Maksim Kuznetsov, İgor Simdyanov

Sosyal mühendislik ve sosyal hackerlar

Tanıtım

Bu kitap kimin için ve ne hakkında

Kitabın konusu, sosyal mühendisliğin ana yöntemlerinin bir incelemesidir - birçok araştırmacıya göre, XXI yüzyılın bilgisayar korsanlarının ana araçlarından biri. Özünde, bu, insan faktörünün bilgiyi korumadaki rolü hakkında bir kitaptır. Programlamada insan faktörü ile ilgili çeşitli sorunlar olmuştur. iyi kitaplar, bunlardan biri, Larry Constantine'in kitabının adı "Programlamada İnsan Faktörü". Bu, belki de bu konuda Rusça'ya çevrilmiş tek kitaptır. Yazar bu kitabın önsözünde şöyle yazıyor: "İyi yazılımlar insanlar tarafından yaratılır. Kötü olduğu kadar. Bu yüzden bu kitabın ana konusu donanım veya yazılım değil, programlamada insan faktörüdür (insan yazılımı) " L. Konstantin'in kitabının programlamadan çok psikolojiyle ilgili olmasına rağmen, kitabın ilk baskısı bilgi teknolojisi alanında klasik bir çalışma olarak kabul edildi.

Bilgi aynı zamanda insanlar tarafından da korunur ve bilginin ana taşıyıcıları aynı zamanda oynanabilecek ve üzerinde oynanabilecek olağan kompleksleri, zayıflıkları ve önyargıları olan insanlardır. Bu kitap, onların bunu nasıl yaptıklarına ve kendilerini bundan nasıl koruyacaklarına ayrılmıştır. Tarihsel olarak, insan faktörleri korsanlığı olarak adlandırılmıştır. "sosyal mühendislik" bu yüzden kitabımızın adı Sosyal Mühendislik ve Sosyal Hackerlar.

Kendinizi sosyal bilgisayar korsanlarından ancak onların çalışma yöntemlerini bilerek koruyabilirsiniz. Kitabın yazarları olarak amacımız, sosyal bilgisayar korsanlarını ana kozlarından mahrum bırakmak için okuyucuları bu yöntemlerle tanıştırmaktır: kurbanlarının dolandırıcılık ve gizli insan kontrolü yöntemleri konusundaki deneyimsizliği. Ayrıca kitabın materyalinin incelenmesinin okuyucular için sadece profesyonel olarak değil, aynı zamanda yaşamda da yararlı olacağını umuyoruz. Ne de olsa, bu kitapta bahsedeceğimiz psikoloji bölümlerinin incelenmesi, çevredeki gerçekliğe bir psikoloğun gözüyle bakmanıza izin verecektir. İnanın bu büyük bir zevk ve büyük bir sinir, emek ve zaman tasarrufu.

Önerilen kitabın yazarları, bir yandan (ve çoğunlukla) bilgi güvenliği ile ilgili programlama yoluyla ve diğer yandan, sosyal programlamaya ve temel kavramlarına geldiler. yetkisiz erişime karşı bilgi güvenliği araçlarının tasarımı ve kurulumu, güvenlik alarm sistemleri, erişim kontrol sistemleri vb. Çeşitli yapılardan yazılım veya bilgi sızıntısı kanallarının hacklenmesinin nedenlerini ve yöntemlerini analiz ederek, yaklaşık seksen ( !) Bunun nedeninin yüzdesi, başlı başına insan faktörü veya ustaca manipülasyonudur. Gerçi bu keşfimiz kesinlikle yeni değil. İngiliz araştırmacılar tarafından inanılmaz bir deney yapıldı. Daha fazla uzatmadan, büyük bir şirketin çalışanlarına, iddiaya göre şirketlerinin sistem yöneticisinden, planlı bir ekipman kontrolü planlandığı için parolalarını vermelerini isteyen mektuplar gönderdiler. Bu mektuba şirket çalışanlarının %75'i tarafından şifreleri mektuba eklenerek cevap verildi. Dedikleri gibi, yorumlar gereksizdir. Bunların sadece aptalca yakalanmış insanlar olduğunu düşünmeyin. Hiç de bile. Daha sonra göreceğimiz gibi, insan eylemleri de oldukça iyi programlanmıştır. Ve buradaki mesele, bu tür yemlere düşen insanların zihinsel gelişimi değildir. İnsan eylemlerinin programlama dilinde çok iyi olan başka insanlar var. Günümüzde sosyal mühendisliğe ilgi çok yüksektir. Bu birçok yönden görülebilir. Örneğin, birkaç yıl önce Google arama motorunda "sosyal mühendislik" sorgusu için yalnızca 2 bağlantı vardı. Şimdi yüzlercesi var ... Bilgisayar korsanlığı için sosyal mühendislik yöntemlerini kullanan tanınmış bilgisayar korsanı K. Mitnik, Radisson-Slavyanskaya otelinde büyük BT şirketlerinin üst düzey yöneticileri ve kurumsal güvenlik uzmanları için ders veriyor ... bir dizi üniversitelerin bu konuda ders dersleri tanıtacak ...

Bununla birlikte, yazarlar tarafından gözden geçirilen derslerin ve yayınlanmış makalelerin birçoğunun birkaç ciddi eksikliği vardır. İlk olarak, kullanılan tekniklerin psikolojik arka planı açıklanmamıştır. Makalelerin yazarları basitçe "Bu böyle yapılır" derler. Ve neden tam olarak böyle - kimse açıklamıyor. En iyi durumda, ifadeler verilir: "bu teknik, nörolinguistik programlama ilkelerine dayanır", ancak bu daha da kafa karıştırır. Bazen "sosyal bilgisayar korsanlarının kurbanı olmamak için psikolojik bir yetenek geliştirmelisin" derler. Bu içgüdü için nereye gidileceği ve nereden alınacağı konusunda da hiçbir şey söylenmiyor. Ve son olarak, sosyal mühendislik üzerine şu anda yayınlanmış makalelerin üçüncü ve belki de en ciddi eksikliği, burada verilen örneklerin çoğunun uydurma ("sinematik") olmasıdır. gerçek hayatçalışmayacak. Bu örneği inceleyen okuyucu, böyle bir hacker kendisine gelirse, kesinlikle çözeceğini anlar. Doğru olan: bu - o anlayacak. Ama yanına gerçek biri geldiğinde en mahrem sırları anlatır. Önerilen kitap, bir yandan bu eksiklikleri gidermek ve okuyucuya "sosyal bilgisayar korsanlığı"nın temeli olan gerçek bir psikolojik minimum sağlamak için tasarlanmıştır. Öte yandan kitap, okuyucunun malzemeye hakim olmasına yardımcı olacak ve sosyal bilgisayar korsanları tarafından kullanılan temel teknikleri gösterecek birçok gerçek, kurgusal değil örnek içeriyor. Bu kitabı okuduktan sonra, okuyucular bu tür manipülasyonlardan büyük ölçüde korunacaktır. Ve bir küçük not daha. Birçok yerde kitap, bir sosyal mühendislik ders kitabı tarzında yazılmıştır. Bu nedenle, okuyuculara sosyal mühendisliği öğretiyormuş gibi sık sık yazdık. Bunun nedeni, okuyucularımıza dolandırıcılık yöntemlerini öğretmek istediğimiz için değil, çünkü çoğu zaman, bir manipülatörü tanımak için, bu role alışmak için nasıl davrandığını bilmeniz gerekir ... ", ancak sadece sırayla tehlikeyi öngörebilmek ve daha sonraki eylemleri tahmin edebilmek için.

Forumun "Cinayeti"

Tabii ki, sosyal programlama yardımıyla reklam yapabiliyorsanız, o zaman reklam karşıtı da yapabilirsiniz. Size bir örnek vereceğim, diğer her şey benzetme ile yapılır. Birkaç ay içinde, belirli bir sosyal bilgisayar korsanı, birkaç yıldır var olan iyi bilinen bir forumu tek başına yok etti. Bunu nasıl yaptı? Çok basit. Forumu bir "çöp yığını" haline getirdi. Yemin etti, yönetime saldırdı, "moderatörleri düelloya davet etti", bariz provokasyon eylemleri yaptı. Ve o hiç aptal olmadığı için, tüm mesajlar "bir faulün eşiğinde" yazıldı, yani kışkırtıcı bir mesaj gibi görünüyordu ve genel olarak silinecek hiçbir şey yoktu. Genel olarak, bu forumda tipik bir lider karşıtı konumdaydı.

Not

Anti-liderler ayrıntılı olarak şurada açıklanmıştır: Bölüm 8.

Ayrıca, birkaç takma adla hareket etti.

Not

Nick(İngilizceden. Nick)(veya daha tam olarak, Takma ad(takma ad)) İnternet ziyaretçilerinin çeşitli forumlarda, sohbetlerde vb. bu takma ad altında mesaj bırakmak için sıklıkla kendileri için seçtikleri bir takma addır. Birçok aktif İnternet kullanıcısı kendilerini ve başkalarını artık gerçek bir adla değil, ancak takma ad ile. Bu, internetin psikolojik açıdan çok ilginç bir olgusudur. Gerçek şu ki, bize doğuştan verilen isim bizim tarafımızdan seçilmedi. Bir kişinin adını sevmediği için "kendini bulamadığı" bilinen birçok durum vardır. Takma ad, kişinin kendisi tarafından kasıtlı olarak seçilir ve genellikle ikinci bir ad olur ...

Bu, diğer şeylerin yanı sıra, forumun zaten gerçek ziyaretçilerinden çevresinde hızla bir lider karşıtı grup oluşturmasına yardımcı oldu. Gerçek şu ki, birkaç takma ad altında yazdığında, "yalnız değil", yani lider karşıtı grubun zaten var olduğu görüntüsünü yaratıyordu. Şema basittir: bir lider karşıtı takma ad "terfi ettirilir", bu forumda bilinir ve tanınır hale gelir ve ardından yönetimin davranışından memnun olmayan forum ziyaretçilerinin geri kalanı buna bağlı görünüyor. İlk başta, aynı kişi tüm bu takma adlardan hareket ettiğinden hayali bir şekilde bağlı kalırlar ve daha sonra forumun gerçek ziyaretçileri bu gruplandırmaya uymaya başladığında zaten gerçektir. Sonunda forum, herhangi bir şeyi (mallar, fikirler ...) tanıtmanın neredeyse imkansız hale geldiği bir tür savaş alanı haline gelir.

Genel olarak sitede forum bulunduranlar çok dikkatli olmalıdır. Hiç kimse forumunuzu "öldürmeyecek" olsa bile, forumdaki yöneticileriniz "çok fazla şey söyleyebilir", bu da rakip istihbarat için bir çerez olacaktır.

Forumun başarısının ana garantisi, forumda yetkin bir davranış politikası ve yetkindir. ılımlılık. Bu çok önemli. Çünkü sadece bu durumda forum bir pazarlama artısı olacaktır. Diğer tüm durumlarda, büyük bir pazarlama dezavantajı olabilir.

Not

moderasyon- Bu, ziyaretçilerin çeşitli forumlarda, sohbetlerde vb. davranışları ve mesajlarında yayınladıkları bilgiler üzerindeki kontroldür.

"Forum yürütmek" için temel kurallar. Hiçbir koşulda provokatörler ve çeşitli "sanal teröristler" ile herhangi bir müzakereye girmemelisiniz. Tanrıya şükür, gerçek teröristlerin aksine sanal olanlar kimseyi rehin almıyor ve onlarla konuşmamayı göze alabiliyorsunuz. Ve sadece acımasızca yok et. Orta, yani.

Not

Bu konuda kendi forumunu tutan ve kirletildikten sonra son çare olarak "teröristlerle pazarlık" yapmaya karar veren tanınmış bir kişinin davranışlarına tarifsiz bir şekilde şaşırdık. Orada onlara ne söylediğini bilmiyoruz, bu tür müzakerelerin gerçekliği bizim için şaşırtıcı. Hayatta çok şey gördünüz ve provokatörlerle pazarlık yapamayacağınızı diğerlerinden daha iyi bilmelisiniz. Bu arada, forum yakında sona erdiği için müzakereler muhtemelen yardımcı olmadı. Ve forum çok güzeldi.

Moderatörün forum üyesi olmaması arzu edilir. Bu, onun ilkelere bağlılığını korumak için gereklidir ve eğer siz de tartışmalara katılıyorsanız, bunu korumak sorunludur. Yaptığımız tam olarak bu: moderatör forum tartışmalarının bir üyesi değil.

Moderatör akıllı ve dengeli bir kişi olmalıdır. Görünüşe göre bu hüküm açıktır, ancak bu kural çok sık ihlal edilmektedir. Örneğin, genellikle, moderatörün onu arka arkaya rahatsız eden kişinin tüm mesajlarını nasıl silmeye başladığını görebilirsiniz. Bu, elbette, kabul edilemez.

Moderatörün eylemleri tartışılmaz ve bu, bulunması gereken forum kurallarında açıklanmalıdır (referans için, SoftTime IT stüdyosunun forumunda çalışan kuralların versiyonu aşağıda verilmiştir). Bu kurallarda, moderatörün çalışmasına hangi durumda başlayacağı yazılmalıdır. Böylece her şey suçsuzdu.

Forumda tartışılan konularda çok yetkin bir kişi olmalı. Herhangi bir özel forumda, tartışma, uzmanın gelip yetkili ve bazen de tek doğru cevabı veren cevabından hemen sonra durur. Hepsi bu - tartışacak bir şey yok.

Özel bir forum işletiyorsanız, üzerinde "ömür boyu" bölümlerine başlamanızı tavsiye etmiyorum. Yönetilebilirlik açısından, herkesin hayata bakış açısı farklı olduğu için bu, aklınıza gelebilecek en nahoş bölümdür. Ve herkesle tartışmak, görüşlerini savunmak hiçbir şeye mal olmaz. Ve forumda küfür etmek onu bir çöp yığınına çevirir (tabii ki, özellikle küfür için yaratılmamışsa). Bir önceki kuralda belirtildiği gibi, bilirkişinin cevabı geldikten sonra tartışma hemen durur ve yetkin bir cevap verir. Ama uzmanların hayatında, ne yazık ki, hayır.

Şimdi forumlarımızda bize rehberlik eden kuralları vereceğiz.

Bir bilgisayar korsanının bilgisayara değil, bilgisayarla çalışan bir kişiye saldırdığı tekniğe sosyal mühendislik denir. Sosyal bilgisayar korsanları, istenen eylemleri gerçekleştirmek için programlayarak "bir kişiyi nasıl hackleyeceğini" bilen kişilerdir. Kitap, modern bir sosyal bilgisayar korsanının temel araçlarının cephaneliğini (işlemsel analiz, nörolinguistik programlama) açıklar, sayısız (insan davranış programlamasını inceleyen bilimler) ve sosyal korsanlığa karşı korunma yöntemlerini ayrıntılı olarak ele alır ve analiz eder. Kitap, genellikle sosyal bilgisayar korsanları tarafından en uygun hedefler olarak seçildiğinden, BT uzmanları, kurumsal güvenlik personeli, sosyal mühendislik ve sosyal programlama okuyan psikologlar ve ayrıca PC kullanıcıları için faydalı olacaktır. Geniş bir okuyucu kitlesi için.

* * *

Kitabın verilen giriş parçası Sosyal Mühendislik ve Sosyal Hackerlar (I.V.Simdyanov, 2007) kitap ortağımız - Liters şirketi tarafından sağlanmaktadır.

Sosyal mühendislik nedir ve sosyal bilgisayar korsanları kimlerdir?

İlk bölüm, sosyal mühendislik ve sosyal hacklemenin temel kavramlarını tartışıyor. İlk bölüm, her zamanki gibi, tartışılan konuya bir giriş niteliğindedir ve ikinci bölüm, sosyal mühendislik tekniklerinin kullanımına ilişkin çeşitli örnekler sunmaktadır.

Bölüm 1.

Bölüm 2.

Bölüm 3. Sosyal programlama örnekleri

Bölüm 4. Sosyal güvenlik duvarları inşa etmek

Bölüm 5. Sosyal bilgisayar korsanlarını eğitmenin psikolojik yönleri

Sosyal mühendislik, XXI yüzyılın bilgisayar korsanlarının ana araçlarından biridir.

... 2005 yılı Şubat ayının başında ülkemizdeki pek çok bilgi güvenliği uzmanı, sosyal mühendisliğin tehlikesini ve hangi yöntemlerin kullanıldığını anlatması gereken tanınmış bir bilgisayar korsanı olan K. Mitnik'in konuşmasını bekliyordu. sosyal mühendisler (ki buna ayrıca sosyal bilgisayar korsanları diyeceğiz). Ne yazık ki beklentiler gerçekleşmedi: Mitnik sadece toplum mühendisliğinin temel ilkelerinden bahsetti. Ve sosyal mühendislik yöntemlerinin dünyanın her yerindeki suçlular tarafından çeşitli gizli bilgiler elde etmek için kullanıldığı gerçeğinden çok bahsetti. Toplantıdaki birçok katılımcıya göre, kişi gerçekten çok çekici olduğu için dinlemek ilginçti, ancak özel bir sır ortaya çıkmadı.

Not

Kevin Mitnick, FBI'ın en iyi bilgi güvenliği uzmanlarının karşı çıktığı ve 90'lı yıllarda ABD adaleti tarafından birçok hükümete ve şirkete ait gizli üslere sızmaktan suçlu bulunan tanınmış bir bilgisayar korsanıdır. Birçok uzmana göre, Mitnick önemli bir teknik temele veya büyük bir programlama bilgisine sahip değildi. Ancak gerekli bilgileri ve şimdi "toplum mühendisliği" olarak adlandırılan şeyi elde etmek için telefonda iletişim kurma sanatına sahipti.

Aynısı kitapları için de söylenebilir - orada özel bir açıklama yoktur. Mitnik'in tüm bunları çok iyi bildiğini kesinlikle dışlamıyoruz, ayrıca bundan neredeyse eminiz, ancak ne yazık ki gerçekten bildikleri hakkında hiçbir şey söylemiyor. Ne konuşmalarımda, ne kitaplarımda.

Not

Bu muhtemelen genel olarak şaşırtıcı değil, çünkü FBI onu çok sıkı bir şekilde ele geçirdi, patronun kim olduğunu gösterdi ve sinirleri oldukça fazla seğirdi. Birçok açıklama ve birkaç yıl boyunca bilgisayarlarla çalışma yasağı ve hapis cezası vardı. Bu tür kargaşalardan sonra çok yasalara saygılı bir kişi haline gelmesi ve hiçbir gizli üssü kaçırmaması, hatta gizli olmayan şeylerden bile büyük bir dikkatle bahsetmesi şaşırtıcı olmamalıdır.

Bu tür çekincelerin bir sonucu olarak, toplum mühendisliği seçkinler için bir tür şamanizm gibi görünüyor, ki öyle değil. Ayrıca, önemli bir nokta daha var. Çoğu saldırı açıklaması, sayfaları olmasa da tüm paragrafları atlar. Bunun için varız. Özellikle en ilginç saldırılardan bazılarının şemalarını alır ve bunları yazılanlara göre yeniden üretmeye çalışırsak, o zaman büyük olasılıkla hiçbir şey çıkmaz. Çünkü K. Mitnik'in birçok planı yaklaşık olarak böyle bir diyaloğu andırıyor.

- Vasya, bana şifreyi ver lütfen!

- Evet! bir şey için üzgünüm iyi adam.

Bu "saldırı"nın analizi şuna benzer: "Vasya onu bir sosyal hacker'a verdi, çünkü doğuştan "Hayır!" demeyi bilmiyordu. Yabancılara. Bu nedenle, toplum mühendislerine karşı koymanın ana yöntemi, "Hayır" demeyi öğren. ... Belki bu tavsiye Amerika için uygundur, ama korkarım çoğunluğun "Evet" ve "Hayır" demeyi bilmediği Rusya için değil, herkes çok iyi durumda. Gerçekten de, organik olarak bir başkasını reddedemeyen bir insan tipi var, ama öncelikle, bu kadar çok insan yok ve herkesin böyle bir duruma getirilmesi gerekiyor. Ve nasıl başarısız olunacağına dair tek bir söz söylenmedi.

Not

Ek 2'de psikolojik tipoloji ve bu bilginin sosyal mühendislikte nasıl kullanılabileceği hakkında ayrıntılı olarak konuşacağız.

Mitnik'in genellikle tüm paragrafları atladığını söylediğimizde kastedilen kabaca budur. İlk cümlenin başında ve ikincisinin konuşmanın sonunda gerçekleşebileceği varsayılabilir. Ama aralarında hala çok ve en ilginç olanı vardı. Çünkü her şeyi bu kadar basit hale getirmek için, bir kişiyi ya derin hipnoza sokmanız ya da ona bir "gerçeklik serumu" enjekte etmeniz gerekir. Ama durum bu olsa bile, o zaman bunun da yazılması gerekir.

Hayatta, kural olarak, farklı bir şekilde olur. Ve şifreler söylenir ve veritabanları sadece "hayır" diye cevap veremedikleri için değil, ama "hayır" cevabı olduğu için tolere edilir, ... Gerçekten istemiyorum. Ve bazı ciddi bilgilere sahip olan bir kişinin "hayır" yanıtını çok zor bulması için, onu bu duruma getirmeniz gerekir. Onu bir hafta boyunca takip ediyorum. Aniden, ortaya çıkması ilginç olan nedir? Belki kendisi "gönderilmiş bir Kazaktır" veya akşamları rakipler için para kazanıyor veya belki de mesele genellikle daha ciddi: akşamları rakipler için çalışmıyor, geneleve gidiyor ... -geleneksel cinsel yönelim ve herkes için örnek bir aile babası olduğundan, gerçekten kimsenin bunu bilmesini istemiyor. Yaklaşık olarak bu bilgilere sahip olarak, ona güvenle yaklaşabilir ve onunla konuşabilirsiniz:

- Vasya, bana bildiğin tüm şifreleri söyle. Ve zaman kaybetmemem için ağınıza erişmeme izin verin.

Ve bu durumda, pek çok Vasya cevap verecektir:

- Evet lütfen. Ve şifreleri ve açık erişimi vereceğim. Yazık benim için, belki de iyi bir insan için...

İstihbarat dilinde buna "işe alma" denir. Ve aniden kuruluşunuzdaki her şey bir yerde kaybolursa, tüm şifreler birileri tarafından biliniyorsa, birinin çalışanlarınızdan birinin kuyruğuna oturup oturmadığını düşünün. Kimin bindiğini ve kimin bindiğini hesaplamak genellikle zor değildir. Bu arada, akıllı güvenlik görevlileri, bu arada, insanlara kilit görevlere emanet etmeden önce, genellikle onu, diyelim ki, pozisyon için adayın zayıf yönleri için çok güçlü bir şekilde kontrol edin. Ve onu takip ederler ve ne tür bir insanın işe geldiğini bilmek için her türlü akıllı testi düzenlerler.

... Bu giriş, K. Mitnick'i eleştirmek için değil - her birimizin eleştirecek bir şeyi var - ama toplum mühendisliğinde her şeyin bazen sunulduğu kadar basit olmadığını göstermek için yazılmıştır ve bu konunun ele alınması gerekir. ciddiye alınır ve düşünülür. Şimdi bu girişten sonra, dedikleri gibi başlayalım.

Bir bilgisayar korsanının girdiği bir bilgisayar sistemi kendi başına mevcut değildir. Her zaman bir bileşen daha içerir: bir kişi. Mecazi olarak konuşursak, bir bilgisayar sistemi aşağıdaki basit diyagramla temsil edilebilir (Şekil 1.1).

Pirinç. 1.1. Bir bilgisayar sistemini hacklemek için ana seçenekler (bir kişi - H. Bidstrup'un bir karikatüründen)

Bir bilgisayar korsanının işi, bir bilgisayar sistemini hacklemektir. Gördüğümüz gibi, bu sistemin iki bileşeni olduğundan, onu kırmanın sırasıyla iki ana yolu vardır. İlk yol, "bir bilgisayar saldırıya uğradığında" teknik arayacağız. A sosyal mühendislik bir bilgisayar sistemine sızarak ikinci yola gidip bilgisayarla çalışan kişiye saldırdığınızda çağrılır. Basit bir örnek. Diyelim ki bir şifre çalmanız gerekiyor. Kurbanın bilgisayarını hackleyebilir ve şifreyi öğrenebilirsiniz. Bu ilk yol. Ve ikinci yolu izlerseniz, aynı şifreyi sadece kişiden şifreyi sorarak öğrenebilirsiniz. Birçoğu, doğru sorulursa söyler.

Pek çok uzmana göre, hem büyük şirketler hem de sıradan kullanıcılar, gelecek on yıllarda bilgi güvenliğine yönelik en büyük tehdit, mevcut güvenlik araçlarını kırmak için kullanılan sürekli gelişen sosyal mühendislik yöntemlerini temsil edecek. Sadece sosyal mühendisliğin uygulanması önemli finansal yatırımlar ve bilgisayar teknolojisi hakkında kapsamlı bilgi gerektirmediği için. Örneğin, Gartner Corporation'da bilgi güvenliği başkanı Rich Mogull, "sosyal mühendislik, geleneksel ağ korsanlığından daha büyük bir tehdit oluşturuyor. En kötü niyetli güvenlik ihlallerinin çoğu, elektronik korsanlıkla değil, sosyal mühendislik yoluyla meydana geliyor ve olmaya devam edecek" diyor. Önümüzdeki on yılda, sosyal mühendisliğin kendisi bilgi güvenliğine yönelik en büyük tehdidi oluşturacak." Antivirüs şirketi Sophos'un bölgesel bölümlerinden birinin genel müdürü Rob Forsyth, "Avustralya'daki işsiz insanları hedef alan yeni bir alaycı dolandırıcılık türü" örneği veren onunla aynı fikirde. e-postaİddiaya göre Credit Suisse tarafından gönderilmiş ve bir boş pozisyonu bildiren bir mektup. Alıcıdan, orijinal Credit Suisse kurumsal sitesinin neredeyse aynısı olan bir siteyi ziyaret etmesi istenir, ancak sahte sürüm, bir iş başvurusu doldurmak için bir form sağlar. Ve başvuruyu değerlendirmek için, "banka", sembolik de olsa, şu veya bu hesaba aktarılması gereken para istedi. Birçok insan para transfer ettiğinde, miktar o kadar sembolik değildi. Sahte site o kadar usta ki, uzmanların sahte olduğundan emin olmaları zaman aldı. Saldırganların oldukça akıllı bir teknoloji kombinasyonu kullandıkları kabul edilmelidir. Amaçları toplumun en muhtaç üyeleri yani iş arayanlardır. Bunlar, bu tür provokasyonlara yenik düşebilecek kişilerdir, "- diyor Forsythe. Symantec'in başkan yardımcısı Enrique Salem, genellikle virüsler ve spam gibi geleneksel tehditlerin" dünün sorunları olduğuna inanıyor. " Her ne kadar şirketler kendilerini bunlara karşı savunmak zorunda olsalar da , Salem sosyal mühendislik yöntemlerini kullanarak kimlik avını günümüzde bir sorun olarak adlandırıyor.

Not

Kimlik avı hakkında daha fazla bilgi edinin Bölüm 2.

Neden bu kadar çok araştırmacı, sosyal mühendisliğin 21. yüzyılda bilgisayar korsanları için ana araçlardan biri olacağına inanıyor? Cevap basit. Çünkü teknik koruma sistemleri her geçen gün daha da geliştirilecek ve insanlar zaaflarıyla, önyargılarıyla, kalıp yargılarıyla insan olarak kalacak ve güvenlik zincirinin en zayıf halkası olacaktır. En gelişmiş koruma sistemlerini koyabilirsiniz ve yine de bir dakika için uyanıklığınızı kaybetmemelisiniz, çünkü güvenlik planınızda çok güvenilmez bir bağlantı var - bir kişi. Başka bir deyişle, bir insan güvenlik duvarı yapılandırın güvenlik duvarı(güvenlik duvarı) en zor ve nankör iştir. İyi ayarlanmış bir tekniğin uygulanması aylar alabilir. İnsan güvenlik duvarının sürekli olarak ayarlanması gerekir. Burada, tüm güvenlik uzmanlarının ana sloganı her zamankinden daha fazla geçerli görünüyor: "Güvenlik bir süreçtir, bir sonuç değil." Çok basit ve yaygın bir örnek. Diyelim ki bir yönetmensiniz ve size göre asla kimseye bir şey satmayacak ve kimseyi satmayacak çok iyi bir çalışanınız var. Ertesi ay, diyelim ki, şu ya da bu nedenle maaşını kestiniz. Bu nedenler çok objektif olsa bile. Ve durum çarpıcı bir şekilde değişti: şimdi arkasında bir göz ve bir göz var, çünkü kendine küskünlükten bir yer bulamıyor, zaten sizi öldürmeye hazır, bazı şirket içi sırlar hakkında ne söyleyebiliriz.

Ayrıca, özellikle "insan güvenlik duvarları" kurma konusunda güvenliği sağlamakla meşgul olmak için, istikrarlı bir sinir ve zihinsel sisteme sahip olmanız gerektiğini de belirteceğim. A. Einstein'ın Kevin Mitnick'in izinden giderek bizim de tekrarlamadan edemeyeceğimiz şu mükemmel sözünden anlayacaksınız: "Yalnızca iki şeyden emin olabilirsiniz: Evrenin varlığından ve insanın aptallığından ve ben tamamen değilim. ilkinden eminim."

Tüm sosyal hacker saldırıları bir tanesine sığar basit şema(şekil 1.2).

Pirinç. 1.2. Sosyal Mühendislikte Temel Etki Şeması

Not

Bu şema denir Sheinov'un şeması... Genel olarak, Belarus psikolog ve sosyolog V.P.'nin kitabında verilmiştir. Uzun süredir dolandırıcılık psikolojisiyle ilgilenen Sheinov. Biraz değiştirilmiş bir biçimde, bu şema sosyal mühendislik için de uygundur.

Bu nedenle, ilk olarak, bir veya başka bir nesneyi etkileme hedefi her zaman formüle edilir.

Not

Daha sonra en uygun olanı bulmak için nesne hakkında bilgi toplanır. etki hedefleri... Bundan sonra psikologların dediği aşama gelir. cazibe... Cazibe (lat. orada- çekmek, çekmek) - bu, sosyo-mühendisin nesne üzerindeki etkisi için gerekli koşulların yaratılmasıdır. Sosyal bilgisayar korsanı için gerekli eyleme zorlama, genellikle önceki aşamaları gerçekleştirerek gerçekleştirilir, yani cazibe elde edildikten sonra kurban, toplum mühendisi için gerekli eylemleri kendisi yapar. Bununla birlikte, bazı durumlarda, bu aşama, örneğin, transa, psikolojik baskıya vb.

V.P.'nin ardından Sheinov, bu şemayı balık tutma örneği ile göstereceğiz. Bu durumda etkinin hedefi balığın yem ihtiyacıdır. Yem bir solucan, bir parça ekmek, bir kaşık vs.'dir. Ve çekicilik, başarılı balık avı için gerekli koşulların yaratılmasıdır: doğru balık tutma yerini seçmek, sessizlik yaratmak, doğru ataşmanı seçmek, balıkları beslemek. Eyleme zorlama, örneğin, bir solucanın veya başka bir ekin seğirdiği ve balıkların yiyeceğin gidebileceğini ve gitmesi gerektiğini ve daha aktif hareket etmesi gerektiğini anladığı bir çubukla sarsıntıdır. Eh, sonuçta her şey açık.

Başka bir örnek: bir çalışana rüşvet verilmesi. Burada hedef, çalışanın paraya olan ihtiyacıdır. Onlara ihtiyacı olduğu ve "teklifini kabul edebileceği" bilgi toplama aşamasında öğrenilir. Bir cazibe, örneğin, çalışanın büyük paraya ihtiyaç duyacağı bu tür koşulların yaratılması olabilir.

Not

Bu koşullar genellikle kasıtlı olarak oluşturulur. Önemsiz bir örnek - bir çalışan araba kullanıyordu ve "hafif bir kaza geçirdi", bundan sonra arabanın onarılması ve çarptığı cipe para ödenmesi gerekiyor. Bu tür "yol çerçevelerinin" sayısı şimdi inanılmaz derecede arttı ve sanatçı bulmak zor değil.

Şimdi kısaca böyle popüler bir suç türü üzerinde duralım. veritabanlarının çalınması.

Not

Veritabanlarının çalınması, sosyal mühendisliğin ana uygulamalarından biridir. Veritabanlarının çalınması konusundaki sohbetimize de devam edeceğiz. Bölüm 2.

Artık çeşitli üsler bulamayacaksınız: MGTS üsleri ve Merkez Bankası üsleri ve Emekli Sandığı üsleri ve BTI üsleri ve Devlet Trafik Güvenliği Müfettişliği ile İçişleri Bakanlığı üsleri ve kayıt tabanları . .. veritabanları. Bir yandan bu suç türü, pek çok uzmana göre bilişim alanındaki suçları ifade ediyor gibi görünüyor. Böyle düşünenler, veritabanlarının sunucuların sabit disklerinde depolandığı ve bu nedenle çalınmaları durumunda BT'de bir suç olduğu şeklindeki basit önermeden yola çıkıyorlar. Ancak öte yandan, bu tamamen doğru değil çünkü çoğu hırsızlık sosyal mühendislik yöntemleri kullanılarak gerçekleştiriliyor.

Veritabanlarını kim ve ne şekilde çalıyor? Bu soruya yanıt olarak, bilgisayar korsanlarının kurumsal sunuculara girerek onları çaldığını duyarsanız Devlet kurumları ve büyük şirketler - buna inanmayın. Bu doğru değil. Her şey çok daha basit ve daha sıradan. Sıradan insanlar, USB bağlantı noktasına bağlı böyle sıradan bir Flash Sürücüyü saymazsak, çoğu durumda herhangi bir karmaşık cihazı kullanmadan onları çalar.

Daha önce de söylediğimiz gibi, 100 vakadan yaklaşık 80'inde bilgi teknik bir kanaldan değil, sosyal bir kanaldan çalınıyor. Bu nedenle, bütün gece oturup sunucuları hackleyenler bilgisayar korsanları değil, diyelim ki gücenmiş bir sistem yöneticisi istifa etti. Ama bir değil, tüm veritabanları ve şirketle ilgili tüm bilgilerle birlikte. Veya makul bir ücret karşılığında bir şirket çalışanının kendisi şirketle ilgili bilgileri "yan tarafa sızdırır". Ya da sadece bir yabancı geldi, kendini sistem yöneticisinin en iyi arkadaşı olarak tanıttı ve en iyi arkadaşı artık hasta olduğu için "buggy" bir veritabanı oluşturmak için oturdu. O gittikten sonra bu üs gerçekten daha iyi çalışmaya başladı ama farklı bir yerde. Bunun çok önemsiz olduğunu ve sadece küçük ve çok dikkatsiz şirketlerde gerçekleştiğini düşünüyorsanız, öyle düşünmemelisiniz. Son zamanlarda, enerji alanında çalışan çok büyük St. Petersburg şirketlerinden birinden değerli bilgiler bu şekilde çalındı. Ve bunun gibi bir çok örnek var. Bilgi sızıntısının ana kanalının sosyal olması, bilginin korunması görevini son derece zorlaştırmaktadır. Çünkü teknik bir kanaldan sızıntı olma olasılığı prensipte sıfıra indirilebilir. Ağı çok güvenli hale getirmek mümkündür, böylece hiçbir dış saldırı onu "aşmayacak". Genel olarak, kurumun iç ağının Rusça'da olduğu gibi dış ağ ile kesişmemesini sağlayabilirsiniz. kolluk örneğin, dahili ağların İnternet erişiminin olmadığı durumlarda. Liderlik ofisleri ve önemli toplantıların yapıldığı tüm ofisler bilgi sızmasına karşı güvenlik önlemleri ile donatılmalıdır. Diktafona kimse hiçbir şey kaydetmez - diktafon baskılayıcılar kurduk. Hiç kimse radyo kanalı ve tesadüfi elektromanyetik radyasyon kanalı aracılığıyla hiçbir şey dinlemeyecek - bir radyo gürültü jeneratörü kurdular. Vibroakustik kanal da engellendi, ayrıca pencere camının salınımları hakkında lazer bilgisi almak da imkansız, havalandırma bacalarından da kimse bir şey duymayacak. Telefon hatları koruma altına alındı. … Yani, herkes bitti. Ve bilgilerin hepsi aynı "bacak yaptı". Nasıl niçin? Ve insanlar onu aldı. Herhangi bir karmaşık teknik manipülasyon olmadan. Herkesin bildiği, herkesin unutmaya çalıştığı, "şimşekler kopana kadar..." ilkesine göre yaşayan, kötü şöhretli ve heybetli insan faktörü bir kez daha işe yaradı. Not: Devlet organları ağlarından teknik bir kanal aracılığıyla bilgi çalmak neredeyse imkansızdır. Ve yine de kaçırılır. Ve bu, temelde bilgilerin teknik yollarla değil, insanlar kullanılarak çalındığının bir başka kanıtı. Ve bazen kaçırmak gülünç derecede basittir. Bilgi güvenliğinin düzenlenmesi amacıyla petrokimya endüstrisindeki büyük bir işletmede denetim gerçekleştirdik. Ve ilginç bir şey anladık: Herhangi bir gece temizlikçisi CEO'nun sekreterinin masasına erişebilirdi. Ve görünüşe göre vardı. Bu girişimde hüküm süren demokrasi türü buydu. Ve bu tabloda o kadar çok kağıt vardı ki, işletmenin hemen hemen tüm mevcut faaliyetleri ve önümüzdeki 5 yıl için geliştirme planları hakkında fikir edinmek mümkün oldu. Bunun sağlam bir itibara ve milyonlarca ciroya sahip gerçekten büyük bir işletme olduğunu bir kez daha belirtelim. Tabii dolar bazında. Ve bilgilerin korunması devreye alındı... Ancak hiçbir şekilde ayarlanmadı. Bilgi sızıntısının bir başka ilginç sosyal mühendislik kanalı ise çeşitli sergiler, sunumlar vb.dir. Stantta duran bir şirket temsilcisi, en iyi niyetiyle, herkesi memnun etmek için, çoğu zaman şirketin bildiği en mahrem sırlarını verir. , ve tüm soruları yanıtlar. Bunu bir çok tanıdık yönetmene defalarca söyledim ve içlerinden biri şaka yollu bir şekilde bir sonraki sergide şirketinin bir temsilcisiyle görüşmemi ve böylece ondan böyle bir şey öğrenmeye çalışmamı önerdi. Ona diktafon kaydını getirdiğimde, ağlıyordu denebilir, çünkü ifadelerden biri kulağa şöyle bir şey geliyordu: "Ama son zamanlarda yönetmenimiz hala İran'a gitti ...". Bu bilgi edinme yöntemi, bu arada, önemli sayıda şirket tarafından kullanılmaktadır.

Not

Sunumlarda bilgilerin nasıl görüntülendiği hakkında daha fazla bilgi için bkz. Bölüm 2.

... Ne yazık ki, birçok insan son derece dikkatsiz ve bilgilerin güvenliği konusunda endişelenmek istemiyor. Ve çoğu zaman, çok büyük kuruluşlarda bile, bu "isteksizlik" en sıradan çalışanlardan CEO'ya kadar uzanır. Ve bu durumda, bir sistem yöneticisi veya güvenlik servisinin başı, tamamen paranoyak olsalar, bilgilerin korunmasına takıntılı olsalar bile durumu kurtarmaz. Çünkü şu anda, ne yazık ki, bilginin korunması gerektiğini anlayan yöneticiler bile her zaman bir şeyin daha farkına varmıyorlar: bilgi koruması sistemli olmalı, yani tüm olası sızıntı kanallarından gerçekleştirilir. Bilgisayar ağını istediğiniz kadar koruyabilirsiniz, ancak insanlar düşük ücret alıyorsa ve Nazi işgalcilerinin Sovyet halkından daha çok çalıştıkları işletmeden nefret ediyorsa, bu korumaya para harcamanıza bile gerek yok. Sistemsizliğin bir başka örneği de, bazı yönetmenlerin kapısında resepsiyon beklerken sıklıkla gözlemlenebilir. Bir güvenlik sistemi tasarlayanların böyle bir şeyi görmezden gelmesi alışılmadık bir durum değil: yönetmenler yüksek sesle konuşmaya, bazen de bağırarak konuşmaya meyillidirler. Genel müdürün odasının kapıları genellikle o kadar ses geçirgendir ki, "general" odasındaki konferansı, fısıltıyla konuşsalar bile, hiç zorlanmadan dinleyebilirsiniz. Bir keresinde Moskova'ya, sektörümüzü bir sonraki adımda nelerin beklediği konusunda danışmak üzere "vücuda yakın" bir yönetmenle görüşmeye geldim. Ve az önce planlanmamış önemli bir toplantısı vardı ve benden beklemem istendi. Ofisinin önünde 15 dakika oturduktan sonra, bilmek istediklerimden çok daha fazlasını öğrendiğimi fark ettim ve prensipte ayrılabilirdim. Sadece nezaket dışında kaldı. Durumun keskinliği şu ki, sıram geldiğinde, yönetmen neredeyse sorularıma cevap vermedi, diyorlar ki, diyorlar ki, sen kendin anlıyorsun, çok gizli, kendim henüz çok farkında değilim ... vb. . Yine de ona çok sıcak ve nazik bir şekilde teşekkür ettim.

... Gizli bilgilerin bulunduğu veri tabanlarına dönecek olursak, yukarıda belirtilenlerden sonra, kimin ve nasıl çaldığının tamamen açık olduğunu belirtmek gerekir. Sıradan insanlar onları çalar. Çok sık - işletmelerin aynı çalışanları. Son zamanlarda, piyasaya gümrük veri tabanlarını sağlayan yarbay rütbesine sahip bir gümrük memuru mahkum edildi. Komşu bölgede, vergi inceleme dairesi başkanı, makul bir ücret karşılığında yerel suç adamlarına veri sızdıran elden yakalandı. Vesaire.

Neden çalınıyorlar ve kimin buna ihtiyacı var? Birçok insanın buna ihtiyacı var. Gençten yaşlıya. Hem sıradan vatandaşlar hem de finansal köpekbalıkları için gerekli. Vatandaşlarla başlarsak, o zaman Rus zihniyetinin özellikleri hakkında derin bir muhakemeye girmeden, sadece yüksek sesle ve hoşnutsuz genç bayanlar "telekomlarımızın" bilgi hizmetlerinde otururken, o zaman en yasalara uyan bile diyeceğiz. ve dürüst bir insan, sinirleri için korsan yazılım pazarındaki kuruluşların telefon numaralarının bu veritabanını satın almak için yardım masasını aramaktan çok daha kolaydır.

Bu, rekabet istihbaratına dahil olan herkes için anlaşılır bir şekilde gereklidir.

Suçluların buna ihtiyacı var. Örneğin, kendine saygısı olan her araba hırsızının bir trafik polisi üssü vardır. Suçluların "koruduğu" kişilerin mahrum bırakılıp bırakılmadığını bilmeleri de önemlidir. Hırsızlar kurbanlarını veritabanlarını kullanarak bulur.

Bu, akıncı saldırıları pratiği uygulayan finans devleri için gereklidir.

Not

Raider saldırıları Yeni bir uygulamada böyle bir uygulama var mı? Rus tarihi kabaca konuşursak, büyük bir şirketin sözde akıncılar yardımıyla daha küçük olan şirketleri devraldığı. Diyelim ki büyük bir şirket daha küçük bir şirket satın almak istiyor. Bunu yapmak için, şirketi ele geçirmek ve yürütmek için bir plan yapacak olan akıncılara bir emir verir. Akıncılar hakkında daha fazla ayrıntı şurada açıklanmıştır: Bölüm 2.

… Uzun süre devam edebilirsiniz. Genel olarak, pazar geniştir ve ürünlere talep vardır. Ve talep her zaman arzı doğurur. Bu, ekonominin temel yasalarından biridir. Bir talep varsa, er ya da geç, pahalı ya da ucuz gereklidir, ancak arz olacaktır. Bu talep ne olursa olsun. Bu talep çok küfür olsa da örneğin çocuk organ talebi. Daha ciddi bir talebi hayal etmek zor. Ve hala bir teklif var. Bir çeşit veritabanları hakkında ne söyleyebiliriz.

Not

Şu anda, büyük bir işletmenin bir veritabanını çalmanın maliyeti yaklaşık 2.000 dolar.

Veritabanlarını çalmayı tamamen durdurabilir misiniz? Devlet düzeyinde bu, muhtemelen ancak bu suçun cezasını sertleştirerek yapılabilir. Bir çeşit üssü çalmaya cüret edecek birini görmek isterim. Sovyet zamanları... Bununla birlikte, onu güçlendirdikten sonra, bu tam olarak bir terim değil: gerçek şu ki, artık veritabanları pratik olarak dokunulmazlık ile çalınabilir. Peki, hemen hemen her yapıdaki herhangi bir çalışana bu temeli ortadan kaldırmanın maliyeti nedir? Bu doğru - hiçbir maliyeti yok. En kötü durumda, kovulacaklar. Ama yine de yakalanmayı başarmalısın. 03.03.06 tarihli "Komsomolskaya Pravda" yayınına göre, Moskova Merkezinin bile veritabanlarında işlem yaptığı noktaya geldi. ekonomik güvenlik, adından da anlaşılacağı gibi, bu üsleri korumalıdır. Bu nedenle, her zaman olduğu gibi, elbette devlete güvenmek gerekir, ancak ona güvenmemek gerekir. Ve bazı şirketler, devleti beklemeden başka yolları seçtiler. Örneğin, bu piyasayı ve içinde çalışanları itibarsızlaştırma yolunda. Basitçe söylemek gerekirse, devlet bizi koruyamazsa, o zaman casusluk oyunlarını kendimiz oynamayı öğrenmemiz gerektiği ilkesiyle hareket ederek, sıradan "yanlış bilgi" saçıyorlar. Ve birçoğu iyi çalışıyor. "Sipariş edildiğini" öğrenen bir şirketin, saldırganın çaldığı gerekli tüm bilgileri kendisinin hazırladığı bir durum biliyorum. "Müşteri" sorunun ne olduğunu anladığında, kendisinin yanında olduğunu söylüyorlar. Ve konunun fiyatı yüksekti. Tarih, bu bilgiyi elde edenlere ne olduğu konusunda sessiz, ancak söylentilere göre, bu olaydan sonra, çalışanlar da dahil olmak üzere, bu şirketin faaliyetleri hakkında gizli bilgi edinmek isteyenlerin sayısı keskin bir şekilde azaldı.

Bu arada, veritabanlarının hırsızlığını durdurmaya yönelik herhangi bir tüzük olmadığını söyleseler de, mesele çoğu zaman içlerinde değildir. Evet, gerçekten tüzüklerle ilgili bir sorun var. Ancak hırsızlıkların çoğunda, daha önce de söylediğimiz gibi, suçlular kuruluşların kendileridir. Bu arada, mahkemelerde bilgi çalan kuruluşlardan pratikte hiçbir itiraz yoktur. Bu basit bir şeyle açıklanabilir: kimse kirli çamaşırları toplum içinde yıkamak istemez. Bu genel olarak anlaşılabilir, ancak diğer yandan saldırganlar için konuyu büyük ölçüde basitleştiriyor. Mesele şu ki, firma, çalışanının bilgi çaldığını kesin olarak bilse ve bu çalışanı dava etmek istese bile, firmanın davayı kazanma olasılığı çok düşüktür. Aynı dikkatsizlikten dolayı: Çok az sayıda şirket, çalışanlarla düzgün bir şekilde sözleşmeler yapar, yani çalışanın gizli bilgilerle uğraştığı gerçeğine aşina olduğu ve eğer onun için ne olacağı açıkça belirtilir. bu bilgiyi ifşa edecektir.

Sosyal mühendislik ve sosyal programlama arasındaki temel farklar

Sosyal mühendisliğe ek olarak, terimini de kullanacağız. "sosyal programlama", ki bu, ilk bakışta toplum mühendisliğine benzer görünse de, aslında ondan çok farklıdır. Bu bölüm, terimlerdeki bu karışıklığı sona erdirmeye ayrılmıştır.

Sosyal mühendislik Belirlenebilir güvenlik sistemlerine girmek ve önemli bilgileri çalmak için bir kişinin veya bir grup insanın manipülasyonu olarak. sosyal programlama herhangi bir bilgisayar korsanlığı türünden bağımsız olarak kullanılabilir, ancak örneğin saldırgan bir kalabalığı engellemek veya bir sonraki seçimde bir adayın zaferini sağlamak için herhangi bir şey için kullanılabilir veya tam tersi, bir adayı karalamak ve bir barışsever kalabalık saldırgan. Burada belirli bir bilgisayardan bahsedilmemesi önemlidir. Bu nedenle, bir kişiye yönelik bir saldırıdan bahsederken sosyal mühendislik terimini kullanacağız. bir bilgisayar sisteminin parçası, Şekilde gösterildiği gibi. 1.1.

Not

Bazen sosyal mühendislik terimine ek olarak terim de kullanılır. tersine toplum mühendisliği Sonuç olarak, tersine toplum mühendisliği ile bir kişiyi doğrudan hiçbir şeye zorlamazsınız, ancak size hitap ettiği koşulları yaratırsınız. Örneğin, telefon teknisyeni kılığında bir kuruluşa gelmeniz gerekiyorsa, içeri girip telefon kutularını kontrol etmeye başlayabilirsiniz. Bu, bu terminolojide sosyal mühendisliktir. Ve bunu farklı şekilde yapabilirsiniz. Belirli bir organizasyonda telefon teknisyeni olarak tanındığınız bir durum yaratırsınız. Ondan sonra telefonlara bir şey olmasını beklersiniz veya onlarla kendiniz bir şeyler yaparsınız ve sakince bir arama bekleyip gelmesini istersiniz. Bu tersine toplum mühendisliğidir. Yani birdenbire ortaya çıkan siz değilsiniz, sizden gelmeniz isteniyor. Tabii ki, ikinci durum, sizden tüm şüpheleri ortadan kaldırdığı için daha çok tercih edilir. Yetkili sosyo-mühendislik yaklaşımları bu şekilde oluşturulmuştur, bu nedenle bu terimi gereksiz görüyoruz ve kullanmayacağız.

Sosyal programlama, davranışlarını değiştirmek veya doğru yönde tutmak için bir kişiyi veya bir grup insanı kasıtlı olarak etkileme yöntemlerini inceleyen bir bilim olarak adlandırılabilir. Bu nedenle, özünde, sosyal programcı, insanları yönetme sanatında ustalaşma hedefini belirler. Sosyal programlamanın temel kavramı şudur: insanların birçok eylemi ve çoğu durumda şu veya bu dış etkiye tepkileri tahmin edilebilir. Genel olarak konuşursak, şey çok ilginç. Ama çoğunlukla, bu doğrudur. Sosyal programcıların çalışma yöntemlerinin genel şeması, Şek. 1.3.

Pirinç. 1.3. Sosyal programcıların çalışma yöntemlerinin genel şeması

Sosyal programlamada, bir etki şemasının geliştirilmesi, sondan, yani istenen sonuçtan ilerler. Size çok basit ve çok kötü bir örnek vereyim. Patrondan çok rahatsız olan biri, örneğin bir vekil olsun. Diyelim ki bu vekil patronunun kalbinin kötü, damarlarının zayıf olduğunu biliyor, kalbi kötü olan da “cam öpmeyi” çok seviyor. Akrabalar, elbette, neredeyse topuklarında ve bu bardağı alıyorlar ve hatta çalışıyor. Ve vekilimiz. öyle ya da böyle, patron hasta bir kalbi olan birini kasten lehimlemeye başlar. Sonunda, gemiler başarısız olur. Hemorajik inme. Milletvekili şef şef oldu. Cenazede en çok o ağladı ve ardından ailenin en yakın arkadaşı olarak kaldı. Aslında aile reisini öldürmesine rağmen.

Sosyal programlama yöntemleri neden suçlular için mükemmeldir, ya yukarıdaki örnekte olduğu gibi hiç kimse onları bilmeyecek ya da birileri bir şey tahmin etse bile böyle bir rakamı kovuşturmak çok zordur. Eh, "İnmeye sürüş" ceza kanununda bir makalemiz yok. Ve eğer varsa - git ve her şeyin böyle olduğunu kanıtla, çünkü "getirilen" her şeyi tamamen gönüllü olarak yaptı, yetenekli, kimse onu hipnoza sokmadı, onu herhangi bir elektromanyetik ışınla ışınlamadı ...

Bunu, sosyal programlamanın olumsuz uygulamasının oldukça klasik ve çok basit bir şemasını düşündük. Farklı varyasyonlarda, tarihi hatırlayacak olursak, bu şema eski zamanlardan beri faaliyet göstermektedir. Bu durumda istenen sonuç, rakibin fiziksel olarak ortadan kaldırılmasıdır. Yani amaç formüle edilmiştir. Daha fazla psikofiziksel özellikler üzerinde çalışıldı, bunun sonucunda içme eğilimi ve kronik kardiyovasküler hastalıkların varlığı netleşti. Ardından, doğru kullanıldığında planlanan sonucu veren bir maruz kalma ölçüsü (aşırı alkol tüketimi) geliştirilir. Bir kişinin davranışının onun için doğal olması çok önemlidir. Hangisi ilginç. Bunun için psikofiziksel özelliklerin hesaplanması yapılır. Çünkü aksi takdirde sosyal programlama olmazdı. Sonuçta, örneğin bir manyak katil, kendisi için bir kurban seçtiğinde ve onu öldürecekse, kurbanın gelecekteki davranışını da bilir ki, kendisi hakkında hala bilgi sahibi değildir (kısa bir süre sonra olmayacaktır). bu dünyada). Ancak, itiraf etmelisiniz ki, bu durumda kurbanın davranışı pek doğal olarak adlandırılamaz: manyaklarla görüşmenin onun doğal eğlencesi olduğunu hayal etmek zor. Bu nedenle, sosyal programlama, belirli bir kişi için, bu kişinin psikotipinin bilgisine dayanarak bu kişinin nasıl davranacağını bildiğiniz bir durumu yapay olarak simüle ettiğiniz zamandır. Aynı şey bir grup insan için de geçerlidir.

Not

V Bölüm 3 Birkaç sosyal programlama örneğini daha ele alacağız, örneğin, saldırgan bir kalabalığın hangi yollarla pasifize edilebileceğini analiz edeceğiz ve ayrıca son zamanlardaki kötü şöhretli "tuz krizinin" sosyal medyanın yardımıyla nasıl yaratılabileceğini düşüneceğiz. programlama yöntemleri.

Sosyal programlama aşağıdaki psikolojik kavramlara dayanmaktadır:

Işlem analizi (bkz. bölüm 6);

Sosyoloji (grup davranışı bilimi) (bkz. bölüm 8);

Nörolinguistik Programlama (bkz. bölüm 7);

komut dosyası programlama (bkz. bölüm 6);

psikolojik tipoloji (bkz. Ek 2).

Sosyal programlama, sosyal mühendisliğin aksine, hangi sistemin parçası olduklarına bakılmaksızın tüm insan kategorileriyle çalıştığı için daha geniş bir uygulama alanına sahiptir. Her iki durumda da yöntemler benzer olsa da, sosyal mühendislik her zaman yalnızca bir bilgisayar sisteminin parçası olan bir kişiyle çalışır.

Bir diğer önemli fark, sosyal mühendisliğin neredeyse her zaman olumsuz bir uygulama alanı olması, sosyal programlamanın ise herhangi bir bilgi alanı gibi hem olumlu hem de olumsuz uygulama alanlarına sahip olmasıdır. Sosyal programlamanın olumsuz bir uygulama alanına bir örnek sadece sosyal mühendisliktir.

Bu nedenle, bir bilgisayar sisteminin parçası olması durumunda veya sadece çalınması gereken gizli bilgilerin taşıyıcısı olması durumunda bir kişiyi manipüle etmekten bahsettiğimizde, sosyal mühendislik hakkında ve söz konusu durumda yönetim hakkında konuşacağız. genel olarak insanlar, sosyal programlama hakkında konuşacağız. Kitabımız sosyal mühendislikle ilgili, ancak bazen birçok yöntemin özünü daha iyi anlamak için sosyal programlamaya girişeceğiz.

Sosyal programlama hakkındaki konuşmayı bitirmek için insanları ne kadar ustalıkla manipüle edebileceğinize dair ünlü bir örnek vereceğiz.

Bir büyükusta postada, kendisini genç bir acemi satranç oyuncusu olarak tanıtan bilinmeyen bir kişinin uzaktan satranç oynamayı teklif ettiği bir mektup aldığında. Uzak, çünkü hamleler postayla gönderildi. Büyük ustaya kazanması için çok büyük bir para sözü verildi ve eğer beraberlik olursa ya da Allah korusun, büyük usta kaybederse parayı öder. Doğru, genç bir satranç oyuncusu kaybederse alacağı miktarın yarısı. Büyük usta tereddüt etmeden kabul etti. Bahis yapıp oynamaya başladık. Ünlü büyükusta ilk hamlelerden itibaren "bedava" para kazanamayacağını anladı, çünkü ilk hamleler genç bir satranç oyuncusu için umut verici bir usta verdi. Direğin ortasında, büyük usta huzurunu ve uykusunu kaybetti, sadece gelecek vaat eden bir usta değil, aynı zamanda çok büyük bir usta olduğu ortaya çıkan rakibin sonraki hareketlerini sürekli olarak hesapladı. Sonunda, uzun bir süre sonra, büyük usta oyunu zorlukla çizmeyi başardı, ardından genç adama bir sürü iltifat yağdırdı ve ona para değil, desteğini teklif etti ve bu tür yeteneklerle onu bir lider yapacağını söyledi. Dünya şampiyonu. Ancak genç satranç oyuncusu, dünya şöhretine ihtiyacı olmadığını ve sadece bahsin şartlarını yerine getirmek, yani kazandığı parayı göndermek istediğini söyledi. Büyük ustanın isteksizce yaptığı şey. Buradaki manipülasyon nerede, soruyorsunuz? Ve buradaki manipülasyon, büyük ustaya karşı oynayan genç bir adam değil, ... genç adamdan tam olarak aynı mektubu alan ve aynı şekilde "çabuk ekstra para kazanmayı" kabul eden başka bir büyük büyük ustaydı. Tam olarak aynı koşullarda: genç bir adam ona bir galibiyet için büyük bir meblağ öder ve bir büyük usta genç bir adama bir mağlubiyet veya beraberlik için ödeme yapar. Sonuç olarak, iki büyük satranç oyuncusu yaklaşık altı ay kendi aralarında savaştı ve modern anlamda genç "yetenekli satranç oyuncusu" posta rölesi olarak çalıştı, yani sadece mektuplarını birbirlerine gönderdi. Ve sonra, bir beraberlik sonucunda, her iki büyükusta da bu genç adama para gönderdi.

Sosyal Mühendislik Hack Örnekleri

Bu bölümde, toplum mühendisliğinin tarihçesinden biraz bahsedeceğiz ve ardından toplum mühendislerinin nasıl çalıştığına dair örneklerle devam edeceğiz.

Sosyal mühendislik tarihi üzerine

Ünlü hacker K. Mitnick'e genellikle "toplum mühendisliğinin babası" denir ve bu tamamen doğru değildir. Mitnick, insan manipülasyon sanatını bir bilgisayar sistemine ilk uygulayanlardan biriydi, "yazılım" değil, bilgisayarda çalışan kişiyi hackledi. Ve hafif eliyle, bir kişiyi manipüle ederek bilgi hırsızlığı ile ilgili her şeye toplum mühendisliği denilmeye başlandı. Bu kitapta Mitnik'ten sonra biz de benzer bir terminolojiye bağlıyız.

Aslında, bir kişiyi manipüle etmenin tüm yöntemleri uzun zamandır bilinmektedir ve temel olarak bu yöntemler, çoğunlukla çeşitli özel hizmetlerin cephaneliğinden sosyal mühendisliğe geldi.

Tarihsel not

Bilinen ilk rekabetçi istihbarat vakası, Çinlilerin Roma casusları tarafından kandırılan ipek yapma sırlarını kaybettiği Çin'de MÖ 6. yüzyıla kadar uzanıyor.

Sosyal mühendislik konusunda pek çok makalenin yazarı, başka bir kişinin kimliğine bürünerek bir tür gizli bilgi (genellikle şifreler) elde etmek için uygulamasını genellikle telefon görüşmelerine indirger. Ancak, sosyal mühendisliğin uygulama alanları çok daha geniştir.

Sosyal mühendisliğin ana uygulama alanları Şekil 2'de gösterilmektedir. 2.1.

Örnekler kullanarak bu alanların her birine daha yakından bakalım.

Pirinç. 2.1. Sosyal mühendisliğin ana uygulama alanları

Finansal dolandırıcılık

... Bahardı, aşk vardı. Orta ölçekli bir şirketin muhasebecisi Natasha, genç adam Ilya'ya özverili bir şekilde aşıktı. Çok güzel, çok tatlı, çok çekici. Onunla tesadüfen bir gece kulübünde tanıştılar ve orada Ilya'nın finans departmanının akşam bölümünde okumak için yakın zamanda şehirlerine geldiğini öğrendi. Eski çilingir, altın eller. "Ya o bir çilingirse," diye akıl yürüttü Natasha, "yakında öğrenecek ve finansör olacak." Meslektaşım, diyebilir. Genel olarak, büyük bir düğün planlanıyordu ve önünde sadece aşk ve birçok hoş şey vardı. Ve bunun finansal dolandırıcılıkla ne ilgisi var, soruyorsunuz? Ve gerçek hayatın Natasha'nın planlarına sert bir şekilde müdahale etmesine rağmen, aşka ek olarak acımasız bir aldatma da var. Ve bir gün bilgisayarından belirli bir şirketin hesabına önemli miktarda para aktarıldığını öğrendi. Böyle bir şey yapmadığını tam olarak hatırladı ve genel olarak kız çalışkandı ve kötü alışkanlıkları yoktu. Genel olarak, şok. Bu, sevgili İlya'nın aniden bir yerde kaybolması gerçeğiyle ağırlaştı. Bu arada, bu aldatmacanın İlya tarafından gerçekleştirildiği hemen tahmin edilmedi, çünkü hiç kimsenin böylesine çekici, çok sevimli, çok sempatik olabileceği hiç kimsenin aklına gelmemişti.

Ne oldu? Ve klasik bir arsa vardı. Büyüleyici Ilya, resmi konumundan yararlanmak için Natasha'ya aşık oldu. Hikaye çok sık oluyor, sadece hedefler farklı. Bu durumda amaç para çalmaktı.

Not

Bu durumda darbenin hedefi Natasha'nın aşk ihtiyacıdır. İlya'nın Natasha ile sevişmesi tabii ki çekicidir. Ayrıca buradaki çekicilik de kişinin niyetinin ciddiyetinin gösterilmesidir (hatırladığımız gibi, bir düğün hazırlanıyordu).

Ve böylece, Natasha'nın ofisinde bir iş gününde yalnızken uygun bir anı bekleyerek parayı istediği yere transfer etti. Kendisi ona bunun nasıl yapıldığını anlattı, çünkü sordu, sorularını eğitim için ilgilendiği gerçeğiyle motive etti (hatırladığımız gibi, Maliye Fakültesi'nde okudu ve aslında efsane ile ilgili her şey , bu durumda çok yetkin bir şekilde yapıldı). Bu konuşmalar sırasında İlya, baş muhasebecinin ve müdürün EDS'li (Elektronik Dijital İmza) disketlerinin nerede olduğunu öğrendi. Natasha bir aptal mıydı? Hayır, değildi. Natasha ile birlikte olduğu birkaç ay içinde, şirketin neredeyse tüm çalışanları, hızlı düğünlerini şahsen kutsayan ve Ilya'yı şirketin kadrosuna almaya hazır olan müdür de dahil olmak üzere İlya'ya aşık olduysa. yakın gelecek. Ve genel olarak, birçok şirketimizde paranın basitleştirilmiş bir prosedüre göre transfer edilmesi onun suçu değil. Kurallara göre para transferi nasıl olmalıdır? Örneğin, bir miktar transfer etmeniz gerekiyor. Baş muhasebeci gelir, EDS'si ile bir disket yerleştirir, sonra müdür disketini takar. Ve ancak bundan sonra para transfer edilir, çünkü bir EDS, bir müdür ve baş muhasebecinin varlığı - gerekli kondisyon para aktarmak için. Ve her şey kurallara göre yapılsaydı, elbette böyle bir saldırı düşünülemezdi. Ama ... en küçük şirket bile günde on transfer yapabilir. Şimdi yönetmenin her seferinde disketini çalıştıracağını ve yerleştireceğini hayal edin. Ve firma küçük değilse? Evet, kendi kendine işkence yapmaktansa şirketi kapatmayı tercih ederdi. Bu nedenle, EDS'li her iki disketin de parayı transfer eden muhasebecinin masasında yatması çok sık görülür. Açıklanan durumda olduğu gibi.

Peki İlya'ya ne oldu? Ama hiçbir şey yoktu. Çünkü her şeyi yaptıktan sonra hemen bir yerden ayrıldı. Ya başka bir şehre ya da başka bir ülkeye. Pasaport, elbette sahteydi, genellikle pasaport ofisinde olduğundan daha fazla pasaporta sahipti.

Not

Prensipte bizim için önemli olmadığı için, bu durumun daha da gelişmesini veya olası gelişimini dışarıda bırakalım. Para transfer edilmiş ve daha sonra nakde çevrilmiş olabilir ya da şirket çalışanları derhal "durumu geri aldı" diye nakit çekmek için zamanları olmayabilir. Mali dolandırıcılığın tarihi, her iki senaryonun da örneklerini bilir. Bizim için önemli olan, banka havalelerinin yapıldığı bilgisayara erişim gerçeğinin ta kendisidir ve bu transferin gerçeği yani sosyal hackleme ile ilgili çalışma aşamasının başarılı bir şekilde yapılmış ve yapılmıştır. Şirket (VE/VEYA olay hakkında bilgilendirildiyse yetkili makamlar) öncesinde nasıl para çekmeyi başarabileceğinizi, para çekmek için zamanınız olması için nasıl önlem alacağınızı vb. bu kitabın kapsamını aşıyor.

Dürüst olmak gerekirse, bu tür saldırılara karşı savunmak için evrensel bir öneri yoktur. Küçük varyasyonların doğruluğu ile bu hikaye, bir kereden fazla oldu ve kesinlikle bir kereden fazla olacak. Benzer durumlarda birçok yazar, daha dikkatli olmanız gerektiğini, talimatları kesinlikle uygulamanız gerektiğini ve bu tür şeylerin imkansız olacağını söylüyorlar. Elbette bu sözlere tamamen katılıyoruz, ama ne yazık ki bunlar sadece kelimeler. Gerçek hayatla alakası olmayan sözler. Ve konu ciddiye alınırsa, işin içinde ciddi, böyle şeylerin nasıl yapıldığını bilen ciddi insanlar varsa, nüfusun yüzde 90'ının bu tuzağa düşeceği garanti edilebilir. Ve birçok kez ve birden fazla. Bu nedenle, basmakalıplara boyun eğmeyeceğiz ve dürüstçe şunu söyleyeceğiz: garantili koruma yolları yoktur. Şimdi bir an için Natasha'ya değil, yönetmene aşık olduğunuzu hayal edin. Ve sonuçlarını hayal edin. Üstelik, tüm bunları yapmak çok zor değil: bir kişinin psikotipi belirlenir, buna dayanarak hangi kızlardan (veya erkeklerden) hoşlandığı bulunur - ve bir süre sonra kurban "bunu bulur" Hayatı boyunca hayalini kurduğu tek aşk." Tüm zamanların ve halkların en sevdiği dolandırıcılık yöntemi. Ve çok etkili bir yöntem çünkü kişinin fizyolojik ihtiyaçlarına dayalı bir saldırı. Burada fizyolojik ihtiyaçlardan alışılmış olandan daha geniş bir şekilde bahsediyoruz ve bu ihtiyaçlardan sadece yemek, seks vb. ihtiyacını değil, aynı zamanda sevgi ihtiyacını, para ihtiyacını, ihtiyaç duyduğunu da anlıyoruz. konfor vs vs. Ve böylece, bu ihtiyaçlardan biri hedef olduğunda, işler kötüdür. Bu anlamda çok zor. Ve akıllı sosyal mühendisler tam olarak bu ihtiyaçları hedefler. Düşündüğümüz saldırı, aşk ihtiyacının bir etki hedefi olarak seçildiği bu kategoriden.

uzun zamandır bilinmektedir ki, Büyük şehirler Rusya, baştan çıkarıcıları içeren tüm ajanslar var farklı türçok farklı, sofistike bir tat için. Varlıklarının amacı, zengin erkeği "boşanarak" kar elde etmektir. Gerçekten de, neden her şeyi daha kolay yapabileceğiniz zaman, biraz önce verilen örnekte olduğu gibi oldukça karmaşık bir kombinasyon oluşturun: kendi isteğiyle hesabınıza para aktaracak zengin bir adama aşık olmak. Bir hacker sürüsünü kiralamaya, finansal dolandırıcılığı tersine çevirmeye, yasanın eşiğinde denge kurmaya gerek yok - her şey öyle bir şekilde yapılabilir ki, bir kişi parayı kendisi verecek ve gönüllü olarak verecektir. İşin şeması aşağıdaki gibidir. İlk aşamada, ajansın çalışanları "müşteri" hakkında mümkün olan her şeyi öğrenir: ne tür yiyecekleri tercih ettiğini, hangi kitapları, hangi kızları, hangi arabaları, ne tür müzikleri - genel olarak, her şeyi. Burada bilginin gereksiz olamayacağı ilkesiyle hareket ederler. Bu, kurbanın zevklerine göre, onun için fizyolojik olarak reddedemeyeceği tek ve tek olanı seçmek için yapılır. Gerçekten de, ne tür bir erkek, sadece zevki ve güzelliği yazılı olmayan değil, aynı zamanda tutkulu bir futbol hayranı (elbette kendisi gibi) ve hatta aynı takım için kök salmış bir kadını reddeder. Ve, - ah, dehşet, bir keresinde onu bir arabaya bindirdiğinde, pişmanlık ve biraz cilve ile şunları söyledi:

- Volodya, bir şey için olmasa da, hayallerimin adamı olduğunu söyleyebilirim.

- Ama ne? - Bankacı Volodya, biraz uyanık, ancak tona bir şakacılık vererek soruyor.

- Klasikleri sevmiyorsun ...

- Neden? Neden böyle karar verdin, - hafifçe kekeledi ve daha şimdiden sesinde herhangi bir şakacılık olmadan sordu.

- Ve arabada her zaman bir tür pop müzik çalarsın, ama asla klasikleri açmadın ve pop müzikten nefret ederim.

- Daha önce söylemediğin şey, çünkü ben de klasikleri seviyorum, sadece sana itiraf etmekten korktum, beni modern görmeyeceksin sandım.

- Ne cehennem, modernlik, tüm bu "Musi-pusi, trol-wali, öp beni Lucy, parçalanıncaya kadar" diye kötülükle söyledi, - Bu güncel klasiklerden yaşamak istemiyorum. Beethoven'ın işi olsun... Bütün bu troller ona kıyasla...

"En sevdiğim besteci," diye düşündü ve yüksek sesle sordu:

- Beethoven hakkında en çok neyi seviyorsun?

"Sanırım Do minör Sonat," diye yanıtladı bir an düşünerek.

"En sevdiğim sonat," diye düşünüyor, "ah, korku... Hayır, böyle bir tesadüf olamaz. İlk defa, neredeyse delirdiğim ve klasikleri de seven güzel ve modern bir kızla tanıştım. , ve dahası Üstelik klasiklerde bile zevklerimiz örtüşürdü.Fakat ben niye öyle düşünüyorum ki?Yalnızca Rabbin bana bunu göndermesini hak etmedim mi?Çocuklara biraz yardım etmedim mi? 5 nolu yetimhaneye bağışlanan para? Belki bu, akıllı yazarların akıllı kitaplarda bahsettiği, arkadaşlarımın sadece alaycı bir şekilde güldüğü iyi işler için ödüldür. Belki her şey yanlıştır? Param genel olarak ilgilenmeyi bıraktı her şeyde, sadece evde oturuyor, hepsi şişmiş ... Ahh, bakması tatsız. Ayrıca, güvenlik servisi, kadınları "suda" seven genç bir programcıyla, yan taraftaki biriyle birlikte göründüğünü bildirdi. o, kadınlardan hoşlanır. o zaman, işte benim aptalımı paramdan cezbediyor. Ya da belki yakınlarda olan bu da para yüzünden? Peki, şimdi ona soracağız ... "

- Marin, bu edepsiz soru için özür dilerim ama ne yapıyorsun?

- Volodya, ben bir mankenlik ajansının yöneticisiyim. Volodya, seni baştan çıkarmak için kasten arabana bindiğimden şüpheleniyorsan, o zaman bu basitçe çözülebilir. Arabayı durdur lütfen. Burada, eğer zor değilse.

- Evet, nesin sen Marina! Ben sadece eğlence için...

"Tanrım, aklımı okuyor gibi," diye düşündü. "Aptal. Sen, Volodya, artık bankayı yönetmene gerek yok ama Kaschenka'ya git ve seni şüphelerinden kurtarmak için gönüllü olarak teslim ol. Onu öylece bırakamam. Böylece hiçbir yere böyle gitmez ve belki de Seni bir daha asla görmeyeceğiz. Hayır, böyle bir mutluluk kaçırılmamalı, "diye düşünmeye devam etti, kendini aşırı sağ şeride yeniden yerleştirdi. "Peki ya çocuklar?" - sert bir iç ses sordu. - "Aileyi yok ettiğinizde çocuklara ne söyleyeceksiniz?" “Çocuklar zaten büyüdüler ve oldukça bağımsızlar” diye yanıtladı iç sesine, “onlara verdiğim para çocukların tüm“ eteklerin” peşinden koşması için yeterli değil ve benim tarafımdan alınmamalılar. , Benim de sevmeye hakkım var ama onlar için çok az şey yapmadım. prestijli üniversiteler, yılda üç kez yurt dışı tatili, sonunda aşklarına sponsor oluyorum. Ve bu arada çocuklar, bir kez bile babamın nasıl olduğunu sormadılar. "

- Deniz, - sonunda karar verdi, - bugün rahat bir restoranda oturmamızın bir sakıncası var mı?

- Dürüst olmak gerekirse Volodya buna karşı.

- Neden?

- Hayır, seninle bir akşam geçirmekten çekinmiyorum, ilk defa Do minör sonat aşkıyla zenginliği birleştiren bir adamla tanıştım. Benden çok daha zengin insanlarla çok konuştum ve hepsinden bir şeyler işe yaramaz bir izlenim bıraktı. Ve sen başka birisin ... Ve dürüst olmak gerekirse, seninle en azından biraz olmak istiyorum, ama daha uzun süre yalan bile söylemeyeceğim. Ama restoranları sevmiyorum...

- Marin, dürüst olmak gerekirse, ben de onlardan nefret ediyorum! Haydi o zaman, bazen kendimle baş başa kalmayı sevdiğim ikinci daireme. A? Seni şimdi arayacağım, yiyecek, şarap getirecekler, akşam oturacağız ...

- Hayır, acele bir şeyler hazırlayayım. Yemek yapmayı gerçekten çok seviyorum, ama ne yazık ki, şimdi sık sık kendim yapmayı başaramıyorum, ama işte böyle bir durum.

- Katılıyorum, tabii ki kendin istiyorsan. Gizli değilse ne pişireceksin?

- Gizli. Göreceksin. En sevdiğim yemeği yapacağım. Dedikleri gibi, zevklerimizi kontrol edelim.

"Böyle sürprizlerden nefret ediyorum, şimdi sizin yiyemeyeceğiniz bir şey yapacak ve kendinizi zorlamanız gerekecek, aşçımı sevdiğim şeyi pişirmeye davet etmek daha iyi olur ..." ...

- Marinochka, bu ne biçim yemek, - Marina taze hazırlanmış bir "imza yemeği" ile oturma odasına girdiğinde, düşündüğünü tam olarak düşünmeden bağırdı.

- Volodya, böyle bağırmana gerek yok. Sadece havyar soslu somon balığı.

- Nasıl ... Nasıl bildin?

- Neyi öğrendin?

- En sevdiğim yemek nedir?

- Evet?! Dürüst olmak gerekirse, bilmiyordum bile. Volodya, ortaya çıktığı gibi, seninle çok ortak noktamız var ... Ve bu, dikkat et ve en sevdiğim yemek, bana babam tarafından öğretildi, Pasifik Filosunda subay olarak görev yaptı ve bazen bayramlarda bizi bu incelikle şımarttı.

... İşte böyle, her şey bazı varyasyonlarla olur. Volodya ve Marina arasındaki ilişkinin nasıl geliştiği hakkında konuşmaya devam etmeyeceğim. Diyelim ki Volodya gönüllü olarak Marina'nın hesabına büyük meblağlar aktardı, böylece kendini hiçbir şeyi inkar etmeyecek, ailesinden ayrıldı ve hatta Marina'yı mankenlik ajansından ayrılmaya ikna etti, böylece mümkün olduğunca sık onunla olacaktı. Kendisine aktarılan meblağların yüzde 40'ının Marina tarafından kendi aralarında kendi tabirleriyle acente sahibi "Şahin"e aktarıldığını öğrenmiş olsaydı, mutluluğu büyük ölçüde gölgede kalırdı. Ve Volodya'nın ona verdiği arabayı, ondan ayrıldıktan sonra satmak ya da "Şahin" e vermek için değerinin yüzde kırkını parasal olarak bulmak zorunda kaldı. Volodya, Marina ile görüşmesinin tüm istihbarat kurallarına göre düzenlendiğini de bilmiyordu. Arabasındaki sorunun simüle edildiği ve o anda yanında olduğu gerçeği de sahteydi. Ayrıca bu tür rastgele toplantılar için birçok seçenek olduğunu da bilmiyordu. Ayrıca, Marina'nın kendisi hakkında topladığı veriler, onları uyuyan ve Vladimir Anatolyevich'in uyuyan insanlara iyi bir miktarda satan "shahina" ya aktarıldığından, yakında banka müdürü olmayı bırakacağını da bilmiyordu. zengin banka müdürü olmayı bırakacak, ama fakir bir hademe olacaktı. Ve elbette, işlerinde bir çöküş meydana geldikten sonra, Marina'nın onu terk etmek için kullanacağı çok sinirli bir insan olacağından şüphelenmedi. Şimdi çok zengin bir kadın, çünkü şimdi talihsiz Volodya'dan "sifonladığı" para, "Şahin" e verilen faizi bile çıkarsa, çok uzun bir süre rahat bir varoluş için onun için yeterli olacak.

"Tesadüfi karşılaşmalar" üzerine küçük bir yorum

Sosyal bilgisayar korsanları, "şans eseri karşılaşmalar" organizasyonundaki rıhtımlardır. Onlar tarafından, esas olarak özel hizmetlerin cephaneliğinden bir takım teknikler ödünç alındı, ancak birçoğunun kendi yaratıcılığı inkar edilemez. Tabii şu an bahsettiğimiz baştan çıkarıcıların arkasında, tüm bu gösterileri sahneleyen pek çok “görünmez cephenin savaşçıları” var. "Tesadüfi toplantı" operasyonu, tüm bu büyük oyunda önemli bir aşama olduğundan ve ilk aşamanın verilerine dayanarak, mağdurun psiko- ve sosyotipini oldukça doğru bir şekilde tahmin eden psikologların önerileri dikkate alınarak planlanmıştır. ve belirli bir durumda müşterinin davranışını tahmin edin. Sonuçta, bir "müşteri", ilk toplantıdan hemen sonra "yüzebilir", ancak diğerine daha inatçı ve şüpheli bir yaklaşıma ihtiyaç vardır - onunla birkaç kez görüşmeniz gerekir, ilk konuşma sırasında hiçbir şey hakkında konuşmamalısınız. hiç ciddi. Bu, örneğin kurbanın "yanlışlıkla" asansöre verdiği kızın, örneğin cep telefonunu "yanlışlıkla" arabasında unuttuğu anlamına gelir. Tercihen onun tercih ettiği modelin aynısı. Buluşmak için bir sebebin olsun. Ve üçüncüsü, örneğin, hiç kimseyi arabasına koymuyor. Bu nedenle, evinin kapısında bacağınızı bükmeniz veya bayılmanız gerekir. Ve düşerler ve iyi düşerler, çünkü tüm bunlar önceden bir kereden fazla prova edilir. Ve dördüncüsü, çok güzel kızlar tarafından bile gerçekleştirilen diğer insanların bayılma büyülerini umursamıyor, çünkü bir kişi çok zalimdir ve bir "kaltak" tercih eder ve bulaşmaz, işte değil işte bayılır. Bunun için, kızın arabasının havalı arabasına çarptığı bir araba düzeni düzenlenir. Tabii ki, arabada oturuyor, güvenliğinin "karayolu trafik kurallarını ihlal eden" ile ilgilenmesini bekliyor ve aniden gırtlaktan bir kadın sesi duyuyor: "Hey, korumalar, yataktan kalkın. Bana ne kadar olduğunu söyleyin. Babana borcum var, parayı al ve dışarı çık, zor kadın payımın tadını çıkarmak için beni rahatsız etme. Ve direksiyondaki salağa, direksiyondaki kadın görür görmez arabasından dik inmesini söyle. " Başkentin merkezindeki birkaç büyük benzin istasyonunun ve bir küçük petrol rafinerisinin sahibi olan zalim adam Pyotr Semyonovich, bu alçak gırtlaktan gelen sesi dinliyor ve bilinçaltında bu sesin "hayallerinin kaltağı"na ait olduğunu anlıyor. Ve ona kendi gözleriyle bakmaya karar verir. Ve ondan sonra ortadan kayboldu. Çünkü, bakarken, bunun tam olarak geceleri onu hayal eden kız olduğunu bilinçli olarak fark etti. Beşincisi için, paraya ek olarak, göğüs göğüse dövüşmeye ve kendine değer verme duygusuna hâlâ takıntılı olan, hayallerinin kızının ve birkaç havalı görünümlü ve dağınık salağın katıldığı bir performans sahnelenir. Bu salaklar oradaki güzel kıza yapışıyor ve aman Tanrım, elbisesini bile yırtıyorlar. Doğal olarak, "müşterinin" görüş alanında. Ve kendini bir kavgaya atmaya ve kıza yardım etmeye karar verir ve acele eder ve sadece eğitimli yumruklarının altındaki dişler uçar ve holiganlar darbelerinden farklı yönlere dağılır (çünkü onlara "daha uzak ve daha güzel" olduğu söylenir. uçup giderler, daha yüksek performans ücreti "). Kız, elbette, gözyaşlarıyla ona teşekkür ediyor ve doğal olarak, onu bir asansöre veriyor (peki, yırtık bir elbiseyle nereye gidiyor) ve elbette, konuyla ilgili olarak ona şarkılar söylüyor. "ne kadar cesur ve neredeyse ona sahip olan o piçlerden nasıl akıllıca çıktı ... ".

Not

Bu arada, seçimlerden önce bazı adaylar tarafından genellikle aynı performanslar sahneleniyor. Bazı serserilere rüşvet veriyorlar, "Ne zaman bir araba görseniz hemen acele edin... Evet, arabanın altından değil, başkaları arabanın altından koşacak, ama herhangi bir güzel kıza. Ve ona vurmaya başlayın. Olmadan." Yaralar, ama çığlık atsın diye." Açık mı? Beyaz pantolonlu ve beyaz ceketli bir adam nasıl bu arabadan çıkıp sizi dövmeye başlar, ona hemen boyun eğmezsiniz, aynı zamanda biraz da karışırsınız. O farkındadır ve gücenmez.Ve hepinizi dövdükten sonra, tercihen çığlıklar ve iniltilerle bu yerden dağılsınlar ve... Evet, yaralarınızı evde yalamamak için sert vurmayacak, ama karakola. Ve falanca tarihe kadar şehirde olmaman için. İşte biletler. "Ve eğer birinin bir sözü varsa... Eh, aptal değil, kendini biliyorsun." Sonra her şey plana göre gidiyor: arabayı görünce, "holiganlar" kıza acele ediyor, beyazlı kahramanımız onu kahramanca "öfkeli gençlerin" pençelerinden çekiyor, basın elbette orada. Basın nereden biliyordu? Ama hiçbir şekilde. Sadece yanlışlıkla yakındaki şehrin hayatından bir röportaj çekiyordu, tabii ki adayın genel merkezi bunu biliyordu. Bundan sonra, gazetelerin tüm sayfalarında ve şehir haberlerinin ilk dakikalarında, bir kavgadan sonra, artık beyaz olmayan bir ceketle "saldırı kurbanı" olan bir kızı teselli eden bir aday gösteriyorlar. Ardından, mütevazi bir şekilde gülümsediği ve "hayatta hep böyle olmuştur" dediği adayla röportaj yaparlar. Sonra kız, içtenlikle (kimse ona ödeme yapmadı) birçok röportaj veriyor: “Diğerlerinin nasıl olduğunu bilmiyorum, ama sadece bir şükran göstergesi olarak kesinlikle Boris Viktorovich'e oy vereceğim. Kimse gelmedi, ama o ... Ona teşekkür ederim ".

Kuruluşun pazarlama planları hakkında bilgi

Bir organizasyonun pazarlama planları hakkında bilgi edinmek ve çağın ötesinde kalmak, herhangi bir rakip için belki de en lezzetli lokmadır. Sosyal mühendislik bunu yapmanın en kolay yoludur. Sayısız güvenlik duvarını atlayarak ağı kırmaya ve pazarlama stratejisi ile bu belgenin bulunduğu makineyi aramaya gerek yoktur. Hissedarlar toplantısında veya CEO ile bir toplantıda böcek yerleştirmeye gerek yok. Lazer ışını ile bir pencere camının titreşimleri hakkındaki bilgileri kaldırmak gerekli değildir ... Bunların hepsi çok pahalıdır ve her zaman güvenilir yöntemler değildir. Sosyal mühendisliğin en basit yöntemlerini kullanabilirsiniz. İki basit örnek. Bir keresinde bir şirketin genel müdürüne bilgisayar ağlarına sızacağıma ve tüm pazarlama planlarını çalacağıma, okuyacağıma ve sonra tekrar satacağıma dair güvence verdim. "Üç güvenlik duvarı, bilgi güvenliği ile uğraşan, uzmanların harika olduğu bütün bir departman"ın imkansız olduğunu söyleyerek güldü. Yapamazsın, derler. Çünkü prensipte imkansız. Ancak anlaşmazlık, dedikleri gibi kabul edildi. Ağın elbette dikkatleri başka yöne çevirdiği söylendi. Aslında, hiç kimse herhangi bir ağa girmeyecekti. Her şey daha basitti.

Not

Sosyal mühendisliğin, rekabet istihbaratı ve benzerleriyle uğraşan dolandırıcılar arasındaki popülaritesi, bize göre, sosyal mühendislik yöntemlerinin çoğunun basit olmasıyla ilişkilidir. Bazen o kadar basittirler ki onları bir kitapta anlatmak bile ilginç değildir. Ne de olsa sosyal mühendisliğin ne olduğu çok açık, çünkü bu teknik sinemada ilk kez 50. yılda gösterildi. Ve sonra çeşitli varyasyonlarda yüzlerce kez gösterdiler. Kimse onun için düşmeyecek. Ve ... çoğunluğun aşık olduğu basit hileler olduğu paradoks. Ancak, belirli bir tekniği uygulamak için, iyi bir psikoloji hakimiyeti gerektiren karmaşık bir kombinasyon gerektiğinde bile, örneğin rekabetçi zeka ile uğraşanlar için sosyal mühendislik tekniklerini uygulamak, teknik zeka ile uğraşmaktan hala daha kolaydır. Diğer şeylerin yanı sıra, sosyal mühendisliği uygulamanın birçok kez daha ucuz olacağı önemli faktörden yola çıkarak.

Fuarda firma stantlarını ziyaret etmek

Bilgilerin çoğunu toplamak için, ürünlerinin bir sonraki fuarında bu organizasyonun standını ziyaret etmek yeterli oldu. Standlarında bulunan yöneticilerin çoğu, en ufak bir ilgi göstermeniz halinde, size ürün hakkında bildikleri her şeyi ve gelecek beklentileri anlatmaktan mutluluk duyacaklardır. Çoğu zaman, sadece ayakta durmanız ve dikkatlice dinlemeniz gerekir (ya da sadece dinlemeyin, hafıza için umut etmiyorsanız, bir diktafona kaydedin).

Not

St. Petersburg'lu bir şirket, rakiplerinden sos yapma sırrını böyle çalmış, neredeyse onları mahvediyormuş. İnsanlar çok şaşırtıcı yaratıklar, rakip bir şirketin çalışanları tarafından işkenceye uğradıklarında sessiz kalabiliyorlar ama aynı zamanda sergide karşılaştıkları ilk kişiye tüm sırlarını seve seve açıklayacaklar.

Doğal olarak, aynı zamanda saygın bir müşteri gibi görünmelisiniz ve rozetinizin "JSC Mikron Başkanı" gibi çok önemli bir şeye sahip olması arzu edilir.

Not

Ama kendilerine başkan diyorlarsa, başkan gibi görünmeleri gerekir. Bu, kendinizi yüzüklerle, zincirlerle asmanız gerektiği anlamına gelmez, aksine - mütevazı giyinebilirsiniz: zaten önemli bir insansınız ve artık bir izlenim bırakmanıza gerek yok. Ancak zevkli bir şekilde giyinmeli, çok düzgün olmalı ve önemli bir şekilde davranmalıdır: bir başkan gibi. Bu konuda biraz daha - daha sonra "Bir role alışmanın önemi üzerine" notunda.

Yönetici özellikle konuşkan değilse, yöneticinin organizasyonu olumsuz bir ışık altında sunmaktan korkmasına yönelik bir dizi basit numara uygulayabilirsiniz (evrensel şemamızda hedef budur. Cazibe olabilir, çünkü örneğin, yapay olarak yaratılmış olsa da öneminiz - rozet ve davranışla). Örneğin, kendinizi bir tür başkan olarak tanıtan siz, "Bu yıl yeni neler var? Bu konuda bir şey biliyor musunuz?" diye sorabilirsiniz. Birisi hemen söyleyecek, biri söylemeyecek ... Sessiz olana şöyle diyebilirsiniz: “Tamam, bilmiyorsanız Maryashevich'i kendim ararım, ona sorarım” (adı) genel müdür ve diğer tüm önemli kişiler bilinmelidir). Ve ayrılıp mırıldanarak, "şeytanı gönderiyorlar, bu tür olaylara bilgili birini de gönderebilirlerdi"... Önemli bir nokta: Bir önceki soru, o kadar sinirlenip cevap alamadığınız bir önceki soru, sizin için önemli olmalı. sen, ama ... pek değil. Çünkü bir süre sonra başka stantlarda dolaşıyorsunuz. zaman geri gelecek ilgilendiğiniz kürsüye çıkın ve sizin için gerçekten önemli olan bir soru sorun: "Ama şunu biliyorsunuz, o adamlarda her şey iyi yazılmış ve siz de aynısını yapacaksınız yoksa hemen onlarla bir anlaşma mı yapmalıyım?" Ve bunu büyük olasılıkla anlatacak, çünkü etkili yönetmeni Maryashevich'ten korkuyor ve gereğinden fazla anlatacak.

Not

Tanıştığım tek zaman, son derece arkadaş canlısı olmasına rağmen, mümkün olanın ötesinde bir şey söylemeyen bir yöneticiydi. Yönetici, bazen böyle "insanlara çıkmayı" seven bu işletmenin genel müdürü olduğu ortaya çıktı.

... Yöneticiden çok şey öğrendikten sonra işletme çalışanları ile görüşmeye gittim.

Kilit Kişiler Mülakat

Bir röportaj yapmak, işletmede neler olup bittiğini öğrenmenin en basit ama aynı zamanda en çekici yollarından biridir: hangi pazarlama planları, kim kime karşı arkadaş, kim kimi gücendirdi ... Yöntem gerçekten basit, ama aynı zamanda çok etkili. Buradaki hedef, insanların kendi değerlerine dair algılarıdır. İnsanlar değerlerini hissetmek isterler, diye yazdı Carnegie bu konuda mükemmel bir şekilde ve bu duyguyu tatmin etmek için genellikle her şeyi, herhangi bir güvenliği unutuyorlar. Bu nedenle, çoğu röportaj vermekten mutluluk duyar (özellikle bu televizyon için bir röportaj ise). Ve bir sosyal bilgisayar korsanı için, böyle bir kapak çok güvenilir ve kârlıdır, çünkü çok utanmadan, şüphe uyandırma riski olmadan hemen hemen her soruyu sormaya izin verir.

Not

alma kullanışlı bilgi bilgi toplama nesnesi olduğundan şüphelenmeyen biriyle yaptığı konuşmadan, gizli sorgulama Gizli sorgulama, ihtiyacınız olan bilgiyi ustaca elde etmenizi sağlayan bir dizi tekniktir. Bu taktik, mallarını satan psikolojik okuryazar satış görevlileri, bir hasta hakkında bilgi edinmek için psikoterapistler ve diğerleri tarafından kullanılır. Doğal olarak, sosyal bilgisayar korsanları da kullanır.

Görüşülen kişinin ilgilendiğiniz soruya geçebilmesi için biraz "dokunulmuş" olması gerekir ki bunun için bazen "Fakat A kuruluşu (rakip bir kuruluş adı verin), gazete Vesti" gibi bir cümle söylemesi yeterlidir. Rossii "ürünlerinin tesisinizdeki benzer ürünlerden çok daha üstün olduğunu mu söylüyor?" böylece görüşülen kişi, yerel girişiminin onurunu savunmak ve bu ürün hakkında bildiği her şeyi anlatmak için acele eder. Ancak o zaman rakiplerinin küstahlığını kendi gözleriyle görmek için bu gazetenin sayısını aramak için acele edecek ve elbette bu sayıyı bulamayacak. Ve bu isimde bir gazete de bulamayacak. Daha fazla inandırıcılık için, bazen bir röportaj için bu gazetenin tek bir kopyasını özellikle röportaj için yazdırabilir veya röportaj sırasında bahsettiğiniz makaleyi gösterebileceğiniz bir gazete web sitesi oluşturabilirsiniz. Tabii ki, toplamda, bu kadar küçük şeyler üzerinde çalışmak zaman alabilir ve finansal giderler, ama buna değerse, bu küçük şeylerden ne kadar çok sağlanırsa o kadar iyi. Çok daha muhteşem görünüyor ve başlangıçta olsalar bile herhangi bir şüpheyi pratik olarak geçersiz kılıyor.

Not

Pek çoğunun ve istihbarat görevlilerimizin haberlerin önemli bir bölümünü gazetelerden aldıklarına inancım tamdır. Ayrıca casusluktan hüküm giyen bir hemşehrimizin tüm "sırlarını" sadece gazete haberlerinden aldığına dair sözlerinin de doğru olduğuna inanıyorum. Genel olarak, çeşitli görüşlere göre, hepsinin yaklaşık% 90'ı kapalı tüm çizgilerden ve rütbelerden istihbarat görevlileri bilgi alırlar. açık kaynaklar. Bana birçok yönetmenin, çalışanlarının (bazen milletvekili düzeyinde) röportajlarda söylediklerini öğrendikten sonra, yazı işleri müdürlüğünün telefonlarını kesmek ve bu röportaj çıkmadığı sürece herhangi bir fayda sağlamak için acele ettikleri söylendi. .

Görüşülen kişiye saldırmadığınızda, aksine "teknik bir aptal" gibi davrandığınızda, onlardan şu veya bu ayrıntıyı açıklamasını istediğinizde, ters yaklaşım da genellikle faydalıdır. Bu da oldukça etkili bir yoldur.

Not

İleriye baktığımızda, işlemsel analiz açısından, bu durumda Çocuk - Ebeveyn işlemi hakkında iletişim kurduğunuzu not ediyoruz (işlemsel analiz hakkında ayrıntılı olarak konuşacağız). Bölüm 5).Çocuk rolündesiniz, görüşülen kişiye Ebeveyn rolünü veriyorsunuz. Ve Çocuğa kendisinin bildiği her şeyi öğretmemek dışında, bilge Ebeveyne nereye gitmeli? Child - Parent işlemi birçok manipülasyonu başlatmak için mükemmeldir ve bundan da bahsedeceğiz. bölüm 5, işlem analizinin ana hükümlerini ortaya koymaktadır. Bu bölümü çalışırken bu örneği hatırlayın. Aynı durumda, görüşülen kişiye rakiplerin ürünlerinin sizinkinden daha iyi olacağını söylediğinde, tam tersi bir karşılama yaptınız ve kendinize saldıran Ebeveyn rolünü atadınız ve röportajı veren kişi, Çocuğun rolü, onları mazeret bulmaya zorlar. Başka bir deyişle, iletişiminiz Ebeveyn-Çocuk hattında gerçekleşti.

Bu nedenle sergiyi gezmiş, beş günde 10 röportaj yapmış, özellikle hayırsever görüşmecilerle bir barda bira içmiş ve "ömür boyu" konuşmuş ve son altı ay içinde etkinliklerle ilgili haber yapan tüm gazeteleri okumuş olmak. Bu girişim hakkında, üst yönetimin faaliyetlerinin mahrem yönleri de dahil olmak üzere, raporunda bu yönetime bildirdiği hemen hemen her şeyi biliyordum.

Anlaşmazlık kazanıldı ve yönetim derinden düşündü. Sonra bu tür saldırıların sonuçlarını nasıl en aza indirebileceğimizi birlikte düşündük. Ancak buna saldırı denilemez. Hiç kimse düşmanın savunmasını aşamadı, kendi hayatını riske attı, kimse kimseyi transa sokmadı ve genel olarak yasadışı hiçbir şey yapılmadı. Her şey tamamen yasal ve çok basitti. Ama bu onu daha az korkutucu yapmaz, çünkü böyle, bilgi tanecikleri bir mozaiğe dönüşmeye başladığında, doğru ellerde böyle şeyler yapabilen iyi bir bomba ortaya çıkabilir ...

Not

Mülakata ek olarak, bir takım ilgili aktivitelerin gerçekleştirilmesi yararlıdır. Sigara içilen odalarda durduğunuzdan emin olun, ana çıkışı çalın. Bir keresinde bir müşteriye, bir işletmeye gittik ve geçiş iznimi unuttum ve birkaç saat işletmenin ana lobisinde bir meslektaşımı beklerken sıkılmak zorunda kaldım. Bu birkaç saat içinde, istemeden, işletmenin faaliyetleri ve şu anda sahip olduğu sorunlar hakkında çok şey öğrendim.

Şimdi bu alt bölümle ilgili birkaç küçük yorum.

Sosyal bilgisayar korsanlarının rolüne girmenin veya davranmanın önemi

Sosyal hacker kim olursa olsun, oynadığı rol ne olursa olsun, onu inandırıcı bir şekilde oynamalıdır. Bunun için de oynayan karaktere "alışması" gerekir. Tüm başarılı sosyal bilgisayar korsanları harika oyunculardır. Rolde yaşarken, diğer şeylerin yanı sıra sözel olmayan tepkilerini de kontrol ederler.

Not

Sözsüz yanıtlar için bkz. Ek 1.

Basit bir örnek. Diyelim ki bir erkeksiniz ve bir kadına dönüştünüz ve herkesin sizin bir kadın olduğunuza inanmasını istiyorsunuz. Sadece kıyafet değiştirmenin yeterli olmadığını kendin anlıyorsun. Çünkü başkalarının sizin tam olarak oynadığınız karakter olduğuna inanması için o rolü yaşamanız gerekir. Bizim durumumuzda, bir kadın gibi davranmalısın. Bir düzine en iyi makyaj sanatçısı sizin için çalışsa bile, her şeyi "sivrisinek burnu zayıflatmayacak" şekilde yapacaktır. Ve tipik erkeksi bir tavırla bir sigara yakarak tüm işlerini mahvediyorsunuz. Vesaire. Evsiz bir alkoliği oynuyorsanız, dükkana girer girmez, herkes sizden çekinmeli, size bağırmalı, gardiyanlar size atlamalı ve sizi beyaz kalemlerin altında, aşağılayıcı bir şekilde kaşlarını çatarak dükkandan çıkarmalı.

Bir kişi iyi bir oyuncuysa, kendini %50 başarılı bir sosyal hacker olarak görebilir. Psikolojiden de anlıyorsa, sosyal bir hacker olarak %100 başarılı olduğunu varsayabiliriz, çünkü neredeyse herkesi "kandıracak". Buradaki nokta şu ki birçok insan sadece dış niteliklere bakar ve öze bakmaz. Bu, toplum mühendisliğinin temel kurallarından biridir. İnsan bilincinin manipülasyonuyla şu ya da bu şekilde bağlantılı olan herkes tarafından uzun zamandır anlaşılan bir kural: sosyal bilgisayar korsanları, üreticiler, her türden ve rütbeden halkla ilişkiler insanları, vb. Bu kuralın etkinliğinin örnekleri olarak gösterilebilir. ne kadar isteseniz de en azından geçmiş seçimlerin sonuçlarına bakmakta fayda var.

Not

Aynı kural, ayrıntılı olarak tartışacağımız müzakereleri yürütürken de işe yarar. Ek 1.

Bu kuralı açıklamak için aşağıdaki örneği daha ayrıntılı olarak inceleyin. Bu kitabın yazarlarından birinin ders vermeye geldiğini varsayalım. Aynı zamanda seyirciye belirsiz bir yürüyüşle girecek, dersi kekeme bir sesle okuyacak, genel olarak seyircinin önünde bir tür çekingenlik konsantrasyonu olacak. Ancak aynı zamanda, bunun, bunun, beşinci ve onuncunun, orada ve orada bir lider ve ayrıca burada ve burada bir danışman olduğunu ve onun önünde tüm yazılı olanları ortaya koyacağını söyleyecektir. pek çok bilimsel eser ve kitap vardır. Ve dersten sonra izleyiciye "Yazarın hayatta ne kadar anladığını düşünüyorsunuz" da dahil olmak üzere birkaç soru sorulursa, ezici çoğunluk hayatta "tam bir aptal" olduğunu söyleyecektir. Böylece, herkes yalnızca dış belirtilere (bu durumda, belirsizlik) dikkat edecek, ödüller ve ödüller aynı şekilde verilmediği gibi, kitaplar da kalemden uçmuyor, danışmanlara para ödenmiyor. güzel gözler ve genel olarak, tüm bunları başarmak için, en azından biraz "günlük yaşamda düşünmek" gerekir, kural olarak kimse dikkat etmez.

Not

Biraz sonra olan işlemsel analiz açısından, bu, bu durumda yazarın Çocuk rolünü oynadığı ve dinleyicilere Ebeveynlerin rolü verildiği gerçeğiyle açıklanmaktadır. Doğal olarak, insanlar sadece kendi yerlerinde kendi önemlerine takıntılı olduklarından, bilge ebeveynlerdir ve hayatta çok şey anlarlar (elbette, gerçekte olduğu gibi, öznel görüşleri açısından sadece tahmin edilebilir). Peki, hangi Ebeveyn Çocuğun hayatı anladığını söyleyecek? Bu doğru, hiçbiri. Genel olarak, Çocuk - Ebeveyn işlemi çerçevesinde çalışırken, Çocuk rolünde olduğunuz ve başkalarına Ebeveyn rolünü atadığınız konum, herhangi bir manipülasyon için en uygun olanıdır.

Şimdi aynı yazarın üç gün sonra aynı dinleyicilere ders verdiğini varsayalım. Ancak aynı zamanda, zaten kendinden emin, net bir şekilde konuşacak, seyirciden korkmayacak, aksine onlarla biraz kibirli bir şekilde davranacak vb. Ve dersten sonra izleyiciye tekrar yazarın yaşam anlayışı hakkında soru sorulacak. Ve şimdi çoğunluk, son dersten bu yana yazarın yeterince "hayatta daha akıllıca büyüdüğü" cevabını verecek. Böylece, yine, hemen hemen herkes sadece dış niteliklere dikkat edecek ve üç gün boyunca "hayatta daha akıllı büyümek", birkaç kişi başardı ve öğretim görevlisi geçen seferkiyle tamamen aynı kaldı, kimse düşünmezdi. ..

Bir sosyal bilgisayar korsanı, oyunculuğun yanı sıra psikolojide de ustalaşıyorsa, o zaman daha önce de söylediğimiz gibi "her yaştan itaatkardır". Çünkü oynamakla çok şey başarabileceğiniz diğer iki insan zayıflığının çok iyi farkında.

Sosyal bilgisayar korsanlarının bir sonraki kuralı şudur: "Çoğu insan kendi değerlerine olumsuz olarak bağımlıdır.". Bu, bu olumsuz ilişkinin saldırı için iyi bir hedef olabileceği anlamına gelir. Kendine değer duygusuna bağımlılık, kendi başına kötü bir şey ifade etmez. Aksine: herhangi birimiz bir şekilde ve bir şekilde öne çıkmak istiyoruz, yani önemimizi hissetmek istiyoruz. Soru, farklı şekillerde öne çıkabilmeniz ve farklı şekillerde öne çıkmanız gerektiği gerçeğiyle ilişki kurabilmenizdir. Negatif bağımlılık, bir kişi ne pahasına olursa olsun öne çıkmak ve bunu mümkün olduğunca sık yapmak istediğinde ortaya çıkar. Örneğin herhangi bir bilgisayar korsanı, öz-değere olumsuz bağımlılığı olan bir kişidir.

Not

İşlemsel analiz açısından, öz-değere olan olumsuz bağımlılık, böyle bir kişinin zayıf bir Yetişkin bileşenine sahip olmasıyla açıklanabilir. Bu arada, eğer bir analizcinin zayıf bir Yetişkini varsa (ya da Freud'un terminolojisinde zayıf bir Süperego varsa), o zaman böyle bir kişinin sadece biraz pohpohlaması gerekir ve "o sizindir". Söylediği gibi, "Bilmediğini söyler, söyleyemediğini yapar."

Buna sahip insanlar, diyelim ki, dezavantajlı kişiler, sosyal bilgisayar korsanlarının eylemlerine karşı çok savunmasızdır. Gerçekten, çok sık olarak, sizin için istediğinizi yapmalarını sağlamak için biraz pohpohlamaya ihtiyaçları vardır. Bu tür insanların bir diğer dezavantajı, çok kıskanç olmalarıdır. Ve kıskançlık, A. Rosenbaum'un yerinde bir şekilde belirttiği gibi, "çok büyük sığırlardan ve bazen çok kısa sürede çok iyi insanlar yaratan" bir duygudur. Kıskançlık, tüm entrikaların köküdür. Bir işletmenin bir çalışanının kıskançlığı üzerinde oynamak, çok şey yapabilirsiniz. Bir organizasyonda, olumsuz öz-değerliliğe eğilimli bir çalışanı tanımak zor değildir. Bazen bunun için çalışması hakkında sadece adil bir yorum yapması yeterlidir. Normal bir insan, eğer söz gerçekten adil ve normal bir tonda yapılmışsa, bunun bir daha olmaması için bunu nasıl yapacağını düşünecektir. Kendini çok düşünen böyle tepki verir. Her şeyden önce, önce beceriksizdir. Bundan sonra, meydan okurcasına sizinle aynı fikirde olmayacak: sadece anlaşmazlığını göstermek için herhangi bir sahte bilimsel saçmalık örmeye başlayacak. Ve sonra ya açıkça kırılacak ve tüm görünüşüyle ​​ona en iyi duygularla nasıl hakaret ettiğinizi gösterecek ya da bu suçu barındıracak. Şimdi, uyuyan ve gören rakip bir organizasyonun yöneticisinin, müşteri tabanıyla birlikte birkaç çalışanı sizden çalmak için böyle bir "rahatsız çalışana" yaklaşacağını hayal edin. Böyle bir yönetici ortaya çıkacak, biraz "yaşam için" konuşacak, daha düz olacak ve sonra şöyle diyecek:

- Burada gerçekten takdir edilmediğini görüyorum. Ne var biliyor musun? İstersen - bize gel? A? Maaş daha iyi, koşullar daha iyi, ekip daha iyi ve en önemlisi burada olduğu gibi ücretsiz müşteri aramayacak, ayrı para için: Getirilen her müşteriden işlemin %10'u (müşteri tabanı çalışanın kendisinden daha fazla gerekli, bu yüzden tüm müşterileri sürüklemesi için ona ilgi duymanız gerekiyor).

Ve birçok insan olacak.

Sosyal mühendisliğin üçüncü kuralı şöyle der: "Birçok insan, hayatta başlarına gelebilecek tüm güzel şeylerin mümkün olduğunca çabuk ve tercihen minimum çabayla olmasını ister." Bu kuralın işleyişine bir örnek, aynı kötü şöhretli MMM'nin, 100 ruble yatırım yaparak (minimum maliyetle inerek) yılda bir milyon (ve hızlı bir şekilde, en önemlisi) alabileceğinize inanan binlerce aldatılmış yatırımcıdır. Bir başka iyi bilinen örnek, çoğu insanın adayların vaatlerine oy vermesi ve aynı şeyi farklı şekillerde söylemesidir: "Onlar gelir gelmez her şey bir anda düzelecek."

Dördüncü kural diyor ki "Birçok insan son derece para için açgözlüdür." Ya da başka bir deyişle, bazıları burnunun önünde bir fatura salladıktan sonra gerçeklik duygusunu kaybeder. Ve bir fatura değil, faturalı bir bavul ise, o zaman gerçeklik duygusu ciddi şekilde ve uzun süre kaybolur. Bu zayıflık üzerinde oynamak, sosyal mühendisliğin ana hilelerinden biridir. Banal rüşvetten, "bu hesaba iki dolar aktarırsanız, ayda yirmi dolar alırsınız" diyen "mutluluk mektuplarına" kadar farklı varyasyonlarda kullanılır.

Nadir istisnalar dışında, sosyal mühendislik neredeyse her zaman insan kusurları ve zayıflıkları üzerine bir oyundur. Nadir istisnalar, örneğin aşırı saflığı içerir. Burada olmasına rağmen, nasıl söylenir.

Küçük şeyleri düşünmenin önemi

Başarılı bir sosyal bilgisayar korsanı her zaman her şeyi en küçük ayrıntısına kadar düşünür. Örneğin, röportaja gittiyse, o zaman şöyle şöyle bir gazetenin muhabiri olduğu yazılacak bir kartvizit hazırlatacaktır. Belirtilen telefon numarasını ararsanız, garip bir şey de bulmazsınız, çünkü kız telefonu alacak ve büyüleyici bir sesle şöyle diyecektir:

- "World of the City" gazetesinin yazı işleri ofisi. Svetlana Kupriyanova. Merhaba.

Birinin birkaç saat telefonda oturmasını kabul etmek uzun bir mesele değil. Aynı şekilde, sadece bir kızla değil, aynı zamanda bir şey olursa, baş editör olduğunu söyleyecek ve röportaj yapılan kişiden af ​​dileyecek bir adamla nasıl anlaşmaya varılır? böyle, haber vermeden muhabir gönderdiler, üzgünüm, numara yanıyor ve girişiminiz hakkında bilgi çok gerekli, çünkü girişiminiz şehrimizdeki en önemlilerden biri, ama tabii ki buna karşı, o zaman Pyotr Semyonovich hemen ayrılacak ve sizi rahatsız etmeyecek, ama sizden ona zaman ayırmanızı rica ediyorum, elbette, elinizden geldiğince, meşguliyetiniz göz önüne alındığında, ne kadar zor olduğunu her şeyi anlıyorum .. . ". Ve CEO'nun pohpohlayıcı dil tekerlemesinden çıldırarak, bir röportaj için zaman ayırmayı kabul ediyorsunuz.

"Röportaj" yapmak için birkaç kural

Şirketteki öneminin farkında olduğunuzu göstererek diğer kişiyi pohpohladığınızdan emin olun. Bunu ya görüşmenin başında, hemen giriş sırasında ya da konuşmanın ortasına daha yakın bir zamanda yapmak daha iyidir.

Tüm küçük ayrıntılar üzerinde çalıştığınızdan emin olun ve görüşmeden önce görüşülen kişi ve faaliyetleri hakkında mümkün olduğunca fazla bilgi bulmaya çalışın.İnsanlar kendilerini yalnızca muhataplarını kendileriyle ilgilendiklerini gördüklerine gösterirler. Ek olarak, eğer "biliyorsan", o zaman bilgili bir kişi rolüne sahip olacaksın ve bilgili bir kişiyle ilgili olarak, güven yüzdesi daha fazladır (kendi derler) ve "iç frenler" zayıflıyorlar (bilgili bir kişi gereksiz bir şeyi ağzından çıkarmaktan korkmaz, çünkü muhtemelen tüm bunları kendisi bilir, ancak ne soruyor - peki, oradaki röportaj planına göre, bunu sorması gerekiyor. önemleri , ve beceriksizliğinizi gösterir göstermez sizi hemen düzeltmeye başlayacaklar.

Sabırlı ol. Gizli sorgulama sabır gerektirir. Asla acele etmeyin. Muhatabınız, ondan sadece bir röportajdan daha fazlasına ihtiyacınız olduğunu anlarsa, geri çekilir ve hava durumu hakkında konuşmaya başlar. Aynı seriden, muhatabın hiçbir durumda onu zorla doğru soruya yönlendirerek "bastırılmaması" tavsiyesi.

Muhatabı dikkatlice dinleyin. V röportaj boyunca. Hiçbir durumda, belirli bir konuya olan ilginizi göstermek için bunu yapmamalısınız. Çünkü tüm sorularla ilgilenmelisiniz ve gerçekten ilginizi çeken soru, sorduğunuz sorular dizisinden sadece "biri" olmalıdır. Sohbeti, ilgilendiğiniz sorunun sizin tarafınızdan sorulmayacağı, ancak muhatabın kendisi hakkında konuşmaya başlayacağı şekilde planlamanız bile tavsiye edilir. Bu nedenle, konuşmayı, muhatabı sizi ilgilendiren soruya sorunsuz bir şekilde yönlendirecek şekilde planlamalısınız.

Herkes öğrendikten sonra görüşmeyi hemen sonlandırmayın.

Ondan sonra tarafsız konulara gidin ve bu şekilde konuşmayı sonlandırın. Bu sadece muhatabın bir şeylerin yanlış olduğundan şüphelenmemesi için değil, aynı zamanda uyum için de önemlidir. "kenar yasası", Buna göre, bir konuşmanın başında ve sonunda meydana gelen anları en iyi şekilde hatırlanır. Ve ortada, sırasıyla, çok daha kötü hatırlanması gerçeği. Genel olarak, bilgi "çekerken" iyi bir formun kuralı, muhatabın gereksiz bir şeyi ağzından kaçırdığını bile bilmemesi için gizli bir sorgulama yapmaktır. Bunu yapmak için, vakaların% 70'inde istenen sonuca yol açacak iki basit kuralı izlemelisiniz:

- sizin için önemli soruları bir dizi önemsiz soruyla maskeleyin;

- Gerekli soruları konuşmanın ortasında sorun ki bölge kanunlarına göre görüşülen kişi önce bunları unutsun.

Röportaj hakkında iyi bir izlenim bırakın NS muhatabınız. Bu, her şeyden önce önemlidir, böylece muhatabınız gelecekte iletişime devam etme arzusuna sahiptir.

Not

Müzakere kurallarından ve bunların altında yatan psikolojik yasalardan ayrıntılı olarak bahsedeceğiz. ek 1.

Bu tür saldırılardan kaçınmak için basit kurallar

Bu tür bir saldırıdan kaçınmak için çok basit iki kural vardır.

Birinci kural.Şirketin hiçbir çalışanı, işten bilmesi gerekenden daha fazlasını bilmemelidir. Ne yazık ki, bu kurala genellikle uyulmaz ve çoğu zaman herhangi bir çalışanın CEO kadar bildiği olur. Bu, elbette, sadece yanlış değil, aynı zamanda çok tehlikelidir.

Çoğu insan sır tutmayı bilmiyor.

Herhangi bir ölçeğin ve rütbenin lideriyseniz, uygulanması sizi birçok sosyal mühendislik saldırısından yüzde çok koruyacak olan en önemli kurallardan birini unutmayın. Kural şudur: İnsanların ezici çoğunluğu, bırakın yabancıları, en içteki sırlarını bile tutamazlar. Herhangi bir bilgiyi en iyi yüzlerce çalışanla özel olarak paylaşırsanız, herkesi bilginin çok gizli olduğu konusunda uyarırsanız, 90 kişinin kesinlikle "bir kenara atacağından" emin olabilirsiniz. Çeşitli nedenlerle. Biri gündelik hayatın aptallığından, biri akşam çayında karısına, biri "sarhoş", biri kendi önem duygusuyla boğulacak, çünkü "genel kendisi güvendi ve anlattı" ve elbette ihtiyacınız var. Bu kadar önemli bilgilerle kimsenin güvenmediği bu arkadaştan bahsetmek için ... Birçok sebep var. Ve asıl şey onlar değil - sonuç önemlidir: çoğunluk sır tutamaz. Ve elbette, iyi bir liderin niteliklerinden biri de insanları anlama yeteneğidir, bu da en azından bu yüzden gerçekten güvenmekten korkmayan beş ila on kişiyi ayırmak için yararlıdır.

Not

Ve Ötesi. İkinci kurala küçük bir ekleme. Kuruluşunuzdan bir şey çaldıktan sonra onlara ne olacağı konusunda çalışanlarınızı korkutmak için kendinizi sınırlamanıza gerek yok. Çünkü bazı işçiler kötü şeyler yapmaktan ancak korkuyla caydırılabilir. Çünkü birçokları için gelecekleri için duyulan korku, para tutkusundan daha güçlü olan tek duygudur.

Müşteri veritabanlarının çalınması

Başladığımız şeye devam edelim Bölüm 1 müşteri veritabanlarını çalmaktan bahset. Müşteri veritabanlarının çalınmasıyla ilgili yalnızca birkaç gerçeğin kamuya açıklanmasına rağmen, son zamanlarda kamuoyunun bildiği davaların sayısı önemli ölçüde arttı. Bizim için en ilginç olan, bilgi hırsızlığının çoğunun sosyal mühendislik yöntemlerinin kullanımıyla ilişkili olmasıdır.

Not

Bu tür hırsızlıkların yalnızca küçük bir yüzdesinin kamuya açık olmasının nedeni, firmaların doğal olarak kendi dikkatsizliklerini kabul ederek itibarlarını zedelemek istememeleridir.

Müşteri veri tabanlarına ulaşmanın en kolay yolu işletmede çalışan çalışanların dikkatsizliğinden yararlanmaktır. Çoğu zaman, faturalar ve diğer belgeler, ofisinden 10-30 dakika ayrılma alışkanlığı olan çalışanların masalarında duruyor, bu yüzden gerekli değilse, can sıkıntısından her şeyi gözden geçireceksiniz. Bazı mağazalarda, örneğin, ofis ekipmanı, mobilya vb. satışı için, birçok satıcı bilgisayarlarına dönerek faturalar düzenler, ancak örneğin, rakip bir şirketin çalışanı olabilirim ve hiçbir şey yok. arkamda durup müşteri listesini görmemi engelliyor, kimsenin umurunda değil. Bir keresinde, alışverişimi çok uzun süredir (bir bilgisayar mağazasında) yapan bir bayana şöyle dedim: "Kızım, 1C girişimine pek aşina olmadığını görüyorum, hadi, sana yardım edeceğim." Kız isteğimi memnuniyetle kabul etti, bilgisayarın arkasından kalktı ve ... genellikle 15 dakika kaldı. Muhtemelen çay içiyor. Daha da ilginci, koşarak yanımdan geçen çalışanların hiçbiri (bilgisayarı mağazanın ortasındaydı) benim ne olduğumu sormadı ( yabancı) Arkasında oturuyorum.

İşletmede çalışan personelin dikkatsizliğinden yararlanarak müşteri veritabanlarının çalındığı durumlar oldukça yaygındır.

Örneğin, bir başlangıç ​​için, kendinizi veritabanlarını kuran ve böylece bilgisayara nüfuz eden veya sadece çalışanlara sorarak, kullanıcının makinelerinde hangi veritabanlarının kurulu olduğunu öğrenen bir şirketin çalışanı olarak tanıtabilirsiniz. Ve eğer şanslıysanız, aynı zamanda indirin.

Petersburg'daki bir enerji şirketinde olduğu gibi davranabilirsiniz (bu vakayı Bölüm 1), Kendini hasta bir çalışanın arkadaşı (sistem yöneticisi) olarak tanıtan bir kişi, bugün bir arkadaşının kendisinden onun yerine geçmesini istediğini söylediğinde. Ancak, bir arkadaşınızın mı yoksa başka birinin mi sorduğunu öğrenmek çok basit olabilir: çalışanınızı arayarak ve bilgileri tekrar kontrol ederek. Doğru, daha kurnazlık yapabilir ve arkadaşınızın bu bilgiyi gerçekten onaylamasını sağlayabilirsiniz. Bir süreliğine sistem yöneticisinin arkadaşı olabilirsiniz. En iyisi olmasa bile. Ana şey, bu arkadaşlığın, gerçekten hastalandığında (veya herhangi bir nedenle işe gelemediğinde) yardım için ihtiyacı olan herkese dönmesi için yeterli olmasıdır. Bir arkadaşa, yani sadece bunu bekleyene. Ya da sadece beklemek değil, durumu zorlamaya çalışmak. Örneğin, aniden askerlik şubesinden bir celp aldınız ve ne tesadüf ki o akşam onu ​​kutunuzda bulduğunuzda bir arkadaşınızla bira içmek için evinize gidiyordunuz.

- Oh, e ..., - "arkadaşına" diyorsun, - Yarın işte olmalıyım. O zaman ne yapmalı...

Ve yoldaşını doğru zamanda sigortalayacak bir dost ve dosttur.

- Evet, saçmalık, - sana diyor ki, - üç kopek için işler. Yarın senin yerine ben gideyim ve her şeyi ben yapayım. Patronunu ara, beni uyar, öyle diyorlar, böyle bir durumum var ve benim yerime iyi arkadaşım gelecek.

Ve her şeyin ne kadar başarılı bir şekilde çözüldüğüne sevinerek, siz ve "arkadaşınız" gönül rahatlığıyla bira içmeye gidiyorsunuz.

Veritabanlarını çalmanız gereken bir şirkette satış müdürü olarak bir aylığına iş bulabilirsiniz. Ve genel olarak takıma ve özellikle yönetmene uymadığını söyleyerek ikinci gün bırakın.

Not

Doğru veritabanını çalmanın en kolay yollarından biri. Böylece, bir Moskova saatçisi, bir rakipten bir müşteri veri tabanını çaldı. Çıkış fiyatı yaklaşık 1500 dolardı.

Ve son olarak, en yaygın veritabanı hırsızlığı türü, bir süre önce bir Moskova mobilya satış şirketinde olduğu gibi, tüm kilit yöneticilerin ayrılıp kendi işlerini kurmaları sırasında olduğu gibi, çalışanlarla birlikte işletmeden "ayrılmalarıdır". Benzer bir durum yakın zamanda St. Petersburg'da da yaşandı. Büyük şirket cep telefonları satmak. Her iki durumda da, sadece yöneticilerin durumu açıkladıkları ortaklarla müzakere edebilmeleri davayı kurtarmaya yardımcı oldu. Novosibirsk'te, kilit yöneticilerin kurumsal bilgisayar tedariki yapan bir şirketten ayrıldığı ve doğal olarak önceki organizasyonda çalışırken hizmet verdikleri müşterilerle çalışmak için kendi şirketlerini kurduğu bilinen bir durum var. Örnekler uzun süre verilebilir.

Kendinizi müşteri tabanlarının çalınmasından nasıl koruyabilirsiniz? En basit şey, önceki bölümde bahsettiğimiz koruma kurallarına uymak ve bunlara birkaç tane daha eklemek. Yani.

Şirketin hiçbir çalışanı, işten bilmesi gerekenden daha fazlasını bilmemelidir.

Çalışanla yapılan iş sözleşmesi, mutlaka, çalışanın cezai sorumluluk da dahil olmak üzere ticari bilgilerin ifşa edilmesinden sorumlu tutulacağını belirten bir madde içermelidir.

Not

Bu noktanın şirketi bu tür durumlardan korumak için en önemli noktalardan biri olduğunu bir kez daha tekrarlıyoruz. Bir çalışanla yapılan iş sözleşmesinde, öncelikle ticari sırrın konusunun ne olduğu ve ikinci olarak, bu çalışan tarafından ticari sır konusunu açıkladıktan sonra işten ayrılanlar da dahil olmak üzere bir çalışanı ne gibi sıkıntılar beklediği açıkça belirtilmelidir. Art'a göre çalışanın bunu açıkça açıklaması gerekiyor. "Ticari Sırlar Hakkında" Federal Kanunun 7, 8, 10 ve 11'inde, işveren, işverenin görüşüne göre ticari bir sırrın konusunu oluşturan bilgilerin ifşa edilmemesine ilişkin bir belgeyi çalışanla imzalama hakkına sahiptir. teşebbüs ve ifşası için çalışana, kovuşturma öncesine kadar ve Sanat'a göre belirli önlemler uygulayabileceği. Bu yasanın 4. maddesine göre çalışan, gizli bilgilerin ifşa edilmesi sonucunda şirkete verilen zararları tazmin etmekle yükümlü olacaktır (zarar miktarı mahkeme tarafından belirlenir). Böyle bir brifingden sonra çalışanların çoğunluğunun ortaya çıktıkları anda bir şeyi açıklama fikrini kaybettiği biliniyor. Hele hele buna yetmeyenler için hukuk müşavirliğine girip müvekkil veri tabanının aslında işverenin malı olan bir üretim aracı olarak görülebileceğini anlatabilirsiniz. Bundan, bu veritabanının çalınmasının, Ceza Kanunu'nun ilgili maddesinin (Rusya Federasyonu Ceza Kanunu'nun 159. Maddesi) konusu olan bir başkasının mülkünün çalınması olarak kabul edilebileceğini takip eder. Ayrıca, veri tabanını çalmak istiyorsanız, Ceza Kanunu'nun dört maddesi uyarınca kovuşturmasını başlatabileceğinizi çalışana bildirebilirsiniz: daha önce bahsedilen Sanat. 159 ("Hırsızlık"), art. 272 ("Bilgisayar Bilgilerine Yetkisiz Erişim"), Madde. 183 ("Ticari, bankacılık veya vergi sırrı oluşturan bilgilerin yasa dışı ifşası ve alınması") ve Md. 146 ("Telif hakkı ve ilgili hakların ihlali"). Uygulama, insanların bilgi çalmaktan cezai kovuşturma alma fırsatına sahip olduklarında, eylemlerinde çok daha ihtiyatlı olduklarını göstermektedir.

Yabancıların ofise kolay erişimi olmamalıdır.

Odada yabancılar varsa, çalışanlar hiçbir şekilde odadan çıkmamalıdır.

Temel, yalnızca temizleyicinin erişimi olmayan ortak bir Doc sunucusunda bulunduğundan, genellikle hemen hemen her çalışanın müşteri tabanına erişimi vardır. Tabii ki, durum böyle olmamalı. Yalnızca bunu yapma yetkisi olan çalışanlar müşteri veri tabanına erişebilmelidir. Bu, iyi bilinen bir kuraldır, buna göre, daha az kişinin gizli bilgilere erişimi vardır, bu bilgilerin "yan tarafa gitme" olasılığı o kadar düşüktür.

Yorum Yap

Rekabet istihbaratı alanındaki birçok uzman ayrıca, müşteri tabanına erişimi olan tüm bilgisayarların İnternet bağlantısı olmaması, disket sürücüleri, CD ve DVD-ROM sürücüleri, USB girişleri olmaması ve hiçbir şey olmaması gerektiğine dair bir kuraldan bahseder. onlardan basılabilir. ve benzeri.Bize göre, bu kural, ilk olarak, gerçek değil, çünkü bu tür önlemler işi çok zorlaştıracak ve ikincisi, hiçbir şeye yol açmayacak, çünkü bu durumda bilgisayarlar bilgiler monitör ekranından fotoğraflanamayacak şekilde monitörsüz ve monitörsüz olmalıdır. Şu anda, bazı uzmanlar, sistemlerin tanıtılmasının, bilgisayarlardan müşteri tabanlarının çalınmasından kaynaklanan kayıpların azaltılmasına yardımcı olacağına inanmaya meyillidir. CRM(yönetim sistemleri ve müşteri ilişkileri için muhasebe).

Kimlik avı, günümüzde en yaygın sosyal mühendislik türlerinden biridir. Özünde, kimlik avı, saf kullanıcıların banka hesaplarına erişmek için bilgi elde etmektir. İnternet bankacılığı hizmetlerinin popüler olduğu ülkelerde yaygındır. Kimlik avcıları çoğu zaman, banka tarafından gönderildiği iddia edilen sahte e-postalar kullanır ve onlardan bir parola veya büyük miktarda para transferiyle ilgili bir bildirimi onaylamalarını ister.

Not

"Kimlik avı" kelimesinin kendisi, İngiliz balıkçılığından gelir ve bu da balık avı olarak tercüme edilir. Bu tür dolandırıcılığa bu isim verildi, çünkü olta avcısı esasen yemi (ya da daha doğrusu birkaç yüz yemi) fırlattığından ve birinin onu "ısırmasını" beklediğinden, aslında balık tutmaya çok benzer.

Kimlik avının özü aşağıdaki gibidir. Saldırgan, kullanıcıyı kendisine bazı gizli bilgiler vermeye zorlar: banka hesapları, kredi kartları vb. hakkında bilgiler. En önemli şey, kurbanın tüm bu eylemleri tamamen gönüllü olarak gerçekleştirmesidir - kimlik avcıları iyi psikologlardır ve net hareket ederler.

Üç ana kimlik avı türü vardır:

Posta;

İnternet üzerinden;

Kombine.

E-posta kimlik avı ilk ortaya çıktı - halk bu tür sahtekarlığı 1996'da öğrendi.

Not

O zaman, America Online'ın birkaç bin müşterisi, bir "şirket temsilcisinden" sisteme girmek için bir kullanıcı adı ve şifre gönderme talebi içeren e-postalar aldı. Ve birçoğu ihraç edildi.

E-posta kimlik avının özü, kurbana belirli gizli verilerin gönderilmesi talebini içeren bir e-posta gönderilmesidir. Örneğin, İnternet sağlayıcısı adına, benzer (veya aynı) bir posta adresinden, sağlayıcının belirtilen kullanıcının İnternet'e erişmek için kullanıcı adını ve şifresini bulması gerektiğinin yazılı olduğu bir mektup gönderilir. sağlayıcının kendisi, bir nedenden ötürü (taban "çöktü") bunu yapamaz. Daha ilginç bir örnek, müşterileri bir zamanlar hesaplarına büyük bir transferin geldiğine dair mesajlar alan (on binlerce dolar diyelim) ve transfer tutarı aştığından anlaşmaya göre, tanınmış bir Amerikan bankasıyla ilişkilidir. 1000 $, Havalenin alındığını onaylamak için, mektubun sonunda verilen bağlantıyı takip etmeli ve transferi onaylamak için gerekli tüm bilgileri girmelisiniz. Aksi takdirde, çeviri geri gönderilecektir. Çok azı açgözlülüğünü yenebildi ve bankanın birkaç bin müşterisi bir kimlik avı saldırısının hedefi oldu.

Not

Bu tam olarak sosyal bilgisayar korsanlarının insan kusurlarından biri olan açgözlülük üzerinde zekice oynadığı durumdur.

çevrimiçi kimlik avı dolandırıcıların iyi bilinen sitelerden birine kopyalaması ve bunun için çok benzer bir alan adı (veya aynı, sadece farklı bir bölgede) seçilmesi ve aynı tasarımın oluşturulmasıdır.

Not

Bir yem (cazibe) olarak, bu sahte çevrimiçi mağazalardaki ürünler neredeyse damping fiyatlarına satılıyor, bu şaşırtıcı değil çünkü kimse aslında bir şey satmıyor.

Sonra aşağıdaki gibi bir şey olur. Mağazada bir satın alma işlemi yapmaya karar veren kullanıcı, kullanıcı adını, şifresini ve plastik kart numarasını girer ve ardından tüm bu veriler saldırgan tarafından bilinir. Dolandırıcı daha sonra kurbanın kredi kartını hemen "sıfırlar".

Not

Bu tür kimlik avı bazen şu şekilde de adlandırılır: taklit marka(marka sahtekarlığı).

Birleşik kimlik avıönceki iki kimlik avı türünün birleşimidir. Görünüşü, e-posta ve çevrimiçi kimlik avının zaten modası geçmiş olması ve kullanıcıların bilgi güvenliği konusunda daha bilgili hale gelmesinden kaynaklanmaktadır. Bu yüzden kimlik avcıları farklı bir taktik buldular. Tıpkı çevrimiçi kimlik avında olduğu gibi, sahte bir site oluşturulur ve ardından, posta kimlik avında olduğu gibi, kullanıcılara bu siteye girme talebiyle mektuplar gönderilir.

Not

Bu, birleşik kimlik avının hemen yaygınlaşması sayesinde oldukça güçlü bir psikolojik harekettir. Gerçek şu ki, ziyaretçiler daha temkinli hale geldi ve şimdiden birkaçı şifrelerini söyleyecek (bazıları olmasına rağmen). Ve birleşik kimlik avında, kullanıcının mektubunun herhangi bir gizli veri sağlaması istenmediği, sadece siteye girmesi istendiği için bu uyanıklık kaldırılır. Sadece. Kullanıcıdan sadece bir web sitesine gitmesi ve gerekli tüm işlemleri kendisinin yapması istenir.

Şu anda gerçek bir kimlik avı patlaması var. Bu, özellikle aşağıdaki rakamlarla kanıtlanabilir: Ekim ile Ocak 2005 arasında, ABD Federal Ticaret Komisyonu, kimlik avı saldırılarının kurbanı olan kullanıcılardan 10 milyondan fazla (!) Şikayet kaydetti. Aynı kuruluşun verilerine göre toplam kayıp miktarı 2005 yılında yaklaşık 15 milyar doları buldu.

Not

Doğal olarak, tüm ülkelerin yasalarının bu yeni dolandırıcılık türüne uyum sağlamadığı ortaya çıktı.

Rus kimlik avı tarihinden

Rusya'da, kaydedilen ilk kimlik avı vakası, City Bank müşterilerinin e-posta yoluyla bankanın web sitesine (elbette sahte bir web sitesi) gitmelerini ve kart numaralarını ve PIN'lerini doğrulamalarını isteyen e-postalar aldıkları Mayıs 2004'e kadar uzanıyor.

Kimlik avcıları faaliyetlerinde belirli olaylarla olan bağlantıdan mükemmel bir şekilde yararlanırlar. Örneğin, bir kişi doğum gününde tam olarak bir tebrik kartı alır ve bu kartta müşterisi olduğu bankanın doğum gününde Doğum Günü kampanyasının bir parçası olarak hesabına 500 ABD doları aktardığı yazılıdır. Bunları elde etmek için bankanın web sitesine (elbette sahte) gitmeniz ve gerekli bilgileri girmeniz gerekir. Pek çok kişi, çeşitli kuruluşlar insanlardan kurbanlara yardım etmek için bir fona para bağışlamalarını istediğinde, büyük terör saldırıları veya doğal afetler gibi üzücü olayları kullanmaktan çekinmiyor. Kimlik avcıları da soruyor. Düşündüğümüz aynı şemaları izleyerek: siteye gidin, kaydolun ve hesabınızdan bir miktar yazın.

Not

Bu yazının yazıldığı sırada Opera, 8.0 sürümünden bu yana varsayılan olarak kimlik avı korumasına sahip tek tarayıcıdır.

Bugün dünya çapında birçok BT uzmanı, kimlik avı saldırılarına karşı korunma yolları üzerinde çalışıyor. Tarayıcılarda kimlik avı sitelerinin kara listelerini oluşturmaya ek olarak, birkaç yöntem daha önerildi.

Tek seferlik şifre üreteçleri

Kimlik avının özü, kullanıcıların elektronik hesaplarına erişmek için gerekli şifreleri ve bankacılık bilgilerini elde etmek olduğundan, tek seferlik şifre oluşturucuların kullanılması bu tür dolandırıcılığı atlamanıza olanak tanır. Tek seferlik şifre üreticisi, normal bir küçük cep hesap makinesine benziyor. Bir kullanıcı, bankanın web sitesine girdiğinde, hesabına erişmek için, jeneratör tarafından gösterilen karakter dizisini girmesi gerekir. Banka aynı algoritmayı şifre oluşturmak için de uygular. Erişim yalnızca her iki parola da eşleşirse verilir. Böyle bir parola, yalnızca bir kez erişilebilmesi gibi basit bir nedenle çalınamaz. Böyle bir sistemi kullanmanın dezavantajları, müşteriler için ek maliyetlerdir.

Not

Şu anda, tek seferlik şifre üreticileri, ABD ve Avrupa'daki birçok bankanın yanı sıra, örneğin AOL gibi büyük İnternet sağlayıcıları tarafından kullanılmaktadır.

USB cihazlarını kullanma

Bu tekniğin özü, kullanıcının bilgisayarına bir USB cihazı bağlamaması durumunda hesabına erişememesidir. Bu durumda dolandırıcılar da kullanıcının hesabına erişim sağlayamaz.

Not

USB cihazlarının yanı sıra, bilgisayara bağlı bir okuyucuya takılan mikro devreli özel kartların kullanılması da önerildi. Ancak, bu seçenek maliyetli olduğu için atılır.

Mobil onay

Bu tekniğin özü, karta erişimin, kullanıcının bankaya bildirdiği cep telefonundan herhangi bir SMS (Kısa Mesaj Servisi) mesajı göndermesinden sonra gerçekleşmesidir.

Belirli bir web sitesi için karma şifreler

Hashing şifreleri, şifrenin kullanılacağı siteye özel bilgiler ekleyerek hassas verilerin çalınmasını engeller. Kullanıcı sadece özel bir formda şifresini girer ve tarayıcı şifreyi dönüştürür ve gerekli bilgileri ekler. Sonuç olarak, kullanıcının şifreyi girdiği web sitesine bu şifre saf haliyle söylenmez, karma şifre web sitesinde alınır. Böylece kullanıcı sahte bir sitede şifresini girse dahi hackerlar şifreyi kullanamayacaktır. Bu site, kart sahibiyle aynı karma şemasını kullanır.

Kimlik avından daha tehlikeli bir dolandırıcılık türü, sözde çiftçilik. Pharming, DNS adreslerini, kullanıcının ziyaret ettiği sayfaların, örneğin bankaların orijinal sayfaları değil, kimlik avı sayfaları olacak şekilde değiştirmekle ilgilidir.

Pharming'in özü, kullanıcıları otomatik olarak sahte sitelere yönlendirmek olduğundan, pharming, kimlik avından çok daha tehlikelidir, çünkü ikincisinden farklı olarak, yeni veri hırsızlığı yöntemi potansiyel kurbanlara mektup göndermeyi ve buna bağlı olarak onların yanıtlarını gerektirmez. onlara. Bu, doğal olarak, teknik olarak çok daha karmaşık olsa da, kimlik avından daha karmaşık bir dolandırıcılık yöntemidir. Ancak öte yandan, çiftçilik yaparken, kullanıcının neredeyse güvensiz olması için hiçbir neden yok: kimse mektup göndermedi, kimse siteye gitmek istemedi. Kullanıcı gönüllü olarak bankanın web sitesine gitmeye karar verdi ve girdi. Orijinaline değil, sahte bir siteye.

Birçok araştırmacı, pharming tehlikesini, onu geliştirmek için bilgisayar korsanlarının DNS sunucularına giderek daha fazla saldırı gerçekleştirmesi ve bu saldırıların daha karmaşık hale gelmesi gerçeğiyle ilişkilendiriyor. Tehlike şu ki, DNS sunucularının hacklenme sayısı artarsa, küresel ağda gerçek bir kaosa yol açacaktır.

Not

DNS (Alan Adı Sistemi) hizmeti, kullanıcının tarayıcıya yazdığı site adresini bu sitenin bulunduğu sunucunun gerçek IP adresiyle eşleştirmek için tasarlanmıştır. DNS genellikle önce bir isim seçip, sonra numaraya bakıp o numarayı aradığınız bir telefon rehberiyle karşılaştırılır. Yani burada: sitenin adını seçin, DNS hizmeti size "numarasını" (IP adresi) söyler, ardından belirtilen siteye gidersiniz.

DNS sunucularının hacklenmesindeki büyümeye ek olarak, araştırmacılar, özünde MAC adresinin sahtekarlığı olan ve iki makine arasındaki trafiği dinlemek için tasarlanmış ARP sahtekarlığı gibi ağ saldırılarında da bir artış öngörüyor.

Not

ARP, bilgisayarlar tarafından, bir IP adresini hedef bilgisayarın MAC adresine dönüştürerek ve ardından Ethernet üzerinden iletişim kurarak aynı ağ içinde birbirleriyle iletişim kurmak için kullanılır.

Raider saldırıları

Baskıncılarİşletmelerin istilacılarıdır. Buna göre, bir akıncı saldırısı, bir işletmeyi ele geçirmek için yapılan bir saldırıdır.

Bir akıncı saldırısının klasik şeması aşağıdaki gibidir.

Aşama 1. Yakalanan işletme hakkında bilgi toplama

Her zaman olduğu gibi her türlü aktivitede bilgi toplamak en önemli hazırlık aşamasıdır. Bu aşamada, şirketle ilgili tüm bilgiler toplanır ve analiz edilir: şirketteki mali durum, karşı taraflar listesi, müşteriler listesi, hissedarlar listesi (hissedarlar listesi), şirketin güçlü ve zayıf yönleri hakkında bilgiler. , yönetimin ve çalışanların kötü alışkanlıkları, kimlerin kime ve kime karşı işletmede dostça olması, pazarlama planları hakkında bilgiler vb. İlk aşamada, daha önce de söylediğimiz gibi, bilgi toplamanın en kolay olduğu, sosyal mühendislik yöntemlerinin çoğu çalışır. Kural olarak, bu aşama, işletmenin büyüklüğüne ve gerekli bilgileri edinmenin zorluğuna bağlı olarak bir ila üç ay sürer. Bu aşamada bir akıncı için en önemli şey, hissedarlar sicilinin bir kopyasını bir şekilde almaktır.

2. aşama. Saldırı başlangıcı

Saldırının başlangıcı, akıncının azınlık hissedarlarından hisse almaya başladığı an olarak kabul edilebilir. Azınlık hissedarları, kural olarak, pratikte somut temettü almadıkları için hisse senetlerinden çok kolay ayrılırlar ve akıncılar hisseler için yıllık maaş tutarında miktarlar teklif eder.

Not

Azınlık hissedarları Az sayıda hisseye sahip hissedarlardır. Örneğin, 90'ların başında, yaygın özelleştirme sırasında, birkaç bin çalışanı olan büyük bir işletmenin hemen hemen her çalışanının iki veya üç hisseye sahip olduğu zamanlar çok sıktı. Bu tür hissedarlara azınlık hissedarlar denir.

Azınlık hissedarlarından hisse alımına paralel olarak, akıncı dili kullanılarak "işletmeyi karartmak" için çalışmalar yürütülmektedir. "Kabus" un temel amacı, işletmenin çalışmalarını bozmaktır. Ek olarak, ikincil bir hedefe de ulaşılır: tereddütlü hissedarlara, işletmede büyük sorunlar olduğu gösterilir ve bundan sonra hisselerinden ayrılmaya çok daha istekli olurlar. İkinci aşama, işletme için gerçekten bir kabus, daha iyi kelime hayal etmek zor: yönetim, hisselerle yapılan çeşitli işlemlerin ihlali, işlem yapma prosedürünün ihlali (baskıncının ilk aşamada öğrendiği) hissedarlar adına dava ediliyor, yönetime karşı ceza davaları açılıyor ve işletmenin çalışanları (gerçek nedenlerle olsun ya da olmasın - asıl amaç insanlara eziyet edecek), şirketin faaliyetlerinin çeşitli hizmetler tarafından teftişleri başlatılır (vergi müfettişliği, sıhhi ve epidemiyolojik istasyon, itfaiye, çevre savcılığı, vb. - ne kadar çok, o kadar iyi), yeşil postacı taktikleri, işletmenin çalışmalarını felç etmek için kullanılır, vb.

Not

akıncıların dilinde yeşil posta Küçük hissedarların haklarını agresif bir şekilde kullanarak veya bir işletmeye “şantaj” yaparak elde edilen kurumsal şantajdır.

Hemen hemen her işletmeyi "kabusa çevirmenin" birçok yolu ve kesinlikle yasal olanları vardır. Aslında, kuruluş "karartıldığında", sosyal düzeyde klasik bir DDoS saldırısı (hizmet reddi) düzenlenir.

Not

Kural olarak, çalışmalarında sosyal programlama yöntemlerini kullanan sosyal bilgisayar korsanları, bir işletmeyi "karartırken" ana rolü oynarlar.

İşletme yönetimi, bir akıncı saldırısına uğradığını görerek, kural olarak, henüz hisselerini satmamış olanları korkutmak için hissesini satan işçileri işten çıkarmaya başlar. Bazen çalışıyor, bazen çalışmıyor. Ayrıca, şirketin hisseleri tröst yönetimine devredilir veya şirket tarafından kontrol edilen bir ofise rehin verilir. Bundan sonra, yönetim, kural olarak, ek bir hisse ihracı gerçekleştirir ve bir karşı hisse alımı düzenler.

Sahne 3. İşletme yönetiminde bir bölünmenin tanıtılması

İşletmeyi fiilen yasal olarak ele geçirmek için, akıncılar için %30 artı bir pay yeterlidir. Ancak, şu anda durum öyledir ki, işletmenin yönetimi hisselerin %70 veya daha fazlasını elinde tutar (sözde birleştirilmiş paket). Bu nedenle, akıncının, işletmenin yöneticileri arasındaki çeşitli iç çelişkiler üzerinde oynayarak yönetim organını bölmeye çalıştığı işletmenin yönetim organının üyeleri arasında bir bölünme yaratması gerekir (bunların iç çelişkileri de bulunur). ilk aşamada çıktı). Aslında üçüncü aşama, işletmenin liderleri arasında "entrikalar örme" aşaması ve çeşitli "ilginç tekliflerin" yapıldığı ana hissedarlardan hisse satın alma aşamasıdır.

Ayrıca aynı aşamada hoşnutsuz azınlık hissedarlarından bir muhalefet oluşturularak bu muhalefet bayrağı altında akıncılar işletmeye sızabilir.

İşletmenin bu aşamada yönetimi, kural olarak iki adımdan oluşur:

İşletmenin yöneticileri arasındaki çatışmayı şu ya da bu şekilde hafifletmeye çalışır;

Muhalefet baskısını azaltmak için azınlık hissedarlarına tavizler verir.

4. Aşama Kurumsal varlıklarla çalışma

Bu aşamada işletme yönetimi, işletmeye el konulmasının akıncı için anlamını kaybetmesini sağlamaya çalışmaktadır. Bunu yapmak için yönetimin, işletmenin varlıklarını geri çekmesi veya bir şekilde onlara yük olması gerekir. Akıncılar, elbette, bunun olmasını engellemeye çalışırlar.

Aşama 5. İşletmeye giriş

Artık akıncının işletmeye yasal bir şekilde girmesi gerekiyor. Temel yöntem: Olağanüstü hissedarlar toplantısı ve yönetim kurulunun yeniden seçilmesi. Bu, aşağıdaki şekilde yapılır. Akıncı %30 artı bir hisseye sahipse, işletmenin mevcut yönetim organına olağanüstü hissedarlar toplantısı yapılması için bir talep gönderilir. Ana toplantı talebi görmezden geldikten sonra, akıncılar böyle bir toplantıyı kendi başlarına yapma hakkına sahiptir.

Not

Kural olarak, bu tür toplantılar gizli yapılır, böylece sadece akıncı tarafından kontrol edilen hissedarlar katılabilir. Bu tür toplantıların askeri birliklerde yapıldığı bilinen birçok durum vardır. Böylece akıncılar "gereksiz hissedarların" toplantıya gelmesini önlemek için her şeyi yaparlar. Akıncıların bu amaçla tam performans sergilediği durumlar vardır. Örneğin, hissedarlar toplantısının yapılacağı binanın girişinin önünde, bina girişindeki akıncı temsilcileri, toplantıya gereksiz yere katılanları yakalayarak aynı binanın başka bir salonuna götürdüler. Önlerinde "hissedarlar toplantısı" adı verilen gösteri oynanıyordu.Başka bir odada yapılan bu toplantıda akıncı parti oy çokluğu ile yönetim kurulunu yeniden seçti. Bazen, tersine, tüm dünyaya her şeyin yasal olduğunu, toplantıda sadece akıncı tarafından kontrol edilen rakiplerin değil, aynı zamanda temsilcilerin de olduğunu göstermek için muhaliflerin toplantıya katılmasına izin verilen ters yaklaşım kullanılır. karşı taraf. Sadece bu durumda, rakibin hisseleri bir şekilde "engellenir", yani, örneğin, bir bir zamanlar bu hisseleri yasadışı yollardan elde ettiği konusunda ceza davası açtı.

İlk toplantıda %30 artı bir pay, karar almak için yeterli nisap değildir, bu nedenle ilk toplantıda nisap bulunmadığı belirtilir, bu ifade toplantı tutanağına geçirilir ve herkes katılmaz. Vurgulanan şu ki, toplantı yeniden toplanırsa, %30 artı bir pay zaten yeterli çoğunluk olacak ve kararlar oy çokluğu ile alınıyor. Alınan ve Alınan Kararlar: Önceki yönetim kurulunun yetkilerini sonlandırmak ve yeni yönetim kurulunu seçmek. Bu, paralel bir kontrol gövdesi oluşturur. Zeki akıncılar başka bir esprili adım atma eğilimindedir. Toplantıya katılanlardan birinin ... toplantının yapılmasıyla ilgili mahkemeye bir talep göndermesini ve mahkemeden toplantının geçersiz ilan edilmesini istemesini sağlarlar. Görünüşe göre: akıncılar buna neden ihtiyaç duyuyor? Sezgisel görünüyor. Aslında her şey mantıklı. İddianın nedeni çok resmi ve tercihen mahkemenin önemli olarak tanımadığı genel olarak bir tür saçmalık olarak seçilmiştir. Mahkeme iddiayı tanımaz ve reddeder. Ve mahkeme oturumu geçtiğinden, akıncı mahkemenin toplantıyı gerçekten meşru olarak tanıdığını belirten bir belgeye sahiptir (buna kelime denir) ön yargı). Bu belge doğal olarak çok değerlidir.

Yönetim kurulunun yeniden seçilmesi ile hissedarlar toplantısı gerçekleştikten sonra, aslında işletme akıncıların elindedir ve paralel bir yönetim organı işletmenin faaliyetlerini kontrol eder.

Olayların daha da gelişmesi, akıncıların işletmeyi ele geçirerek kendileri için hangi hedefi belirlediklerine bağlıdır. İşletmeyi yalnızca kâr amacıyla ele geçirirlerse, el koymadan sonra işletmenin satış zinciri hızla uygulanır. Bu zincirin uygulanmasının bir sonucu olarak, işletmenin vicdanlı bir sahibi ile sonuçlanması nadir değildir. Akıncıların hedefi işletmenin işiyse, o zaman el koymadan sonra "düşmanlıkların sonuçlarının tasfiyesi" aşaması başlar: çalışanlara maaş ödemeleri başlar, bütçeye transferler yapılır, vb.

Not

Bir işletmenin eski yöneticilerinin, bir akıncı saldırısının tüm kurallarına uygun olarak, yeniden akıncılar olarak eğitilmesi ve eski ev girişimlerini istilacılardan almaya başlaması nadir değildir.

Çeşitli işletmelere akıncı saldırıları bu şekilde gerçekleşir.

Not

Doğal olarak, bir akıncı saldırısının tüm aşamalarının ayrıntılı bir açıklaması bu kitabın kapsamı dışındadır, ancak bu bizim için özellikle önemli değil. Bizim için önemli olan bu saldırının birçok aşamasının sosyal mühendislik ve sosyal programlama tekniklerini kullanmasıdır.

Akıncı saldırıları düzenlerken sosyal mühendislik ve sosyal programlama nerede kullanılır?

Klasik biçimindeki sosyal mühendislik, esas olarak ilk aşamada, yani kuruluş hakkında bilgi toplandığında kullanılır. Ve daha önce de söylediğimiz gibi, bilgi toplamanın en kolay yolu sosyal mühendisliktir. İkinci aşamada, sosyal mühendislik yöntemlerine sosyal programlama yöntemleri eklenir, ikinci aşamadan itibaren - bir akıncı saldırısının başlangıcı artık bilgi toplamak değil, işletmenin faaliyetlerini istikrarsızlaştırmaya çalışmaktır ve burada çeşitli yöntemler sosyal programlama daha uygundur, bunlardan biri bir saldırı "reddetme hizmeti" organizasyonudur. İkinci aşamadaki sosyal mühendislik yöntemleri, örneğin internette bir şirketin itibarını zedelemek için de kullanılabilir. Bunun için, kural olarak, şirketin web sitesindeki forumlar ve şirket temsilcilerinin İnternet üzerinden web sitelerini ziyaret edenlerle iletişim kurdukları diğer araçlar kullanılır. Ve elbette, üçüncü aşamada, entrikalar ve komplolar aşamasında, sosyal programlama olmadan (elbette, olumsuz uygulama alanında) hiçbir yer yoktur. Bu nedenle, bir "baskın saldırısının" ana ve önemli aşamaları, en saf haliyle sosyal korsanlıktır.

Sosyal bilgisayar korsanlığı ve sosyal programlama, akıncı saldırıları için neden popüler bir araçtır?

Gerçek şu ki, sosyal programlamanın ana kavramı, insanların ve insan gruplarının birçok eyleminin olmasıdır. tahmin edilebilir ve belirli yasalara tabidir. Basit ve önemsiz bir örnek. Girişim kötüleşirse, insanlar ondan kaçar. Tamamen anlaşılabilir bir şey. Ancak bu, en saf haliyle sosyal programlamadır. Şirketin çalışanları büyük bir sosyal gruptur. Ve "işletme kötüye giderse, insanlar ondan kaçar" ifadesini söyleyerek, aslında, bu durumda binlerce kişilik bir ordu olan büyük bir sosyal grubu etkilemek için bir yöntem geliştirdiğimizi söyledik. işletmenin çalışanlarının. Böylece, belirli bir sosyal grubun bazı dış güçlerin etkisi altında nasıl davranacağını tahmin ettik. Buradaki dış güç, işletmedeki durumun bozulması ve tarafımızca öngörülen davranış biçimi, koşullar kötüleştiğinde çalışanların işletmeden ayrılacağının bir ifadesidir. Her şey basit ve banal ve buna rağmen, eylemleri oldukça öngörülebilir olduğu için büyük bir sosyal grubun bile tamamen bilinçli olarak kontrol edilebileceğini gördük.

Bir akıncı saldırısının başlangıcı nasıl belirlenir?

Saldırıya uğramaya başladığınızı aşağıdaki belirtilerden anlayabilirsiniz.

İşletmenin çeşitli makamlar tarafından teftişi başladı: vergi polisi, sıhhi ve epidemiyoloji istasyonu, Acil Durumlar Bakanlığı, İçişleri Bakanlığı, çeşitli denetim kuruluşları vb. Ayrıca, müfettişlerden aşağıdakileri içeren belgelerin kopyalarını sağlamaları istenir. Şirketin varlıkları, borç hesapları ve hissedarları hakkında bilgi.

Medyada (kitle iletişim araçları) işletme hakkında, yönetimi hakkında olumsuz makaleler var ve genel olarak, aniden, hiçbir sebep olmadan, medya aniden işletme ile ilgili artan etkinlik göstermeye başladı.

Not

Medyada azınlık hissedarlarının haklarının ihlal edildiğine dair haberler varsa bu nokta özellikle sizi uyarmalıdır.

Hissedarlar, aniden, örneğin yaklaşan tatil için tebrikler içeren alındı ​​belgesi içeren taahhütlü mektuplar aldılar. Ya da hiçbir şey bulunamadı. Veya basit bir boş kağıt sayfası var. Önemli değil. Ana şey, bu şekilde size saldıracakların bir formaliteyi taklit etmeleridir, çünkü yasaya göre, hissedarları olağanüstü bir toplantıya çağırmadan önce, onlara böyle bir toplantı yapmak için bir teklif göndermeniz gerekir. Böylece gönderdiler. Ve sonra mahkemede saldırganlar, hissedarlara hisselerini satmaları için bir teklif gönderildiğini ve şirketin yönetim kuruluna olağanüstü bir hissedarlar toplantısı yapılması için bir teklif gönderildiğini söyleyecek. Hakim, bu tür mektupların gönderildiğine dair kanıt isteyecektir. Bu kanıt, mektubun teslim edildiğinin bildirilmesi olacaktır. Ve karşı tarafın kartpostallar olduğunu söylemesi doğru değil, bu yüzden her zaman gerçek belgeler olduğunu söyleyebilirsiniz, ancak kartpostallar hakkında tüm bunlar açık bir yalan.

Azınlık hissedarları, girişimin hiç fark edilmeyen faaliyetlerine ilgi göstermeye başlıyor.

Not

Özellikle, kendileri hareket etmedikleri, ancak bazı akrabalar, bu arada, şirketler hukuku alanında büyük uzmanlar olan genel bir vekaletname altında kendi adlarına hareket ettikleri durumda dikkatli olmalısınız.

Hisselerinizi veya hisselerinizi satmak için sık sık teklifler almaya başladınız.

Şimdi, akıncıların bazı işletmelere nasıl saldırdığına dair birkaç örnek.

Gece geç saatlerde, işten dönerken, kendilerini kolluk kuvvetleri olarak tanıtan iki kişi Pamir LLC'nin başkanına yaklaştı ve onlarla birlikte vergi ödeme payının devrine ilişkin belgeleri imzalamayı teklif etti, ciddi durumda. yakında sorun. Ve kolluk kuvvetleri, olduğu gibi, şirketin iyi dilekleridir, çünkü kendileri defalarca "Pamir" de hizmet istediler ve şimdi yönetime yardım etmek istiyorlar. Mesela, güvenli bir apartman dairesinde bir alıcıları var ve ona şimdi hissenizi satarsanız, en azından biraz para alacaksınız ve altı ay içinde zaten mahvolacaksınız ve sadece yapmanız gerekiyor. Şirket düzenli olarak vergi ödedi, fırtına belirtisi yoktu ve "kolluk görevlilerinin" ciddi bir tartışması yoktu. Yönetmen böyle şüpheli bir anlaşmayı reddetti ve her şey sessiz görünüyordu. Ancak bu olaydan bir yıl sonra, 000 "Pamir" de bir adam, tüm işletmeyi veya içindeki bir hisseyi satma teklifiyle yönetime geldi ve yönetici, kimsenin bir şey satmayacağı yanıtını verdi. Bir süre sonra benzer teklifler Şirket'in diğer hissedarlarından da gelmiştir. Ayrıca satmayı reddettiler ve yönetimi bilgilendirdiler, bu da haklı olarak birinin liderliği üstlendiği sonucuna vardı. Durumu analiz ettikten sonra yönetim, birinin Şirket tüzüğündeki bazı boşluklardan haberdar olduğunu fark etti ve acilen düzeltti. Şirket tüzüğünde, kurucu belgelerde herhangi bir değişikliğin yalnızca şahsen müdür veya ondan genel bir vekalet alan kurucular tarafından yapılabileceği değişikliklerin kabul edilmesinden sonra, satış teklifleri sona erdi. Gelmek.

Ancak işler her zaman bu kadar sorunsuz gitmez. Gazetelerden birinde yer alan bir habere göre, üzerinde büyük bir arsa ve gayrimenkulün sahibi olan Eleron CJSC, tüm belgelerin kusursuz bir şekilde yerine getirilmesine rağmen bir akıncı tarafından saldırıya uğradı. Şirket tüzüğüne göre, şirketteki paylar yalnızca şirket hissedarları arasında devredilebilirken, üçüncü kişiler tüzüğe göre hisse satışı yasaktı. Katılımcılardan biri hissesini sattıktan sonra, yasaya göre hissesi toplumun geri kalanına devredilmesine rağmen, onun adına bir akıncı saldırısı başladı. Akıncılar, tahkim mahkemesinde onun adına dava açtı. Sonra birçok sıkıntı, mahkeme duruşmaları ve "kabus" vardı. Firmanın yönetimi ve avukatları birçok yetkiliye başvurdu ama her yerde kendilerine aynı şey söylendi, diyorlar ki firma elinden alınana kadar sakin bir hayat beklemeyin. Durum ancak liderliğin bölgenin üst düzey yetkililerinin desteğini almasından sonra çözüldü.

Şimdi dikkate alınan klasik şema çerçevesindeki akıncı saldırılarının sayısının azaldığını unutmayın. Bunun nedeni, mevzuatın daha iyiye doğru değişmesi ve akıncılar için farklı bir şey bırakmasıdır. çok sayıda bir işletmeyi ele geçirmek için yasal fırsatlar. Ayrıca, geniş bölgelerde neredeyse her şey zaten ele geçirilmiş durumda. Ve son olarak, bizim görüşümüze göre asıl sebep, işletmenin kendini savunmayı başarılı bir şekilde öğrenmesidir ve akıncıların (teşebbüsün ana hisseleri ve varlıkları bloğu) çerezleri elde etmeleri zaten çok zordur, çünkü varlıkları işletme genellikle güvenli bir şekilde gizlenir ve ana hisse bloğu yönetim tarafından konsolide edilir. Bu nedenle, artık bir kural olarak, kullanılan artık klasik akıncı saldırısı değil, sözde yeşil postacı taktikleri. Buradaki nokta, Anonim Şirketler Kanunu'na göre, bir payın bile mülkiyeti, böyle bir hissedarın şirket işlemleri, hissedarlar hakkında bilgi vb. her türlü bilgiyi talep etmesine izin verir. Ve prensip olarak, çalışmış, hatta alabilirsin. gerçek liderlikten gelen güç. Yönetim, profesyonel şantajcılarla iletişim kurmanın kendisi için daha pahalı olduğunu biliyor ve bu nedenle onlardan ödeme yapmayı tercih ediyor. Sonuç olarak, küçük bir hisse bloğu için (hatta bir hisse için bile, yeşil postacı iyi bir meblağ alır). Yeşil postacılar kabaca bu şekilde para kazanıyor.

Sosyal programlama örnekleri

Bu bölümde, çeşitli sosyal programlama örneklerine bakacağız. Agresif bir kalabalığın ara sıra olana dönüşümünü içeren olumlu uygulama örnekleri (çeşitli kalabalık türleri için bkz. bu bölümün ilerleyen kısımlarında ve 8. bölümde), ve olumsuz, örneğin, akıncı baskınları sırasında işletmelerin "kabus" yöntemlerine atfedilebilecek, onlardan bahsettik. önceki bölüm.

Bu bölümün özü, bazı durumlarda hem bir kişinin hem de büyük bir insan grubunun insan davranışlarını "programlamanın" gerçekten mümkün olduğu gerçeğinin örneklerini göstermektir. Bu bölümdeki örnekler tam da sosyal bilgisayar korsanlığı kategorisine aittir, çünkü hepsinde insanlar, bir sosyal bilgisayar korsanı tarafından yazılmış bir "program"a boyun eğiyormuş gibi, bir başkasının iradesini yerine getirir. Bu örnekler çok farklı. Ve sosyal bilgisayar korsanları tarafından belirlenen hedeflere, yürütme yöntemlerine, sonuçlara ve son teslim tarihlerine göre. Zarif çoklu hareketler ve basit örnekler, olumlu ve olumsuz, sayısız siyah beyaz PR örneği var (PR, İngilizce'nin kısaltmasıdır. Halkla ilişkiler), bazıları da verilmiştir bu bölüm.

Sinemada "Ateş"

Bir sosyal programlama klasiği, Sovyet zamanlarında gazetelerden biri tarafından açıklanan bir sinema salonundaki "yangın" örneğidir. Sonra bir grup şakacı, filmlerden birini izlerken sinema salonuna birkaç sis bombası attı ve yürek parçalayıcı bir şekilde "Ateş, ateş!" diye bağırdı. Doğal olarak, böylece birkaç kişinin öldüğü büyük bir paniğe neden oldu. Bu "şakacı"nın belirli bir amaç peşinde koştuğunu mu yoksa sadece "çok kanlı bir şaka mı yaptığını" tahmin edebilirsiniz. Neredeyse kesin olarak söylenebilecek tek şey, "jokerler"in bu eyleme hazırlanıp tüm kurallara göre gerçekleştirdikleridir. Önce pul atma ve "Yangın!" diye bağırma anı. çok doğru bir şekilde seçildi: filmin en dramatik anlarından birinde, seyircinin büyük bir gerilim içinde olduğu ve ekranda olanlardan biraz korktuğu zaman yapıldı. İkincisi, çıkışa en yakın oturan bu "şaka"ya katılanlardan biri, ilk yangın çığlıklarını duyar duymaz çıkışa koştu ve böylece diğer tüm insanlara örnek oldu. Hangi, doğal olarak, bu örneği takip etti.

Not

Bu "şakacı" çok özel hedefler peşinde olabilir mi? Elbette yapabilirdi. Örneğin, şu ya da bu nedenle bu sinemayı iflas ettirmek isteyebilir. Bu tür birkaç antik ve insan bu sinemaya gitmeyi bırakacak, çünkü "kanlı bir sinemanın" görkemi bunun için sabitlenecek.

Bu örneğe klasik denir, çünkü ilk önce kalabalığa bir dış uyaran verildiği, ardından bu uyarana yanıt olarak tamamen takip edildiği klasik şemaya göre ilerlemiştir. tahmin edilebilir reaksiyon. Dış uyaran, "Ateş" çığlıkları, Wood'un jeneratörü ve yılanlar olabilir - ne isterseniz. Tepki büyük panik.

7 - 9 Hz aralığında salınımlar yayan düşük frekanslı bir osilatörle sinemalara gelen ünlü fizikçi Robert Wood da garip bir şekilde "şaka yapmayı" seviyordu. Jeneratörünü çalıştırdığında insanlar panik içinde sinemadan çıkıp sokağa fırladı. Birkaç kez, bu izleyicilere çeşitli bedensel zararlara yol açtı.

Not

"Şaka"nın anlamı, iç organlarımızın da belirli bir düşük frekansla titreşmesidir ve çoğu için titreşim frekansı sadece 7 - 9 Hz'dir. açıldığında Odun jeneratörü iç organların titreşim frekansı ile aynı frekansta titreşimler üreten rezonans etkisi gözlendi ve bunun sonucunda insanlar ciddi rahatsızlık ve panik hissetmeye başladı.

Çok daha sonra, "Wood'un şakası" daha trajik sonuçlarla da olsa bir şehirde bir sinemada bire bir tekrarlandı.

Not

Literatür ayrıca Wood jeneratörü kullanan cinayet vakalarını da tanımladı. Daha doğrusu intihara sürüklemek. Suçlular aşağıdaki şemaya göre hareket ettiler. Psikotipi intihar eğilimi gösteren mağdurun dairesinin yanına bir jeneratör monte edilmiş, çalıştırılmış ve neredeyse kesintisiz olarak çalışmıştır. Jeneratör ya çatı katına, kurbanın dairesinin yukarısına, eğer en üst katta yaşıyorsa, yandaki dairede ve genellikle apartmanda yer alabilir. Jeneratör çalışırken kurban rahatsızlık, panik hissetti ve sıklıkla intihar etmeye karar verdi.

Saldırganların paniğe neden olarak yılanları kullandığı bilinen bir durum da var. Daha doğrusu yılanlar. Bir film olduğunu hayal edin, bir korku filminin ana karakteri mezarlıkta bir şey arıyor, rahatsız edici müzik ve aniden bu dramatik anda seyircilerden biri bacağından aşağı doğru sürünen bir şey hissediyor. Ne olduğunu görmek için eğilir ve dehşet içinde bunun bir yılan olduğunu anlar. "Yılanlar, yılanlar salonda" diye bağırır, bu talihsiz yılanı yakalar ve ondan uzağa atar. Ve bir izleyicinin kafasına daha yakın. Ardından kalkıp çıkışa doğru koşuyor. Etki, "Ateş"in bağırıldığı durumdakiyle hemen hemen aynıdır.

Sosyal programlama yöntemlerini kullanarak "tuz krizi" nasıl yapılır

Ülkemizde yaşanan son "tuz krizini" herkes hatırlıyor. Lenta.ru'nun tanınmış İnternet baskısının şu anda yazdığı şey buydu. Makalenin metni, olayların kronolojisini geri yüklemek için bazı kısaltmalarla sunulmaktadır.

"Rusya'da tuz krizi güçleniyor, bir tuz isyanına dönüşme tehdidinde bulunuyor. Ülkenin bazı bölgelerinde tuz kayboldu. Tedarikçiler şimdiden fiyatları birkaç kez yükselttiler ve vatandaşlar bu krizin uzun sürmesinden korktular. uzun süre beklemek, kuyruklarda beklemek ve gelecekte kullanmak üzere gerekli ürünleri satın almak.Tuz krizi en az bir haftadır devam etse de, kuyrukların azalmayacağı, tutkuların azalmayacağı ancak Şubat ayının ortalarında anlaşıldı. azalmaz ve hikaye yerel düzeyden federal düzeye taşarak yetkililer tarafından fark edilmeden gitmezdi.

Belli bir kesinlik derecesinde, her şeyin 10 Şubat'ta Tula sakinlerinin tuz kıtlığı keşfettiğinde başladığını ve Tula toptan satış merkezlerinde bir kilogram tuz paketinin fiyatının 3 ruble 60 kopek olduğunu söyleyebiliriz. Ardından yerel medya, tuz eksikliğinin tamamen bir Tula sorunu olduğunu iddia etti ve bir kilogram tuzun seksen rubleye mal olduğu komşu bölgeleri örnek olarak gösterdi. Yetkililer, hafta sonuna kadar beş yüz ton teslimat sözü vererek Tula'yı sakinleştirmeye çalıştı. Aynı gün Kaluga'da tuz eksikliğinin hissedilmesi ilginçtir. 11-14 Şubat tarihleri ​​arasında Tambov bölgesinde üç aylık tuz rezervleri satın alındı. Ukrayna'nın Rusya'ya tuz tedarikini durdurduğu veya durdurabileceği söylentileri ortaya çıktı ve yayılmaya başladı. Satıcılar ve üreticiler heyecanı kendi yollarıyla açıkladılar - teknik düzenlemeler değişti ve bu da tuz kıtlığı hakkında söylentilere yol açtı. 15 Şubat'ta Nizhny Novgorod sakinleri alarmı çaldı. Bölgenin altı aylık tuz stoku biriktirmiş olmasına rağmen, bölge sakinleri bir günde bir aylık arzı satın aldı. Ve Tambov bölgesinde bir kilogram tuzun fiyatı 30 rubleye ulaştıysa, Nizhny Novgorod'da 50 rubleye ulaştı. Novgorod bölgesinin sakinleri, Nizhny Novgorod sakinlerinden daha düşük değildi. İki günde 300 ton tuz aldılar. Bölge yönetimi, tuz fenomeni için kendi açıklamasını sundu. Heyecanın, depolarında fazla tuz biriktiren Rus toptancıları tarafından kışkırtıldığına inanıyorlar. Panik, Saratov'da bir kıtlık hissedildiğinde ve 16 Şubat'ta doruğa ulaştı. Volgograd bölgeleri, Cheboksary ve Tyumen'de. Moskova ve Moskova bölgesinde de her şey sakin değildi. Moskova yetkilileri vatandaşlara başkentteki tuz rezervlerinin iki ay için yeterli olacağını bile açıklamak zorunda kaldı. Panik, TV haberleriyle özenle ısındı, büyük kuyrukların oluşmasına neden oldu. Sırada bekleyen vatandaşlar, yakınları ve komşuları için yer aldı. Tüketiciler için tuz rezervlerinin uzun süre yeterli olacağından talebin kısa sürede düşeceğini öngören satıcılar, fiyatların düşeceği konusunda karşı söylentiler bile yaymaya başladılar. Bazı yerlerde işe yaradı. Tuza olan büyük talep, yurttaşlar arasında belirsiz savaş anıları doğurdu. Tuza ek olarak, vatandaşlar şeker, kibrit, un ve tahıl satın almaya başladı - her ihtimale karşı aniden işe yarayacaklar. Bu arada Voronej makamları tuz fiyatlarını pasifize etti. Doğru, bunun için değerli ürün stoklarını 600 - 800 tona çıkarmak ve ayrıca şehir milis alayının güçleri tarafından pazarlara ve dükkanlara bir dizi baskın düzenlemek gerekiyordu. Federal yetkililerin sorunla ilgilenmeye başladığı noktaya geldi. 17 Şubat'ta Devlet Duması, komitelerden birine temel ürünlerin fiyatlarındaki artışın nedenlerini hükümetten öğrenmesi talimatını verdi. "Teklif sonu.

Ek olarak, incelemede, “tuz piyasasının genellikle güçlü dalgalanmalara maruz kalmadığını belirtmek ilginçtir - mal tedariki çeşitli kaynaklardan yapılır, malların kendileri piyasanın temel yasalarına tabidir ve heyecan hızla azalmalı, yerini düşük talep almalı. Ancak, istisnalar var - ve belgede yanlış anlaşılan bir cümle veya satırın tüm tuz rezervlerinin depolarından kaybolduğu ortaya çıkıyor. "

Bunu da hatırlıyoruz federal antitekel hizmeti(FAS), soruşturması sırasında “tuz krizinden ne tuz üreticilerinin, ne toptancılarının ve perakendecilerinin sorumlu olmadığı, bu kadar büyük bir krize neden olmadığı” sonucuna vardı. Üreticiler arasında herhangi bir ihlal bulamayan FAS, tüketicilerin suçlanacakları sonucuna vardı: "Fiyatlardaki artışın ana nedeni, bu ürünün kıtlığı hakkında Rusya'da yanlış bilgilerin yayılmasından kaynaklanan nüfusun sofra tuzu için yüksek talebiydi. FAS resmi bir basın açıklamasında söyledi.

Bakalım sosyal programlama yöntemleriyle organize edilmiş olabilir mi? Ve düşününce, onun iyi olabileceği sonucuna varıyoruz. Üstelik, bazı bakanların neredeyse görevden alınmasının bir sonucu olarak, bu büyüklükte bir skandal, bir kişiyi örgütleme konusunda oldukça yeteneklidir. Ve en sıradan olanı. Bu kişinin "sokaktan" sıradan bir insan olabileceği anlamında. Ve bunu bir grup insanla değil, biriyle yapmak genellikle zor değildir. Bunun nasıl uygulanabileceğine dair varsayımsal bir şema düşünelim.

Not

Yazarlar bunun gerçekte nasıl yapıldığından ve kimin çıkarları gözetildiğinden tamamen habersizdir. Bu şekilde bakanlık gruplarından birinin etkiyi zayıflatmaya, hatta başka bir grubu ortadan kaldırmaya çalışması mümkündür. Ve uygulayıcılar olarak sosyal bilgisayar korsanları seçildi. Eğer öyleyse, en azından her şey çok güzel yapılmıştı.

Bu veya buna benzer skandal krizlerinin gelişimi için genel varsayımsal şema basittir.

İlk olarak, belirli bir şehirde bir kriz yapılır. Bu kriz, yüksek reytinglere ihtiyaç duyan ve izleyicilerin çoğunun her türlü skandal ve sansasyonu sevdiğini bilen yerel televizyon tarafından yakalanıyor. Bu nedenle televizyonun skandalı geçmeyecek olması oldukça doğal. Ve akşam haber bülteninde spiker heyecanlı bir sesle şehrin dükkânlarından bilinmeyen bir nedenle tuzun kaybolduğunu duyurur. Ve bildiğiniz gibi, bölgedeki en iyi analistlerden bazıları olan kanalımızın analistlerinin (peki, nasıl kendinizi övmez ve bir kez daha kendi reklamınızı yapmazsınız), yönetilemeyeceğini söylüyorlar. Şehrimizdeki tuz krizinin, Rusya'nın en büyük tuz tedarikçileri arasında büyük bir savaşın başlangıcı olduğunu söylüyor. En büyük tuz tedarikçileri, N-sk şehrinin yerel televizyonunu izlemedikleri ve N-sk şehrinin yerel televizyonunun en büyük analistlerinin sonuçlarına aşina olmadıkları için, bir tür arasında savaş başlamıştır. Haberi izleyen mahalle sakinleri telefonlarını kapattı, arkadaşlarını aradı ve sadece bir cümle söyledi:

- Duydun mu? Yakında tuz olmayacak! Hâlâ onun peşinden koşmuyor musun? Ve biz zaten.

Ve şimdi şehrin dörtte biri, geç saate rağmen tuz almak için 24 saat açık süpermarketlere koşuyor.

Büyük bölgesel kanalların film ekipleri 24 saat görev başında. Çünkü bölgesel televizyonun yüksek reytinglere ihtiyacı var ve izleyicilerin çoğunun her türlü skandalı ve sansasyonu sevdiğini de biliyorlar, bu yüzden sansasyon avı günün her saati devam ediyor. Doğal olarak, tüm tuzun N-sk'de satın alındığı öğrenilir öğrenilmez, oraya bir film ekibi gönderilir ve şimdi N-sk'deki tuz krizinin hikayesi tüm büyük bölgesel kanallar tarafından yayınlanır. Aptal olmayan diğer tüm şehirlerin sakinleri, N-sk'de olanların başlarına gelebileceğini anlıyor. Ve şimdi bölgenin her yerinde tuz yok. Aynı zamanda komşu bölgelerin sınırlarında da kayboluyor, çünkü "tuzdan arındırılmış" bölgenin tüm sakinleri tuz satın almayı başaramadı ve şimdi komşu bölgelere baskın yapıyor. Baskın yapamayacak kadar tembel olanlar veya herhangi bir nedenle bunu yapamayanlar, ülkenin dört bir yanındaki akrabalarını arayıp yirmi kilo tuzlarını alıp koli ile göndermelerini istiyor.

Rusya'nın merkezi televizyonunda, insanlar yerel ve bölgesel televizyondan daha aptal değiller ve reytinglerin nasıl yükseldiğinin de farkındalar. Ve şimdi, tuz krizinin patlak verdiği bölgeye, farklı Tüm Rusya kanallarından birkaç film ekibinden birlikler iniyor. Bu sayede "yakında ülkede tuz kalmayabilir" haberi dürbünsüz haritada bulunamayan aullara bile ulaşıyor. Sonuç olarak, panik tüm ülkeyi sarmaya başlar ve yerel ve bölgesel düzeylerdeki sorun federal ölçekte bir sorun haline gelir.

Ancak tüm bunlar çok küçük bir grup insan tarafından ve gerçekten gerekliyse tek bir kişi tarafından yapılabilirdi. Ve tüm bunları kışkırtmak için, uygun koşullar altında, bir gün ve birkaç bin rubleye ihtiyaçları olabilir. Görüyorsunuz, tüm Rusya ölçeğinde bir krizi organize etmek için çok küçük bir bütçe. Bu nasıl mümkün olabilir? Çok basit. Bir adamın bir süpermarkete girdiğini ve tüm satıcı kadınlara gergin bir şekilde "Tuzunuz burada nerede?" Diye sorduğunu hayal edin. Tuzun nerede olduğu gösterildikten sonra bu tezgâha koşar ve hepsini satın alır. Daha sonra aynı soruyla başka bir kişi süpermarkete koşar. Ama içinde tuz yok ya da çok az kalıntı var. Aynı zamanda, tüm bu insanlar alıcılara ve satıcı kadınlara "sadece radyoda yakında ülkede hiç tuz kalmayacağını yayınladıklarını" söylüyorlar. Bunu tuz alıcılarımızdan duyanlar hafif bir endişeye kapılırlar ve her ihtimale karşı "yağmurlu bir gün için" bir iki kilo tuz almaya karar verirler. Ancak bulundukları süpermarkette tuz çoktan tükendi. İnsanlar biraz daha endişeli ve beş ila on kilo tuz almak için başka bir süpermarkete gidiyor. Her ihtimale karşı. Ve bu arada haydutlarımız aynı numarayı başka bir süpermarkette, üçüncü, onuncu sırada yapıyorlar ve tüm müşteriler "İşte, radyoda ..." demekten mutluluk duyuyorlar. Bu arada bazı alıcılar, tuz satın almalarını tavsiye etmek için arkadaşlarını aramaya başladılar, çünkü mağazada bunun yakında olmayacağını ve gözlerinin önünde insanların mağazadaki tüm tuzu satın aldıklarını ve kendilerinin satın aldıklarını duydular. "Mucizevi bir şekilde kaptıkları" bir diğerine koşmak zorunda kaldılar. Ve belirli bir şehirde zincirleme reaksiyon böyle başlar. Prensip olarak, tuz krizinin varsayımsal provokatörlerimiz artık hiçbir şey yapamazlar, çünkü mekanizma zaten başlatılmıştır. Ama hayır, bu onlar için yeterli değil. Ayrıca, tüm şehir gazetelerini ve şehir televizyonunu da çalıyorlar, burada öfkeli sakinler rolünde, medyanın dikkatini şehrin hiçbir yerinde tuzun satın alınamayacağı gerçeğine çekmeyi tavsiye ediyorlar ve sözlerinin kanıtı olarak, En yakın süpermarkete gitmenizi tavsiye ediyorlar. Öyleyse, genel olarak, beyaz bir boğa hakkında bir peri masalı gibi, "kriz, yüksek derecelendirmelere ihtiyaç duyan ve bilen yerel televizyon tarafından yakalandı ...".

Böylece sosyal programlama yöntemlerini bilen bir kişi bile devletteki süreçleri etkileyebilir.

Yoldaki çelenkler

Bir PR ajansı, ana otoyollardan biri boyunca mümkün olduğunca az kişinin seyahat etmesini sağlamakla görevlendirildi. Arka plan aşağıdaki gibidir. Paralel otoyol yapımı sonucunda çoğu insan daha rahat, daha geniş, daha hafif vs. olan yeni otoyolda araç kullanmaya başladığı için eski otoyoldaki esnaf gelirlerini kaybetti. Halkla ilişkiler çalışanları ne yaptı? Tabii ki kazı, patlatma ve benzeri yöntemlerle yol yatağını tahrip etmeye başvurmadılar. Sadece ritüel şirketlerinden birkaç yüz çelenk aldılar. Ve onları yeni rotanın neredeyse her üç ağacına astılar. Prensip olarak, bundan sonra artık hiçbir şey yapamazlardı. Çünkü eski otoyol boyunca araba akışı zaten arttı. Bu anlaşılabilir bir durumdur: insanlar, her on metrede bir birinin "öldüğü" (çok sayıda çelenk tarafından kanıtlandığı gibi) yolda araba kullanmaktan psikolojik olarak son derece rahatsızdır. Mezarlıktan geçmek gibi. Ve elbette, insanlar baypas yollarını, yani eski otoyolu seçmeye başladılar, "hepsi çukurlarda olmasına rağmen, kimse onu kırmadı." Ancak halkla ilişkiler çalışanları burada durmadı. Yeni otoyolun bitişiğindeki şehirlerin medyasında (yani, sakinleri bu rotayı en sık kullandıkları), yeni otoyolun sadece bir tür "trajik bir şekilde mistik" olduğu konusunda bir dizi yayın sipariş edildi. Üzerinden geçen her 10'uncu arabanın çarptığını söylüyorlar. Ve neredeyse hepsi ölümcüldü. Bu yayınlardan sonra yeni otoyoldaki araba akışı daha da azaldı ve çelenklere anıtlı haçlar eklendikten sonra neredeyse tamamen kurudu ve otoyol gerçekten mezarlıktan geçen bir yolu andırmaya başladı.

Yetkililer ne olduğunu anladıklarında artık çok geçti. Çelenkler kaldırıldı, yenileri asıldı... Eski piste de güçlü bir PR kampanyası yönlendirildi. Çok para harcanması anlamında güçlü. Ve böylece - zayıf. Çünkü ana tezleri eski otoyoldaki çukurlara, yol boyunca ilerlemenin daha yavaş olduğu gerçeğine, üzerindeki arabaların çoğu zaman başarısız olduğu gerçeğine, çünkü yine, sadece çukurlar var. Eski rotanın halkla ilişkiler çalışanları, tüm bunları tek bir hamlede "kesti". Aksine, eski ve yeni rotaların çatalının önüne yerleştirilmiş bir poster. Posterde büyük harflerle bir cümle "Oraya hızlı mı yoksa canlı mı gitmek istersin?" yazıyordu. "Hızlı" kelimesinin üzerinde bir ok vardı yeni yol, "canlı" kelimesinin üstünde - eskisine.

Tanıtım snippet'inin sonu.

27 Aralık 2009 16:38

Evde sosyal hackleme (kendinizi saçmalıklardan korumak)

• Bilgi Güvenliği

Çoğu bilgisayar korsanının, bilgi güvenliği zincirindeki en zayıf halkanın kural olarak bir protokol, program veya makine olmadığı çok açık olan cesur bilgisayar korsanlarının anılarını okuduğunu biliyorum. insan(yönetici, kullanıcı ve hatta yönetici).

Ben de okudum, hatta kızdım: "Hayır, peki, telefonda birine şifreni nasıl söylersin." Ama ne yazık ki, insanın alnına tırmık darbesi en iyi hatırlanır. Ve böylece oldu. Son birkaç ayda, hakkında konuşulması utanç verici ancak sosyal açıdan faydalı olan birçok duruma tanık oldum ve hatta katıldım.

Dikkatlice atın: atmayın veya bilgileri kaybetmeyin

Tabii ki, optik ve hatta sabit diskleri yok etmek için öğütücüler ve birleştiriciler var. Ancak onların yeri işletmedir (güvenlik talimatlarının yalnızca yazılıp imzalanması değil, aynı zamanda tüm çalışanlar tarafından dikkatle okunması ve takip edilmesi gereken yerler) ve evde, kural olarak, her şeyi elle yapmaları gerekir.

Optik disklerle her şey basittir: Herhangi bir USB fişinin köşesinde mükemmel bir şekilde çizilirler (bunu bir USB flash sürücüde veya herhangi bir kabloda arayın, evet). Teaser'daki fotoğraf, 10 saniyelik manipülasyonların sonucunu göstermektedir. Birinden sonra disk okunamasa da yarıçap boyunca derin çizikler(NEC modeli yedi bin sürücüde kontrol edildi). Zarar görmeden: çok fazla çizik yapın. Yorumlarda, bu yöntemin güvenilirliğinden şüphe duyuyorlar ve diskleri kırmayı veya derinden çizmeyi tavsiye ediyorlar. her iki tarafta(aksi takdirde cilalar ve okurlar). Bilginin gerçek değerinden yola çıkmayı ve ortama verilen zararın orantılı bir ölçüsünü seçmeyi öneriyorum.

Bir sabit diskin sadece kontrol cihazını kırması yeterli değildir, bir USB flash sürücünün sadece fişini kırmak için yeterli olmadığı gibi (bellek yongalarını yok etmek gerekir) plakaları bozmak gerekir. Veya makul bir şekilde önerildiği gibi, medyayı oradan bir şey geri yüklenemeyecek şekilde biçimlendirin (yalnızca yapıyı temizleyen hızlı biçimlendirme - elbette çalışmaz). HDD ve flash sürücüler kesinlikle çoğu zaman atılmaz, ancak flash sürücüler genellikle kaybolur.

Kağıt (yırtamayacak kadar tembelseniz) suyla veya daha iyisi bir tür deterjanla doldurulabilir: 20-30 sayfalık paketlerde bile her şey çok meşhur bir şekilde aşınmış ve bulanıktır.

Konuyla ilgili korku hikayesi: Geçenlerde bir yığın 2008 yedekleme sitesi DVD'sini çöpe attım. Veritabanı dökümlerinde kullanıcı şifreleri yoktu (tuzlu hashler vardı), ancak CMS konfigürasyonlarında veritabanına erişim için şifreler vardı. Evet, onları değiştirdim. Evet, neredeyse tüm barındırıcılar varsayılan olarak uzak ana bilgisayardan veritabanına bağlantıyı yasaklar. Ama hala.

Sosyal kimlik avı: şifreleri anonim veya açık kanallarla paylaşmayın

Bir sağlayıcı, barındırıcı, ödeme sistemi veya bir web hizmetinin sahipleri sizden şifre isterse, onlara inanmayın, bu onlar değil, saldırganlardır.

Dışarıdan birinin şifrelerinize erişmesi gerekiyorsa, onu olası tüm tehlikeler hakkında eğitin. Sizi anlayacakları şekilde açıklayın (örneğin, eş, sağlayıcının hesaplarında aile bütçesini boşa harcamanın tehlikesine ikna oldu).

İlk korku hikayesi: bir tanıdık, destek sağlayan bir sağlayıcı için çalışır. Faturalandırmaya giremeyecek kadar tembel, bu yüzden doğru girip girmediğini kontrol etmek için müşteriden telefonla bir şifre istiyor. Sağlayıcı, geri arama hizmetini aktif olarak kullanır. Zamanında geri ararsanız, şüphelenmeyen bir kişi şifrelerini size dikte edecektir. En azından bir arkadaş bunu asla reddetmedi.

İkinci korku hikayesi: Bir keresinde, barındırıcıya bir mektup gönderirken, posta istemcisinin otomatik tamamlamasına güvenmiştim. Sonuç olarak, mektup yanlış muhataba gitti. Şifreleri hiç bu kadar hızlı değiştirmemiştim. Bu arada, şimdi ev sahibim de aklı başına geldi: artık hesapta yetkili postadan mektup gönderildiğinde, iletişim kurarken şifreyi belirtmeyi istemiyor (ve muhtemelen önermiyor bile).

Banal şifreleme gücü: qwerty bir şifre değil

Genel olarak, Habr'ın izleyicisinin, çocuklarının doğum tarihlerini belirlemek için şifreler kullanmak veya böyle bir şey yapmak için çok çılgın olduğunu düşünmüyorum. Ama daha ince anlar var. Bir örnek bir korku hikayesinde.

Ek olarak, şifreler konusunda, mahremiyetleri konusunda endişeleriniz varsa çevrenizdeki insanlara danışmalısınız (ve bu sizin de olabilir - örneğin, bazı aile fotoğrafları halka açık olarak görüntülenmeye yönelik değildir).

Korku hikayesi: proje geliştirilirken orada korunacak pek bir şey yok değil mi? Bu nedenle, genellikle geliştirme sırasında, "abcd1234" gibi bir parola ayarlanır. Kontrol ettim: üretimde başlatılan son 4 projeden birinde varsayılan yönetici şifremiz var - değişmedik. En azından iyi, herkes varsayılan şifreyi bilse de, her proje için ayrı ayrı icat edilmiş.

Şifreleri bir yere yazmayın (en azından attığınız veya girişlerin yanında tuttuğunuz kağıt parçalarına)

Mümkün olan her yerde daha iyi, anahtar yetkilendirmeyi yapılandırın. Ve özel anahtarı yerel bir sunucuda (ve bir flash sürücüdeki bir kopyasını kasada) saklayın. Daha az çalışma amacı için, şifre yöneticisi programları vardır (yorumlarda, RoboForm veya çapraz platform KeePas en aktif olarak tavsiye edilir), ana şifreyi kafanızda hatırlamaya çalışın ve asla hiçbir yere yazmayın. En basit durumda, şifreleri bir metin dosyasına kaydedin ve kafanızdan bir şifre ile şifreleyin.

Parolaları bir posta veya FTP istemcisine kaydederseniz, normal anti-virüs koruması hakkında endişelenirseniz, herhangi bir Truva atı veya arka kapı, parolalarınızla birlikte bir dosyayı memnuniyetle çalacaktır.

Parolayı tarayıcıda saklayanlar için ayrı tavsiye (yorumcudan): ana parolayı, onu destekleyen tarayıcılarda kullanın.

• Opera'da: Araçlar - Seçenekler - Gelişmiş - Güvenlik - Şifre Ayarla.
• FF'de: Araçlar - Seçenekler - Güvenlik - Ana Parolayı Kullan.

Farklı sistem ve hizmetler için aynı parolaları kullanmayın. Yazılım ve hizmetlerinizde başka kişilerin parolalarını düz metin olarak saklamayın.

İlk korku hikayesi: yaşlılar veya BT'den uzak kişiler genellikle PIN kodlarını doğrudan plastik bir karta çizer (bu folklor zaten, ama yine de).

İkinci korku hikayesi: Durum böyleydi, Truva Atı FTP istemcisinde kayıtlı parolayı çaldı (görünüşe göre en yeni Total Commander değil, ancak diğer birçok istemci bu konuda daha iyi değil) yöneticiden yerel bilgisayardan ve enfeksiyonlu çerçeveleri dürttü potansiyel müşterilerin (sonuç olarak, ziyaretçilere virüs bulaştığı veya antivirüsten çığlıklar aldığı) canlı ortak sitelerinde. Bu arada, Yandex artık Truva atlı siteleri SERP'de özel bir şekilde işaretliyor - ayrıca Truva atını şimdi öldürebilirsiniz, ancak işaret yalnızca bir sonraki yeniden indekslemeden sonra, örneğin bir hafta sonra kaybolacaktır.

Başkaları çalabilir, kaybedebilir veya yanlışlıkla kendinizi verebilirsiniz

Netbook'unuzda veya telefonunuzda önemli bir şey saklamayın.

Netbook'larda parolalar belirleyin (normal) ve dosya sistemini şifreleyin.

Her şeyi (veya en azından önemli olan her şeyi) şifreli biçimde flash sürücülerde (örneğin, normal bir parolayla bir RAR arşivinde) saklayın.

Aynı görünen birkaç flash sürücünüz varsa, üç aylık rapor (vergi raporu) yerine ofisinizin tüm siyah muhasebe departmanının bir yedeği ile aniden vergi flash sürücüsüne vermemek için üzerlerine bazı etiketler yapıştırın. memnun olacak, ancak yönetici olası değildir).