجه داشته باشید

ARP توسط کامپیوترها برای برقراری ارتباط با یکدیگر در همان شبکه با تبدیل یک آدرس IP به آدرس MAC کامپیوتر مورد نظر و سپس برقراری ارتباط از طریق اترنت استفاده می شود.

حملات مهاجم

مهاجمانمهاجمان بنگاه ها هستند. بر این اساس، حمله مهاجم حمله ای برای تصاحب یک شرکت است.

طرح کلاسیک حمله مهاجم به شرح زیر است.

مرحله ی 1. جمع آوری اطلاعات در مورد شرکت دستگیر شده

مثل همیشه در هر نوع فعالیتی، جمع آوری اطلاعات مهمترین مرحله مقدماتی است. در این مرحله تمام اطلاعات مربوط به شرکت جمع آوری و تجزیه و تحلیل می شود: وضعیت مالی شرکت، لیست طرفین، فهرست مشتریان، فهرست سهامداران (ثبت سهامداران)، اطلاعات در مورد نقاط قوت و ضعف شرکت. عادات بد مدیریت و کارمندان، چه کسی با چه کسی و علیه چه کسی دوست است در شرکت، اطلاعات در مورد برنامه های بازاریابی و غیره، و غیره. در مرحله اول اکثر روش های مهندسی اجتماعی کار می کنند که همانطور که قبلاً گفتیم جمع آوری اطلاعات با کمک آنها راحت تر است. به عنوان یک قاعده، این مرحله بسته به اندازه شرکت و دشواری کسب اطلاعات لازم از یک تا سه ماه طول می کشد. مهمترین چیز برای یک مهاجم در این مرحله گرفتن یک کپی از ثبت سهامداران به هر طریقی است.

مرحله 2. شروع حمله

شروع حمله را می توان لحظه ای در نظر گرفت که مهاجم شروع به خرید سهام از سهامداران اقلیت می کند. سهامداران اقلیت معمولاً به راحتی از سهام جدا می شوند ، زیرا عملاً سود سهام ملموسی از آنها دریافت نمی کنند و مهاجمان مبلغی را برای سهام به میزان حقوق سالانه پیشنهاد می کنند.

توجه داشته باشید

سهامداران اقلیتسهامدارانی هستند که تعداد سهام کمی دارند. به عنوان مثال، در اوایل دهه 90، در خلال خصوصی سازی افسارگسیخته، اغلب اوقات اتفاق می افتد که تقریباً هر کارمند یک شرکت بزرگ با چندین هزار کارمند دو یا سه سهم داشت. به این گونه سهامداران، سهامداران اقلیت گفته می شود.

به موازات خرید سهام از سهامداران اقلیت، کار برای "سیاه کردن شرکت" و استفاده از زبان رایدر در حال انجام است. هدف اصلی "کابوس" ایجاد اختلال در کار شرکت است. علاوه بر این، یک هدف ثانویه نیز حاصل می شود: به سهامداران مردد نشان داده می شود که مشکلات بزرگی در شرکت وجود دارد و پس از آن آنها بسیار مایل به جدا شدن از سهام خود هستند. مرحله دوم واقعاً یک کابوس برای شرکت است، کلمه بهترتصورش سخت است: از طرف سهامداران به دلیل تخلف از معاملات مختلف با سهام، نقض رویه انجام معاملات (که مهاجم در مرحله اول متوجه می شود) از مدیریت به نمایندگی از سهامداران شکایت می شود، پرونده های جنایی علیه مدیریت شروع می شود و کارمندان شرکت (به دلایل واقعی مهم نیست یا نه - هدف اصلی مردم را عذاب می دهد)، بازرسی از فعالیت های شرکت توسط خدمات مختلف آغاز می شود (بازرسی مالیاتی، ایستگاه بهداشتی و اپیدمیولوژیک، خدمات آتش نشانی، دفتر دادستانی محیط زیست، و غیره - هر چه بیشتر، بهتر)، از تاکتیک های ایمیل گرین برای فلج کردن کار شرکت و غیره استفاده می شود.

توجه داشته باشید

به زبان مهاجمان Greenmailباج گیری شرکتی است که با اعمال تهاجمی حقوق سهامداران کوچک یا با "باج خواهی" یک شرکت به دست می آید.

راه‌های زیادی، و کاملاً قانونی، برای «کابوس» کردن تقریباً هر شرکتی وجود دارد. در واقع، هنگام "سیاه کردن" شرکت، یک حمله کلاسیک DDoS (انکار خدمات) در سطح اجتماعی ترتیب داده می شود.

توجه داشته باشید

به عنوان یک قاعده، هکرهای اجتماعی، که از روش های برنامه نویسی اجتماعی در کار خود استفاده می کنند، نقش اصلی را در هنگام "سیاه کردن" یک شرکت ایفا می کنند.

مدیریت شرکت با دیدن اینکه مورد حمله مهاجمان قرار گرفته است ، معمولاً شروع به اخراج کارگرانی می کند که سهام خود را می فروشند تا کسانی را که هنوز سهام خود را نفروخته اند بترسانند. گاهی اوقات کار می کند، گاهی اوقات نه. علاوه بر این، سهام شرکت به مدیریت امانت منتقل می شود یا در دفتری که تحت کنترل شرکت است وثیقه می شود. پس از آن، مدیریت، به عنوان یک قاعده، انتشار اضافی سهام را انجام می دهد و متقابل خرید سهام را سازماندهی می کند.

مرحله 3. معرفی یک تقسیم در مدیریت شرکت

برای اینکه عملاً شرکت را به طور قانونی در دست بگیرید، 30٪ به علاوه یک سهم برای مهاجمان کافی است. با این حال، در حال حاضر، وضعیت به گونه ای است که مدیریت شرکت 70 درصد یا بیشتر از سهام را در اختیار دارد (به اصطلاح بسته تلفیقی).بنابراین، مهاجم نیاز به ایجاد شکاف بین اعضای بدنه مدیریت شرکت دارد، که برای این منظور، مهاجم سعی دارد با بازی بر روی تضادهای داخلی مختلف بین مدیران شرکت، بدنه مدیریتی را تقسیم کند (تضادهای داخلی آنها نیز یافت می شود. در مرحله اول). در واقع مرحله سوم مرحله «دسیسه بافی» بین مدیران بنگاه و مرحله خرید سهام از سهامداران اصلی است که «پیشنهادهای جالب» مختلفی به آنها ارائه می شود.

علاوه بر این، در همان مرحله، یک اپوزیسیون از سهامداران اقلیت ناراضی تشکیل می شود تا تحت لوای این مخالفت، مهاجمان بتوانند به داخل بنگاه نفوذ کنند.

مدیریت شرکت در این مرحله، به عنوان یک قاعده، دو مرحله را طی می کند:

سعی می کند به یک روش تضاد بین مدیران شرکت را کاهش دهد.

او برای کاهش فشار مخالفان به سهامداران اقلیت امتیازاتی می دهد.

مرحله 4. کار با دارایی های شرکت

در این مرحله، مدیریت شرکت در تلاش است تا توقیف بنگاه را برای مهاجم معنای خود را از دست بدهد. برای انجام این کار، مدیریت باید یا دارایی های شرکت را برداشت کند یا به نوعی آنها را بارگذاری کند. مهاجمان البته سعی می کنند از این اتفاق جلوگیری کنند.

مرحله 5. ورودی بنگاه

اکنون مهاجم باید از راه قانونی وارد شرکت شود. روش اساسی: مجمع عمومی فوق العاده صاحبان سهام و انتخاب مجدد هیئت مدیره. این کار به روش زیر انجام می شود. اگر مهاجم 30٪ به علاوه یک سهم داشته باشد، درخواستی برای تشکیل جلسه فوق العاده سهامداران به هیئت مدیره فعلی شرکت ارسال می شود. پس از نادیده گرفتن تقاضا در جلسه اصلی، مهاجمان حق دارند چنین جلسه ای را به تنهایی برگزار کنند.

توجه داشته باشید

به عنوان یک قاعده، چنین جلساتی مخفیانه برگزار می شود تا فقط سهامداران تحت کنترل مهاجم بتوانند در آن شرکت کنند. موارد شناخته شده زیادی وجود دارد که چنین جلساتی در واحدهای نظامی برگزار می شد. بنابراین، مهاجمان هر کاری می کنند تا از رسیدن "سهامداران غیر ضروری" به جلسه جلوگیری کنند. مواردی وجود دارد که مهاجمان کل اجراها را برای این منظور اجرا می کردند. به عنوان مثال، در مقابل درب ورودی ساختمانی که قرار بود مجمع سهامداران در آن برگزار شود، نمایندگان مهاجم در ورودی ساختمان، شرکت کنندگان غیرضروری جلسه را رهگیری کردند و آنها را به سالن دیگری از همان ساختمان بردند، جایی که یک نمایشی به نام "جلسه سهامداران" در مقابل آنها پخش می شد که در این جلسه در اتاقی دیگر، حزب رایدر با اکثریت آرا مجددا هیئت مدیره را انتخاب کرد. گاهی اوقات از رویکرد معکوس استفاده می شود، که در آن، برعکس، مخالفان اجازه حضور در جلسه را پیدا می کنند تا به تمام جهان نشان دهند که همه چیز قانونی است، نه تنها مخالفانی که توسط مهاجم کنترل می شوند، بلکه نمایندگانی نیز در جلسه حضور داشتند. طرف مقابل فقط در این حالت سهام حریف به نحوی "مسدود" می شود، یعنی این کار به گونه ای انجام می شود که رقیب به طور موقت نتواند از سهام خود استفاده کند (و در نتیجه حق رای داشته باشد) مثلاً به دلیل اینکه یک پرونده جنایی با این موضوع که او یک بار این سهام را به طور غیرقانونی به دست آورده است.

در جلسه اول 30 درصد به اضافه یک سهم حد نصاب کافی برای تصمیم گیری نیست به همین دلیل در جلسه اول عدم وجود حد نصاب قید می شود این اظهارات در صورتجلسه درج می شود و همه مخالف هستند. نکته قابل توجه این است که در صورت تشکیل مجدد مجمع، 30 درصد به علاوه یک سهم در حد نصاب خواهد بود و تصمیمات با اکثریت آرا اتخاذ می شود. تصمیمات و تصمیمات اتخاذ شده: خاتمه اختیارات هیأت مدیره قبلی و انتخاب هیأت مدیره جدید. این یک بدنه کنترل موازی ایجاد می کند. مهاجمان باهوش تمایل دارند گامی شوخ‌آمیز دیگر بردارند. طوری می کنند که یکی از شرکت کنندگان در جلسه ... دعوای تشکیل جلسه را به دادگاه می فرستد و از دادگاه می خواهد که جلسه را باطل اعلام کند. به نظر می رسد: چرا مهاجمان به این نیاز دارند؟ به نظر خلاف واقع می رسد. در واقع همه چیز منطقی است. دلیل این ادعا بسیار رسمی و ترجیحاً نوعی پوچ و به طور کلی دلیلی است که دادگاه آن را مهم تشخیص نمی دهد. دادگاه دعوی را نمی شناسد و رد می کند. و از آنجایی که جلسه دادگاه سپری شده است، مهاجم سندی دارد مبنی بر اینکه دادگاه در واقع ملاقات را مشروع تشخیص داده است (به این کلمه می گویند تعصب).این سند طبیعتاً بسیار ارزشمند است.

پس از برگزاری مجمع سهامداران با انتخاب مجدد هیئت مدیره، در واقع بنگاه در دست مهاجمان است و یک هیئت حاکمه موازی بر فعالیت های بنگاه نظارت می کند.

توسعه بیشتر رویدادها بستگی به این دارد که مهاجمان چه هدفی را برای خود تعیین می کنند و شرکت را تصرف می کنند. اگر آنها بنگاه را فقط به دلیل سود توقیف کردند، پس از توقیف، زنجیره فروش بنگاه به سرعت اجرا می شود. غیرمعمول نیست که در نتیجه اجرای این زنجیره، شرکت به یک مالک وظیفه شناس ختم شود. اگر هدف مهاجمان تجارت شرکت بود، پس از مصادره، مرحله "تصفیه عواقب خصومت ها" آغاز می شود: پرداخت حقوق به کارمندان شروع می شود، انتقال به بودجه انجام می شود و غیره.

توجه داشته باشید

غیرمعمول نیست که مدیران سابق یک شرکت بازآموزی به مهاجمان بدهند و طبق تمام قوانین حمله مهاجمان، شرکت اصلی قبلی خود را از مهاجمان بگیرند.

اینگونه است که حملات مهاجم به شرکت های مختلف انجام می شود.

توجه داشته باشید

طبیعتاً شرح دقیق تمام مراحل حمله مهاجم از حوصله این کتاب خارج است، اما این برای ما اهمیت خاصی ندارد. آنچه برای ما اهمیت دارد این است که در بسیاری از مراحل این حمله از تکنیک های مهندسی اجتماعی و برنامه نویسی اجتماعی استفاده می شود.

در سازماندهی حملات مهاجم از مهندسی اجتماعی و برنامه نویسی اجتماعی در کجا استفاده می شود؟

مهندسی اجتماعی در شکل کلاسیک خود عمدتاً در مرحله اول استفاده می شود، یعنی زمانی که اطلاعات مربوط به سازمان جمع آوری می شود. و همانطور که قبلا گفتیم، ساده ترین راه برای جمع آوری اطلاعات از طریق مهندسی اجتماعی است. در مرحله دوم، روش های برنامه ریزی اجتماعی به روش های مهندسی اجتماعی اضافه می شود، زیرا مرحله دوم - شروع حمله مهاجم دیگر جمع آوری اطلاعات نیست، بلکه برای بی ثبات کردن فعالیت های شرکت و در اینجا روش های مختلف کار می کند. برنامه های اجتماعی مناسب تر هستند، یکی از آنها سازماندهی یک حمله "سرویس امتناع" است. روش های مهندسی اجتماعی در مرحله دوم نیز می تواند مورد استفاده قرار گیرد، به عنوان مثال، برای بی اعتبار کردن یک شرکت در اینترنت. برای این کار، به عنوان یک قاعده، از انجمن هایی در وب سایت شرکت و سایر ابزارها استفاده می شود که از طریق آنها نمایندگان شرکت در اینترنت با بازدیدکنندگان وب سایت خود ارتباط برقرار می کنند. و البته در مرحله سوم یعنی مرحله دسیسه ها و دسیسه ها هم جایی بدون برنامه ریزی اجتماعی (البته در زمینه کاربرد منفی آن) وجود ندارد. بنابراین، مراحل اصلی و قابل توجه یک "دزدیده شدن مهاجم" هک اجتماعی در خالص ترین شکل آن است.

چرا هک اجتماعی و برنامه نویسی اجتماعی یک ابزار محبوب برای حملات مهاجم است؟

واقعیت این است که مفهوم اصلی برنامه‌ریزی اجتماعی این است که بسیاری از کنش‌های افراد و گروه‌هایی از مردم قابل پیش بینیو تابع قوانین خاصی هستند. یک مثال ساده و پیش پا افتاده. اگر بنگاه بد شود، مردم از آن فرار خواهند کرد. یه چیز کاملا قابل درک اما این برنامه ریزی اجتماعی در خالص ترین شکل آن است. کارکنان این شرکت یک گروه اجتماعی بزرگ هستند. و با گفتن عبارت "اگر بنگاه بد شود، مردم از آن فرار می کنند"، در واقع گفتیم که روشی را برای تأثیرگذاری بر یک گروه اجتماعی بزرگ ایجاد کرده ایم که در این مورد ارتشی چند هزار نفری است. از کارکنان شرکت بنابراین، ما پیش‌بینی کردیم که یک گروه اجتماعی تحت تأثیر نیروی خارجی چگونه رفتار می‌کند. نیروی خارجی در اینجا وخامت اوضاع در شرکت است و نحوه رفتار پیش بینی شده توسط ما بیانگر این واقعیت است که وقتی شرایط بدتر شود، کارکنان شرکت را ترک خواهند کرد. همه چیز ساده و پیش پا افتاده است، و با وجود این، ما دیدیم که حتی یک گروه اجتماعی بزرگ را می توان کاملاً آگاهانه کنترل کرد، زیرا اقدامات آن کاملاً قابل پیش بینی است.

چگونه شروع یک حمله مهاجم را تعیین کنیم؟

این واقعیت که شما شروع به حمله کرده اید را می توان با علائم زیر مشخص کرد.

بازرسی از شرکت توسط مقامات مختلف آغاز شد: پلیس مالیاتی، ایستگاه بهداشتی و اپیدمیولوژیک، وزارت شرایط اضطراری، وزارت امور داخلی، سازمان های مختلف نظارتی و غیره. در مورد دارایی های شرکت، حساب های پرداختنی و سهامداران.

در رسانه ها (رسانه های جمعی) مقالات منفی در مورد بنگاه اقتصادی، در مورد مدیریت آن وجود دارد و به طور کلی، ناگهان، بدون هیچ دلیلی، رسانه ها به طور ناگهانی شروع به افزایش فعالیت در رابطه با شرکت کردند.

توجه داشته باشید

این نکته به ویژه در صورت انتشار گزارش هایی در رسانه ها مبنی بر نقض حقوق سهامداران اقلیت باید به شما هشدار دهد.

سهامداران به طور ناگهانی نامه های ثبت شده با تأیید دریافت دریافت کردند که به عنوان مثال حاوی تبریک تعطیلات آینده است. یا اصلا چیزی پیدا نمی شود. یا یک ورق کاغذ خالی ساده وجود دارد. مهم نیست. نکته اصلی این است که در این روش کسانی که قصد حمله به شما را دارند از یک تشریفات تقلید کنند زیرا طبق قانون قبل از تشکیل مجمع فوق العاده سهامداران باید پیشنهاد تشکیل چنین مجمعی را برای آنها ارسال کنید. پس فرستادند. و سپس در دادگاه، مهاجمان خواهند گفت که پیشنهادی برای فروش سهام به سهامداران ارسال شده و پیشنهاد تشکیل مجمع فوق العاده سهامداران به هیئت مدیره شرکت ارسال شده است. قاضی شواهدی مبنی بر ارسال چنین نامه هایی درخواست خواهد کرد. این مدرک اخطار تحویل نامه خواهد بود. و این واقعیت که طرف مقابل خواهد گفت که آنها می گویند، درست نیست، کارت پستال وجود داشته است، بنابراین همیشه می توان گفت که اسناد واقعی وجود داشته است، اما در مورد کارت پستال ها همه اینها یک دروغ آشکار است.

سهامداران اقلیت شروع به نشان دادن علاقه به فعالیت های شرکت می کنند که هرگز مورد توجه قرار نگرفته است.

توجه داشته باشید

مخصوصاً باید مراقب خود باشید در مواردی که خود آنها نیستند که اقدام می کنند، بلکه برخی از بستگان تحت یک وکالت نامه عمومی از طرف آنها عمل می کنند که اتفاقاً متخصصان بزرگی در حقوق شرکت هستند.

شما شروع به دریافت پیشنهادهایی برای فروش سهام خود یا سهام آنها کرده اید.

اکنون، چند نمونه از نحوه حمله مهاجمان به برخی شرکت ها.

اواخر شب هنگام بازگشت از محل کار، رئیس شرکت پامیر LLC توسط دو نفر که خود را مأمور اجرای قانون معرفی کرده بودند ملاقات کرد و به آنها پیشنهاد داد که با آنها برای امضای اسناد انتقال سهم خود از مالیات پرداخت کند، او در وضعیت جدی قرار دارد. به زودی مشکل و افسران مجری قانون، همانطور که اتفاق افتاد، از خیرخواهان شرکت هستند، زیرا خودشان بارها درخواست خدمات در "پامیر" کرده اند و اکنون می خواهند به مدیریت کمک کنند. مثل اینکه در یک آپارتمان امن خریدار دارند و اگر الان سهمت را به او بفروشی حداقل پول می گیری و شش ماه دیگر به هر حال خراب می شوی و فقط باید. این شرکت به طور منظم مالیات پرداخت می کرد، هیچ نشانه ای از رعد و برق دیده نمی شد و "افسران نیروی انتظامی" هیچ استدلال جدی نداشتند. کارگردان چنین معامله مشکوکی را رد کرد و همه چیز آرام به نظر می رسید. اما یک سال پس از این واقعه در 000 "پامیر" مردی با پیشنهاد فروش کل شرکت یا سهمی در آن به مدیریت آمد که مدیر پاسخ داد که هیچ کس قرار نیست چیزی بفروشد. مدتی بعد پیشنهادهای مشابهی توسط سایر سهامداران شرکت دریافت شد. آنها نیز از فروش خودداری کردند و به مدیریت اطلاع دادند که به درستی به این نتیجه رسیدند که شخصی رهبری را بر عهده گرفته است. پس از تجزیه و تحلیل وضعیت، مدیریت متوجه شد که شخصی از برخی خلاءها در اساسنامه شرکت مطلع شده و فوراً آنها را اصلاح کرد. پس از تصویب اصلاحات در اساسنامه شرکت که بر اساس آن هرگونه تغییر در اسناد تشکیل دهنده فقط توسط شخص مدیر یا توسط مؤسسینی که از وی وکالت نامه کلی دریافت کرده اند می تواند انجام شود، پیشنهادات برای فروش متوقف شد. بیا.

اما همه چیز همیشه به همین راحتی پیش نمی رود. طبق مقاله ای در یکی از روزنامه ها، شرکت الرون که مالک یک قطعه زمین بزرگ و املاک و مستغلات در آن بود، با وجود اینکه تمام اسناد کاملاً اجرا شده بود، مورد حمله یک مهاجم قرار گرفت. طبق اساسنامه شرکت، سهام آن فقط بین سهامداران شرکت قابل واگذاری بود، در حالی که اشخاص ثالث، طبق اساسنامه، فروش سهام ممنوع بود. پس از اینکه یکی از شرکت کنندگان سهام خود را فروخت، یک حمله مهاجم از طرف او آغاز شد، اگرچه طبق قانون، سهم او به بقیه افراد جامعه منتقل شد. مهاجمان از طرف او در دادگاه داوری شکایت کردند. بعد هم دردسرهای زیادی پیش آمد و جلسات دادگاه و «کابوس». مدیریت شرکت و وکلای آن به بسیاری از مقامات متوسل شدند، اما همه جا در مورد همین موضوع به آنها گفته شد که به گفته آنها، تا زمانی که شرکت را نبرده اند، انتظار یک زندگی آرام را نداشته باشید. این وضعیت تنها پس از جلب حمایت رهبری از مقامات ارشد منطقه حل شد.

توجه داشته باشید که اکنون تعداد حملات مهاجم در چارچوب طرح کلاسیک در نظر گرفته شده کاهش یافته است. این به خاطر این واقعیت است که قانون به سمت بهتر شدن تغییر کرده است و چیزی متفاوت را برای مهاجمان باقی گذاشته است. تعداد زیادی ازفرصت های قانونی برای تصرف یک شرکت علاوه بر این، در مناطق بزرگ، تقریباً همه چیز قبلاً تصرف شده است. و در نهایت، دلیل اصلی، به نظر ما، این است که کسب و کار با موفقیت یاد می گیرد تا از خود دفاع کند، و در حال حاضر برای مهاجمان (بلوک اصلی سهام و دارایی های شرکت) به دست آوردن نکات مهم بسیار دشوار است، زیرا دارایی ها شرکت، به عنوان یک قاعده، با خیال راحت پنهان می شود و بلوک اصلی سهام توسط مدیریت ادغام می شود. بنابراین، در حال حاضر، به عنوان یک قاعده، دیگر از حمله مهاجم کلاسیک استفاده نمی شود، بلکه به اصطلاح تاکتیک های greenmailerنکته اینجاست که طبق قانون شرکت های سهامی، مالکیت حتی یک سهم به چنین سهامداری اجازه می دهد تا هرگونه اطلاعاتی در مورد معاملات شرکت، اطلاعات سهامداران و ... رهبری واقعی را درخواست کند. مدیریت می داند که تماس با باج گیران حرفه ای برای خود گران تر است، بنابراین ترجیح می دهد از آنها تاوان دهد. در نتیجه، برای یک بلوک کوچک از سهام (یا حتی برای یک سهم، Greenmailer مبلغ خوبی دریافت می کند). تقریباً به این صورت است که ایمیل‌کنندگان سبز درآمد کسب می‌کنند.

نمونه هایی از برنامه های اجتماعی

در این فصل به نمونه های مختلف برنامه نویسی اجتماعی می پردازیم. نمونه هایی از کاربردهای مثبت، که شامل تبدیل یک جمعیت تهاجمی به یک جمعیت گاه به گاه است (برای انواع مختلف ازدحام، نگاه کنید به. بعداً در این فصل و در فصل 8)و منفی ، که می توان به آنها نسبت داد ، مثلاً روشهای "کابوس دیدن" شرکتها در طول حملات مهاجمان ، ما در مورد آنها صحبت کردیم فصل قبل

ماهیت این فصل نشان دادن نمونه هایی از این واقعیت است که در تعدادی از موارد واقعاً امکان "برنامه ریزی" رفتار افراد، اعم از یک فرد و گروه بزرگی از مردم وجود دارد. مثال‌های این بخش دقیقاً به این دلیل که در همه آنها افراد به خواست شخص دیگری عمل می‌کنند، به عنوان یک "برنامه" نوشته شده توسط یک هکر اجتماعی تعلق دارند. این نمونه ها بسیار متفاوت هستند. و با اهداف تعیین شده توسط هکرهای اجتماعی و روش های اجرا و پیامدها و ضرب الاجل ها. چند حرکت زیبا و نمونه های ساده، مثبت و منفی، نمونه های متعددی از روابط عمومی سیاه و سفید وجود دارد (PR مخفف انگلیسی است. روابط عمومی)،که برخی از آنها نیز آورده شده است این فصل.

«آتش» در سینما

یک برنامه کلاسیک از برنامه های اجتماعی نمونه ای از "آتش سوزی" در یک سالن سینما است که توسط یکی از روزنامه ها در دوران شوروی توصیف شده است. سپس گروهی از شوخی‌ها در حین تماشای یکی از فیلم‌ها، چندین بمب دودزا به سالن سینما پرتاب کردند و فریاد سوزناکی زدند: "آتش، آتش!" به طور طبیعی، در نتیجه باعث ایجاد یک وحشت گسترده، که در نتیجه آن چندین نفر جان خود را از دست دادند. فقط می توان حدس زد که آیا آن "جوکر" هدف خاصی را دنبال می کرد یا فقط "اینقدر خونین شوخی کرد". تنها چیزی که تقریباً به طور قطع می توان گفت این است که «جوکرها» برای این اقدام آماده شده و آن را طبق تمام قوانین انجام داده اند. اول لحظه پرتاب مهره و فریاد آتش! بسیار دقیق انتخاب شد: در یکی از دراماتیک ترین لحظات فیلم، زمانی که تماشاگران در تنش شدید و ترس از اتفاقاتی که روی پرده می افتاد، انجام شد. ثانیاً، یکی از شرکت کنندگان در این "شوخی" که نزدیک ترین به در خروجی نشسته بود، به محض شنیدن اولین فریادهای آتش، به سمت در خروجی هجوم برد و از این طریق برای سایر افراد الگو قرار داد. که طبیعتاً از این مثال پیروی کرد.

توجه داشته باشید

آیا آن "جوکر" می تواند اهداف بسیار خاصی را دنبال کند؟ البته که می توانست. مثلاً به هر دلیلی ممکن است بخواهد این سینما را ورشکست کند. یکی دوتا از این جور بداخلاقی ها و مردم از رفتن به این سینما دست می کشند که شکوه یک «سینمای خونین» را برای آن ثابت می کنند.

این مثال را کلاسیک می‌نامند زیرا طبق طرح کلاسیک پیش می‌رفت که بر اساس آن ابتدا مقداری محرک بیرونی به جمعیت داده می‌شد و پس از آن به عنوان پاسخ به این محرک، به طور کامل دنبال می‌شد. قابل پیش بینیواکنش. یک محرک خارجی می تواند فریادهای "آتش" و مولد چوب و مارها باشد - هر آنچه که دوست دارید. واکنش وحشت عظیم است.

فیزیکدان معروف رابرت وود، که با یک نوسانگر فرکانس پایین که نوساناتی در محدوده 7 تا 9 هرتز ساطع می کند به سینماها آمد، به طرز عجیبی دوست داشت "شوخی" کند. وقتی ژنراتور خود را روشن کرد، مردم وحشت زده شروع به هجوم کردند و از سینما بیرون زدند و به خیابان دویدند. این امر در چندین نوبت منجر به آسیب های بدنی مختلف به مخاطبان شد.

توجه داشته باشید

معنی "شوخی" این است که اندام های داخلی ما نیز با فرکانس پایین خاصی ارتعاش می کنند و برای اکثر آنها فرکانس ارتعاش فقط 7 تا 9 هرتز است. وقتی روشن شد مولد چوبکه ارتعاشاتی با فرکانس مشابه فرکانس ارتعاشات اندام های داخلی ایجاد می کرد، اثر تشدید مشاهده شد، در نتیجه افراد شروع به احساس ناراحتی و وحشت شدید کردند.

خیلی بعد، «شوخی وود» یک به یک در سینمای یک شهر تکرار شد، البته با عواقب غم انگیزتری.

توجه داشته باشید

ادبیات همچنین موارد قتل با استفاده از مولد چوب را توصیف می کند. بلکه رانندگی به سمت خودکشی. مجرمان طبق طرح زیر عمل کردند. در کنار آپارتمان مقتول که سایکوتایپ او تمایل به خودکشی را نشان می داد، یک ژنراتور نصب شده بود، روشن شده بود و تقریباً به طور مداوم کار می کرد. ژنراتور می تواند در اتاق زیر شیروانی، بالای آپارتمان قربانی قرار گیرد، اگر او در طبقه انتهایی زندگی می کرد، در آپارتمان بعدی، و اغلب درست در آپارتمان. هنگامی که ژنراتور کار می کرد، قربانی احساس ناراحتی، وحشت می کرد و اغلب تصمیم به خودکشی می گرفت.

همچنین یک مورد شناخته شده وجود دارد که مهاجمان از مارها به عنوان دلایل وحشت استفاده کردند. یا بهتر است بگوییم مارها. تصور کنید، یک فیلم وجود دارد، شخصیت اصلی یک فیلم ترسناک به دنبال چیزی در قبرستان می‌گردد، موسیقی مزاحم، و ناگهان در این لحظه دراماتیک یکی از تماشاگران احساس می‌کند چیزی در پایش می‌خزد. خم می شود تا ببیند چیست و با وحشت متوجه می شود که مار است. فریاد می زند: مارها، مارها در سالن، این مار بدبخت را می گیرد و از او دور می اندازد. و نزدیکتر به سر فلان تماشاگر. سپس بلند می شود و به سمت در خروجی می دود. تأثیر آن تقریباً مانند حالتی است که «آتش» فریاد زده شد.

چگونه با استفاده از روش های برنامه ریزی اجتماعی «بحران نمک» ایجاد کنیم

«بحران نمک» اخیر که در کشور ما اتفاق افتاد را همه به خاطر دارند. این همان چیزی است که نسخه اینترنتی معروف Lenta.ru در این زمان نوشت. متن مقاله با چند اختصار به منظور بازگردانی گاهشمار وقایع ارائه شده است.

"در روسیه، بحران نمک در حال افزایش است و تهدید می کند که به شورش نمک تبدیل شود. نمک در تعدادی از مناطق کشور ناپدید شده است. تامین کنندگان قبلا چندین بار قیمت ها را افزایش داده اند و شهروندان از ترس این که این بحران برای مدت طولانی ادامه یابد. مدت طولانی در صف بایستید و اجناس ضروری را برای استفاده در آینده بخرید، اگرچه بحران نمک حداقل یک هفته است که ادامه دارد، اما تا اواسط فوریه بود که مشخص شد صف ها کاهش نمی یابد، شور و شوق خواهد بود. فروکش نمی کند، و این داستان بدون توجه مقامات نمی ماند، و از سطح محلی به فدرال می رسد.

با درجه خاصی از اطمینان می توان گفت که همه چیز در 10 فوریه آغاز شد، زمانی که ساکنان تولا متوجه کمبود نمک شدند و در مراکز عمده فروشی تولا قیمت یک بسته کیلوگرم نمک 3 روبل 60 کوپک بود. سپس رسانه های محلی ادعا کردند که کمبود نمک صرفاً یک مشکل تولا است و به عنوان نمونه مناطق همسایه را ذکر کردند که در آن یک کیلوگرم نمک هشتاد روبل قیمت دارد. مقامات تلاش کردند تا تولا را آرام کنند و وعده تحویل پانصد تن تا پایان هفته را دادند. جالب است که در همان روز کمبود نمک در کالوگا احساس شد. از 11 تا 14 فوریه، ذخایر سه ماهه نمک در منطقه تامبوف خریداری شد. شایعاتی به وجود آمد و شروع به پخش شدن کرد مبنی بر اینکه اوکراین عرضه نمک به روسیه را متوقف کرده یا ممکن است متوقف کند. فروشندگان و تولید کنندگان هیجان را به روش خود توضیح دادند - مقررات فنی تغییر کرد که باعث ایجاد شایعاتی در مورد کمبود نمک شد. در 15 فوریه، ساکنان نیژنی نووگورود زنگ خطر را به صدا درآوردند. با وجود انباشته شدن ذخایر شش ماهه نمک در منطقه، ساکنان منطقه یک ماهه نمک را در یک روز خریداری کردند. و اگر در منطقه تامبوف قیمت یک کیلوگرم نمک به 30 روبل رسید، در نیژنی نووگورود به 50 روبل رسید. ساکنان منطقه نووگورود کمتر از ساکنان نیژنی نووگورود نبودند. در دو روز 300 تن نمک خریدند. مدیریت منطقه ای توضیح خود را برای پدیده نمک ارائه کرد. آنها معتقدند که این هیجان توسط عمده فروشان روسی که نمک اضافی در انبارهای خود انباشته اند، برانگیخته است. وحشت در 16 فوریه به اوج خود رسید، زمانی که کمبود در ساراتوف و مناطق ولگوگراد، در چبوکساری و تیومن. در مسکو و منطقه مسکو هم همه چیز آرام نبود. مقامات مسکو حتی مجبور شدند به شهروندان توضیح دهند که ذخیره نمک در پایتخت برای دو ماه کافی است. وحشت، با پشتکار با اخبار تلویزیون گرم شد،منجر به تشکیل صف های بزرگ شد. شهروندانی که در صف ایستاده بودند، برای اقوام و همسایگان جای گرفتند. فروشندگان با پیش بینی اینکه تقاضا به زودی کاهش می یابد، زیرا ذخایر نمک برای مصرف کنندگان برای مدت طولانی کافی است، حتی شروع به انتشار شایعات متقابل در مورد کاهش قریب الوقوع قیمت ها کردند. در بعضی جاها کار کرد. تقاضای زیاد نمک خاطرات مبهم دوران جنگ را در بین هموطنان به وجود آورد. علاوه بر نمک، شهروندان شروع به خرید شکر، کبریت، آرد و غلات کردند - فقط در صورتی که ناگهان به کار خود بیایند. در همین حال، مقامات ورونژ قیمت نمک را آرام کرده اند. درست است، برای این امر لازم بود ذخایر محصول ارزشمند به 600 - 800 تن افزایش یابد و همچنین توسط نیروهای هنگ شبه نظامی شهر یک سری حملات به بازارها و مغازه ها انجام شود. کار به جایی رسید که مقامات فدرال به این مشکل علاقه مند شدند. در 17 فوریه، دومای دولتی به یکی از کمیته ها دستور داد تا از دولت دلایل افزایش قیمت محصولات ضروری را دریابند.

علاوه بر این، این بررسی خاطرنشان می کند: «جالب است توجه داشته باشید که بازار نمک معمولاً در معرض نوسانات شدید نیست - عرضه کالا از منابع مختلف انجام می شود، کالاها خود تابع قوانین اساسی بازار هستند و هیجان باید به سرعت ایجاد شود. کاهش می یابد، با تقاضای کم جایگزین می شود. با این حال، استثنائاتی وجود دارد - و یک عبارت یا خط اشتباه در سند مشخص می شود که از انبارهای همه ذخایر نمک ناپدید می شود.

ما نیز آن را به یاد می آوریم خدمات ضد انحصاری فدرال(FAS) در جریان تحقیقات خود به این نتیجه رسید که "نه تولید کنندگان نمک و نه عمده فروشان و خرده فروشان مقصر بحران نمک نیستند. باعث ایجاد چنین بحران گسترده ای می شود." FAS با عدم مشاهده تخلف در بین تولیدکنندگان به این نتیجه رسید که مصرف کنندگان مقصر هستند: «دلیل اصلی افزایش قیمت ها تقاضای زیاد مردم برای نمک خوراکی است که ناشی از انتشار اطلاعات نادرست در مورد کمبود این محصول در بازار است. بازار روسیه، FAS در بیانیه مطبوعاتی رسمی اعلام کرد.

بیایید ببینیم که آیا می‌توانست با روش‌های برنامه‌ریزی اجتماعی سازماندهی شود. و با تأمل، به این نتیجه می رسیم که او به خوبی می تواند. علاوه بر این، رسوایی به این بزرگی، که در نتیجه آن برخی از وزرا تقریباً برکنار شدند، کاملاً قادر است ... یک نفر را سازماندهی کند. و معمولی ترین. به این معنا که این فرد می تواند یک آدم معمولی «کوچه و خیابان» باشد. و انجام این کار با یک نفر، و نه با گروهی از افراد، به طور کلی دشوار نیست. بیایید یک طرح فرضی برای چگونگی اجرای آن در نظر بگیریم.

توجه داشته باشید

نویسندگان کاملاً از چگونگی انجام این کار و منافع چه کسانی اطلاع ندارند. ممکن است از این طریق یکی از گروه های وزیری سعی در تضعیف نفوذ و یا حتی حذف گروه دیگری داشته باشد. و هکرهای اجتماعی به عنوان مجری انتخاب شدند. اگر چنین بود، حداقل، همه چیز بسیار زیبا انجام شد.

طرح فرضی کلی برای توسعه چنین یا بحران های رسوایی مشابه ساده است.

اول، یک بحران در یک شهر خاص ایجاد می شود. این بحران توسط تلویزیون محلی دریافت می شود، تلویزیونی که نیاز به رتبه بندی بالایی دارد و می داند که بیشتر از همه مخاطبان عاشق انواع رسوایی ها و احساسات هستند. بنابراین، کاملاً طبیعی است که تلویزیون از این رسوایی عبور نکند. و در بولتن خبری عصر، گوینده با صدایی هیجان زده اعلام می کند که به دلایل نامعلومی نمک از مغازه های شهر در حال ناپدید شدن است. و اضافه می کند که تحلیلگران کانال ما که همانطور که می دانید از بهترین تحلیلگران منطقه هستند (خب چطور از خودت تعریف نکنی و یک بار دیگر خودت را تبلیغ نکنی) می گویند که نمی شود حکم کرد. بحران نمک در شهر ما آغاز یک جنگ بزرگ بین بزرگترین تامین کنندگان نمک به روسیه است. بزرگترین تامین کنندگان نمک، از آنجایی که تلویزیون محلی شهر N-sk را تماشا نمی کنند و با نتیجه گیری های بزرگترین تحلیلگران تلویزیون محلی شهر N-sk آشنا نیستند، کاملاً بی اطلاع هستند که نوعی جنگ بین آنها آغاز شده است. ساکنان محلی پس از تماشای این گزارش، تلفن های خود را قطع کردند و با دوستان خود تماس گرفتند و تنها یک عبارت گفتند:

- شنیدی، نه؟ به زودی نمک نمی آید! هنوز دنبالش نمی دوی؟ و ما قبلا

و اکنون یک چهارم شهر، با وجود ساعت پایانی، برای خرید نمک به سوپرمارکت های شبانه روزی می دود.

گروه فیلمبرداری شبکه های بزرگ منطقه ای شبانه روز در حال انجام وظیفه هستند. از آنجایی که تلویزیون منطقه‌ای به رتبه‌بندی بالا نیاز دارد و همچنین می‌دانند که بیشتر از همه مخاطبان عاشق انواع رسوایی‌ها و احساسات هستند، بنابراین شکار احساسات شبانه روزی ادامه دارد. طبیعتاً به محض اینکه مشخص شد تمام نمک در N-sk خریداری شده است، یک گروه فیلمبرداری به آنجا اعزام می شوند و اکنون داستان بحران نمک در N-sk از همه کانال های اصلی منطقه پخش می شود. ساکنان همه شهرهای دیگر، بدون احمق بودن، درک می کنند که آنچه در N-sk اتفاق افتاد می تواند برای آنها اتفاق بیفتد. و اکنون در سراسر منطقه نمک وجود ندارد. همچنین در مرزهای مناطق همجوار ناپدید می شود، زیرا همه ساکنان منطقه "بی نمک" موفق به خرید نمک نشدند و اکنون به مناطق همسایه حمله می کنند. کسانی که تنبلی برای حمله ندارند یا به دلایلی نمی توانند این کار را انجام دهند، با اقوام خود در سراسر کشور تماس می گیرند و از آنها می خواهند که بیست کیلوگرم نمک خود را بخرند و با بسته ارسال کنند.

در تلویزیون مرکزی روسیه، مردم احمق تر از تلویزیون های محلی و منطقه ای نیستند، و همچنین به خوبی از افزایش رتبه ها آگاه هستند. و اکنون، در منطقه ای که بحران نمک شروع شد، نیروهایی از چندین گروه فیلمبرداری از کانال های مختلف سراسر روسیه فرود می آیند. به لطف آن، خبر «ممکن است به زودی نمکی در کشور وجود نداشته باشد» حتی به گوشه هایی می رسد که بدون دوربین دوچشمی روی نقشه پیدا نمی شوند. در نتیجه، وحشت سراسر کشور را فرا می گیرد و مشکل سطوح محلی و منطقه ای به مشکلی در مقیاس فدرال تبدیل می شود.

اما همه اینها می توانست توسط یک گروه بسیار کوچک از مردم انجام شود و اگر واقعاً لازم بود، حتی یک نفر. و برای تحریک همه اینها، تحت مجموعه ای از شرایط مطلوب، آنها می توانند به یک روز و چندین هزار روبل نیاز داشته باشند. می بینید که بودجه بسیار کمی برای سازماندهی یک بحران در مقیاس همه روسی است. چه طور ممکنه؟ خیلی ساده است. تصور کنید مردی وارد یک سوپرمارکت می شود و با عصبانیت از همه خانم های فروشنده می پرسد: نمک شما اینجا کجاست؟ پس از نشان دادن محل نمک، او به این پیشخوان می دود و همه آن را می خرد. پس از آن، شخص دیگری با همان سوال به سوپرمارکت می رود. اما نمک در آن وجود ندارد یا مقدار بسیار کمی باقی می ماند. در عین حال همه این افراد به خریدار و خانم فروشنده می گویند که «فقط از رادیو پخش می کنند که به زودی اصلا نمک در کشور نخواهد بود». کسانی که این را از خریداران نمک ما شنیده‌اند، اندکی در اضطراب فرو می‌روند و تصمیم می‌گیرند در هر صورت، یک یا دو کیلوگرم نمک «برای یک روز بارانی» بخرند. اما در سوپرمارکتی که در آن قرار دارند، نمک در حال حاضر تمام شده است. مردم کمی بیشتر نگران هستند و برای خرید پنج تا ده کیلوگرم نمک به سوپرمارکت دیگری می روند. فقط در مورد. و اراذل و اوباش ما در همین حین همین ترفند را در سوپرمارکت دیگری انجام می دهند، در سوم، دهم، و همه مشتریان با خوشحالی می گویند "اینجا، در رادیو ...". در همین حال، برخی از خریداران در حال حاضر شروع به تماس با دوستان خود کرده اند تا آنها را برای خرید نمک راهنمایی کنند، زیرا در فروشگاه شنیده اند که به زودی در دسترس نخواهد بود و در مقابل چشمان آنها مردم تمام نمک فروشگاه را خریداری کرده اند و خودشان هم هستند. مجبور شدند به سراغ دیگری بروند، جایی که آنها "به طور معجزه آسایی ربودند". و اینگونه است که یک واکنش زنجیره ای در یک شهر خاص آغاز می شود. و در اصل، تحریک کنندگان فرضی بحران نمک ما دیگر نمی توانند کاری انجام دهند، زیرا مکانیسم از قبل راه اندازی شده است. اما نه، این برای آنها کافی نیست. و همچنان همه روزنامه‌های شهر و تلویزیون شهری را به صدا در می‌آورند، جایی که در نقش ساکنان خشمگین توصیه می‌کنند توجه رسانه‌ها را به این نکته جلب کنند که در هیچ کجای شهر نمک نمی‌توان خرید و به عنوان دلیلی بر سخنانشان، آنها توصیه می کنند به نزدیکترین سوپر مارکت بروید. خوب ، پس "بحران توسط تلویزیون محلی انتخاب می شود ، که نیاز به رتبه بندی بالا دارد و می داند ..." ، به طور کلی ، مانند یک افسانه در مورد یک گاو سفید.

بنابراین، حتی یک نفر که روش‌های برنامه‌ریزی اجتماعی را می‌داند، می‌تواند بر فرآیندهای دولت تأثیر بگذارد.

تاج گل در مسیر

یکی از آژانس های روابط عمومی وظیفه داشت اطمینان حاصل کند که کمترین تعداد ممکن در یکی از بزرگراه های اصلی تردد کنند. پس زمینه به شرح زیر است. در نتیجه ساخت یک بزرگراه موازی، مغازه داران در بزرگراه قدیمی درآمد خود را از دست دادند، زیرا اکثر مردم شروع به رانندگی در بزرگراه جدید کردند که مسیر راحت تر، عریض تر، سبک تر و غیره بود. روابط عمومی ها چه کردند؟ البته به تخریب بستر راه با خاکبرداری و انفجار و غیره متوسل نشدند. آنها فقط ... چند صد تاج گل از شرکت های تشریفاتی خریدند. و آنها را تقریباً روی هر سوم درخت مسیر جدید آویزان کردند. اصولا بعد از آن دیگر کاری از دستشان بر نمی آمد. زیرا تردد خودروها در طول بزرگراه قدیم در حال حاضر افزایش یافته است. که قابل درک است: مردم از نظر روانی رانندگی در جاده ها بسیار ناراحت هستند، در هر دهم متر آن یک نفر "مرگ" می شود (همانطور که توسط تاج های گل های متعدد گواه است). مثل رانندگی در یک گورستان است. و البته، مردم شروع به انتخاب مسیرهای فرعی، یعنی بزرگراه قدیمی کردند، "که اگرچه همه آن در چاله ها است، اما هیچکس روی آن نمی شکند." اما مسئولان روابط عمومی به همین جا بسنده نکردند. در رسانه های آن شهرهای مجاور بزرگراه جدید (یعنی ساکنان آنها اغلب از این مسیر استفاده می کنند) مجموعه ای از نشریات با این مضمون که بزرگراه جدید فقط نوعی "عرفان غم انگیز" است سفارش داده شد. میگن هر 10 ماشینی که ازش رد میشه تصادف میکنه. و تقریباً همه آنها کشنده بودند. پس از این انتشارات، جریان خودروها در بزرگراه جدید حتی بیشتر کاهش یافت و پس از اضافه شدن صلیب هایی با بناهای تاریخی به تاج گل ها، تقریباً به طور کامل خشک شد و بزرگراه واقعاً شبیه جاده ای از طریق یک گورستان شد.

وقتی مقامات متوجه شدند چه اتفاقی دارد می افتد، دیگر خیلی دیر شده بود. تاج گل ها برداشته شدند، تاج های جدید آویزان شدند ... یک کمپین روابط عمومی قدرتمند نیز در مسیر قدیمی اجرا شد. قدرتمند به این معنا که پول زیادی خرج شد. و بنابراین - ضعیف. از آنجا که هدف پایان نامه های اصلی او چاله ها در بزرگراه قدیمی بود، در این واقعیت که حرکت در امتداد آن کندتر است، در این واقعیت که اتومبیل های روی آن اغلب از کار می افتند، زیرا دوباره، فقط چاله ها وجود دارد. افراد روابط عمومی مسیر قدیمی همه اینها را در یک حرکت "قطع" کردند. بلکه یک پوستر که جلوی دوشاخه مسیرهای قدیم و جدید گذاشته شده بود. روی پوستر با حروف درشت یک عبارت نوشته شده بود "آیا می خواهی سریع به آنجا برسی یا زنده؟" یک فلش بالای کلمه "سریع" وجود داشت آهنگ جدید، بالای کلمه "زنده" - به قدیمی.

پایان قسمت مقدماتی

دسامبر 27, 2009 در 04:38 ب.ظ

هک اجتماعی در خانه (محافظت از خود در برابر مزخرفات)

• امنیت اطلاعات

من می دانم که بسیاری از هکرها خاطرات هکرهای جسور را خوانده اند، جایی که بسیار واضح است که ضعیف ترین حلقه در زنجیره امنیت اطلاعات، به طور معمول، یک پروتکل، برنامه یا ماشین نیست، بلکه انسان(ادمین، کاربر یا حتی مدیر).

من هم خواندم، حتی عصبانی شدم: «نه، خب، چطور می‌توانی رمز عبورت را تلفنی به کسی بگویی». اما، افسوس، ضربه چنگک بر روی پیشانی خود را به بهترین وجه به یاد می آورد. و همینطور هم شد. در طی چند ماه گذشته، من شاهد موقعیت‌هایی بوده‌ام و حتی در آن‌ها شرکت کرده‌ام که صحبت کردن در مورد آنها شرم‌آور است، اما از نظر اجتماعی مفید است.

با دقت دور بیندازید: اطلاعات را دور نریزید یا از دست ندهید

البته خردکن ها و کمباین هایی برای از بین بردن دیسک های نوری و حتی هارد وجود دارد. اما جای آنها در شرکت است (که در آن دستورالعمل های ایمنی نه تنها باید نوشته و امضا شود، بلکه باید همه کارمندان با دقت خوانده و دنبال کنند)، و در خانه، به عنوان یک قاعده، آنها باید همه چیز را با دست انجام دهند.

با دیسک های نوری، همه چیز ساده است: آنها کاملاً در گوشه هر دوشاخه USB خراشیده می شوند (بله، آن را روی فلش درایو USB یا هر کابلی جستجو کنید). عکس موجود در تیزر نتیجه دستکاری 10 ثانیه ای را نشان می دهد. اگرچه دیسک بعد از یک قابل خواندن نیست خراش های عمیق در امتداد شعاع(بر روی درایو NEC مدل هفت هزار بررسی شد). خارج از خطر: خراش های زیادی ایجاد کنید. در نظرات، آنها به قابلیت اطمینان این روش شک می کنند و توصیه می کنند دیسک ها را بشکنید یا عمیقاً خراش دهید. در هر دو طرف(در غیر این صورت صیقل می دهند و می خوانند). خوب، من پیشنهاد می‌کنم از ارزش واقعی اطلاعات پیش برویم و معیاری را برای آسیب رساندن به رسانه انتخاب کنیم.

برای اینکه هارد دیسک فقط کنترلر را بشکند کافی نیست، باید صفحات را خراب کرد، همانطور که فلش USB فقط دوشاخه را قطع کند (لازم است تراشه های حافظه را از بین ببرد). یا، همانطور که منطقی توصیه می شود، رسانه را طوری قالب بندی کنید که چیزی از آنجا قابل بازیابی نباشد (قالب بندی سریع، که فقط ساختار را پاک می کند - البته کار نخواهد کرد). درایوهای HDD و فلش مطمئناً اغلب دور ریخته نمی شوند، اما دومی اغلب گم می شوند.

کاغذ (اگر برای پاره شدن تنبل هستید) را می توان با آب یا بهتر با نوعی مواد شوینده پر کرد: حتی در بسته های 20 تا 30 ورقی، همه چیز بسیار معروف خورده و تار است.

داستان ترسناک با موضوع:من اخیراً یک پشته از DVDهای سایت پشتیبان 2008 را دور انداختم. هیچ گذرواژه ای در پایگاه داده وجود نداشت (هش با salt وجود داشت)، اما رمزهای عبور برای دسترسی به پایگاه داده در تنظیمات CMS وجود داشت. بله عوضشون کردم بله، تقریباً همه هاست ها به طور پیش فرض اتصال به پایگاه داده از میزبان راه دور را ممنوع می کنند. اما هنوز.

فیشینگ اجتماعی: گذرواژه‌ها را با کانال‌های ناشناس یا باز به اشتراک نگذارید

اگر یک ارائه دهنده، میزبان، سیستم پرداخت یا صاحبان برخی از وب سرویس ها از شما رمز عبور می خواهند، پس آنها را باور نکنید، این اصلا آنها نیستند، بلکه مهاجمان هستند.

اگر فردی خارج از کشور باید به رمزهای عبور شما دسترسی داشته باشد، در مورد تمام خطرات احتمالی به او آموزش دهید. طوری توضیح دهید که شما را درک کنند (مثلاً همسر از خطر هدر دادن بودجه خانواده در حساب های ارائه دهنده متقاعد شده است).

اولین داستان ترسناک:یک آشنا برای یک ارائه دهنده در پشتیبانی کار می کند. او برای وارد شدن به صورت‌حساب بسیار تنبل است، بنابراین از مشتری از طریق تلفن رمز عبور می‌خواهد تا بررسی کند که آیا آن را درست وارد کرده است یا خیر. و ارائه دهنده به طور فعال از سرویس پاسخ به تماس استفاده می کند. اگر به گذشته تماس بگیرید، یک فرد ناآگاه رمزهای عبور خود را به شما دیکته می کند. حداقل یک دوست هرگز این موضوع را انکار نکرد.

داستان ترسناک دوم:یک بار، هنگام ارسال نامه به میزبان، به تکمیل خودکار سرویس گیرنده ایمیل اعتماد کردم. در نتیجه نامه به مخاطب اشتباهی رفت. من هرگز رمز عبور را به این سرعت تغییر نداده ام. به هر حال، اکنون میزبان من نیز به هوش آمده است: او دیگر درخواست نمی کند (و احتمالاً حتی توصیه نمی کند) هنگام تماس، زمانی که نامه از ایمیل مجاز در حساب ارسال می شود، رمز عبور را مشخص کنید.

قدرت رمزنگاری پیش پا افتاده: qwerty رمز عبور نیست

به طور کلی، من فکر نمی کنم مخاطبان هابر آنقدر دیوانه باشند که از رمز عبور برای تعیین تاریخ تولد فرزندان خود استفاده کنند یا چنین کاری انجام دهند. اما لحظات ظریف تری هم وجود دارد. یک مثال در یک داستان ترسناک است.

علاوه بر این، در قسمت رمزهای عبور، اگر در مورد حریم خصوصی آنها نگران هستید، باید با افراد اطراف خود مشورت کنید (و ممکن است مال شما نیز باشد - به عنوان مثال، برخی از عکس های خانوادگی برای مشاهده عمومی در نظر گرفته نشده اند).

داستان ترسناک:در حالی که پروژه در حال توسعه است، چیز زیادی برای محافظت از آنجا وجود ندارد، درست است؟ بنابراین، معمولاً در زمان توسعه، رمز عبور چیزی شبیه به "abcd1234" تنظیم می شود. بنابراین بررسی کردم: از 4 پروژه آخری که در مرحله تولید راه اندازی شد، در یکی از آنها رمز عبور پیش فرض مدیریت را داریم - ما تغییر نکرده ایم. حداقل خوب است که با وجود اینکه همه رمز عبور پیش فرض را می دانند، اما برای هر پروژه جداگانه اختراع می شود.

رمزهای عبور را یادداشت نکنید (حداقل روی آن دسته از کاغذهایی که دور می اندازید یا در کنار ورودی ها نگه می دارید)

بهتر است هر جا ممکن است، مجوز کلید را پیکربندی کنید. و کلید خصوصی را در یک سرور محلی (و یک کپی بر روی یک درایو فلش در گاوصندوق) ذخیره کنید. برای اهدافی که کمتر کار می کنند، مدیران رمز عبور وجود دارند (در نظرات، RoboForm یا KeePas بین پلتفرمی به طور فعال توصیه می شود)، سعی کنید رمز عبور اصلی را در ذهن خود به خاطر بسپارید و هرگز آن را در جایی یادداشت نکنید. در ساده ترین حالت، رمزهای عبور را در یک فایل متنی ذخیره کنید و آن را با یک رمز عبور از سر خود رمزگذاری کنید.

اگر رمزهای عبور را در یک ایمیل یا سرویس گیرنده FTP ذخیره می کنید، سپس نگران محافظت معمولی ضد ویروس باشید، هر تروجان یا درپشتی با کمال میل یک فایل با رمزهای عبور شما را می دزدد.

توصیه جداگانه برای کسانی که رمز عبور را در مرورگر ذخیره می کنند (از نظر دهنده): از رمز عبور اصلی در مرورگرهایی که از آن پشتیبانی می کنند استفاده کنید.

• در Opera: Tools - Options - Advanced - Security - Set Password.
• در FF: Tools - Options - Security - از Master Password استفاده کنید.

از رمزهای عبور یکسان برای سیستم ها و سرویس های مختلف استفاده نکنید. رمز عبور دیگران را به صورت متن واضح در نرم افزار و خدمات خود ذخیره نکنید.

اولین داستان ترسناک:افراد مسن یا فقط افراد دور از فناوری اطلاعات اغلب کد پین خود را مستقیماً روی کارت پلاستیکی خراش می دهند (این فرهنگ عامهدر حال حاضر، اما با این وجود).

داستان ترسناک دوم:اینطور بود، تروجان رمز عبور ذخیره شده در سرویس گیرنده FTP (به نظر می رسد که جدیدترین Total Commander نبود، اما بسیاری از کلاینت های دیگر از این نظر بهتر نیستند) را از سرپرست از رایانه محلی دزدید و فریم هایی را آلوده کرد. در سایت های شریک زنده که در آن مشتریان بالقوه (در نتیجه، بازدیدکنندگان یا آلوده شدند یا فریادهایی از آنتی ویروس دریافت کردند). به هر حال، اکنون Yandex سایت ها را با تروجان ها به روشی خاص در SERP علامت گذاری می کند - علاوه بر این، اکنون می توانید تروجان را بکشید، اما علامت فقط پس از فهرست بندی مجدد بعدی، به عنوان مثال، یک هفته بعد، ناپدید می شود.

دیگران می توانند دزدی کنند، شما می توانید از دست بدهید یا به اشتباه خودتان را بدهید

هیچ چیز مهمی را روی نت بوک یا گوشی خود ذخیره نکنید.

در نت‌بوک‌ها، رمز عبور (عادی) تنظیم کنید و سیستم فایل را رمزگذاری کنید.

همه چیز (یا حداقل همه چیز مهم) را به صورت رمزگذاری شده روی درایوهای فلش ذخیره کنید (به عنوان مثال، در یک آرشیو RAR با یک رمز عبور معمولی).

اگر چندین فلش مموری دارید که شبیه هم هستند، چند برچسب روی آنها بچسبانید تا ناگهان به جای گزارش سه ماهه (مالیاتی) با یک نسخه پشتیبان از تمام بخش حسابداری سیاه دفتر خود، آنها را به فلش مموری مالیاتی ندهید. خوشحال خواهم شد، اما مدیر بعید است).