Максим Кузнєцов, Ігор Симдянов

Соціальна інженерія та соціальні хакери

Вступ

Для кого і про що ця книга

Предметом книги є розгляд основних методів соціальної інженерії – на думку багатьох дослідників одного з основних інструментів хакерів XXI століття. За своєю суттю це книга про роль людського фактора в захисті інформації. Про людський фактор у програмуванні виходило кілька гарних книг, одна з них, книга Ларрі Костянтина, так і називається "Людський фактор у програмуванні". Це, мабуть, єдина книга на цю тему, перекладена російською мовою. Ось що пише автор у передмові до цієї книги: "Гарне програмне забезпечення створюється людьми. Так само як і погане. Саме тому основна тема цієї книги – не апаратне та не програмне забезпечення, а людський фактор у програмуванні (peopleware)". Незважаючи на те, що книга Л. Костянтина швидше за психологією, ніж з програмування, перше видання книги було визнано класичною працею в галузі інформаційних технологій.

Інформація теж захищається людьми, і основні носії інформації - теж люди, зі своїм звичайним набором комплексів, слабкостей та забобонів, на яких можна грати та на яких грають. Тому, як це роблять і як від цього захиститись, і присвячена дана книга. Історично так склалося, що хакерство з використанням людського фактора називають "соціальною інженерією", тому наша книга так і називається "Соціальна інженерія та соціальні хакери".

Захиститись від соціальних хакерів можна лише знаючи їхні методи роботи. Наша мета, як авторів книги, - ознайомити читачів із цими методами, щоб позбавити соціальних хакерів їхнього головного козиря: недосвідченості їхніх жертв у питаннях шахрайства та методах прихованого керування людиною. Ми також сподіваємося, що вивчення матеріалу книги буде корисним для читачів не лише у професійному, а й у життєвому плані. Адже вивчення тих розділів психології, про які ми говоритимемо в цій книзі, дозволить вам глянути на навколишню дійсність очима психолога. Повірте, це велике задоволення та велика економія нервів, сил та часу.

Автори запропонованої книги прийшли до соціального програмування та основних його концепцій, з одного боку (і здебільшого), через програмування, пов'язане із захистом інформації, а з іншого – через один із напрямків нашої професійної діяльності, пов'язане з проектуванням та встановленням засобів захисту інформації від несанкціонованого доступу, систем охоронної сигналізації, систем контролю доступу і т. д. Аналізуючи причини та методи злому ПЗ або канали витоку інформації з різних структур, ми дійшли дуже цікавого висновку про те, що приблизно у вісімдесяти (!) відсотках причина цього - людський фактор сам по собі або вміле маніпулювання цим. Хоча це наше відкриття, безперечно, не нове. Приголомшливий експеримент провели англійські дослідники. Не мудруючи лукаво, вони розіслали співробітникам однієї великої корпорації листи нібито від системного адміністратора їхньої компанії з проханням надати свої паролі, оскільки планується перевірка обладнання. На цей лист відповіло 75% працівників компанії, вклавши в лист свій пароль. Як кажуть, коментарі зайві. Не треба думати, що це просто такі дурні люди попалися. Зовсім ні. Як побачимо далі, людські вчинки теж цілком непогано програмуються. І справа тут не в розумовому розвитку людей, які трапляються на такі вудки. Просто є інші люди, які дуже добре володіють мовою програмування людських вчинків. Зараз інтерес до соціальної інженерії дуже високий. Це можна побачити за багатьма ознаками. Наприклад, кілька років тому на запит "соціальна інженерія" в пошуковій системі Google було лише 2 посилання. Тепер же їх сотні... Відомий хакер К. Митник, який використовує для зламів методи соціальної інженерії, виступає з лекціями в готелі "Редіссон-Слов'янська" для топ-менеджерів великих IT-компаній та фахівців служб безпеки корпорацій... По соціальній інженерії стали влаштовувати конференції, низці університетів збираються вводити курси лекцій на цю тему.

Проте багато лекцій і опублікованих статей, з якими ознайомилися автори, є кілька серйозних недоліків. По-перше, не пояснюється психологічне підґрунтя застосовуваних прийомів. Автори статей просто кажуть: "Це робиться так". А чому саме так – ніхто не пояснює. У разі наводяться фрази: " основу цього прийому лежать принципи нейролінгвістичного програмування " , що, щоправда, заплутує ще більше. Іноді ще кажуть, що "для того, щоб не стати жертвою соціальних хакерів, потрібно розвивати психологічне чуття". Про те, куди за цим чуттям сходити і де його придбати, теж нічого не йдеться. І, нарешті, третій і, мабуть, найсерйозніший недолік статей із соціальної інженерії, що публікуються в даний час, полягає в тому, що більшість прикладів, які в них наводяться - надумані ("кіношні"), які в реального життяне спрацюють. Читач, вивчаючи цей приклад, розуміє, що якщо до нього з'явиться такий хакер, він його неодмінно розкусить. Що правда: такого, – розкусить. Але коли до нього приходить справжній, він викладає йому найпотаємніші секрети. Пропонована книга покликана, з одного боку, усунути ці недоліки і дати читачеві реальний психологічний мінімум, який є основою "соціального хакерства". З іншого боку, у книзі багато реальних, а не вигаданих прикладів, що теж допоможе читачеві в освоєнні матеріалу, та покаже основні прийоми, якими діють соціальні хакери. Прочитавши цю книгу, читачі будуть значною мірою захищені від подібних маніпуляцій. І ще одне невелике зауваження. У багатьох місцях книга написана у стилі підручника із соціальної інженерії. Таким чином, ми нерідко писали так, начебто навчали читачів методам соціальної інженерії. Це не через те, що нам хотілося навчити читачів методам шахрайства, а тому, що дуже часто, щоб розпізнати маніпулятора, потрібно знати, як він діє, вжитися в цю роль… Не для того, щоб когось "похмурити" ", а лише для того, щоб зуміти передбачити небезпеку та передбачити подальші дії.

"Вбивство" форуму

Звісно, ​​якщо з допомогою соціального програмування можна робити рекламу, можна і антирекламу. Наведу один приклад, решта робиться за аналогією. Якийсь соціальний хакер за пару місяців наодинці розвалив один відомий форум, який існував до цього кілька років. Як він це зробив? Дуже просто. Перетворив форум на "смітник". Лаявся, нападав на адміністрацію, "викликав на дуель модераторів", робив явні провокаторські дії. А оскільки він був дуже не дурень, то всі повідомлення писалися "на межі фолу", тобто начебто і провокаційне повідомлення, а й видаляти за великим рахунком нема за що. Загалом, він займав на цьому форумі типову антилідерську позицію.

Примітка

Про антилідерів докладно написано в розділ 8.

Причому діяв він з-під кількох ніків.

Примітка

Нік(Від англ. nick)(або, більш повно, нікнейм(nick name)) - псевдонім, який відвідувачі Інтернету часто собі вибирають для того, щоб під цим псевдонімом залишати повідомлення в різних форумах, чатах тощо. Багато активних користувачів Інтернету звикли ототожнювати себе та інших вже не з реальним ім'ям, а з ніком. Це дуже цікавий феномен Інтернет у психологічному плані. Справа в тому, що ім'я, яке нам дається від народження, вибирається не нами. Відомо чимало випадків, коли через те, що людині не подобалося своє ім'я, він "не міг знайти себе". Нікнейм вибирається свідомо самою людиною, і нерідко стає другим ім'ям.

Це в тому числі допомогло йому досить швидко створити навколо себе антилідерське угруповання з реальних відвідувачів форуму. Справа в тому, що коли він писав з-під кількох ніків, то він саме створював видимість того, що "він не один", тобто, що антилідерське угруповання вже існує. Схема проста: "розкручується" один антилідерський нік, який стає відомим і пізнаваним на форумі, а потім до нього ніби примикають решта відвідувачів форуму, незадоволені поведінкою адміністрації. Примикають спочатку фіктивно, тому що з-під усіх цих ників діє одна і та сама людина, а потім вже і реально, коли до цього угруповання починають примикати реальні відвідувачі форуму. Зрештою форум стає таким собі полем бою, на якому просувати щось (товари, ідеї…) стає практично неможливо.

Загалом тим, хто тримає на сайті форум – потрібно бути дуже уважним. Навіть якщо ваш форум ніхто не збирається "вбивати", ваші менеджери на форумі можуть "наговорити зайвого", що буде ласим шматочком для розвідки, що конкурує.

Основна запорука успіху форуму - це грамотна політика поведінки на ньому та грамотна політика модерування.Це дуже важливо. Оскільки тільки в цьому випадку форум буде маркетинговим плюсом. У решті випадків він може стати великим маркетинговим мінусом.

Примітка

Модерування- це контроль за поведінкою відвідувачів на різних форумах, чатах і т. д. та за тією інформацією, яку вони розміщують у своїх повідомленнях.

Основні правила "ведення форуму". У жодному разі не вступати в жодні переговори з провокаторами та різними "віртуальними терористами". Слава богу, на відміну від реальних терористів, віртуальні нікого не беруть у заручники, і можна дозволити собі з ними не розмовляти. А просто безжально знищувати. Модерувати, себто.

Примітка

У цьому плані нас невимовно здивувала поведінка однієї відомої людини, яка містила свій форум, і після того, як її споганили, зважився як останнє на "переговори з терористами". Ми вже не знаємо, чого він їм там казав, для нас дивним є сам факт подібних переговорів. Ти ж багато бачив у житті, і тобі краще за інших має бути відомо, що з провокаторами вести переговори не можна. Переговори, до речі, певно не допомогли, тому що форум незабаром перестав існувати. А форум був дуже непоганий.

Бажано щоб модератор не був учасником форуму. Це необхідно для збереження його принциповості, яку проблематично зберегти, якщо ти сам є учасником дискусій. Ми саме так і зроблено: модератор не є учасником дискусій на форумі.

Модератор має бути розумною та врівноваженою людиною. Це становище, здавалося б, очевидно, але це правило порушується дуже часто. Нерідко, наприклад, можна бачити, як модератор починає підряд видаляти всі повідомлення людини, яка його образила. Таке, звісно, ​​неприпустимо.

Дії модератора не обговорюються, і це має бути прописано у правилах форуму, які обов'язково мають бути (для довідки варіант правил, що діють на форумі IT-студії SoftTime, наведено далі). У цих правилах має бути написано, в якому разі модератор починає свою роботу. Щоб усе без образ було.

На форумі обов'язково має бути людина, яка дуже компетентна в обговорюваних питаннях. У будь-якому спеціалізованому форумі полеміка відразу припиняється після відповіді експерта, який приходить і дає грамотну, і іноді єдино правильну відповідь. Все - полемізувати нема про що.

Якщо ви тримаєте спеціалізований форум, не рекомендую вам заводити на ньому розділи "за життя". Це з погляду керованості найгірший розділ, який тільки можна вигадати, оскільки погляди на життя у всіх різні. І лаятись усім, обстоюючи свої погляди, нічого не варто. А лайка на форумі перетворює його на смітник (якщо він, звичайно, не створений спеціально для лайки). Як сказано в попередньому правилі, полеміка відразу припиняється після відповіді експерта, який надходить і дає грамотну відповідь. А в житті експертів, на жаль, немає.

Тепер наведемо ті правила, якими ми керуємося на наших форумах.

Прийом, коли хакер атакує не комп'ютер, а людину, яка працює з комп'ютером, називається соціальною інженерією. Соціальні хакери - це люди, які знають, як можна "зламати людину", запрограмувавши її на здійснення потрібних дій. У книзі описано арсенал основних засобів сучасного соціального хакера (трансактний аналіз, нейролінгвістичне програмування), розглянуто та докладно розібрано численні (науки, що вивчає програмування поведінки людини) та способи захисту від соціального хакерства. Книга буде корисна IT-фахівцям, співробітникам служб безпеки підприємств, психологам, що вивчають соціальну інженерію та соціальне програмування, а також користувачам ПК, оскільки саме вони часто вибираються соціальними хакерами як найбільш зручні мішені. Для широкого загалу читачів.

* * *

Наведений ознайомлювальний фрагмент книги Соціальна інженерія та соціальні хакери (І. В. Симдянов, 2007)наданий нашим книжковим партнером-компанією ЛітРес.

Що таке соціальна інженерія та хто такі соціальні хакери

У першій частині обговорюються основні концепції соціальної інженерії та соціального хакерства. Перший розділ, як завжди, - це введення в обговорюване питання, а в другому розділі наведено різні приклади використання методів соціальної інженерії.

Глава 1.

Розділ 2.

Розділ 3.Приклади соціального програмування

Розділ 4.Побудова соціальних файрволів

Розділ 5.Психологічні аспекти підготовки соціальних хакерів

Соціальна інженерія – один із основних інструментів хакерів XXI століття

…На початку лютого 2005 року багато фахівців з інформаційної безпеки нашої країни чекали на виступ К. Митника, відомого хакера, який мав розповісти про те, яку небезпеку являє собою соціальна інженерія, і якими методами користуються соціальні інженери (яких ми надалі називатимемо соціальними. хакерами). На жаль, очікування не дуже виправдалися: Митник розповів лише про основні положення соціальної інженерії. І багато говорив про те, що методи соціальної інженерії використовують злочинці всього світу для отримання найрізноманітнішої засекреченої інформації. На думку багатьох учасників зустрічі, слухати було цікаво, тому що людина дійсно дуже приваблива, але жодних особливих таємниць не було розкрито.

Примітка

Кевін Мітнік – відомий хакер, якому протистояли найкращі експерти із захисту інформації з ФБР, та засуджений у 90-х роках правосуддям США за проникнення у багато урядових та корпоративних секретних баз. На думку багатьох експертів, Митник не мав ні значної технічної бази, ні великих знань у програмуванні. Зате він мав мистецтво спілкування по телефону з метою отримання потрібної інформації та того, що зараз називають "соціальною інженерією".

Те саме можна сказати і про його книги - ніяких особливих одкровень там немає. Ми зовсім не відкидаємо, що Митник це все чудово знає, більше того, ми навіть у цьому майже впевнені, тільки, на жаль, він нічого з того, що дійсно знає, не розповідає. Ні у своїх виступах, ні у книгах.

Примітка

Що, мабуть, загалом, і не дивно, тому що ФБР взялося тоді за нього дуже щільно, показавши, хто в хаті господар, і нерви йому поторгали неабияк. Було і безліч пояснень, і заборона працювати з ЕОМ протягом кількох років, і ув'язнення. Не варто дивуватися тому, що після таких перипетій він став дуже законослухняною людиною, і не буде якісь секретні бази викрадати, але навіть і про не секретні речі говоритиме з великою обережністю.

Через війну таких недомовок соціальна інженерія представляється таким собі шаманством для обраних, що ні. Більше того є ще один важливий момент. Багато описах атак пропускаються цілі абзаци, а то й сторінки. Це ми ось до чого. Якщо взяти конкретно схеми деяких, найцікавіших атак, і спробувати їх відтворити згідно з написаним, то, швидше за все, нічого не вийде. Тому що багато схем К. Митника нагадують приблизно такий діалог.

- Вася, дай пароль, будь ласка!

- Та на! Жаль мені, що для хорошої людини.

Розбір цієї "атаки" нагадує приблизно таке: "Вася дав соціальному хакеру, тому що він з народження не вмів говорити "Ні!" незнайомим людям. Тому основний метод протидії соціальним інженерам - це навчитися говорити "Ні"". ...Можливо, ця рекомендація і підходить для Америки, але, боюся, що не для Росії, де більшість швидше не вміють говорити "Так", а "Ні" у всіх виходить дуже непогано. Справді, є тип людей, які органічно не можуть відмовити іншій людині, але, по-перше, таких людей небагато, а решту потрібно до такого стану підводити. А про те, як підводити, не сказано жодного слова.

Примітка

Про психологічну типологію і про те, як ці знання використовувати в соціальній інженерії, ми докладно поговоримо в додатку 2.

Ось приблизно це і мається на увазі, коли ми говоримо, що Митник нерідко пропускають цілі абзаци. Можна припустити, що перша фраза могла мати місце на початку, а друга – наприкінці розмови. Але між ними було ще дуже багато і найцікавіше. Тому що, щоб усе було так просто, потрібно людину занурити або в глибокий гіпноз, або вколоти йому сироватку правди. Але якщо це так і було, то про це теж треба писати.

У житті відбувається, як правило, по-іншому. І паролі кажуть, і бази виносять, не тому що не просто "ні" відповісти не можуть, а тому, що "ні" відповідати буває, ... дуже не хочеться. А для того, щоб людині, яка має якусь серйозну інформацію, дуже складно було відповісти "ні", потрібно її підвести до такого стану. Простеживши його, скажімо, протягом тижня. А що цікаве виявитися? Може він сам "засланий козачок" або вечорами на конкурентів підробляє, а може справа взагалі серйозніша: вечорами він підробляє не на конкурентів, а ходить в публічний будинок ...для людей з нетрадиційною сексуальною орієнтацією, і, будучи для всіх інших зразковим сім'янином, дуже не хоче, щоб про це хтось дізнався. Ось маючи приблизно таку інформацію, до нього можна сміливо підходити і говорити:

- Васю, а ну скажи мені всі паролі, які знаєш. І доступ мені в свою мережу відкрий, щоб я час марно не втрачав.

І ось у цьому випадку вже дуже багато Васі дадуть відповідь:

- Так на, будь ласка. І паролі дам та доступ відкрию. Шкода мені, чи для хорошої людини.

Мовою розвідників це називається "вербування". І якщо раптом у вашій організації все кудись зникає, усі паролі комусь відомі, подумайте про те, чи не сів хтось "на хвіст" комусь із ваших співробітників. Обчислити того, на кого сіли, і тих, хто сів, зазвичай, буває не складно. Розумні співробітники служб безпеки, до речі, перш ніж довіряти людям ключові пости, зазвичай дуже його перевіряють на предмет, скажімо так, слабких сторін кандидата на посаду. І слідкують за ним, і тести всякі розумні влаштовують, щоб знати, що за людина працювати прийшла.

…Це вступ написано не для того, щоб покритикувати К. Митника – кожного з нас є за що покритикувати – а для того, щоб показати, що в соціальній інженерії не все так просто, як це іноді подається, і ставитися до цього питання потрібно серйозно та вдумливо. Тепер, після цього вступу, як кажуть, почнемо.

Комп'ютерна система, яку зламує хакер, немає сама собою. Вона завжди містить у собі ще одну складову: людину. p align="justify"> Образно висловлюючись, комп'ютерну систему можна представити наступною простою схемою (рис. 1.1).

Рис. 1.1.Основні варіанти злому комп'ютерної системи (людина – з карикатури Х. Бідструпа)

Завдання хакера у тому, щоб зламати комп'ютерну систему. Оскільки, як ми бачимо, у цієї системи є дві складові, то й основних шляхів її злому відповідно два. Перший шлях, коли "зламується комп'ютер", ми назвемо технічним. А соціальною інженерієюназивається те, коли, зламуючи комп'ютерну систему, ви йдете другим шляхом і атакуєте людину, яка працює з комп'ютером. Простий приклад. Допустимо, вам потрібно вкрасти пароль. Ви можете зламати комп'ютер жертви та дізнатися пароль. Це перший шлях. А підійшовши другим шляхом, ви цей же пароль можете дізнатися, просто запитавши пароль у людини. Багато хто говорить, якщо правильно запитати.

На думку багатьох фахівців, найбільшу загрозу інформаційній безпеці, як великих компаній, так і звичайних користувачів, у наступні десятиліття будуть представляти все більш удосконалювані методи соціальної інженерії, які застосовуються для злому існуючих засобів захисту. Хоча б тому, що застосування соціальної інженерії не потребує значних фінансових вкладень та досконалого знання комп'ютерних технологій. Так, наприклад, Річ Могулл, голова відділу інформаційної безпеки корпорації Gartner, говорить про те, що "соціальна інженерія є більш серйозною загрозою, ніж звичайний злам мереж. Дослідження показують, що людям притаманні деякі поведінкові нахили, які можна використовувати для обережного маніпулювання. Багато з найшкідливіших зломів систем безпеки відбуваються і відбуватимуться завдяки соціальній інженерії, а не електронному злому. Наступне десятиліття соціальна інженерія сама по собі становитиме найвищу загрозу інформаційній безпеці". Солідарний з ним і Роб Форсайт, керуючий директор одного з регіональних підрозділів антивірусної компанії Sophos, який навів приклад "про новий цинічний вид шахрайства, спрямованого на безробітних жителів Австралії. Потенційна жертва отримує по електронній поштілист, нібито надісланий банком Credit Suisse, у якому йдеться про вільну вакансію. Одержувача просять зайти на сайт, що є майже точною копією справжнього корпоративного сайту Credit Suisse, але в підробленій версії представлена ​​форма для заповнення заяви про прийом на роботу. А за те, щоб розглянули заяву, "банк" просив нехай символічні, але гроші, які потрібно було переказати на такий-то рахунок. Коли ж гроші перевели дуже багато людей, сума вийшла вже не така символічна. Фальшивий сайт зроблений настільки майстерно, що експертам потрібен час, щоб переконатися, що це підробка. Варто визнати, що зловмисники застосували досить хитру комбінацію технологій. Їхня мета – члени суспільства, які найбільше потребують, тобто ті, хто шукає роботу. Це якраз ті люди, які можуть піддатися на такого роду провокацію", – йдеться у словах Форсайта. Енріке Салем, віце-президента компанії Symantec, взагалі вважає, що такі традиційні загрози, як віруси та спам, – це "проблеми вчорашнього дня" Хоча компанії обов'язково повинні захищатися і від них Проблемою сьогодення Салем називає фішинг із використанням методів соціальної інженерії.

Примітка

Докладно про фішинг - в розділ 2.

Чому ж багато дослідників вважають, що соціальна інженерія стане одним із основних інструментів хакерів XXI століття? Відповідь проста. Тому що технічні системи захисту все більше і більше удосконалюватимуться, а люди так і залишатимуться людьми зі своїми слабкостями, забобонами, стереотипами, і будуть найслабшою ланкою в ланцюжку безпеки. Ви можете поставити найдосконаліші системи захисту, і все одно пильність не можна втрачати ні на хвилину, тому що у вашій схемі забезпечення безпеки є одна дуже ненадійна ланка – людина. Налаштувати людський брандмауер, інакше кажучи файрвол(firewall), - це найскладніша і невдячна справа. До добре налаштованої техніки ви можете не підходити місяцями. Людський брандмауер потрібно підлаштовувати постійно. Тут як ніколи актуально звучить головний девіз усіх експертів із безпеки: "Безпека – це процес, а не результат". Дуже простий приклад, що часто зустрічається. Нехай ви директор, і у вас дуже хороший співробітник, який, на вашу думку, ніколи вже нічого нікому не продасть і нікого не продасть. Наступного місяця ви знизили йому зарплату, скажімо, з тих чи інших причин. Нехай навіть ці причини об'єктивні. І ситуація різко змінилася: тепер за ним око та око, бо він місця собі не знаходить від образи, він уже вас убити готовий, що вже тут говорити про якісь внутрішньокорпоративні секрети.

Зауважу також, що для того, щоб займатися забезпеченням безпеки, особливо в частині налаштування "людських файрволів", потрібно мати стійку нервову і психічну систему. Чому ви зрозумієте з наступної прекрасної фрази А. Ейнштейна, яку ми, слідом за Кевіном Митником, не можемо не повторити: "Можна бути впевненим тільки у двох речах: існування всесвіту та людської дурості, і я не зовсім впевнений щодо першої".

Усі атаки соціальних хакерів укладаються в одну достатньо просту схему(Рис. 1.2).

Рис. 1.2.Основна схема впливу у соціальній інженерії

Примітка

Ця схема носить назву схема Шейнова. У загальному вигляді вона наведена у книзі білоруського психолога та соціолога В.П. Шейнова, який тривалий час займався психологією шахрайства. У трохи зміненому вигляді ця схема підходить і для соціальної інженерії.

Отже, спочатку завжди формулюється мета на той чи інший об'єкт.

Примітка

Потім збирається інформація про об'єкт, з метою виявлення найбільш зручних мішеней впливу. Після цього настає етап, який психологи називають атракцією. Атракція (від лат. attrahere– залучати, притягувати) – це створення необхідних умов впливу социоинженера на об'єкт. Примус до необхідного для соціального хакера дії зазвичай досягається виконанням попередніх етапів, тобто після того, як досягнуто атракції, жертва сама робить потрібні соціоінженеру дії. Однак у ряді випадків цей етап набуває самостійної значущості, наприклад, тоді, коли примус до дії виконується шляхом введення в транс, психологічного тиску і т.д.

Після В.П. Шейновим, проілюструємо цю схему на прикладі риболовлі. Мета впливу у разі – потреба риби у їжі. Принадою служить черв'як, шматок хліба, блешня і т. д. А атракція - це створення умов, необхідних для успішного риболовлі: вибір потрібного місця лову, створення тиші, вибір потрібної насадки, прикорм риби. Примус до дії, це, припустимо, ривки вудилищем, завдяки яким черв'як або інша насадка сіпається і риба розуміє, що їжа може піти і треба діяти активніше. Ну, а з підсумком все зрозуміло.

Інший приклад: підкуп працівника. Тут мета – потреба співробітника підприємства у грошах. Про те, що він їх потребує і що з великою ймовірністю "прийме пропозицію", дізнається на етапі збору інформації. Атракцією може бути, наприклад, створення таких умов, за яких співробітник буде грошей дуже потребувати.

Примітка

Ці умови часто створюються навмисне. Банальний приклад - їхав співробітник на машині і "злегка потрапив в аварію", після якої і машину треба ремонтувати, і тому джипу, в який він врізався, гроші заплатити. Кількість таких "дорожніх підстав" зараз зросла неймовірно, і виконавців знайти не складно.

Тепер коротко зупинимося на такому популярному вигляді злочинів, як крадіжка баз даних.

Примітка

Крадіжка баз даних – це одна з основних галузей застосування соціальної інженерії. Розмову про крадіжки баз даних ми продовжимо також і в розділ 2.

Яких тільки баз зараз не знайдеш: і бази МГТС, і бази Центробанку, і бази Пенсійного фонду, і бази БТІ, і бази МВС із ДІБДР, і бази за пропискою... Зараз експерти сперечаються про те, до якого виду злочинів відносити крадіжку клієнтських баз даних. З одного боку, даний вид злочинів начебто, на думку багатьох експертів, належить до злочинів у галузі IT. Ті, хто так вважають, виходять з того простого положення, що бази даних зберігаються на жорстких дисках серверів, і, якщо їх вкрали, то це злочин в IT. Але з іншого боку, це не зовсім так, тому що більшість крадіжок здійснюються за допомогою методів соціальної інженерії.

Хто і яким способом краде бази даних?Якщо у відповідь на це запитання ви почуєте, що їх викрадають хакери, зламуючи корпоративні сервери державних органівта великих компаній – не вірте цьому. Це не так. Все набагато простіше та прозаїчніше. Крадуть їх прості люди, не користуючись, як правило, ніякими складними приладами, якщо таким не вважати звичайний накопичувач Flash Drive, що підключається до порту USB.

Як ми вже говорили, приблизно у 80 випадках зі 100 інформацію крадуть не за технічним каналом, а за соціальним. Таким чином, це не хакери сидять ночі безперервно і зламують сервери, а, скажімо, системний адміністратор, що образився, звільнився. Але не один, а разом з усіма базами даних та усією інформацією про підприємство. Або за помірну плату співробітник компанії сам "зливає" на бік інформацію про компанію. Або просто прийшла людина збоку, представився найкращим другом системного адміністратора, і сів налагоджувати "глючну" базу даних, бо найкращий друг нині хворий. Після його відходу ця база справді почала працювати краще, але – в іншому місці. Якщо ви вважаєте, що це дуже тривіально і проходить тільки в маленьких і зовсім безтурботних компаніях, то ви даремно так вважаєте. Нещодавно саме так викрали цінну інформацію в одній з великих пітерських компаній, що працюють в галузі енергетики. І таких прикладів дуже багато. Той факт, що основний канал витоку інформації – соціальний, завдання захисту вкрай сильно ускладнює. Тому що ймовірність витоку технічного каналу в принципі можна звести до нуля. Можна зробити мережу дуже захищеною, що жодна атака ззовні її "не прошибе". Можна взагалі зробити так, що внутрішня мережа установи не перетинатиметься із зовнішньою, як це зроблено в російських. силових відомствах , наприклад, де внутрішні мережі немає виходу до Інтернету. Кабінети керівництва та всі кабінети, в яких проводяться важливі наради, слід обладнати засобами захисту від витоку інформації. Ніхто нічого на диктофон не запише – ми поставили подавлювачі диктофонів. По радіоканалу та каналу побічних електромагнітних випромінювань ніхто нічого не прослухає – поставили генератор радіошуму. Віброакустичний канал теж перекрили, неможливе і лазерне знімання інформації щодо коливань шибки, через вентиляційні шахти теж ніхто нічого не почує. Телефонні лінії захистили. …Отже, все зробили. А інформація все одно "зробила ноги". Як чому? А люди забрали. Без жодних складних технічних маніпуляцій. В черговий раз спрацював той самий горезвісний і нав'язливий в зубах людський фактор, про який начебто й знають, і про який всі намагаються забути, живучи за принципом "поки грім не гримне...". Зауважте: викрасти інформацію з мереж державних органів з технічного каналу практично неможливо. А вона, проте, викрадається. І це є ще одним доказом того, що здебільшого інформацію викрадають з використанням людей, а не технічних засобів. Причому викрадають іноді до кумедного просто. Ми проводили аудит одного великого підприємства нафтохімічної галузі щодо організації у ньому захисту інформації. І з'ясували цікаву річ: доступ до столу секретаря генерального директора могла мати будь-яка нічна прибиральниця. І мала, зважаючи на все. Отака демократія панувала на цьому підприємстві. А паперів на цьому столі стільки було розкидано, що за ними можна було скласти уявлення майже про всю нинішню діяльність підприємства та плани його розвитку на найближчі 5 років. Обмовимося ще раз, що це справді велике підприємство, із солідною репутацією та мільйонними оборотами. У доларовому еквіваленті, звісно. А захист інформації було поставлено… Втім, ніякого не було поставлено. Ще один цікавий соціоінженерний канал витоку інформації – це різні виставки, презентації і т.д. відповідає будь-які питання. Я не раз це говорив багатьом своїм знайомим директорам, і один з них жартома запропонував мені підійти до представника його компанії на найближчій виставці і спробувати таким чином щось таке в нього вивідати. Коли я приніс йому диктофонний запис, він, можна сказати, плакав, бо одна з фраз звучала приблизно так: "А ось недавно наш директор ще їздив до Ірану...". Цей спосіб видобутку інформації, до речі, використовується чимало фірм.

Примітка

Докладніше про те, як вивідується інформація на презентаціях – у розділ 2.

…На жаль, багато людей вкрай безтурботні, і не хочуть дбати про збереження інформації. Причому часто навіть у дуже великих організаціях це "не хотіння" простягається від найпростіших працівників до генерального директора. І за такого розкладу один системний адміністратор або начальник служби безпеки, будь вони навіть повними параноїками, схибленими на захисті інформації, ситуацію не врятують. Тому що на даний момент, на жаль, навіть ті з керівників, які розуміють, що інформацію захищати треба, не завжди усвідомлюють ще одну річ: захист інформації має бути системним, тобто проводиться по всіх можливих каналах витоку. Ви можете скільки завгодно захищати комп'ютерну мережу, але якщо люди отримують низьку зарплату та ненавидять підприємство, на якому вони працюють, хліще, ніж радянський народ гітлерівських окупантів, то на цей захист можна навіть не витрачати гроші. Інший приклад несистемності можна часто спостерігати, очікуючи прийому біля дверей якогось директора. Дуже часті випадки, коли ті, хто конструює систему безпеки, не враховують таку річ: директори мають властивість говорити голосно, іноді зриваючись на крик. Двері ж у кабінет генерального директора часто настільки звукопроникні, що тих, хто радиться в "генеральському" кабінеті, можна слухати, зовсім не напружуючись, навіть якщо вони говорять пошепки. Якось я приїхав до Москви до одного "близького до тіла" директора проконсультуватися з ним на предмет, що чекає далі на нашу галузь. А в нього трапилася важлива незапланована нарада, і мене попросили почекати. Посидівши 15 хвилин біля його кабінету, я зрозумів, що дізнався набагато більше, що хотів дізнатися, і в принципі можна їхати. Залишився лише з пристойності. Пікантність ситуації в тому, що коли дійшла черга до мене, на мої запитання директор майже не відповів, кажучи, що, мовляв, сам розумієш, дуже конфіденційно, я й сам поки що не дуже в курсі… І так далі. Тим не менш, я йому дуже палко подякував.

…Повертаючись до баз даних, які містять конфіденційні відомості, слід зазначити, що після вищенаписаного цілком зрозуміло, хто і як їх краде. Звичайні люди їх крадуть. Дуже часто – самі ж працівники підприємств. Нещодавно засудили митника в чині підполковника, який постачав ринок митними базами даних. У сусідньому регіоні спіймали за руку начальника відділу податкової інспекції, який за помірну плату злив дані місцевим кримінальним браткам. І так далі.

Навіщо їх крадуть і кому це потрібно?Потрібно це багатьом. Від дитинства до великої. Потрібно як пересічним громадянам, так і "фінансовим акулам". Якщо почати з громадян, то не вдаючись у глибинні міркування про особливості російського менталітету, скажемо лише, що поки що в довідкових службах наших "телекомів" сидять крикливі і всім незадоволені панянки, то навіть самому законослухняній і чесній людині набагато простіше для своїх нервів піти та купити цю базу номерів телефонів організацій над ринком піратського ПЗ, ніж зателефонувати довідкову службу.

Це зі зрозумілих причин потрібно всім тим, хто займається конкурентною розвідкою.

Це потрібно криміналітету. Наприклад, кожен поганий себе викрадач автомобілів має основу ДІБДР. Криміналу також важливо знати, чи не обділяють його ті, кого він "кришує". Домушники знаходять собі жертви за допомогою баз даних.

Це потрібно фінансовим гігантам, які практикують практику рейдерських наїздів.

Примітка

Рейдерські наїзди– це така практика у новій російської історії, При якій, грубо кажучи, велика компанія прибирає до рук ті компанії, які є меншими за допомогою так званих рейдерів. Припустимо, якась велика компанія захотіла купити якусь іншу компанію, яка менша. Для цього вона робить замовлення рейдерам – людям, які побудують план захоплення компанії та його виконають. Докладно про рейдерів розказано в розділ 2.

…Продовжувати можна довго. Загалом ринок великий і попит на продукцію є. А попит завжди породжує пропозицію. Це один із основних законів економіки. Якщо є попит, обов'язково, рано чи пізно, дороге чи дешеве, але пропозиція буде. Яким би цей попит не був. Навіть якщо цей попит дуже блюзнірський, наприклад, попит на дитячі органи. Найстрашніше попит складно придумати. А все одно пропозиція є. Що тут говорити про якісь бази даних.

Примітка

В даний час ціна питання на крадіжку однієї бази даних великого підприємства становить близько $2000.

Чи можна взагалі припинити крадіжку баз даних?На державному рівні це можна зробити, напевно, лише посиливши покарання за злочин. Хотілося б подивитися на того, хто наважився б поцупити якусь базу в радянські часи. Щоправда, "зробивши жорсткішим", це не зовсім той термін: справа в тому, що зараз бази даних можна красти практично безкарно. Ну чого варто будь-якому співробітнику практично будь-якої структури винести цю базу? Правильно – нічого не варте. У найгіршому випадку звільнять. Але це ще треба примудритися потрапити. Дійшло до того, що згідно з публікацією в "Комсомольській правді" від 03.03.06 базами даних торгує навіть Московський центр економічної безпеки, який, судячи з назви, повинен ці самі бази охороняти. Тому, як завжди, на державу, звичайно, варто сподіватися, але розраховувати на неї не варто. І деякі компанії самі, не чекаючи на державу, пішли іншими шляхами. Наприклад, шляхом дискредитації цього ринку і тих, хто на ньому працює. Простіше кажучи, зливають звичайну дезу, діючи за принципом, якщо держава не може нас захистити, то доводиться самим вчитися грати в шпигунські ігри. І багато хто непогано навчається. Я знаю випадок, коли одна компанія, дізнавшись, що її "замовили", сама підготувала всю необхідну інформацію, яку вкрав зловмисник. Коли "замовник" зрозумів, у чому справа, він, кажуть, був у нестямі. А ціна питання була високою. Історія замовчує, що було з тими, хто цю інформацію видобував, але, з чуток, після цього випадку кількість бажаючих, у тому числі й співробітників, видобувати конфіденційну інформацію про діяльність цієї компанії різко зменшилася.

До речі, хоч і кажуть, що немає підзаконних актів, спрямованих на те, щоб припинити крадіжку баз даних, справа часто не в них. Так, із підзаконними актами справді проблема. Але в більшості крадіжок, як ми вже говорили раніше, винні самі організації. До речі, у судах практично немає звернень від організацій, які крадуть інформацію. Що пояснюється однією простою річчю: ніхто не хоче виносити сміття з хати. Що загалом зрозуміло, але, з іншого боку, дуже спрощує справу зловмисникам. Справа ще й у тому, що навіть у тому випадку, коли фірмі точно відомо, що її співробітник викрав інформацію, і вона бажає подати цього співробітника до суду, ймовірність того, що фірма виграє справу дуже мала. З причини тієї ж безтурботності: дуже мінімальна кількість фірм оформляє договори зі співробітниками належним чином, тобто так, щоб у ньому було прописано, що співробітник ознайомлений з тим, що має справу з конфіденційною інформацією і що йому буде за те, якщо він цю інформацію розголосить.

Основні відмінності соціальної інженерії від соціального програмування

Крім соціальної інженерії, ми ще вживатимемо термін "соціальне програмування",яке, хоч і здається на перший погляд схожим на соціальну інженерію, насправді від неї дуже відрізняється. Тому, щоб припинити цю плутанину в термінах і присвячений цей розділ.

Соціальну інженеріюможна визначити як маніпулювання людиною або групою людей з метою злому систем безпеки та викрадення важливої ​​інформації. Соціальне програмуванняж може застосовуватися безвідносно від будь-якого злому, а навіщо, наприклад, для приборкання агресивного натовпу чи забезпечення перемоги будь-якого кандидата на чергових виборах, або навпаки, для очорнення кандидата і для того, щоб миролюбний натовп зробити агресивним. Важливо те, що тут мови про ту чи іншу ЕОМ немає і близько. Таким чином, термін соціальна інженерія ми вживатимемо тоді, коли йдеться про атаку на людину, яка є частиною комп'ютерної системи, як це показано на рис. 1.1.

Примітка

Іноді крім терміна соціальна інженерія вживається також термін обернена соціальна інженерія.Суть у тому, що при зворотній соціальній інженерії ви людину прямо ні до чого не примушуєте, а створюєте такі умови, що вона сама до вас звертається. Наприклад, якщо вам необхідно прийти в організацію під виглядом телефонного майстра, ви можете просто прийти і почати перевіряти телефонні коробки. Це у цій термінології – соціальна інженерія. А можна зробити і по-іншому. Ви створюєте таку ситуацію, коли у якійсь конкретної організації вас знають як телефонного майстра. Після цього ви чекаєте, коли щось трапиться з телефонами, або самі робите з ними щось і спокійно чекаєте, коли вам зателефонують і попросять прийти. Це і є зворотна соціальна інженерія. Таким чином, не ви самі кудись ні з того, ні з цього приходьте, а вас просять прийти. Звичайно, другий випадок набагато кращий, тому що знімає з вас взагалі всі підозри. Грамотні соціоінженерні підходи саме так і будуються, тому цей термін ми вважаємо зайвим і його вживати не будемо.

Соціальне програмування можна назвати наукою, яка вивчає методи цілеспрямованого впливу на людину або групу осіб з метою зміни чи утримання їхньої поведінки в потрібному напрямку. Таким чином, по суті, соціальний програміст має на меті оволодіння мистецтвом управління людьми. Основна концепція соціального програмування у тому, що багато вчинків людей та їх реакцію те чи інше зовнішнє вплив у часто передбачувані.Річ, власне кажучи, дуже цікава. Але здебільшого це справді так. Загальну схему методів роботи соціальних програмістів представлено на рис. 1.3.

Рис. 1.3.Загальна схема методів роботи соціальних програмістів

У соціальному програмуванні розробка схеми впливу йде з кінця, тобто від необхідного результату. Наведу один дуже простий і дуже поганий приклад. Нехай є хтось, наприклад, заступник, якому дуже заважає начальник. Припустимо, цей заступник знає, що у його начальника хворе серце та слабкі судини, і той, у якого хворе серце, дуже любить "прикластися до чарки". Родичі, звичайно, мало не по п'ятах ходять і цю чарочку відбирають, і це навіть діє. А наш зам. начальника тими чи іншими способами починає того, у якого хворе серце цілеспрямовано спаювати. Зрештою, судини не витримують. Геморагічний інсульт. Зам. начальника став начальником. На похороні ридав найбільше, та й потім залишився найближчим другом сім'ї. Незважаючи на те, що фактично вбив голову сімейства.

Чим методи соціального програмування прекрасні для злочинців, що про них або взагалі ніхто ніколи не дізнається, як у наведеному вище прикладі, або навіть якщо хтось про щось здогадується, притягнути до відповідальності такого діяча дуже складно. Ну, немає у нас у кримінальному кодексі статті "Доведення до інсульту". А якби і була - піди, доведи, що все так і було, адже "доведений" все робив суто добровільно, будучи дієздатним, у гіпноз його ніхто не вводив, електромагнітним промінням ніяким не опромінював...

Це ми розглянули досить класичну та дуже просту схему негативного застосування соціального програмування. У різних варіаціях ця схема діє з давнини, якщо згадати історію. У разі необхідний результат – фізичне усунення конкурента. Отже, ціль сформульована. Далі опрацьовано психофізичні характеристики, внаслідок якої з'ясовано схильність до випивки та наявність хронічних серцево-судинних захворювань. Потім розробляється міра впливу (надмірне вживання алкоголю), що при правильному застосуванні і дає запланований результат. Дуже важливо те, що поведінка людини природно для неї самої. Що цікаво. І тому проводиться розрахунок психофізичних характеристик. Тому що інакше це було б не соціальне програмування. Адже, коли маніяк-вбивця, наприклад, вже вибрав собі жертву і збирається її вбити, він теж знає про майбутню поведінку жертви того, що вона ще сама про себе не знає (що її скоро не буде на цьому світі). Але, погодьтеся, поведінка жертви в цьому випадку навряд чи можна називати природною: складно уявити, що зустрічі з маніяками це її природне проведення часу. Таким чином, соціальне програмування, це коли ви штучно моделюєте ситуацію під конкретну людину, в якій ви знаєте, як ця людина надійде, виходячи зі знання психотипу цієї людини. Те саме стосується і групи людей.

Примітка

В главі 3ми розглянемо ще кілька прикладів саме соціального програмування, наприклад, проаналізуємо, якими способами можна утихомирити агресивний натовп, а також подумаємо про те, яким чином за допомогою методів соціального програмування можна було вчинити скандально відому нещодавню "соляну кризу".

Соціальне програмування базується на таких психологічних концепціях:

Трансактний аналіз (Див. розділ 6);

Соціології (науці про поведінку людей у ​​групах) (Див. розділ 8);

Нейролінгвістичному програмуванні (Див. розділ 7);

Сценарне програмування (Див. розділ 6);

Психологічна типологія (Див. Додаток 2).

Соціальне програмування, на відміну соціальної інженерії, має більш широку сферу застосування, т. до. працює з усіма категоріями людей, незалежно від цього, частиною якої системи є. Соціальна інженерія завжди працює тільки з людиною, яка є частиною комп'ютерної системи, хоча методи в тому й іншому випадку використовуються аналогічні.

Інша важлива відмінність полягає в тому, що соціальна інженерія - це майже завжди негативна сфера застосування, соціальне програмування ж, як і будь-яка область знання, має і позитивну і негативну сферу застосування. Одним із прикладів негативної галузі застосування соціального програмування є саме соціальна інженерія.

Тому, коли ми говоритимемо про маніпулювання людиною в тому випадку, коли вона є частиною комп'ютерної системи, або просто носієм секретної інформації, яку потрібно викрасти, ми говоритимемо про соціальну інженерію, а в тому випадку, коли йтиметься про управління людьми взагалі , ми говоритимемо про соціальне програмування. Наша книга – про соціальну інженерію, але іноді, щоб краще була зрозуміла суть багатьох методів, ми робитимемо набіги у соціальне програмування.

На закінчення розмови про соціальне програмування наведемо відомий приклад у тому, як майстерно можна маніпулювати людьми.

Одного разу один гросмейстер отримав поштою листа, в якому невідома йому людина, представившись молодим шахістом-початківцем, запропонувала зіграти дистанційну партію в шахи. Дистанційну, бо ходи вирушали поштою. За виграш гросмейстеру була обіцяна дуже велика сума грошей, а якщо буде нічия, або, боронь боже, гросмейстер програє, то гроші платить він. Щоправда, вдвічі меншу суму, ніж ту, яку отримає він сам, якщо програє молодий шахіст. Гросмейстер, не довго думаючи, погодився. Уклали парі, і почали грати. Вже з перших ходів знаменитий гросмейстер зрозумів, що "на халяву" заробити гріш не вдасться, бо вже перші ходи видавали в молодому шахісту перспективного майстра. Всередині щогла гросмейстер втратив спокій і сон, постійно прораховуючи наступні ходи супротивника, який виявився не просто перспективним майстром, а дуже великим майстром. Зрештою, через чималий час, гросмейстерові ледве вдалося звести партію внічию, після чого він обрушив на парубка купу компліментів і запропонував йому не гроші, а свою підтримку, сказавши, що з такими талантами зробить його чемпіоном світу. Але молодий шахіст сказав, що всесвітня слава йому не потрібна, і що просить лише виконати умови парі, тобто вислати виграні ним гроші. Що гросмейстер і зробив, скріпивши серце. А де тут маніпулювання, запитаєте ви? А маніпуляція тут у тому, що проти гросмейстера грав не юнак, а …інший великий гросмейстер, який отримав від юнака такий самий лист і так само погодився "швиденько підзаробити". На таких самих умовах: за виграш йому платить велику суму молода людина, а за програш або нічию платить гросмейстер молодій людині. В результаті два великі шахісти близько півроку боролися між собою, а молодий "талановитий шахіст", висловлюючись сучасною мовою, працював поштовим ретранслятором, тобто лише пересилав їх листи один одному. А потім, в результаті нічиї, обидва гросмейстери відправили гроші ... цьому молодому чоловікові.

Приклади зламів за допомогою методів соціальної інженерії

У цьому розділі ми трохи поговоримо історію соціальної інженерії, а потім продовжимо проводити приклади того, як діють соціальні інженери.

Про історію соціальної інженерії

Дуже часто "батьком соціальної інженерії" називають відомого хакера К. Митника, що не зовсім правильно. Митник одним із перших став застосовувати мистецтво маніпулювання людиною стосовно комп'ютерної системи, зламуючи не "програмне забезпечення", а людину, яка працює за комп'ютером. І з його легкої руки все, що пов'язане з крадіжкою інформації у вигляді маніпулювання людиною, стали називати соціальною інженерією. Ми в цій книзі, за Митником, теж дотримуємося подібної термінології.

Насправді, всі методи маніпулювання людиною відомі досить давно, і здебільшого ці методи прийшли в соціальну інженерію здебільшого з арсеналу різних спецслужб.

Історична примітка

Перший відомий випадок конкурентної розвідки відноситься до VI століття до нашої ери, і стався в Китаї, коли китайці втратили таємниці виготовлення шовку, який обманним шляхом викрали римські шпигуни.

Автори багатьох статей на тему соціальної інженерії зазвичай зводять її застосування до телефонних дзвінків з метою отримання будь-якої конфіденційної інформації (як правило, паролів) за допомогою видачі себе за іншу особу. Однак галузі застосування соціальної інженерії набагато ширші.

Основні галузі застосування соціальної інженерії показані на рис. 2.1.

Розглянемо докладніше з прикладів кожну з цих областей.

Рис. 2.1.Основні галузі застосування соціальної інженерії

Фінансові махінації

…Була весна, було кохання. Бухгалтер фірми середньої руки Наташа була беззавітно закохана в юнака Іллю. Такого прекрасного, такого милого, такого чарівного. Вони з ним випадково зустрілися у нічному клубі, і там вона дізналася, що Ілля нещодавно приїхав до їхнього міста здобувати освіту на вечірньому відділенні фінансового факультету. Колишній слюсар, руки золоті. "Ну і що, що слюсар", - розмірковувала Наталка, - "вивчиться незабаром і буде фінансистом". Колега, можна сказати. Загалом, починалося велике весілля, а попереду було лише кохання і багато всього приємного, що з цим пов'язано. А до чого тут фінансові махінації, запитаєте ви? А при тому, що в плани Наташі жорстко втрутилося реальне життя, в якому, крім кохання, буває ще й жорстокий обман. І одного разу вона дізналася, що з її комп'ютера було здійснено переказ на рахунок якоїсь фірми чималої суми грошей. Вона точно пам'ятала, що нічого такого не робила, та й взагалі дівчина була старанна і без шкідливих звичок. Загалом, шок. Який посилювався тим, що її коханий Ілля раптом кудись зник. Між іншим, про те, що цю аферу провернув саме Ілля, здогадалися не відразу, бо нікому на думку не могло спасти, що такий чарівний, такий милий, такий чуйний ось так може.

Що ж сталося? А відбувся класичний сюжет. Чарівний Ілля закохався в Наташу для того, щоб скористатися її службовим становищем. Історія дуже часто відбувається, тільки цілі різні. В даному випадку метою було викрадання грошей.

Примітка

Мета впливу в цьому випадку - потреба Наташі в любові. Атракція, природно, любовні залицяння Іллі до Наташі. Крім того, атракцією тут також є показ серйозності своїх намірів (як пам'ятаємо, готувалася весілля).

І ось, дочекавшись зручного моменту, коли він був один у робочий день у кабінеті Наташі, він переказав гроші туди, куди хотів. Про те, як це робиться, вона сама йому розповіла, тому що він запитував, мотивуючи свої питання тим, що йому це цікаво для освіти (він же, як пам'ятаємо, на фінансовому факультеті вчився, та й взагалі все, що пов'язано з легендуванням , у разі зроблено дуже грамотно). Під час цих розмов Ілля з'ясував, де лежать дискети з ЕЦП (Електронно-цифровий підпис) головбуха і директора. Чи була Наташа дурнею? Ні не була. Хоча б тому, що в Іллю за ті кілька місяців, що він був поруч із Наташею, закохалися майже всі співробітники фірми, включаючи директора, який особисто благословив їхнє швидке весілля і готовий був незабаром взяти Іллю до штату своєї фірми. І тому, що вона, за великим рахунком, не винна в тому, що гроші в багатьох наших фірмах переводяться за спрощеною процедурою. Як за правилами має відбуватися переказ грошей? Потрібно, наприклад, переказати якусь суму. Приходить головний бухгалтер, вставляє дискетку зі своєю ЕЦП, потім вставляє дискету директор. І тільки після цього гроші переказуються, оскільки наявність ЕЦП та директора та головбуха – необхідна умовадля переказу грошей. І якби все робити за правилами, то така атака, звичайно ж, немислима. Але… навіть найдрібніша фірма може робити за день до десяти перекладів. А тепер уявіть, що директор щоразу бігатиме і вставлятиме свою дискету. А якщо фірма не дрібна? Та він фірму швидше закриє, ніж таким самокатуванням займатиметься. Тому дуже нерідко, коли обидві дискетки з ЕЦП просто лежать у столі того бухгалтера, який переводить гроші. Як і в описаному випадку.

А що було Іллі? А нічого не було. Тому що він після того, як усе зробив, одразу кудись поїхав. Чи то в інше місто, чи в іншу країну. Паспорт, звичайно, був підробленим, у нього взагалі цих паспортів було більше, ніж у паспортному столі.

Примітка

Залишимо за дужками подальший розвиток або можливий розвиток цієї ситуації, тому що нам воно, в принципі, не має значення. Гроші могли бути і переведені, а потім переведені в готівку, а могли і не встигнути їх перевести в готівку, тому що співробітники фірми оперативно "відкотили ситуацію". Історія фінансових махінацій знає приклади того й іншого варіантів розвитку подій. Для нас важливий сам факт доступу до комп'ютера, з якого здійснювалися банківські перекази, і факт здійснення цього переказу, тобто той етап роботи, який пов'язаний із соціальним хакерством, був зроблений і зроблений успішно. Розмова ж про те, якими способами можна встигнути перевести в готівку гроші до того, як фірма (І/АБО компетентні органи, якщо їм повідомили про інцидент) почне вживати заходів, як можна зробити так, щоб встигнути перевести в готівку гроші і т. д., виходить за рамки цієї книги.

Чесно сказати, універсальних рекомендацій, що дозволяють захиститись від даного виду атак, не існує. Ця історія з точністю до невеликих варіацій неодноразово відбувалася і напевно ще не раз станеться. Багато авторів у схожих випадках говорять, мовляв, потрібно бути уважнішими, потрібно чітко дотримуватися інструкцій і подібні речі просто будуть неможливі. Ми з цими словами, звичайно, повністю згодні, але, на жаль, це тільки слова. Слова, що не мають жодного відношення до реального життя. А якщо справа поставлена ​​серйозно, і нею займаються серйозні люди, які знають, як такі справи робляться, можна гарантувати, що на цю вудку трапляться відсотків 90 населення. А багато хто – ще й не один раз. Тому не опускатимемося до банальностей і чесно скажемо: гарантованих способів захисту немає. А тепер уявіть на мить, що закохали не дівчину Наташу, а директора. І уявіть наслідки. Причому зробити все це не дуже складно: визначається психотип людини, на підставі чого з'ясовується, які дівчата (або юнаки) йому (їй) подобаються – і через деякий час жертва знаходить "те єдине і неповторне кохання, про яке все життя мріяло". Улюблений метод шахраїв усіх часів та народів. І дуже дієвий метод, тому що є атакою, що базується на фізіологічних потребах людини. Про фізіологічні потреби ми тут говоримо ширше, ніж прийнято, і розуміємо під цими потребами не тільки, скажімо, потребу в їжі, сексі та інше, а також потребу в коханні, потребу в грошах, потребу в комфорті і т.д. І ось, коли мішенню є одна з таких потреб, справа погана. У тому сенсі, що дуже складно. А розумні соціальні інженери як цілі вибирають саме такі потреби. Розглянута нами атака – якраз із цієї категорії, коли як мішень впливу була обрана потреба у коханні.

Давно відомо, що в великих містахРосії існують цілі агентства, які містять спокусниць самого різного видуна найрізноманітніший, зокрема і витончений, смак. Ціль їх існування – отримання прибутку шляхом "розлучення" багатіїв чоловічої статі. Справді, навіщо будувати досить складну комбінацію, як у щойно наведеному прикладі, коли можна зробити все легше: закохати в себе до безпам'ятства багатої людини, яка сама за своєю доброю волею переводитиме гроші на твій рахунок. Нема чого наймати орду хакерів, провертати фінансові афери, балансувати на межі закону - все можна зробити так, що людина сама віддасть гроші і віддасть їх добровільно. Схема роботи така. На першому етапі співробітники агентства з'ясовують усе, що тільки можна про "клієнта": якій їжі віддає перевагу, які книги, яких дівчат, які машини, яку музику – загалом усе. Тут діють за принципом, що інформація зайвою не може бути. Це робиться для того, щоб у відповідності до смаків жертви, підібрати для нього ту єдину і неповторну, від якої він просто фізіологічно не зможе відмовитися. Дійсно, ну який чоловік відмовиться від жінки, яка мало того що в його смаку та красі неписаної, але й пристрасна прихильниця футболу (як і він сам, природно), та ще й вболіває за ту саму команду. І, - про жах, коли він якось підвіз її на машині, вона з жалем і з деяким кокетством констатувала:

- Володю, ось якби не одне, але я могла б сказати, що ти чоловік моєї мрії.

- Яке АЛЕ? – трохи насторожившись, але, надавши тону грайливості, питає банкір Володя.

– Ти не любиш класику…

– Чому? Чому ти так вирішила, - трохи запнувшись, і вже без будь-якої грайливості в голосі запитав він.

- А ти вічно крутиш якусь попсу в машині, а класику жодного разу не ввімкнув, а я попсу терпіти не можу.

- Що ж ти раніше не сказала, адже я теж люблю класику, просто боявся тобі в цьому зізнатися, думав, що вважаєш мене сучасним.

- Яка, до біса, сучасність, усі ці "Мусі-пусі, тралі-валі, поцілуй мене ж Люся, поки нас не розірвали", - з єхидством заспівала вона, - від цієї нинішньої класики жити не хочеться. Чи то справа Бетховен ... Всі ці тралі-валі в порівнянні з ним ...

"Мій улюблений композитор", - подумав він, а вголос спитав:

- А що тобі найбільше у Бетховена подобається?

- Соната до-мінор, мабуть, - відповіла вона, на мить задумавшись.

"Моя улюблена соната, - думає він, - о, жах ... Ні, таких збігів не може бути. Я вперше зустрів красиву і сучасну дівчину, від якої я і так майже без розуму, і якій ще до того подобається класика, і, більше того, навіть у класиці наші смаки співпали.А, втім, чому я так думаю?Хіба я не заслужив того, щоб мені господь послав ту єдину і неповторну?Хіба мало я дітям допомагав, гроші в дитбудинок №5 перераховував?Може це і є та нагорода за добрі справи, про яку говорять розумні автори в розумних книжках, над якими мої друзі тільки цинічно посміюються... Може на фіг все? моїх грошей, взагалі перестала всім цікавитися, сидить тільки вдома, обрізала вся... Тьху, дивитися неприємно... Та ще служба безпеки доповідає, що ніби вона з кимось на боці, з якимось молодим програмістом, якому жінки "в соку" подобаються Чорта з два, жінки йому подобаються. то ось і виманює у моєї дурниці мої гроші. А може, і ця, яка поруч, теж через гроші? Ану ми її зараз спитаємо…"

- Марін, вибачаюсь за нескромне запитання, а ти чим займаєшся?

– Володю, я директор модельної агенції. Володі, якщо ти підозрюєш, що я спеціально підсіла до тебе в машину для того, щоб тебе спокусити, це вирішується просто. Зупини машину, будь ласка. Отут, якщо не складно.

- Так, що ти, Марино! Я просто заради цікавості.

"Бог мій, вона ніби читає мої думки", - подумав він. "Ідіот. Тобі, Володю, вже не банком треба завідувати, а до Кащенка йти добровільно здаватися, щоб вилікували тебе там від твоєї підозрілості. Я не можу її просто так висадити. Щоб вона ось так просто пішла в нікуди, і, можливо, ми більше ніколи не побачимося. Ні, не можна упускати таке щастя", - продовжував він думати, перебудовуючись у вкрай правий ряд. "А як же діти?" – спитав суворий внутрішній голос. - "Що ти скажеш дітям, коли зруйнуєш сім'ю?" "Діти вже виросли і цілком самостійні", - відповів він внутрішньому голосу, - "дітям вже тих грошей, які я їм даю, не вистачає для того, щоб бігати за всіма "спідницями", і вони не повинні бути на мене в образі, я теж маю право на кохання, але ж для них я зробив не так вже й мало. престижних вузах, три рази на рік відпочивають за кордоном, я спонсорую їх любовні пригоди, нарешті. А діти, до слова, жодного разу не поцікавилися, як у тата справи.

- Марін, - нарешті зважився він, - а ти не проти, якщо ми сьогодні посидимо в якомусь затишному ресторанчику?

– Володі, якщо чесно, то проти.

– Чому?

- Ні, я не проти провести з тобою вечір, мені вперше зустрівся чоловік, який поєднує багатство з любов'ю до сонати до-мінор. А я багато спілкувалася з людьми, які набагато багатшими за мене, і щось від усіх від них залишалося якесь нікудишнє враження. А ти якийсь інший... І мені хочеться, якщо чесно, побути з тобою хоч трохи, але довше, навіть брехати не буду. Але просто я не люблю ресторани.

- Марине, та якщо чесно, я теж їх ненавиджу! Давай тоді в мою другу квартиру, в якій я люблю іноді наодинці з собою побути. А? Зараз зателефоную, привезуть їжі, вина, посидимо вечірок.

- Ні, давай я краще чогось нашвидкуруч сама приготую. Я дуже люблю готувати, але, на жаль, тепер не часто виходить сам це робити, а тут такий випадок.

- Я згоден, якщо ти, звичайно, цього сама хочеш. А що ти готуватимеш, якщо не секрет?

- Секрет. Побачиш. Я приготую свою улюблену страву. Звіримо наші смаки, як кажуть.

"Терпіти не можу таких сюрпризів, зараз приготує щось, що їсти не зможеш, і доведеться себе пересилувати, краще б запросити мою куховарку, щоб вона приготувала те, що я лю..."...

- Мариночко, це що за страва така, - закричав він, не додумавши до кінця свою думку, коли Марина увійшла у вітальню зі свіжоприготовленою "коронною стравою".

- Володю, нема чого так кричати. Це лише лосось в ікорному соусі.

- Звідки... Звідки ти дізналася?

- Що дізналася?

– Що це моя улюблена страва?

- Так?! Якщо чесно, навіть не підозрювала. Володя, як, виявляється, у нас з тобою багато спільного... А це, зауваж, і моя улюблена страва, мене навчив готувати тато, він офіцером служив на тихоокеанському флоті, і іноді на свята балував нас цим делікатесом.

…Ось приблизно так, все відбувається з деякими варіаціями. Не далі розповідатиму про те, як розвивалися відносини Володі та Марини. Скажімо лише про те, що потім Володя добровільно перераховував величезні суми на рахунок Марини, щоб вона ні в чому не відмовляла, покинув сім'ю, і навіть умовив Марину залишити своє модельне агентство, щоб вона якомога частіше була з ним. Його щастя б дуже затьмарилося, дізнайся він про те, що сорок відсотків із перерахованих ним сум Марина перекладала власникові агентства, "шахіні", як вони її між собою називали. І ту машину, яку подарував їй Володя, вона теж мала продати, після розриву з ним, або знайти сорок відсотків її вартості у грошовому еквіваленті, щоб віддати їх "шахіні". Не знав Володя і те, що зустріч його з Мариною була підлаштована за всіма правилами розвідки. Що неполадка в її авто була зімітована, і те, що він у цей момент виявився поруч із нею, теж було підлаштовано. Не знав він і того, що таких випадкових зустрічей – маса. Не знав він і того, що скоро перестане бути керуючим банком, бо ті дані, які зібрала на нього Марина, вже передані "шахіні", яка за пристойну суму продала їх тим людям, які спали та бачили, щоб Володимир Анатолійович перестав бути багатим. керуючим банком, а став би бідним двірником. Ну, і, звичайно, він не підозрював про те, що після того, як у його справах трапиться крах, він стане дуже дратівливою людиною, чим і скористається Марина, щоб її покинути. Тепер уже дуже заможною жінкою, бо тих грошей, які вона "викачала" з, тепер уже нещасного, Володі, їй вистачить на дуже довгий час безбідного існування, навіть за мінусом тих відсотків, що віддавалися "шахіні".

Невеликий коментар на тему "випадкових зустрічей"

Соціальні хакери - доки в організації "випадкових зустрічей". Ряд прийомів запозичений ними в основному з арсеналу спецслужб, але й у власній винахідливості багатьом не відмовиш. Звичайно, за спокусницями, про які ми зараз говоримо, стоїть чимало "бійців невидимого фронту", які всі ці спектаклі й ставлять. Тому що операція "випадкова зустріч" – важливий етап у всій цій великій грі і планують її з урахуванням рекомендацій психологів, які на основі даних першого етапу досить точно прогнозують психо- та соціотип жертви та передбачають поведінку клієнта у тій чи іншій ситуації. Адже один "клієнт" може "плисти" відразу після першої зустрічі, а до іншого, більш завзятого, і підозрілого підходець потрібен, - з ним кілька разів потрібно зустрічатися, з ним під час першої бесіди взагалі ні про що серйозне говорити не варто. Отже, потрібно, щоб дівчина, яку жертва "випадково" підвозить, "випадково" забула в його машині свій мобільний телефон, наприклад. Бажано, тій же моделі, що і він віддає перевагу. Ну, щоб був привід зустрітися. А третій, скажімо, загалом у свої машини нікого не садить. Значить, потрібно біля воріт його будинку підвернути ніжку або зомліти. І падають, і добре падають, бо це все заздалегідь не раз репетирується. А четвертого чужі непритомності, навіть у виконанні дуже красивих дівчат, мало хвилюють, тому що людина дуже жорстока і воліє "стерв", а не розмазюнь, непритомні шльопані в справу і не в справу. Цьому влаштовується автомобільна підстава, за якої автомобіль дівчини врізається в його круте авто. Він, звичайно, сидить у машині, чекає, поки його охорона розбереться з "порушившим правила дорожнього руху", і раптом чує гортанний жіночий голос: "Гей, ви бодігарди, киш звідси. Говоріть, скільки я вашому татові винна, беріть гроші, і провалюйте, не заважайте мені насолоджуватися моєю нелегкою жіночою часткою. А вашому недоумку за кермом скажіть, щоб забирався на своєму авто крутому подалі, як тільки бабу за кермом побачить". Слухає жорстока людина Петро Семенович, власник кількох великих автозаправок у центрі столиці та одного невеликого нафтозаводу, цей низький гортанний голос і вже підсвідомо розуміє, що цей голос належить "стерві його мрії". І вирішує він на неї на власні очі подивитися. І після цього він пропав. Тому що, як глянув, уже свідомо зрозумів, що це та дівчина, яка снилася йому ночами. А для п'ятого, окрім грошей помішаного ще на рукопашному бою та почутті власної значущості, влаштовується вистава, в якій бере участь дівчина його мрії та кілька крутих на вигляд та неохайних мужланів. Ці мужлани чіпляються до тієї гарної дівчини, і о, боже, навіть рвуть на ній сукню. Звичайно, в зоні видимості "клієнта". І вирішує він кинутися в бійку і допомогти дівчині, і кидається і тільки зуби з-під його кулаків тренованих вилітають, і розлітаються хулігани в різні боки від його ударів (бо проінструктовані на тему того, що "чим далі і красивіше відлетять, тим вище гонорар за виступ"). Дівчина, природно, його дякує крізь сльози, і він, її, природно, підвозить (ну куди ж вона в розірваній сукні сама піде), і, звичайно, всю дорогу співає йому оди на тему "який він мужній, і як він спритно он тих гадів, які її мало не ... ".

Примітка

Приблизно такі ж спектаклі, до речі, нерідко влаштовують деякі кандидати напередодні виборів. Підкуповують якусь шпану, якою кажуть, що мовляв “як он то авто побачите, одразу кидайтеся… Та не під авто, під авто інші кидатимуться, а на будь-яку гарну дівчину. І починайте її бити. Без травм, але щоби кричала. А як з цього авто вибіжить людина в білих штанах і білому піджаку, і почне бити вас, ви йому відразу не піддавайтеся, а також трохи помутузьте.Він в курсі і в образі не буде. , щоб врозтіч кинулися з цього місця, бажано з криками і стогонами, і ... Та не додому рани зализувати, він сильно бити не буде, а на вокзал. І щоб вас до такого числа в місті не було. Ось квитки. «І якщо хоч комусь слово… Ну, не дурні, самі розумієте». Далі все йде за планом: побачивши авто, "хулігани" кидаються на дівчину, наш герой у білому її героїчно витягує з лап "підлітків, що безчинять", преса, звичайно ж, тут як тут. Як преса дізналася? А аж ніяк. Просто вона випадково поряд знімала якийсь репортаж із життя міста, про що у штабі кандидата, природно, знали. Після цього на всіх шпальтах газет і в перших хвилинах міських новин показують кандидата після бійки, в уже не білому піджаку, який втішає дівчину, яка стала "жертвою нападу". Потім беруть інтерв'ю у кандидата, де він скромно посміхається і каже, що він завжди таким за життям був. Потім сама дівчина дає багато інтерв'ю, в яких щиро (їй же ніхто не платив) каже, що "не знаю як інші, але я точно проголосую за Бориса Вікторовича, хоч би просто на знак подяки. Ніхто не підійшов, а він... Дякую йому ".

Інформація про маркетингові плани організації

Вивідати інформацію про маркетингові плани організації та зіграти на випередження – чи не найласіший шматок для будь-якого конкурента. Зробити це за допомогою методів соціальної інженерії найпростіше. Не треба ламати мережі, обминаючи незліченну кількість файрволів і шукати, на якій же машині лежить цей документ з маркетинговою стратегією. Не треба підкидати підслуховувальні пристрої на збори акціонерів або на нараду у генерального директора. Не треба знімати інформацію щодо коливань шибки лазерним променем… Це все дуже дорогі і не завжди надійні способи. Можна скористатися найпростішими методами соціальної інженерії. Два нескладні приклади. Я запевнив одного генерального директора підприємства про те, що проникну в їх комп'ютерну мережу, і всі їхні маркетингові плани вкраду, прочитаю, і їм потім перекажу. Він посміявся, сказавши, що це неможливо, що "три міжмережевих екрани, цілий відділ, що займається захистом інформації, в якому фахівці класні". Не зможеш, мовляв. Тому що це, в принципі, неможливо. Але суперечка, як кажуть, прийняла. Про мережу, зрозуміло, було сказано для відводу очей. Насправді ж ніхто ні в які мережі проникати не збирався. Все було простіше.

Примітка

Популярність соціальної інженерії серед шахраїв, тих, хто займається конкурентною розвідкою тощо, пов'язана, на наш погляд, з тим, що більшість методів соціальної інженерії прості. Іноді прості настільки, що їх навіть не цікаво описувати у книзі. Думаєш: ну це ж очевидно, яка, до біса, соціальна інженерія, адже цей прийом вперше показали в кіно ще року в 50-му. А потім ще сотню разів показували у тих чи інших варіаціях. На нього вже точно ніхто не трапиться. І... парадокс, який полягає в тому, що саме на такі прості прийоми трапляється більшість. Але навіть коли для проведення того чи іншого прийому потрібне проведення складної комбінації, що передбачає непогане володіння психологією, все одно для тих, хто займається, наприклад, конкурентною розвідкою, простіше застосувати прийоми соціальної інженерії, ніж займатися технічною розвідкою. Виходячи, зокрема, і з того важливого чинника, що застосувати соціальну інженерію обійдеться набагато дешевше.

Відвідування стендів підприємства на виставці

Для того, щоб зібрати більшість інформації, виявилося достатнім просто відвідати стенд цієї організації на найближчій виставці їхньої продукції. Більшість менеджерів, які знаходяться біля свого стенду, варто вам виявити найменшу зацікавленість, із задоволенням розкажуть вам усе, що вони знають про продукцію та подальші перспективи. Дуже часто потрібно просто стояти та уважно слухати (або не просто слухати, а записувати на диктофон, якщо на згадку не сподіваєтесь).

Примітка

Саме таким чином одна компанія з Санкт-Петербурга викрала секрет виробництва соусів у своїх конкурентів, при цьому мало їх не розоривши. Люди дуже дивні істоти, вони можуть мовчати під час тортур їх співробітниками конкуруючої фірми, але при цьому із задоволенням викладуть усі секрети першому зустрічному на виставці.

Звичайно, при цьому ви повинні виглядати як солідний клієнт, і, бажано, щоб на вашому бейджику було щось дуже значне, на кшталт "Президент ВАТ "Мікрон"".

Примітка

Але якщо вже обізвалися президентом, то й мають виглядати, як президент. Це зовсім не означає, що потрібно обвішатися перстнями, ланцюжками, навпаки - одягнені ви можете бути скромно: ви вже і так значна людина, і вам вже нема чого справляти враження. Але одягнені мають бути зі смаком, бути дуже охайними і поводитися значно: як президент. Трохи докладніше про це далі в примітці "Про важливість вживання в роль".

Якщо менеджер не особливо балакучий, можна застосувати ряд простих хитрощів, націлених на те, що менеджер боїться уявити організацію в невигідному світлі (у нашій універсальній схемі - це і є мета. Атракцією може бути, наприклад, ваша значущість, хоч і штучно створена - за допомогою бейджика та поведінки). Наприклад, ви, представившись яким-небудь президентом, можете запитати: "А що нового у вас цього року з'явиться? Знаєш про це щось?" Хтось одразу скаже, хтось не скаже... Тому, хто мовчить, можна сказати: "Гаразд, якщо не знаєш, сам зателефоную Мар'яшевичу, у нього спитаю" (прізвище гендиректора та всіх інших значущих осіб треба знати обов'язково). І, йдучи, пробурмотити, "надсилають чорт-кого, вже на такі заходи могли знаючу людину надіслати"... Один важливий момент: попереднє питання, де ви так розлютилися, що вам не відповіли, має бути для вас нехай і значущим, але ...не дуже. Тому що потім ви походите іншими стендами, через деяке час повернетесядо цікавить вас стенду і поставте вже дійсно значуще для вас питання: "А ось про це знаєш, он у тих хлопців все як добре написано, а ви будете таке ж робити або мені відразу з ними договір укладати"? І про це він уже з великою ймовірністю розповість, бо боїться свого впливового директора Мар'яшевича, і розповість навіть більше, ніж треба.

Примітка

Мені тільки один раз зустрівся менеджер, який, хоч і був вкрай доброзичливий, але нічого понад те, що можна було, не повідомив. Менеджер виявився ... генеральним директором цього підприємства, який іноді любив ось так "вийти в народ".

…Після того, як було чимало дізнано від менеджера, я пішов брати інтерв'ю у співробітників підприємства.

Інтерв'ю з ключовими особами

Взяти інтерв'ю – це один із найпростіших, але водночас і найпривабливіших способів дізнатися про те, що діється на підприємстві: які маркетингові плани, хто проти кого дружить, хто кого образив… Спосіб справді простий, але водночас дуже дієвий. Мета тут – почуття своєї важливості людей. Люди хочуть відчувати свою значущість, про це Карнегі чудово написав, і, щоб задовольнити це почуття, нерідко забувають про все, про будь-яку безпеку. Тому інтерв'ю із задоволенням дають багато хто (особливо якщо це інтерв'ю для телебачення). А для соціального хакера таке прикриття дуже надійне і вигідне, тому що дозволяє, не соромлячись, ставити практично будь-які питання без ризику викликати підозру.

Примітка

Вилучення корисної інформаціїз розмови з кимось, хто не підозрює, що є об'єктом витягування інформації, називається прихованим допитом.Прихований допит – це серія прийомів, які дозволяють ненав'язливо отримати необхідну інформацію. Цією тактикою користуються психологічно грамотні продавці, які продають свій товар, психотерапевти, щоб дізнатися інформацію про пацієнта та багато інших. Звичайно, користуються їй і соціальні хакери.

Для того щоб інтерв'юваний перейшов до питання, що вас цікавить, його слід злегка "зачепити", для чого іноді досить сказати фразу типу "Але в організації А (називаєте конкуруючу організацію), в газеті "Вести Росії" сказано, що їх продукція за технічними характеристиками набагато перевершує аналогічну продукцію, що виробляється на вашому підприємстві?" щоб інтерв'юваний кинувся захищати честь рідного підприємства та розповів усе, що він знає про цю продукцію. Це вже потім він кинеться шукати номер цієї газети, щоб на власні очі переконатися в нахабності конкурентів, і не знайде він цей номер, звісно. Та й газети з такою назвою не знайде. Для більшої переконливості можна іноді навмисно для інтерв'ю роздрукувати єдиний екземпляр цієї газети спеціально для того, хто інтерв'ює, або створити сайт газети, на якому під час інтерв'ю продемонструвати згадану вами статтю. Звичайно, у сумі опрацювання таких дрібниць може зайняти час і спричинити фінансові витратиАле якщо справа того варта, то чим більше таких дрібниць передбачено, тим краще. Виглядає набагато ефектніше і практично зводить до нуля якісь підозри, навіть якщо вони були спочатку.

Примітка

Я повністю вірю тому, що чималу частину інформації багато хто і їх і наші розвідники беруть із газет. Я також вірю в те, що слова одного з наших співгромадян, якого засудили за шпигунство, що всі "секрети" він брав з газетних матеріалів – це правда. Взагалі, на різні думки, близько 90% всієї закритоюінформації розвідники всіх мастей та рангів отримують з відкритихджерел. Мені розповідали, що багато директорів після того, як дізнавалися, що їхні співробітники (іноді на рівні заступників) порозповідали в інтерв'ю, кидалися обривати телефони редакцій та пропонувати будь-які блага, аби це інтерв'ю не виходило.

Часто буває вигідним і зворотний підхід, коли ви не нападаєте на того, хто інтерв'ює, а, навпаки, розігруючи з себе "технічного дурня", просіть пояснити ту чи іншу деталь. Це теж дуже дієвий спосіб.

Примітка

Забігаючи вперед, зауважимо, що в термінах трансактного аналізу, ви в цьому випадку ведете спілкування з трансакції. розділ 5).Ви перебуваєте у ролі Дитя, відводячи інтерв'ююваному роль Батька. А куди подітися мудрому Батькові, крім як не навчити Дитя всьому, що він сам знає? Трансакція Дитя – Батько чудово підходить для початку багатьох маніпуляцій, і про це ми теж говоритимемо у главі 5, у якій викладено основні положення трансактного аналізу. Згадайте про цей приклад, коли вивчатимете цей розділ. У тому ж випадку, коли ви сказали інтерв'юваному, що, мовляв, у конкурентів продукція краща за вашу буде, ви проводили зворотний прийом, і відвели собі роль нападаючого Батька, а того, хто давав інтерв'ю, загнали в роль Дитя, змусивши виправдовуватися. Інакше висловлюючись, ваше спілкування проходило лінією Батько – Дитя.

Таким чином, побувавши на виставці, взявши за п'ять днів 10 інтерв'ю, попивши з деякими особливо доброзичливими пива в барі, що інтерв'ювалися, і поговоривши "за життя", а також почитавши всі газети за останні півроку, в яких повідомлялося про діяльність цього підприємства, я знав практично всі, включаючи інтимні сторони діяльності вищого керівництва, про що цьому керівництву та доповів у своєму звіті.

Суперечка була виграна, а керівництво глибоко задумалося. Потім ми разом вигадували як мінімізувати наслідки таких атак. Які, щоправда, і атаками важко назвати. Ніхто не проривав оборону супротивника, ризикуючи власним життям, ніхто нікого не вводив у транс, і взагалі протизаконного нічого не робилося. Все було абсолютно легально і дуже просто. Але від того не менш страшно, тому що ось так, коли крихти інформації починають складатися в мозаїку, може вийти гарна бомба, яка в умілих руках таких справ може наробити.

Примітка

Окрім інтерв'ю корисно виконати й низку супутніх заходів. Обов'язково постій у курилках, поштовхайтеся біля головного виходу. Якось ми виїхали до клієнта, на одне підприємство, а я забув перепустку, і кілька годин мені довелося нудьгувати в очікуванні колеги у головного вестибюля підприємства. Так за ці пару годин я сам того не бажаючи чимало дізнався про діяльність підприємства і про ті проблеми, які в нього на даний момент є.

Тепер кілька невеликих коментарів до цього підрозділу.

Про важливість вживання в роль або про акторську майстерність соціальних хакерів

Ким би не представлявся соціальний хакер, яку роль не грав, грати він її повинен переконливо. А для цього він має "вжитися" у той персонаж, який грає. Усі успішні соціальні хакери – чудові актори. Вживаючись у ролі, вони контролюють, зокрема, і свої невербальні реакції.

Примітка

Про невербальні реакції див. Додаток 1.

Простий приклад. Допустимо, ви чоловік, і переодяглися в жінку, і хочете, щоб усі повірили, що ви жінка. Ви самі розумієте, що просто переодягтися це мало. Тому що для того, щоби оточуючі повірили, що ви саме той персонаж, роль якого ви граєте, ви повинні жити цією роллю. У нашому випадку ви повинні поводитися як жінка. Навіть якщо на вас працюватиме десяток найкращих гримерів, які все зроблять так, що комар носа не підточить. А ви всю їхню роботу загробите, закуривши сигарету на типово чоловічий манер. І так далі. Якщо ви граєте бомжа-алкоголіка, значить, як тільки ви увійдете в магазин, від вас повинні все шарахатись, кричати на вас, до вас повинні підскакувати охоронці і під білі ручки виводити з магазину, при цьому зневажливо морщачись.

Якщо людина хороший актор, то він може вважати себе на 50% соціальним хакером, що відбувся. Якщо ж він ще й розуміється на психології, то можна вважати, що як соціальний хакер він відбувся на 100%, бо "охмурить" майже будь-кого. Справа тут у тому, що дуже багато людей дивляться лише на зовнішню атрибутику та не дивляться на суть.Це з основних правил соціальної інженерії. Правило, яке давно зрозуміли всі, хто так чи інакше пов'язаний з маніпулюванням людською свідомістю: соціальні хакери, продюсери, піарники всіх мастей та рангів тощо. Приклади дієвості цього правила можна наводити скільки завгодно, варто подивитися хоча б результати виборів.

Примітка

Це правило прекрасно працює і під час проведення переговорів, про які ми докладно говоритимемо в Додаток 1.

Щоб це правило проілюструвати, докладніше розглянемо наступний приклад. Припустимо, що один із авторів цієї книги прийде читати лекцію. При цьому увійде він в аудиторію невпевненою ходою, лекцію читатиме голосом, що заїкається, загалом буде таким собі зосередженням боязкості перед слухачами. Але при цьому він розповість, що він лауреат того, цього, п'ятого і десятого, керівник там, а ще консультант тут і тут, а також викладе перед собою всі написані наукові роботи та книги, яких чимало. І ось якщо після лекції слухачам поставити кілька запитань, серед яких "Наскільки, як ви вважаєте, автор розуміється на житті", переважна більшість відповість, що у житті він "повний дурень". Таким чином, усі звернуть увагу лише на зовнішні прояви (в даному випадку невпевненість), про те, що премії та нагороди просто так не видаються, книжки теж не самі з-під пера вилітають, консультантам не за гарні очі гроші платять, та й взагалі, щоб всього цього добитися, треба хоча б трохи "розуміти по-житейськи", ніхто уваги, як правило, не звертає.

Примітка

З погляду трансактного аналізу, яку трохи пізніше, це пояснюється лише тим, що у разі автор виступив у ролі Дитя, а слухачам відвів роль Батьків. Звичайно, оскільки люди подекуди просто схиблені на своїй значущості, Батьки вони мудрі і багато розуміють у житті (звичайно, сточки зору їх суб'єктивної думки, - як насправді, можна тільки здогадуватися). Ну а який Батько скаже, що Дитя розуміється на житті? Правильно, жодної. Взагалі позиція, коли ви перебуваєте в ролі Дитя, а іншим відводите роль Батьків, працюючи при цьому в рамках трансакції Дитя – Батько – найзручніша для будь-яких маніпуляцій.

Тепер припустимо, що той самий автор перед тими ж слухачами читатиме лекцію через три дні. Але при цьому він уже говоритиме впевнено, чітко, слухачів боятися не буде, а навпаки поводитиметься з ними навіть трохи гордо, і так далі. І після лекції у слухачів знову запитають щодо розуміння автором життя. І ось тепер більшість відповість, що від часу минулої лекції автор досить "порозумнішав за життя". Таким чином, знову майже всі звернуть увагу тільки на зовнішню атрибутику, а те, що "порозумнішати по життю" за три дні мало кому вдавалося, і лектор залишився таким самим, яким він і був минулого разу, нікому й на думку не спаде. .

Якщо ж соціальний хакер, крім акторської майстерності, має ще й психологію, то йому, як ми вже говорили, "всі віки покірні". Тому що він дуже добре обізнаний ще про дві інші людські слабкості, граючи на яких можна багато чого досягти.

Наступне правило соціальних хакерів свідчить, що "Більшість людей негативно залежні від свого почуття власної значущості". А це означає, що ця негативна залежність може бути непоганою метою для атаки. Залежність від почуття своєї значимості взагалі як така нічого поганого значить. Навпаки: будь-кому хочеться якось і чимось виділитися, тобто хочеться відчувати свою значимість. Питання в тому, що виділятися можна по-різному і ставитися до того, що потрібно виділитися теж можна по-різному. Негативна залежність спостерігається тоді, коли людині хочеться виділитися за всяку ціну і робити це якнайчастіше. Будь-який хакер, наприклад, це людина з негативною залежністю від почуття своєї значущості.

Примітка

З погляду трансактного аналізу негативну залежність від почуття власної значущості можна пояснити тим, що в такої людини слабка доросла компонента. До речі, якщо у людини аналізу слабкий Дорослий (або в термінології Фрейда слабке СуперЕго), то такій людині достатньо лише трохи потішити, і "вона ваша". Як кажуть, "що й не знав, розповість, і що не міг, зробить".

Люди, у яких, спостерігається цей, скажімо так, недолік, дуже вразливі до дій соціальних хакерів. Їм дійсно, дуже часто достатньо лише трохи потішити, щоб вони зробили для вас все, що ви захочете. Інший недолік таких людей у ​​тому, що вони дуже заздрісні. А заздрість, за влучним висловом А. Розенбаума, це таке почуття, яке "з дуже хороших людей робить дуже великих худоб і часом за дуже короткий час". Заздрість – це коріння всіх інтриг. Граючи на заздрості одного співробітника підприємства до іншого, можна зробити дуже багато. У організації розпізнати співробітника, схильного до негативної залежності від почуття своєї значущості, можна легко. Іноді для цього йому достатньо зробити лише справедливе зауваження щодо його роботи. Нормальна людина, якщо зауваження справді справедливе і зроблено у нормальному тоні, подумає, як зробити так, щоб такого більше не повторювалося. Той же, хто занадто багато про себе уявив, реагуватиме приблизно так. По-перше, спочатку він набуде. Після цього демонстративно з вами не погодиться: будь-яку наукоподібну нісенітницю почне плести, аби продемонструвати свою незгоду. А потім або відкрито образиться, і всім своїм виглядом демонструватиме, як ви його образили у кращих почуттях, або цю образу затаїть. А тепер уявимо, до такого "ображеного співробітника" підійде менеджер конкуруючої організації, яка спить і бачить, щоб забрати у вас парочку співробітників разом із клієнтською базою. Підійде такий менеджер, трохи "за життя" поговорить, потішить, а потім і скаже:

- Бачу, що вас тут не дуже цінують. А знаєте, що? Якщо хочете – ходімо до нас? А? Зарплата краща, умови кращі, колектив кращий, і найголовніше, клієнтів ви шукатимете не безкоштовно, як тут, а за окремі гроші: 10% від угоди з кожного наведеного клієнта (клієнтська база то потрібна, більше ніж сам співробітник, тому потрібно його зацікавити, щоб він перетягнув усіх клієнтів).

І дуже багато хто піде.

Третє правило соціальної інженерії свідчить, що "Багато людей хочуть, щоб все хороше, що тільки з ними в житті може статися, сталося якнайшвидше і бажано з мінімальними зусиллями з їхнього боку".Приклад дії цього правила - тисячі ошуканих вкладників того ж горезвісного МММ, які повірили, що вклавши 100 рублів (відбувшись мінімальними витратами), можна через рік (і швидко, головне) отримати мільйон. Інший усім відомий приклад, це коли більшість людей голосують за обіцянки кандидатів, у яких вони на різний лад кажуть одне й те саме: "як тільки вони прийдуть, то все одразу буде добре".

Четверте правило свідчить, що "багато людей істоти винятково жадібні до грошей". Або говорячи інакше, деякі втрачають почуття реальності після того, як перед їх носом помахати купюрою. А якщо не купюрою, а валізкою з купюрами, то почуття реальності втрачається всерйоз і надовго. Гра на цій слабкості – один із основних прийомів у соціальній інженерії. Застосовується у різних варіаціях: від банального підкупу до "листів щастя", в яких сказано, що "якщо перерахуйте з цього приводу два долари, то за місяць отримаєте двадцять".

Соціальна інженерія – це за рідкісними винятками майже завжди гра на людських пороках та слабкостях.До рідкісних винятків можна віднести, наприклад, надмірну довірливість. Хоч і тут якось сказати.

Про важливість продумування дрібниць

Успішний соціальний хакер завжди продумує до дрібниць. Наприклад, якщо він пішов брати інтерв'ю, то в нього буде заготовлено візитку, де буде написано, що він кореспондент газети. Якщо ви зателефонуєте за вказаним номером телефону, то теж нічого дивного не виявите, тому що слухавку зніме дівчина і привабливим голосом вимовить:

- редакція газети "Світ міста". Світлана Купріянова. Добрий день.

Домовитися ж про те, щоб хтось посидів на телефоні протягом кількох годин – справа недовга. Так само як домовитися не тільки з дівчиною, але й з чоловіком, який у разі чого скаже, що він головний редактор і попросить у інтерв'юваного вибачення за те, що "ось так ось, без попередження, надіслали кореспондента, ви вже вибачте, номер горить, а інформація про ваше підприємство якраз дуже потрібна, тому що ваше підприємство одне із значущих у нашому місті, але якщо звичайно ви проти, то Петро Семенович відразу піде і не буде вас турбувати, але я дуже вас прошу приділити йому часу, звичайно, скільки зможете, я все розумію, враховуючи вашу зайнятість, як це важко…». І очманівши від такої улесливої ​​скоромовки генерального директора, ви погоджуєтеся приділити час для інтерв'ю.

Декілька правил ведення "інтерв'ю"

Обов'язково втішіть співрозмовнику, показавши, що ви поінформовані про його значущість у компанії. Робити це краще або спочатку, безпосередньо під час вступу до інтерв'ю, або ближче до середини розмови.

Обов'язково проробляйте всі дрібні деталі і постарайтеся дізнатися якомога більше інформації про інтерв'ю та його діяльність ще до інтерв'ю.Люди розкриваються лише перед тими, у кому вони бачать зацікавленого їхньою персоною співрозмовника. Крім цього, якщо ви "в темі", то у вас буде амплуа обізнаної людини, а по відношенню до обізнаної людини і відсоток довіри більше (мовляв, свій), і "внутрішні гальма" слабшають (обізнаному і побалакати щось зайве не страшно , тому що він напевно і сам все це знає, а те що питає - ну йому за планом його інтерв'ю там про це питати належить.Але не забувайте і говорити свідомо неправильні речі.Це теж дуже хороший прийом, так як багатьом людям властиво бажання показати свою значущість, і, як тільки ви покажете свою некомпетентність, вони відразу поправлятимуть вас.

Наберіться терпіння. Прихований допит потребує терпіння. Ніколи не квапіть події. Якщо ваш співрозмовник зрозуміє, що вам треба щось більше, ніж просто інтерв'ю, він просто замкнеться і почне говорити про погоду. З цієї ж серії порада про те, що на співрозмовника в жодному разі не варто "тиснути", насильно підводячи його до потрібного питання.

Уважно слухайте співрозмовника. Впротягом усього часу інтерв'ю. У жодному разі не можна робити так, щоб показати свою зацікавленість якимось конкретним питанням. Тому що вас повинні цікавити всі питання, і те питання, яке вам дійсно цікаве, має бути просто "одним з" у тій низці питань, які ви ставите. Бажано навіть спланувати бесіду так, щоб питання, що вас цікавило, задали не ви, а про нього став говорити сам співрозмовник. Таким чином, ви повинні так спланувати бесіду, щоб плавно підвести співрозмовника до питання, що вас цікавить.

Не закінчуйте інтерв'ю відразу після того, як всі дізналися.

Після цього перейдіть на нейтральні теми і таким чином завершіть розмову. Це важливо не тільки через те, щоб співрозмовник не запідозрив недобре, а ще й для дотримання "закону краю",згідно з яким найкраще запам'ятовуються ті моменти розмови, які відбуваються на його початку та наприкінці. А те, що в середині, відповідно, запам'ятовується набагато гірше. Взагалі правилом хорошого тону у " витягуванні " інформації є побудова прихованого допиту те щоб співрозмовник взагалі дізнався, що сказав щось зайве. Для цього треба дотримуватися двох простих правил, які у 70% випадків призведуть до потрібного результату:

- маскуйте значущі вам питання низкою незначних;

- Задавайте потрібні питання в середині бесіди, щоб за законом краю інтерв'юваний забув їх першими.

Залишайте сприятливе враження про інтерв'юу свого співрозмовника. Це важливо насамперед для того, щоб ваш співрозмовник мав бажання продовжити спілкування в майбутньому.

Примітка

Про правила ведення переговорів та про психологічні закони, які лежать в їх основі, ми докладно говоритимемо в додатку 1.

Прості правила, що дозволяють уникнути цього виду атак

Існує два дуже прості правила, які дозволяють уникнути даного виду атак.

Правило перше.Жоден із працівників підприємства не повинен знати більше, ніж йому належить знати за посадою. На жаль, нерідко цього правила не дотримується, і часто буває так, що будь-який співробітник знає не менше генерального директора. Що, звичайно, не просто невірно, а дуже небезпечно.

Більшість людей не вміють зберігати секрети

Якщо ви керівник будь-якого масштабу та рангу, запам'ятайте одне з найважливіших правил, виконання якого на багато відсотків убезпечить вас від багатьох соціоінженерних атак. Правило таке: переважна більшість людей не можуть зберігати навіть своїх потаємних секретів, не кажучи вже про чужих. Якщо ви наодинці поділитеся якоюсь інформацією з сотнею найкращих співробітників, попередивши кожного, що інформація є суто секретною, можете бути впевнені, що 90 осіб її неодмінно "зіллють на бік". З різних причин. Хтось за дурістю житейською, хтось дружині за вечірнім чаєм, хтось "п'яним", когось буде переповнювати почуття власної значущості, бо "сам генеральний довірився і розповів" і про це, звичайно ж, треба розповісти друзям, яким ніхто ніколи такої важливої ​​інформації не довіряв... Причин тут багато. І вони не головне – важливий результат: більшість не може зберігати секрети. І, звичайно, одна з якостей хорошого керівника – це вміння розбиратися в людях, яке корисне хоча б для того, щоб із цієї сотки виділити ті п'ять-десять людей, яким справді не страшно довіритися.

Примітка

І ще. Невелике додавання до другого правила. Ви можете не обмежувати себе в засобах залякування своїх співробітників на предмет того, що з ними буде після того, як вони щось поцуплять у вашій організації. Тому що деяких працівників утримати від поганих вчинків може лише страх. Бо страх за своє подальше майбутнє для багатьох це саме те єдине почуття, яке сильніше за пристрасть до грошей.

Крадіжка клієнтських баз даних

Продовжимо розпочатий у главі 1розмова про крадіжки клієнтських баз даних. Незважаючи на те, що надбанням гласності є лише поодинокі факти крадіжки клієнтських баз даних, кількість навіть відомих широкому загалу випадків останнім часом значно зросла. Для нас найбільш цікавим є те, що більшість розкрадань інформації пов'язана з використанням методів соціальної інженерії.

Примітка

Причина того, що надбанням гласності стає лише малий відсоток таких розкрадань у тому, що фірми, звичайно, не бажають псувати свою репутацію, зізнаючись у своїй безтурботності.

Найпростіше видобути клієнтські бази даних – це користуватися безтурботністю співробітників, які працюють на підприємстві. Нерідко рахунки фактури та інші документи валяються на столах у співробітників, які ще мають звичку виходити зі свого кабінету хвилин на 10 – 30, тож, якщо й не треба, з нудьги все переглянеш. У деяких магазинах, допустимо з продажу офісної техніки, меблів і т. д., багато продавців оформляють рахунки, відвернувшись до свого комп'ютера, а те, що я, наприклад, можу бути співробітником фірми, що конкурує, і мені ніщо не заважає постояти за спиною та подивитися список клієнтів, це нікого не хвилює. Одного разу одній дамі, яка надто довго оформляла мою покупку (у комп'ютерному магазині), я сказав: "Дівчина, я бачу, що ви ще не дуже освоїлися з 1С-підприємством, давайте вам допоможу". Дівчина із задоволенням прийняла моє прохання, встала з-за комп'ютера і взагалі пішла на 15 хвилин. Мабуть, пити чай. Що ще цікавіше, жоден із співробітників, які туди-сюди снували повз мене (її комп'ютер стояв у центрі магазину), не поцікавився, чого це власне я ( стороння людина) за ним сиджу.

Випадки, коли викрадаються клієнтські бази даних, користуючись безтурботністю кадрів, що працюють на підприємстві, дуже нерідкі.

Наприклад, для початку можна представитися співробітником фірми, яка встановлює бази даних, і, проникнувши таким чином за комп'ютер, або просто запитавши у співробітників, дізнатися, які бази даних вже встановлені на машинах користувача. А якщо пощастить, то зараз їх і скачати.

Можна зробити так, як було в одній енергетичній компанії Санкт-Петербурга (цей випадок ми описували в главі 1),коли людина, представившись другом співробітника (системного адміністратора), який захворів, сказав, що друг попросив його сьогодні замінити. Хоча з'ясувати, друг попросив або хтось ще, можна дуже просто: зателефонувавши своєму співробітнику і перевіривши ще раз інформацію. Щоправда, можна вчинити хитрішим і справді зробити так, що друг підтвердить цю інформацію. Адже можна просто стати на деякий час іншому системного адміністратора. Нехай і не найкращим. Головне, щоб цієї дружби було достатньо для того, що коли він справді захворіє (або просто з якихось причин не зможе прийти на роботу), він звернувся по допомогу до когось потрібно. До друга, тобто, що тільки цього й чекає. Або не просто чекає, а намагається форсувати ситуацію. Наприклад, вам раптом несподівано прийшла повістка у військкомат, і, треба ж якийсь збіг, того вечора, коли ви виявили її у своїй шухляді, ви якраз йшли до себе додому разом з другом попити пивка.

- Ой, е, - кажете ви "другу", - мені ж завтра обов'язково треба бути на роботі. Чого ж робити...

А друг він на те й друг, щоби підстрахувати товариша в потрібну хвилину.

- Та нісенітниця, - каже він вам, - справ на три копійки. Давай я завтра замість тебе піду і все зроблю. Зателефонуй своєму босу, ​​попередь, що так, мовляв, і так, у мене така ситуація і замість мене прийде мій добрий товариш.

І, радіючи, як вдало все вирішилося, ви разом із "другом" зі спокійною душею йдете пити пиво.

Можна на місяць влаштуватися у фірму, у якої треба вкрасти бази менеджером з продажу. І піти з неї другого дня, сказавши, що не влаштував колектив взагалі і директор зокрема.

Примітка

Один із найпростіших способів поцупити потрібну базу даних. Таким чином, одна московська годинникова майстерня поцупила клієнтську базу даних у свого конкурента. Ціна питання становила близько $1500.

Ну і, нарешті, найпоширеніший тип крадіжки баз даних, це їх "догляд" з підприємства разом із співробітниками, як це сталося деякий час тому з однією московською фірмою з продажу меблів, коли всі ключові менеджери пішли та відкрили свою справу. Аналогічна ситуація трапилася нещодавно в Санкт-Петербурзі у великої компанії, що займається продажем мобільних телефонів. В обох випадках лише вміння директорів домовлятися із партнерами, яким вони пояснили ситуацію, допомогло врятувати справу. Відомий випадок у Новосибірську, коли з компанії, що займається корпоративною поставкою комп'ютерів, пішли ключові менеджери і створили власну фірму, природно, під роботу з тими клієнтами, яких вони обслуговували, працюючи в колишній організації. Приклади наводити можна довго.

Як же захиститися від крадіжки клієнтських баз? Найпростіше – дотримуватися тих правил захисту, про які ми говорили в попередньому розділі, доповнивши їх декількома. Отже.

Жоден із працівників підприємства не повинен знати більше, ніж йому належить знати за посадою.

У трудовому договорі зі співробітником обов'язково має бути прописаний пункт у тому, що з розголошення комерційної інформації співробітника чекає відповідальність до кримінальної.

Примітка

Ще раз повторимося, що цей пункт є одним із найважливіших у захисті компанії від подібних випадків. У трудовому договорі зі співробітником має бути чітко прописано, по-перше, що є предметом комерційної таємниці, і, по-друге, які неприємності очікують співробітника, у тому числі і звільненого після розголошення предмета комерційної таємниці цим працівником. Співробітнику слід чітко пояснити, що згідно зі ст. 7, 8, 10 та 11 Федерального закону "Про комерційну таємницю" роботодавець має право підписати зі співробітником документ про нерозголошення відомостей, які на думку роботодавця становлять предмет комерційної таємниці підприємства, і за розголошення яких він може застосувати до співробітника ті чи інші заходи, аж до судового переслідування, а відповідно до ст. 4 цього закону співробітник зобов'язаний буде відшкодувати заподіяні фірмі збитки, що виникли внаслідок розголошення ним конфіденційної інформації (розмір збитків встановлює суд). Відомо, що після такого інструктажу у більшості співробітників думка розголосити щось пропадає в момент появи. Спеціально для тих, кому цього мало, можна влізти в юридичну казуїстику і пояснити, що клієнтську базу даних, взагалі-то, можна розглядати як засіб виробництва, яке є власністю роботодавця. З чого випливає, що крадіжка цієї бази можна вже розглядати як крадіжка чужого майна, що є предметом відповідної статті Кримінального кодексу (ст. 159 КК РФ). Крім того, можна повідомити співробітника, що за великого бажання за розкрадання бази даних ви можете ініціювати його судове переслідування аж за чотирма статтями Кримінального кодексу: вже згаданою ст. 159 ("Крадіжка"), ст. 272 ("Несанкціонований доступ до комп'ютерної інформації"), ст. 183 ("Незаконне розголошення та отримання відомостей, що становлять комерційну, банківську або податкову таємницю") та ст. 146 ("Порушення авторських та суміжних прав"). Практика показує, що коли перед людьми з'являється можливість за крадіжку інформації отримати кримінальне переслідування, вони стають набагато обачнішими у своїх діях.

Сторонні люди не повинні мати простого доступу до офісу.

Якщо в кімнаті знаходяться сторонні працівники, ні за яких умов не повинні виходити з кімнати.

Нерідко буває так, що доступ до клієнтської бази має практично будь-який співробітник, тому що база лежить на загальному Doc-сервері, до якого немає доступу хіба що прибиральниця. Звичайно, такого не повинно бути. Доступ до бази даних клієнта повинні мати лише ті службовці, яким це належить за посадою. Це всім відоме правило, згідно з яким, чим менше осіб має доступ до конфіденційної інформації, тим менша ймовірність, що ця інформація "піде на бік".

Зауваження

Багато експертів у галузі конкурентної розвідки наводять ще правило, згідно з яким всі комп'ютери, які мають доступ до клієнтської бази, не повинні мати виходу в Інтернет, бути без дисководів, приводів CD-і DVD-ROM, USB-входів, з них не можна нічого роздрукувати і т. д. На наш погляд, це правило, по-перше, не реальне, тому що подібні заходи просто дуже утруднять роботу, а, по-друге, ні до чого не приводить, оскільки в цьому випадку комп'ютери тоді повинні бути ще і без моніторів, щоб перефотографувати інформацію з екрана монітора. В даний час деякі експерти схиляються до того, що зменшити втрати від крадіжки клієнтських баз із комп'ютерів допоможе впровадження систем CRM(Систем управління та обліку взаємовідносин із клієнтами).

Фішинг на сьогоднішній день є одним із найпоширеніших видів соціальної інженерії. По суті, фішинг це вивідування інформації для доступу до банківських рахунків довірливих користувачів. Він поширений у країнах, де користуються популярністю послуги інтернет-банкінгу. Найчастіше "фішери" використовують підроблені електронні листи, які нібито надсилаються банком, з проханням підтвердити пароль або повідомлення про переказ великої суми грошей.

Примітка

Саме слово "фішинг" походить від англійського fishing, що, у свою чергу, перекладається як рибалка. Таку назву цьому виду шахрайства дали тому, що він насправді дуже нагадує рибалку, тому що фішер по суті закидає наживку (вірніше, кілька сотень наживок) і чекає, доки на неї хтось "клюне".

Суть фішингу зводиться наступного. Зловмисник змушує користувача надати йому будь-яку секретну інформацію: інформацію про банківські рахунки, кредитні картки і т. д. Найважливіше в тому, що жертва робить всі ці дії абсолютно добровільно, - фішери хороші психологи і діють чітко.

Виділяють три основні види фішингу:

Поштова;

Онлайновий;

Комбінований.

Поштовий фішингз'явився першим, – про цей вид шахрайства громадськість дізналася ще 1996 року.

Примітка

Тоді відразу кілька тисяч клієнтів провайдера America Online отримали електронні листи від представника компанії з проханням надіслати логін і пароль для входу в систему. І багато хто вислав.

Суть поштового фішингу в тому, що жертві надсилається електронний лист, в якому міститься прохання надіслати ті чи інші конфіденційні дані. Наприклад, від імені інтернет-провайдера з схожої (або ідентичної) поштової адреси надсилається лист, в якому написано, що по провайдеру потрібно дізнатися логін і пароль для доступу в Інтернет вказаного користувача, оскільки сам провайдер з тих чи інших технічних причин (база "звалилася") цього зробити не може. Цікавіший приклад пов'язаний з одним відомим американським банком, клієнти якого одного разу отримали повідомлення про те, що на їх рахунок прийшло велике перерахування (припустимо кілька десятків тисяч доларів), і відповідно до договору, оскільки сума перерахування перевищує суму в $1000, їм для підтвердження отримання перекладу необхідно пройти за посиланням, наведеним наприкінці листа, та ввести всю необхідну інформацію для підтвердження перекладу. Інакше переклад буде відправлено назад. Мало хто зміг подолати свою жадібність і кілька тисяч клієнтів банку стали об'єктом фішинг-атаки.

Примітка

Це саме той випадок, коли соціальні хакери блискуче зіграли на одному з людських вад - жадібності.

Онлайновий фішингполягає в тому, що шахраї один в один копіюють який-небудь з відомих сайтів, причому для нього вибирається дуже схоже доменне ім'я (або те саме, тільки в іншій зоні), і створюється ідентичний дизайн.

Примітка

Як приманка (атракція) товари в цих підроблених інтернет-магазинах продаються практично за демпінговими цінами, що не дивно, адже ніхто нічого насправді реально не продає.

Далі відбувається приблизно таке. Вирішивши зробити в магазині покупку, користувач вводить свої логін, пароль та номер пластикової картки, після чого всі ці дані стають відомими зловмиснику. Після цього шахрай негайно "обнуляє" кредитну картку жертви.

Примітка

Цей вид фішингу іноді ще називають імітацією бренду(Brand spoofing).

Комбінований фішингє об'єднанням двох попередніх видів фішингу. Його поява викликана тим, що поштовий та онлайновий фішинг вже досить застаріли, та й користувачі стали грамотнішими в частині інформаційної безпеки. Тому фішери вигадали іншу тактику. Так само як в онлайновому фішингу створюється підроблений сайт, а потім як у поштовому фішингу користувачам надсилаються листи із проханням зайти на цей сайт.

Примітка

Це досить сильний психологічний хід, завдяки якому комбінований фішинг відразу ж набув величезного поширення. Справа в тому, що відвідувачі стали настороженішими, і вже небагато просто так скажуть свої паролі (хоча і такі зустрічаються). А в комбінованому фішингу ця настороженість якраз і знімається, завдяки тому, що в листі користувача не просять повідомляти будь-які конфіденційні дані, а просто просять зайти на сайт. Усього щось. Користувачеві просто пропонується зайти на будь-який сайт, і самому зробити всі необхідні операції.

Зараз відбувається справжнісінький бум фішингу. Про це, зокрема, можуть свідчити такі цифри: лише з жовтня по січень 2005 року Федеральна комісія США з торгівлі зареєструвала понад 10 млн (!) скарг від користувачів, які стали жертвами фішинг-атак. Загальна сума збитків за даними цієї ж організації склала близько $15 млрд за 2005 рік.

Примітка

Звичайно, законодавства всіх країн виявилися непристосованими до цього нового виду шахрайства.

З історії російського фішингу

У Росії перший зареєстрований випадок фішингу датується травнем 2004 року, коли клієнти Сіті-банку отримали електронною поштою листи з проханням зайти на сайт банку (лжесайт, природно) і підтвердити номер своєї картки та ПІН-код.

Фішери у своїй діяльності чудово використовують зв'язок із тими чи іншими подіями. Наприклад, людині точно в його день народження приходить вітальна листівка, в якій написано, що йому до дня народження банк, клієнтом якого він є, у рамках акції "День Народження" перерахував на рахунок $500. Щоб їх отримати, потрібно зайти на сайт банку (підроблений, природно) і ввести необхідну інформацію. Багато хто не цурається використовувати і такі сумні для всіх події, як великі теракти чи стихійні лиха, коли різні організації просять людей перераховувати гроші до фонду допомоги постраждалим. Просять і фішери. За тими ж схемами, що ми розглядали: зайдіть на сайт, зареєструйтесь та спишіть якусь суму зі свого рахунку.

Примітка

На момент написання книги єдиним браузером, оснащеним захистом від фішингу за замовчуванням, є Opera, починаючи з версії 8.0.

В даний час багато IT-фахівців по всьому світу зайняті розробкою способів, що дозволяють захиститися від атак фішерів. Крім того, що у браузерах будуть створюватися чорні списки фішинг-сайтів, запропоновано ще кілька способів.

Генератори одноразових паролів

Оскільки суть фішингу полягає в отриманні паролів та банківських відомостей, необхідних для доступу до електронних рахунків користувачів, використання одноразових генераторів паролів дозволяє обійти цей вид шахрайства. Генератор одноразових паролів на вигляд нагадує звичайний невеликий кишеньковий калькулятор. Коли користувач заходить на сайт банку, щоб отримати доступ до свого рахунку, йому необхідно ввести показану генератором послідовність символів. Банк застосовує той самий алгоритм для створення пароля. Доступ надається лише в тому випадку, коли обидва паролі збігаються. Такий пароль не можна вкрасти з тієї простої причини, що доступ до нього можна отримати лише один раз. Мінуси використання такої системи полягають у додаткових витратах для клієнтів.

Примітка

В даний час генератори одноразових паролів застосовують багато банків США та Європи, а також великі інтернет-провайдери, наприклад, провайдер AOL.

Використання USB-пристроїв

Суть даного прийому зводиться до того, що користувач не зможе отримати доступ до свого рахунку, якщо він не підключить USB-пристрій до свого комп'ютера. У цьому випадку шахраї також не зможуть отримати доступ до рахунку користувача.

Примітка

Поряд з USB-пристроями пропонувалося використовувати також спеціальні карти з мікросхемами, які вставляються в пристрій, що зчитує, підключений до комп'ютера. Однак від цього варіанта відмовляються, як від дорогого.

Мобільне підтвердження

Суть цього прийому в тому, що доступ до картки здійснюється тільки після того, як користувач надішле зі свого мобільного телефону, номер якого він повідомив банку, повідомлення SMS (Short Message Service).

Хешування паролів конкретного Web-сайту

Хешування паролів запобігає крадіжці конфіденційних даних шляхом додавання до паролю інформації, специфічної для сайту, де передбачається застосувати пароль. Користувач просто вводить у спеціальній формі свій пароль, а браузер перетворює його та додає необхідну інформацію. Суть у тому, що Web-сайту, на якому користувач вводить пароль, цей пароль у чистому вигляді не повідомляється, на сайт приходить хешований пароль. Таким чином, навіть якщо користувач і введе свій пароль на фальшивому сайті, хакери його застосувати не зможуть. На цьому ж сайті застосовується та сама схема хешування, що і у власника картки.

Небезпечнішим видом шахрайства, ніж фішинг, є так званий фармінг.Фармінг полягає у зміні DNS-адрес так, щоб сторінки, які відвідує користувач, були не оригінальними сторінками, скажімо, банків, а фішинг-сторінками.

Оскільки суть фармінга зводиться до автоматичного перенаправлення користувачів на фальшиві сайти, фармінг набагато небезпечніший, ніж фішинг, оскільки на відміну від останнього новий метод розкрадання даних не вимагає надсилання листів потенційним жертвам і відповідно їх відповіді на них. Це, природно, більш витончений, хоч і технічно набагато складніший метод шахрайства, ніж фішинг. Але при фармінгу у користувача практично немає причин виявляти свою недовірливість: листів ніхто не надсилав, на сайт ніхто заходити не просив. Користувач сам за своїм бажанням вирішив зайти на сайт банку і зайшов. Тільки не на оригінальний, а на фальшивий сайт.

Небезпека фармінгу багато дослідників пов'язують ще й з тим, що з метою його розвитку хакери будуть робити більше атак на DNS-сервери, і ці атаки будуть все витонченішими. Небезпечно ж це тим, що якщо кількість зломів DNS-серверів зросте, це призведе до справжнього хаосу у світовій мережі.

Примітка

Служба DNS (Domain Name System) призначена для того, щоб зіставити адресу сайту, який користувач набрав у браузері, реальну IP-адресу сервера, на якому цей сайт розташований. Службу DNS нерідко порівнюють із телефонним довідником, у якому ви спочатку вибираєте ім'я, потім дивіться номер та дзвоніть за вказаним номером. Так і тут: вибираєте ім'я сайту, служба DNS каже вам його "номер" (IP-адреса), після чого ви йдете на вказаний сайт.

Крім зростання злому DNS-серверів, дослідники також прогнозують зростання мережевих зломів типу ARP-spoofing, який, по суті, є підміною МАС-адреси і призначений для прослуховування трафіку між двома машинами.

Примітка

Протокол ARP використовується комп'ютерами для звернення один до одного в межах однієї мережі шляхом перетворення IP-адреси на МАС-адресу потрібного комп'ютера, після чого відбувається зв'язок протоколу Ethernet.

Рейдерські атаки

Рейдери– це загарбники підприємств. Відповідно рейдерська атака – це атака із захоплення підприємства.

Класична схема рейдерської атаки виглядає так.

1 етап. Збір інформації про підприємство, що захоплюється

Як завжди, у будь-якому виді діяльності, збір інформації – найважливіший підготовчий етап. На цьому етапі збирається та аналізується вся інформація про підприємство: фінансова ситуація на підприємстві, список контрагентів, список клієнтів, список акціонерів (реєстр акціонерів), інформація про слабкі та сильні сторони підприємства, про шкідливі звички керівництва та співробітників, хто з ким і проти кого товаришує на підприємстві, інформація про маркетингові плани та інше, інше. На першому етапі здебільшого працюють методи соціальної інженерії, за допомогою яких, як ми вже говорили раніше, збирати інформацію найлегше. Як правило, цей етап займає від одного до трьох місяців залежно від масштабів підприємства та від складності добування потрібної інформації. Найважливіше для рейдера на цьому етапі – отримати тим чи іншим способом копію реєстру акціонерів.

2 етап. Початок атаки

Початком атаки можна вважати той момент, коли рейдер розпочинає скуповування акцій у міноритарних акціонерів. Міноритарії, як правило, з акціями розлучаються дуже легко, тому що реально відчутних дивідендів за ними практично не отримують, а рейдери пропонують акції суми в розмірі річного окладу.

Примітка

Міноритарні акціонери- Це акціонери з невеликою кількістю акцій. Наприклад, на початку 90-х років у розгул приватизації дуже нерідко, коли майже кожен працівник якогось великого підприємства з кількома тисячами людей працівників мав по дві-три акції. Ось такі акціонери називаються міноритарними.

Паралельно зі скупкою акцій у міноритаріїв проходить робота із "закошмарування підприємства", якщо висловлюватися рейдерською мовою. Основна мета "закошмарювання" - дезорганізація роботи підприємства. Крім цього досягається також побічна мета: акціонерам, що коливаються, демонструється, що на підприємстві є великі проблеми, після чого вони зі своїми акціями розлучаються набагато охочіше. Другий етап для підприємства це справді жах, краще словоскладно придумати: керівництву вчиняються позови від імені акціонерів щодо порушення різних операцій з акціями, порушення порядку проведення угод (про що рейдер дізнається на першому етапі), стосовно керівництва та співробітників підприємства порушуються кримінальні справи (неважливо з реальних приводів чи ні – головна мета це висмикувати людей), ініціюються перевірки діяльності підприємства різними службами (податковою інспекцією, санепідстанцією, протипожежною службою, природоохоронною прокуратурою тощо – що більше, тим краще), для паралізації роботи підприємства використовується тактика грінмейлера, тощо.

Примітка

Мовою рейдерів грінмейл- Це корпоративний шантаж, що досягається реалізацією прав дрібних акціонерів агресивним чином або "закошмарення" підприємства.

Способів, причому абсолютно легальних, "закошмарити" практично будь-яке підприємство дуже багато. По суті, за "закошмариванія" підприємству влаштовується класична DDoS-атака (відмова від обслуговування) на соціальному рівні.

Примітка

Як правило, при "закошмариванія" підприємства основну роль відіграють саме соціальні хакери, які використовують у своїй роботі методи соціального програмування.

Керівництво підприємства, бачачи, що стало об'єктом рейдерської атаки, зазвичай починає йти на звільнення працівників, які продають свої акції, з метою залякування тих, хто ще свої акції не продав. Іноді це дає результат, іноді ні. Крім того, акції підприємства переводять у довірче управління або передаються в заставу будь-якій конторі, підконтрольній підприємству. Після цього керівництвом, як правило, проводиться додаткова емісія акцій та організується контрскупка акцій.

3 етап. Внесення розколу до складу керівництва підприємства

Для того, щоб отримати підприємство практично легально, рейдерам достатньо 30% плюс одна акція. Проте в даний час ситуація така, що управління підприємства тримає у своїх руках від 70% і більше акцій (так званий консолідований пакет).Тому рейдеру необхідно внести розкол між членами керуючого органу підприємства, для чого рейдер намагається розколоти керуючий орган, зігравши на різних внутрішніх суперечностях між управлінцями підприємства (про їх внутрішні суперечності також дізнається на першому етапі). По суті, 3-й етап – це етап "плетіння інтриг" між керівниками підприємства та етап скупки акцій у основних власників, яким робляться різні "цікаві пропозиції".

Крім того, на цьому ж етапі формується опозиція із незадоволених міноритарних акціонерів для того, щоб під прапором цієї опозиції рейдери могли проникнути на підприємство.

Керівництво підприємства на цьому етапі, як правило, робить два кроки:

Намагається тими чи іншими способами пом'якшити конфлікт між управлінцями підприємства;

Йде на поступки міноритарним акціонерам з метою пом'якшення тиску опозиції.

4 етап. Робота з активами підприємства

На цьому етапі керівництво підприємства намагається зробити так, щоб захоплення підприємства втратило для рейдера сенс. Для цього керівництву потрібно або вивести активи підприємства, або якось їх обтяжити. Рейдери ж, звичайно, намагаються цього не допустити.

5 етап. Вхід на підприємство

Тепер рейдеру потрібно легально зайти на підприємство. Основний метод: позачергові збори акціонерів та переобрання ради директорів. Робиться це приблизно в такий спосіб. Якщо у рейдера є 30% плюс одна акція, то до чинного органу управління підприємством надсилається вимога про скликання позачергових зборів акціонерів. Після того, як основні збори проігнорують вимогу, рейдери мають право провести такі збори самостійно.

Примітка

Як правило, подібні збори проводяться потай, щоб на них могли бути присутніми лише підконтрольні рейдеру акціонери. Відомо чимало випадків, коли такі збори проводилися у військових частинах. Таким чином, рейдери роблять все, щоб "непотрібні акціонери" не потрапили на збори. Відомі випадки, коли рейдери для цього розігрували цілі спектаклі. Наприклад, перед входом до будівлі, де мають проходити збори акціонерів, представники рейдера на вході до будівлі перехоплювали непотрібних учасників зборів і вели їх в інший зал цієї будівлі, де перед ними розігрувався спектакль під назвою "збори акціонерів", а в цей час на справжніх зборах в іншій залі рейдерська партія більшістю голосів переобирала раду директорів. Іноді застосовується зворотний підхід, при якому, навпаки, опоненти допускаються на збори для того, щоб усьому світові показати, що все законно, що на зборах були не лише підконтрольні рейдеру опоненти, а й представники протилежної сторони. Тільки при цьому акції опонента якимось чином "блокуються", тобто робиться так, що опонент тимчасово не може скористатися своїми акціями (і, отже, мати право голосу), наприклад через те, що на нього заведено кримінальну справу щодо того, що колись він добув ці акції незаконним шляхом.

На перших зборах 30% плюс одна акція не є достатнім кворумом для ухвалення рішення, тому на перших зборах констатується відсутність кворуму, ця констатація заноситься до протоколу зборів і всі розходяться. Родзинка в тому, що, якщо зібрати збори повторно, 30% плюс одна акція вже буде кворумом, і рішення приймаються більшістю голосів. Рішення і приймаються: припинити повноваження колишньої ради директорів та обрати нову раду директорів. У такий спосіб створюється паралельний орган управління. Розумні рейдери зазвичай роблять ще один дотепний крок. Вони роблять так, що один із учасників зборів ...направляє до суду претензію до проведення зборів і просить визнати суд зборами недійсними. Здавалося б: навіщо це рейдерам треба? Це здається нелогічним. Насправді все логічно. Привід для претензії вибирається дуже формальний, і, бажано, якийсь безглуздий, загалом, такий, що суд не визнає значущим. Суд і не визнає та відмовляє у задоволенні позову. А оскільки засідання суду пройшло, то у рейдера з'являється документ про те, що суд фактично визнав збори легітимним (це називається словом преюдиція).Документ цей, звісно, ​​дуже цінний.

Після того, як відбулися збори акціонерів з переобранням ради директорів, по суті підприємство в руках рейдерів, і паралельний орган управління бере на себе контроль над діяльністю підприємства.

Подальший розвиток подій залежить від того, яку мету ставили собі рейдери, захоплюючи підприємство. Якщо вони захоплювали підприємство лише з міркувань наживи, після захоплення швидко реалізується ланцюжок з продажу підприємства. Нерідко, що в результаті реалізації цього ланцюжка підприємство потрапляє до сумлінного господаря. Якщо ж метою рейдерів був бізнес підприємства, то після захоплення розпочинається етап "ліквідації наслідків воєнних дій": починаються виплати зарплат працівникам, робляться перерахування до бюджету тощо.

Примітка

Непоодинокі випадки, коли колишні керівники підприємства перекваліфікувалися на рейдерів і починали відбирати у загарбників своє колишнє рідне підприємство за всіма правилами рейдерської атаки.

Ось приблизно так відбуваються рейдерські атаки на різні підприємства.

Примітка

Природно, докладний опис всіх етапів рейдерської атаки виходить за рамки даної книги, але це не дуже важливо. Для нас важливо те, що на багатьох етапах цієї атаки використовуються прийоми соціальної інженерії та соціального програмування.

Де ж застосовується соціальна інженерія та соціальне програмування при організації рейдерських атак?

Соціальна інженерія в класичному вигляді застосовується переважно на першому етапі, тобто тоді, коли збирається інформація про організацію. А як ми говорили раніше, збирати інформацію найпростіше методами соціальної інженерії. На другому етапі до методів соціальної інженерії додаються методи соціального програмування, оскільки другий етап – початок рейдерської атаки. обслуговування". Методи ж соціальної інженерії другою етапі також можуть застосовуватися, наприклад, для дискредитації підприємства у мережі Інтернет. Для цього зазвичай використовуються форуми на сайті компанії та інші інструменти, за допомогою яких представники компанії спілкуються в Інтернеті з відвідувачами свого сайту. Ну і, звичайно, на третьому етапі, етапі інтриг та змов, без соціального програмування теж нікуди (звісно, ​​в галузі його негативного застосування). Таким чином, основні та значущі етапи "рейдерського наїзду" - це соціальне хакерство у чистому вигляді.

Чому соціальне хакерство та соціальне програмування є популярним інструментом для рейдерських атак?

Справа в тому, що основна концепція соціального програмування полягає в тому, що багато вчинків людей та груп людей передбачуваніта підпорядковуються певним законам. Простий та банальний приклад. Якщо на підприємстві стало погано, то люди з нього втечуть. Цілком усім зрозуміла річ. Адже це соціальне програмування в чистому вигляді. Співробітники підприємства – велика соціальна група. А сказавши фразу "якщо на підприємстві стало погано, то люди з нього втечуть" ми, по суті, сказали, що розробили метод на велику соціальну групу, якою в даному випадку є багатотисячна армія співробітників підприємства. Таким чином, ми передбачили, як поводитиметься дана соціальна група під впливом певної зовнішньої сили. Зовнішня сила тут – погіршення обстановки для підприємства, а прогнозований нами спосіб поведінки – це констатація те що, що з погіршенні умов співробітники підприємство покинуть. Все просто і банально, і, незважаючи на це, ми побачили, що навіть великою соціальною групою можна цілком усвідомлено керувати, оскільки її дії цілком прогнозовані.

Як визначити початок рейдерської атаки?

Про те, що вас почали атакувати, можна визначити за такими ознаками.

Розпочалися перевірки підприємства різними інстанціями: податковою поліцією, санепідстанцією, МНС, МВС, різними наглядовими організаціями та ін.

У засобах масової інформації (ЗМІ) з'являються негативні статті про підприємство, про його керівництво, та й взагалі несподівано ні з того ні з цього ЗМІ раптом почали виявляти підвищену активність щодо підприємства.

Примітка

Особливо цей пункт повинен вас насторожити, якщо у ЗМІ з'являються повідомлення про обмеження прав міноритарних акціонерів.

Акціонери раптом отримали листи на замовлення з повідомленням про вручення, в яких знаходиться, приміром, привітання з найближчим святом. Або взагалі нічого не перебуває. Або є простий чистий аркуш паперу. Неважливо. Головне, що таким чином ті, хто зібрався вас атакувати, імітують формальність, оскільки згідно із законом перед скликанням позачергових зборів акціонерів потрібно їм направити пропозицію про скликання таких зборів. От і направили. А потім у суді атакуючі скажуть, що акціонерам надсилалася пропозиція про продаж їх акцій, а раді директорів підприємства була направлена ​​пропозиція про позачергове скликання зборів акціонерів. Суддя попросить надати докази того, що такі листи були надіслані. Цим доказом буде повідомлення про вручення листа. А те, що протилежний бік говоритиме, що, мовляв, не правда, там листівки лежали, то на це завжди можна сказати, що там лежали реальні документи, а про листівки це все нахабна брехня.

Міноритарні акціонери починають виявляти інтерес до діяльності підприємства, чого за ними ніколи не помічалося.

Примітка

Особливо треба насторожитися в тому випадку, коли діють не вони самі, а за генеральною довіреністю від їхнього імені діють якісь родичі, які, як не можна до речі, є великими фахівцями в корпоративному праві.

Вам стали часто надходити пропозиції щодо продажу ваших акцій або їх частки.

Наразі кілька прикладів того, як рейдери атакували деякі підприємства.

До керівника ТОВ "Памір" пізно вночі, коли він повертався з роботи, підійшли двоє людей, які представилися співробітниками правоохоронних органів, і запропонували пройти з ними, щоб підписати документи про передачу його частки акцій, мотивувавши це тим, що, мовляв, оскільки фірма не сплачує податків, у неї скоро розпочнуться серйозні проблеми. А працівники правоохоронних органів, так вийшло, є доброзичливими фірмами, оскільки самі не раз зверталися за послугами до "Паміру" і тепер хочуть допомогти керівництву. Мовляв, у них на конспіративній квартирі сидить покупець, і якщо продати йому свою частку зараз, то хоч якісь гроші отримаєш, а за півроку вас все одно розорять, і залишишся тільки винен. Фірма податки платила справно, грози нічого не віщувало, серйозної аргументації "працівники правоохоронних органів" не мали. Директор від такого сумнівного правочину відмовився, і начебто все затихло. Але через рік після цієї нагоди в 000 "Памір" до керівництва прийшла людина з пропозицією продати все підприємство або частку в ньому, на що керівник йому відповів, що ніхто нічого продавати не збирається. Через деякий час після цього аналогічні пропозиції надійшли решті акціонерів Товариства. Вони також відмовилися від продажу і повідомили керівництво, яке справедливо уклало, що фірму хтось узяв "на мушку". Керівництво, проаналізувавши ситуацію, зрозуміло, що комусь стало відомо про деякі прогалини у статутній документації Товариства та терміново виправило їх. Після того, як були прийняті зміни до статуту Товариства, згідно з якими будь-які зміни до установчих документів може вносити лише особисто директор або ті, із засновників, які отримали від нього генеральну довіреність, пропозиції щодо продажу надходити перестали.

Але так гладко все буває не завжди. Згідно з публікацією в одній із газет, у ЗАТ "Елерон", яке було власником великої ділянки землі та нерухомості на ньому, рейдерська атака на нього була навіть незважаючи на те, що всі документи були оформлені ідеально. За статутом товариства частки в ньому могли переходити тільки між акціонерами товариства, третім особам, згідно зі статутом, продаж часток був заборонений. Після того, як одна з учасниць продала свої акції, від її імені почалася рейдерська атака, хоча за законом її частка перейшла до інших членів товариства. Рейдери від її імені надіслали позов до арбітражного суду. Далі було багато неприємностей, і судових засідань, і "закошмарення". Керівництво фірми та її адвокати зверталися до багатьох інстанцій, але скрізь їм говорили приблизно те саме, що, мовляв, поки фірму не заберуть, спокійного життя не чекайте. Ситуація вирішилася лише після того, як керівництво заручилося підтримкою вищих осіб області.

Зауважимо, що зараз кількість рейдерських атак у рамках розглянутої класичної схеми пішла на спад. Пов'язано це з тим, що законодавство змінилося на краще, залишивши для рейдерів уже не таке велика кількістьзаконних можливостей із захоплення підприємства. Крім того, у великих регіонах майже всі захопили. Ну і, нарешті, основна причина на наш погляд у тому, що бізнес успішно вчиться захищатися, і найласші шматочки рейдерам (основний пакет акцій та активи підприємства) вже дістати дуже складно, тому що активи підприємства, як правило, надійно заховані, а основний пакет акцій консолідований у керівництва. Тому зараз, як правило, застосовується вже не класична рейдерська атака, а так звана тактика грінмейлерів.Справа тут у тому, що за законом "Про акціонерні товариства" володіння навіть однією акцією дозволяє такому акціонеру вимагати будь-яку інформацію про угоди компанії, інформацію про акціонерів і т. д. І в принципі, попрацювавши, можна навіть за допомогою однієї акції перехопити владу у реального керівництва. Керівництво ж знає, що зв'язуватися з професійними шантажистами – собі дорожче, тому віддає перевагу від них відкуплятися. В результаті, за невеликий пакет акцій (або навіть за одну акцію грінмейлер отримує непогану суму). Ось приблизно таким чином гринмейлери і заробляють.

Приклади соціального програмування

У цьому розділі ми розглянемо різні приклади соціального програмування. Приклади і позитивного застосування, до яких можна віднести перетворення агресивного натовпу на оказійну (про різні види натовпів див. далі у цьому розділі та у розділі 8),та негативного, до яких можна віднести, скажімо, способи "закошмарювання" підприємств при рейдерських наїздах, про них ми говорили в попередньому розділі.

Суть цього розділу в тому, щоб показати приклади того, що часом дійсно можна "програмувати" поведінку людей, причому і одну людину, і великої групи людей. Приклади даного розділу ставляться до категорії соціального хакерства саме тому, що у всіх їх люди виконували чиюсь чужу волю, хіба що підкоряючись написаної соціальним хакером " програмі " . Приклади ці дуже різні. І за метою, що ставили соціальні хакери, і за способами виконання, і за наслідками, і за термінами виконання. Є і витончені багатоходівки, і прості приклади, позитивні та негативні, до категорії соціального хакерства відносяться і численні приклади чорного та білого піару (PR – скорочення англ.). Public Relations),деякі з яких також наведені в цьому розділі.

"Пожежа" у кінотеатрі

Класикою соціального програмування є приклад "з пожежею" у кінотеатрі, описаний однією з газет ще за радянських часів. Тоді група жартівників кинула в зал кінотеатру під час перегляду одного з фільмів кілька димових шашок і несамовито заволала "Пожежа, пожежа!". Звісно, ​​спровокувавши цим масову паніку, у яких загинуло кілька людей. Залишається тільки здогадуватися, чи той "жартівник" переслідував якісь конкретні цілі або просто так криваво "пожартував". Єдине, що можна стверджувати майже точно, це те, що "жартівники" до цієї акції підготувалися і провели її за всіма правилами. По-перше, момент кидання шашки та криків "Пожежа!" був обраний дуже точно: це було зроблено під час одного з найдраматичніших моментів фільму, коли глядачі перебували у великій напрузі та деякому страху від того, що відбувається на екрані. По-друге, один із учасників цього "жарту", який сидів ближче за всіх до виходу, щойно почулися перші крики про пожежу, кинувся до виходу, подавши тим самим приклад усім іншим людям. Які, природно, цей приклад наслідували.

Примітка

Чи міг той "жартівник" переслідувати якісь цілком конкретні цілі? Звісно, ​​міг. Наприклад, він з тих чи інших причин міг захотіти збанкрутувати цей кінотеатр. Пара-трійка таких витівок і люди в цей кінотеатр перестануть ходити, тому що за ним закріпиться слава "кривавого кінотеатру".

Класичним цей приклад називається тому, що він відбувався за класичною схемою, згідно з якою спочатку натовпу дається якийсь зовнішній стимул, після чого як відповідь на цей стимул слідувала цілком прогнозованареакція. Зовнішнім стимулом можуть бути і крики "Пожежа", і генератор Вуда, і змії – все, що завгодно. Реакція – масова паніка.

Приблизно також любив "жартувати", як не дивно, відомий фізик Роберт Вуд, який приходив у кінотеатри з генератором низькочастотних коливань, що випромінює коливання в діапазоні 7 - 9 Гц. Коли він включав свій генератор, люди починали метатися в паніці та вибігали з кінотеатру надвір. Кілька разів це призводило до різних тілесних ушкоджень у глядачів.

Примітка

Сенс "жарти" в тому, що наші внутрішні органи теж коливаються з певною низькою частотою, причому для більшості з них частота коливань становить 7 - 9 Гц. При включенні генератора Вуда,який генерував коливання тієї самої частоти, як і частота коливань внутрішніх органів, спостерігався ефект резонансу, у якого люди починали відчувати сильний дискомфорт і панічний настрій.

Набагато пізніше "жарт Вуда" був один на один повторений також у кінотеатрі одного міста, правда вже з більш трагічними наслідками.

Примітка

У літературі також описувалися випадки вбивств із застосуванням генератора Вуда. Точніше, доведення до самогубств. Злочинці діяли за такою схемою. Поруч із квартирою жертви, психотип якої припускав схильність до суїциду, монтувався генератор, включався та працював практично безперервно. Генератор міг розміщуватись або на горищі, над квартирою жертви, якщо вона жила на крайньому поверсі, в сусідній квартирі, а нерідко й прямо у квартирі. Жертва під час роботи генератора відчувала дискомфорт, панічне настрій, і нерідко вирішувала звести рахунки із життям.

Відомий також випадок, коли як причини для паніки зловмисники використовували …змій. Вірніше, вуж. Уявіть собі, йде фільм, головний герой фільму жахів шукає чогось на цвинтарі, тривожна музика, і раптом у цей драматичний момент один із глядачів відчуває, що в нього по нозі щось повзе. Нагинається подивитися що це таке і з жахом розуміє, що це змія. "Змії, у залі змії", - кричить він, вистачає цього нещасного вужа і кидає подалі від себе. І ближче до голови якогось глядача. Після чого зривається з місця та біжить до виходу. Ефект приблизно такий самий, як і в тому випадку, коли кричали "Пожежа".

Як зробити "соляну кризу" методами соціального програмування

Усім пам'ятна нещодавня "соляна криза", що трапилася в нашій країні. Ось що писало в цей час відоме інтернет-видання Лента.ру. Текст статті наводиться із деякими скороченнями з метою відновлення хронології подій.

"У Росії набирає сили соляна криза, яка загрожує перерости в соляний бунт. З низки областей країни зникла сіль. Постачальники вже підняли ціни в кілька разів, а громадяни, побоюючись, що ця криза - надовго, стоять у чергах і купують товари першої необхідності на користь. Хоча соляна криза триває вже як мінімум тиждень, тільки до середини лютого стало зрозуміло, що черги не скоротяться, пристрасті не вляжуться, а історія не залишиться поза увагою влади, вирвавшись із місцевого на федеральний рівень.

З певною часткою впевненості можна сказати, що все почалося 10 лютого, коли нестачу солі виявили туляки, а на оптових базах Тули ціна кілограмової пачки солі становила 3 ​​рублі 60 копійок. Тоді місцеві ЗМІ стверджували, що дефіцит солі – суто тульська проблема, і наводили приклад сусідні регіони, де кілограм солі коштував рубль вісімдесят. Влада спробувала заспокоїти туляків, пообіцявши постачання п'ятисот тонн до кінця тижня. Цікаво, що того ж дня нестачу солі відчули у Калузі. З 11 по 14 лютого в Тамбовській області було скуплено тримісячні запаси солі. З'явилися і почали поширюватися чутки про те, що Україна припинила чи може припинити постачання солі до Росії. Продавці та виробники пояснювали ажіотаж по-своєму – змінився технічний регламент, що породило чутки про дефіцит солі. 15 лютого на сполох забили нижегородці. Незважаючи на те, що в області зібрався піврічний запас солі, мешканці регіону за день розкупили її місячний запас. І якщо Тамбовської області ціна кілограма солі доходила до 30 рублів, то Нижньому Новгороді вона сягала 50 рублів. Не поступалися нижегородцам і жителі Новгородської області. Вони скуповували 300 тонн солі за два дні. Адміністрація області запропонувала пояснення соляному феномену. Там вважають, що ажіотаж спровокували російські оптовики, у яких на складах зібралися надлишки солі. Паніка досягла апогею до 16 лютого, коли нестачу відчули у Саратовській та Волгоградській областях, у Чебоксарах та Тюмені. У Москві та Московській області також було не все спокійно. Московській владі навіть довелося пояснити громадянам, що запасів солі у столиці вистачить на два місяці. Паніка, старанно підігрівається теленовиною,призвела до утворення величезних черг. Громадяни, які стоять у чергах, займали місця родичам та сусідам. Продавці, передбачаючи, що незабаром попит впаде, тому що запасів солі споживачам вистачить надовго, навіть почали поширювати контрчутки про зниження цін. Подекуди це спрацювало. Величезний попит на сіль породив у співвітчизників смутні спогади про воєнний час. Крім солі громадяни почали скуповувати цукор, сірники, борошно та крупи – про всяк випадок, раптом знадобляться. Влада Воронежа тим часом утихомирила ціни на сіль. Щоправда, для цього довелося наростити запаси цінного продукту до 600 – 800 тонн, а також силами міського полку міліції провести серію рейдів ринками та магазинами. Дійшло до того, що проблемою зацікавилася федеральна влада. Держдума 17 лютого доручила одному з комітетів з'ясувати в уряду причини підвищення цін на продукти першої необхідності". Кінець цитати.

Крім того, зазначається в огляді, "цікаво помітити, що ринок солі зазвичай не схильний до сильних коливань – поставки товару виробляються з різних джерел, сам товар підпорядковується основним ринковим законам, і ажіотаж має швидко спадати, змінюючись низьким рівнем попиту. Проте з кожного правила є винятки – і неправильно зрозуміла фраза чи рядок у документі обертаються зникненням зі складів усіх запасів солі".

Нагадаємо також, що федеральна антимонопольна служба(ФАС) у ході свого розслідування дійшла висновку, що "у соляній кризі не винні ні виробники солі, ні підприємства оптово-роздрібної торгівлі. Правила конкуренції порушувало лише ТОВ "Соляна компанія", зареєстрована у Тюмені. Але лише одна організація не змогла б викликати таку масштабну кризу". Не знайшовши порушень серед виробників, ФАС зробила висновок, що винні споживачі: "Основною причиною підвищення цін став ажіотажний попит населення на харчову сіль, викликаний поширенням недостовірної інформації про нестачу даного продукту на російському ринку", - сказано в офіційному прес-релізі ФАС.

Давайте подумаємо, чи міг бути організований методами соціального програмування. І, подумавши, приходимо до висновку, що цілком міг. Більше того, скандал такого масштабу, внаслідок якого мало не зняли деяких міністрів, цілком під силу організувати... одній людині. Причому звичайнісінькому. У тому сенсі, що ця людина може бути звичайна людина "з вулиці". А зробити це з одним, а не з групою людей взагалі нескладно. Розглянемо гіпотетичну схему, як це міг би бути реалізовано.

Примітка

Авторам зовсім не відомо, як це було зроблено насправді, і чиї інтереси у своїй переслідувалися. Не виключено, що таким чином одне з міністерських угруповань намагалося послабити вплив або взагалі прибрати інше угруповання. А як виконавці обрали соціальних хакерів. Якщо так воно і було, то, принаймні, все було дуже красиво.

Загальна гіпотетична схема розвитку такої чи подібної скандальної кризи проста.

Перш за все робиться криза в одному конкретно взятому місті. Ця криза підхоплюється місцевим телебаченням, якому потрібні високі рейтинги і яке знає, що найбільше аудиторія любить всілякі скандали та сенсації. Тому цілком закономірно, що телебачення повз скандал не пройде. І ось у вечірньому випуску новин диктор схвильованим голосом повідомляє, що із невідомої причини з магазинів міста зникає сіль. І додає, що аналітики нашого каналу, які, як ви знаєте, одні з найкращих аналітиків в області (ну як же себе не похвалити і в черговий раз не самопрорекламуватись), кажуть, що не можна виключати того, що соляна криза у нашому місті це початок Великої війни між найбільшими постачальниками солі в Росію. Найбільші постачальники солі, оскільки вони не дивляться місцеве телебачення міста Н-ска і незнайомі з висновками найбільших аналітиків місцевого телебачення міста Н-ска, ​​зовсім не в курсі, що між ними почалася якась війна. Місцеві ж мешканці, подивившись репортаж, обривають телефони, телефонуючи своїм знайомим і вимовляючи лише одну фразу:

- Чули, га? Солі скоро не буде! Ви ще за нею не біжіть? А ми вже.

І ось чверть міста, незважаючи на пізній час, біжить до цілодобових супермаркетів скуповувати сіль.

Знімальні групи великих обласних каналів чергують цілодобово. Тому що обласному телебаченню потрібні високі рейтинги, і там теж знають, що найбільше аудиторія любить усілякі скандали та сенсації, тому полювання за сенсаціями йде цілодобово. Звісно, ​​щойно стає відомо, що у Н-ске скупили всю сіль, туди прямує знімальна група, і вже сюжет про соляному кризі в Н-ске транслюється усіма великими обласними каналами. Жителі решти міст, не будучи дурнями, розуміють, що те, що трапилося в Н-ську, може статися і з ними. І ось солі немає вже у всій області. Пропадає вона і на кордонах сусідніх областей, тому що не всі жителі "обезсоленої" області встигли закупити сіль і тепер набігають у сусідні регіони. Ті, кому набіги робити ліньки, або вони цього з якихось причин зробити не можуть, дзвонять своїм родичам по всій країні і просять закупити їх кілограм двадцять солі, і надіслати посилкою.

На центральному телебаченні Росії люди не дурніші, ніж на місцевому та обласному телебаченні і щодо того, як підвищуються рейтинги, теж чудово обізнані. І ось в області, в якій вибухнула соляна криза, висаджується десант із кількох знімальних груп із різних Всеросійських каналів. Завдяки яким звістка про те, що "в країні скоро може не бути солі", долітає навіть до тих аулів, яких на карті без бінокля не знайдеш. Внаслідок чого паніка починає охоплювати вже всю країну, і проблема місцевого та обласного рівнів стає проблемою федерального масштабу.

Адже все це могла зробити дуже невелика група людей, а якщо дуже потрібно, то й одна людина. І на те, щоб усе це спровокувати, їм за сприятливого збігу обставин міг знадобитися один день та кілька тисяч рублів. Що, погодьтеся, невеликий бюджет для організації кризи всеросійського масштабу. Як це можливо? А дуже просто. Уявіть собі, що в супермаркет можна сказати вбігає людина і нервово запитує у всіх продавщиць: "А де тут у вас сіль?" Після того, як йому показали, де сіль, він біжить до цього прилавку та скуповує її всю. Після цього в супермаркет вбігає інша людина з тим самим питанням. Але солі в ньому вже немає, чи лишилося зовсім небагато. При цьому всі ці люди говорять покупцям і продавщицям, що "щойно по радіо передали, що скоро солі в країні зовсім не буде". Ті, хто це від наших покупців солі почув, впадають у легке занепокоєння, і вирішують про всяк випадок купити кілограм-другий солі "на чорний день". Але в супермаркеті, в якому вони знаходяться, сіль уже скінчилася. Люди занепокоєні трохи більше і йдуть в інший супермаркет, щоб прикупити кілограм п'ять-десять солі. На всякий випадок. А наші молодчики тим часом той самий трюк роблять у іншому супермаркеті, у третьому, десятому, і всім покупцям із задоволенням розповідають, що "От, по радіо передали…". Деякі ж покупці тим часом уже починають дзвонити своїм знайомим, щоб порадити їм прикупити солі, оскільки вони в магазині чули, що її незабаром не буде, і що на їхніх очах люди скупили всю сіль у магазині, і їм самим довелося тікати до іншої, де вони "дивом урвали". І ось так починається ланцюгова реакція в одному конкретному місті. І в принципі наші гіпотетичні провокатори соляної кризи вже можуть більше нічого не робити, тому що механізм вже запущений. Але ні, їм цього замало. І вони ще обдзвонюють усі міські газети та міське телебачення, де в ролі обурених жителів радять звернути увагу ЗМІ на те, що в місті ніде не можна купити солі і як доказ своїх слів радять зайти до найближчого супермаркету. Ну далі "криза підхоплюється місцевим телебаченням, якому потрібні високі рейтинги і яке знає…", як казка про білого Бичка.

Таким чином, навіть одна людина, яка володіє методами соціального програмування, може впливати на процеси у державі.

Вінки на трасі

Одному PR-агентству було поставлено завдання зробити так, щоб однією з магістральних трас їздило якнайменше народу. Передісторія така. В результаті будівництва паралельної траси власники магазинів на старій трасі втратили свої доходи, тому що більшість людей стало їздити новою трасою, яка була зручніша, ширша, освітленіша і т. д. Власники магазинів скинулися і замовили "чорну PR-кампанію" цієї трасі. Що ж зробили піарники? Звичайно, вони не вдавалися до руйнування дорожнього полотна шляхом розкопок, вибухових робіт та іншого. Вони просто … закупили кілька сотень вінків у ритуальних компаніях. І розвісили їх на кожному третьому дереві нової траси. У принципі, після цього вони могли вже нічого не робити. Тому що потік машин старою трасою і так уже збільшився. Що зрозуміло: людям психологічно вкрай некомфортно їздити дорогою, на кожному десятому метрі якої хтось загинув (про що і свідчили численні вінки). Це все одно, що їхати цвинтарем. І, звичайно, люди стали вибирати об'їзні шляхи, тобто стару трасу, "яка хоч і вся в колдобинах, але на ній ніхто не розбивається". Та піарники на цьому не зупинилися. У ЗМІ тих міст, що примикають до нової траси (тобто жителі яких найчастіше користуються цим маршрутом), була замовлена ​​серія публікацій на тему того, що нова траса просто якась трагічно містична. Мовляв, кожна 10-та машина, яка нею проїде – розбивається. Причому майже все зі смертю. Після цих публікацій потік машин на новій трасі ще більше зменшився, і майже зовсім вичерпався після того, як до вінків додалися ще й хрести з пам'ятниками, і траса вже справді стала нагадувати проїжджу дорогу цвинтарем.

Коли влада зрозуміла, що до чого, стало вже пізно. Вінки знімали, вішали нові… На стару трасу теж було спрямовано потужну PR-кампанію. Потужна у тому сенсі, що грошей було вгрошено багато. А так – слабка. Тому що основні її тези були спрямовані на колдобини на старій трасі, на те, що по ній повільніше їхати, на те, що машини на ній найчастіше виходять з ладу, оскільки знов-таки одні колдобини. Піарники старої траси все це обрубали одним ходом. Точніше, одним плакатом, який був поставлений перед розвилкою старої та нової траси. На плакаті було написано великими літерами одна фраза "Хочеш доїхати швидко чи живим?" Над словом "швидко" була стрілочка на нову трасу, Над словом "живим" - на стару.

Кінець ознайомлювального фрагмента.

27 грудня 2009 о 16:38

Соціальний хакінг у побуті (захищаємось від дурниць)

• Інформаційна безпека

Я знаю, що всі багато хабражителі читали мемуари вдалих хакерів, де дуже ясно розповідається про те, що найслабшою ланкою в ланцюзі інформаційної безпеки, як правило, є не протокол, програма чи машина, а людина(Адмін, користувач, а то й керівник).

Читав і я, навіть обурювався: «Ні, ну як же можна по телефону комусь сказати свій пароль». Але, на жаль, найкраще запам'ятовується удар граблів по власному чолі. Так і сталося. За останні пару місяців я став свідком і навіть учасником кількох ситуацій, про які казати соромно, але соціально корисно.

Акуратна утилізація: не викидайте та не втрачайте інформацію

Звичайно, є шредери та комбайни для знищення оптичних і навіть жорстких дисків. Але місце їм на підприємстві (де інструкції з безпеки слід не тільки складати та підписувати, але також уважно читати та виконувати всім співробітникам), а вдома, як правило, доводиться все робити руками.

З оптичними дисками все просто: вони добре дряпаються куточком будь-якого USB-штекера (шукайте його на флешці або будь-якому кабелі, так). Фото у тизері ілюструє результат 10 секундних маніпуляцій. Хоча диск не читається вже після одного глибокої подряпини по радіусу(Перевірив на приводі NEC моделі сім тисяч якийсь). Від гріха подалі: зробіть багато подряпин. У коментарях і сумніваються у надійності цього методу та рекомендують диски ламати або глибоко дряпати з обох сторін(інакше заполірують та прочитають). Що ж, пропоную виходити з реальної цінності інформації та вибирати пропорційну міру псування носія.

Жорсткому диску недостатньо зламати тільки контролер, потрібно зіпсувати пластини, як і флешці недостатньо відламати тільки штекер (треба трощити мікросхеми пам'яті). Або, як розумно рекомендує, форматуйте носій, щоб не можна було звідти щось відновити (швидке форматування, що очищає тільки структуру - звичайно не підійде). HDD і флешки звичайно не часто викидаються, проте останні - часто губляться.

Папір (якщо ліньки рвати) можна залити водою або краще якимось миючим засобом: навіть на пачках в 20-30 листів все дуже хвацько роз'їдається і розпливається.

Страшилка на тему:я недавно викинув пачку DVD-болванок із бекапами сайтів за 2008 рік. Паролей користувачів у дампах баз був (були хеші з сіллю), але у конфігах CMS були паролі доступу до БД. Так, я їх змінив. Так, майже всі хостери забороняють з'єднання з БД з віддаленого хоста. Але все ж.

Соціальний фішинг: не повідомляйте паролі анонімам або відкритими каналами

Якщо провайдер, хостер, платіжна система або власники якогось веб-сервісу просять пароль, то не вірте їм, це взагалі не вони, а зловмисники.

Якщо хтось сторонній повинен мати доступ до ваших паролів, ознайомте його з усіма потенційними небезпеками. Поясніть так, щоб вас зрозуміли (наприклад, дружина переконує небезпеку розтрати сімейного бюджету на рахунках від провайдера).

Страшилка перша:знайомий працює у провайдера Сюппорт. Йому буває ліньки лазити в білінг, тому він запитує пароль у клієнта по телефону, щоб перевірити чи правильно його ввів. А у провайдера активно використовується послуга callback. Якщо вчасно передзвонити, то людина, яка ні про що не підозрює, сама продиктує вам свої паролі. Принаймні, знайомому в цьому жодного разу не відмовляли.

Страшилка друга:Якось я, надсилаючи листа хостеру, довірився автокомпліту поштового клієнта. У результаті лист пішов не тому адресату. Так швидко паролі ще ніколи не змінював. До речі, тепер мій хостер теж зрозумів: вже не просить (і навіть, напевно, не рекомендує) вказувати пароль при зверненні, коли лист відправляється з авторизованої в акаунті пошти.

Банальна криптостійкість: qwerty – це не пароль

Взагалі, я не думаю, що аудиторія Хабра така шалена, щоб паролями ставити дати народження своїх дітей або витворювати щось подібне. Але бувають тонші моменти. Приклад – у страшилці.

Крім того, щодо паролів слід проконсультувати оточуючих вас людей, якщо вас хвилює їх приватність (адже вона може бути і вашою - наприклад, деякі сімейні фотки бувають не призначені для публічного перегляду).

Страшилка:Поки проект розробляється охороняти там особливо нічого, так? Тому зазвичай на час розробки паролем ставлять якраз щось на кшталт «abcd1234». Так ось я перевірив: із 4 останніх проектів запущених у продакшн на одному ми дефолтний пароль адміну – ми так і не змінили. Добре хоч, що дефолтний пароль у нас хоч і знають усі, але вигадується для кожного проекту окремий.

Не записуйте паролі (принаймні на тих папірцях, які викидаєте або зберігаєте поруч із логінами)

Краще будь-де, налаштуйте авторизацію за ключом. А закритий ключ зберігайте на локальному сервері (і копію на флешці в сейфі). Для менш робочих цілей є програми Менджер-паролей (у коментарях найактивніше радять RoboForm або крос-платформний KeePas), майстер-пароль ви вже постарайтеся запам'ятати в голові і взагалі ніде його не записувати. У найпростішому випадку збережіть паролі в текстовому файлі та закриптуйте його паролем із голови.

Якщо зберігаєте паролі в поштовому або FTP-клієнті, то подбайте про нормальний антивірусний захист, будь-який троян або бекдур із задоволенням потягне файлик з вашими паролями.

Окрема порада для тих, хто зберігає пароль у браузері (від коментатора): використовуйте майстер-пароль у браузерах, які це підтримують.

• Opera: Інструменти - Налаштування - Додатково - Безпека - Встановити пароль.
• У FF: Інструменти - Налаштування - Захист - Використовувати майстер-пароль.

Не використовуйте однакові паролі для різних систем та сервісів. У своєму софті та сервісах не зберігайте чужі паролі у відкритому вигляді.

Страшилка перша:люди похилого віку або просто далекі від IT люди часто дряпають свій PIN-код прямо на пластиковій картці (це народний фольклорвже, але тим не менше).

Страшилка друга:була справа, троян поцупив пароль збережений у FTP-клієнті (здається, це був не найсвіжіший Total Commander, але багато інших клієнтів у цьому плані не краще) у адміна з локального комп'ютера і натикав фреймів із заразою на живі сайти партнерів, куди ходили потенційні клієнти (в результаті відвідувачі або заражалися, або отримували зойки від антивірусу). До речі, зараз сайти з троянами Яндекс особливим чином позначає у видачі - до того ж трояна ви можете убити зараз, але позначка зникне лише після чергової переіндексації, наприклад, через тиждень.

Можуть вкрасти інші, можете втратити або віддати самі помилково

Не зберігайте нічого на нетбуку або телефоні.

На нетбуках ставте паролі (нормальні) та шифруйте файлову систему.

На флешках зберігайте все (або хоча б все важливе) у зашифрованому вигляді (наприклад, у архіві RAR з нормальним паролем).

Якщо у вас кілька однакових на вигляд флешок, то наклейте на них якісь ярлички, щоб раптом не віддати в податкову флешку з бекапом усієї чорної бухгалтерії вашої контори замість квартального звіту (податкова буде рада, а ось керівник - навряд чи).