Привет форумчанин
Думаю что можно хотя бы одну статью уделить опыту работы с СИ, в стороне от обзоров на вспомогательные программы на Kali Linux и развлекательного контента для узкой как в итоге вышло аудитории в виде комментариев от хаЦкера.
Социальная инженерия это такое дело, всегда зависит от опыта атакующего. Все мы, надеюсь, знаем слова про то что «пока в системе задействован человек», то она сразу становится уязвимой.
Если обьективно посмотреть на ситуацию, то это так. Да, идиотов, по сути мало, но расставлены они всегда правильно и везде. У них везде свои люди. Это общеизвестный факт. Старшее поколение по статистике чаще всего становится жертвами интернет мошенников, как их любят называть на новостных каналах. Между нами это конечно скамеры, то есть те же самые СИшники. СИ вообще имеет огромнейший спектр всевозможных подвидов своих приспешников. Каждый из них это отдельное звено. По отчетам ФБР каждый четвертый человек в США хоть раз в жизни получал письма фишингового характера, каждый 6 из потенциальных жертв хоть раз кликал на ссылку в письме, и из них каждый 5 был не потенциальной жертвой, а реальной тоесть попавшейся. И тут нужно научится терпению и понятию процесса – когда кто то рассылает фишинговые письма с идеальным текстом и механизмом получения информации, из 100 адресатов он получит, если повезет, 20 попавшихся людей.
Само понятие фишинг стало обыденным, пользователи опытней а сама сфера потихоньку умирает. Умирает не в том плане, что ее скоро нестанет. Нет, фишинг навсегда останется и будет лидирующей причиной массового взлома и утечки информации по всему миру. Фишинг умирает в плане окупаемости. Пользователей информируют больше, информационная грамотность растет. На смену старшему поколению сейчас, придет поколение, которое сейчас начинает свой путь в системе пчелы и пчеловода. Пчеловоду не нужно, что бы кто то другой пас его пчел. И пчеловод оберегает пчел от других, только для того, что бы самому пользоваться их ресурсами.
Развиватся в этой области стало легче, но результат уже не превосходит ожидания, как лет 7-9 назад – в то время фишинг и заполучил пьедистал почета. По статистике той же ФБР, есть 3 основных сценария мошенничества:
Сценарий первый: поддельные счета
Эта схема обычно связана с поддельными сообщениями от организации, с которой целевая компания хорошо знакома. При реализации этого сценария обычно отсылается запрос на отправку платежа на определенный счет, выглядящий очень правдоподобно. Если получатель не вдается в подробности, запрос может быть обработан на общих основаниях, и деньги отправятся на счет мошенника.
Сценарий второй: обман от имени руководителя
Эта схема подразумевает кражу электронной почты руководителя компании и рассылку поддельных писем сотрудникам с этого адреса, которые обычно работают в финансовом отделе и отвечают за обработку запросов на перевод денежных средств. В поддельных письмах могут быть запросы на покупку, безналичные переводы и другие финансовые транзакции, на первый взгляд выглядящие легитимно.
Сценарий третий: компрометирование учетной записи
Эта схема является комбинацией двух предыдущих. Вместо отсылки писем от имени скомпрометированного аккаунта внутри компании, сообщения отсылаются от другой организации или контакта, к которым есть доступ. Здесь также могут использоваться входящие счета и запросы на оплату для других компаний.
Да, взял я эту статистику из чужой статьи, суть не в том. Странности не замечаете? А я вам скажу что не так – хуйня все это, расходимся.
Почему? Хотя бы потому, что эти сценарии сейчас не работают. Да, перед нами реальная статистика, но актуальность ее под вопросом. Сейчас никто не будет рассылать письма от имени босса. Согласен, такая схема является одной из самых прибыльных схем, и те кто ее воплощает в жизнь, по моему скромному мнению,настоящие легенды. Но давайте я разрушу это облако романтизированного шлака.
Во первых, такая атака зашкаливает своим масштабом. Вы вдумайтесь – для начала, нужно взломать того самого босса. Это выбор цели. После этого нужно цель изучить, после чего составить качественное письмо соответствующее его интересам и слабым местам, которые, не так уж и легко найти. После этого, нужно его взломать, при этом не вызвав подозрений. А уже после этого, нужно составить письмо от имени босса под определенный «отдел», его отправка, заполучение логов и заметание следов.
Уже на этом этапе все звучит очень сложно. Но знаете что тут самое сложное? Последний пункт. Вдумайтесь – вы взламываете целевую компанию методом социальной инженерии. Атака получается точечной, а не «спам», как могло показаться. И вы думаете, это вам сойдет с рук? Сама задача настолько обсурдная, что для самой организации понадобится целая команда высоквалифицированных психологов. Да, вы не ослышались. Большое количество СИшников прекрасно знают психологию. Но такой взлом закончится заявлением. Ну а концовку вы сами знаете. То, о чем не говорит ФБР, публикую такую статистику – это сколько людей они повязали, давая такие «советы». Понятно, к чему я клоню? Сам факт публикации такого контента, уже является СИ. Это сделано не для того, что бы обезопасить пользователя. Это некий вызов всем идиотам, которые возомнили себя СИшниками. Хуйня все это, ребзя. Мозг человека вбрасывает гормоны и хим.элементы гораздо быстрее и сильнее, когда получает отказ. Мы сами не задумывемся, когда получаем отказ. Отказала девушка/парень? Это мелочи. Отказ воспринимается на подсознательном уровне в любых ситуациях, и в зависимости от психики и характерных интересов, сильнее или меньше. И когда наши социальные инженеры читают такой вброс, они сразу берут эту схему как основу, и перерабатывают ее, чуток изменяют и закидывают. Ведь если схема распространена, то наверное, прибыльная.
А вот статистика от меня – школьники.
Схема работает по принципу атомной реакции – одному человеку присылается вредонос, у него крадут аккаунт, и уже его контактам по той же схеме присылают ту же ссылку, тот же текст, и уже целая команда работает над заполучением логов. В итоге – сотни бесплатных аккаунтов. И распространено все это именно на школьниках. Это не рандомная схема а ля «нигерийский принц», это рабочая схема на самую уязвимую аудиторию. В этом и кроется разница – нужно различать между заоблачными тактиками и прочей хуйней, и действенными действиями.
Я весьма удивлен, если ты дочитал до конца. Такое чтиво это длинно, долго, без картинок. Уверен, что как минимум половина сразу закрыла статью, увидев ее грустное содержание. Из остатка еще половина ничего из нее не подчерпнула, а остальные поставят лайк изза того что просто меня знают. А потом меня спрашивают, почему у меня развлекательный контент с подтекстом ИБ.
Думаю что можно хотя бы одну статью уделить опыту работы с СИ, в стороне от обзоров на вспомогательные программы на Kali Linux и развлекательного контента для узкой как в итоге вышло аудитории в виде комментариев от хаЦкера.
Социальная инженерия это такое дело, всегда зависит от опыта атакующего. Все мы, надеюсь, знаем слова про то что «пока в системе задействован человек», то она сразу становится уязвимой.
Если обьективно посмотреть на ситуацию, то это так. Да, идиотов, по сути мало, но расставлены они всегда правильно и везде. У них везде свои люди. Это общеизвестный факт. Старшее поколение по статистике чаще всего становится жертвами интернет мошенников, как их любят называть на новостных каналах. Между нами это конечно скамеры, то есть те же самые СИшники. СИ вообще имеет огромнейший спектр всевозможных подвидов своих приспешников. Каждый из них это отдельное звено. По отчетам ФБР каждый четвертый человек в США хоть раз в жизни получал письма фишингового характера, каждый 6 из потенциальных жертв хоть раз кликал на ссылку в письме, и из них каждый 5 был не потенциальной жертвой, а реальной тоесть попавшейся. И тут нужно научится терпению и понятию процесса – когда кто то рассылает фишинговые письма с идеальным текстом и механизмом получения информации, из 100 адресатов он получит, если повезет, 20 попавшихся людей.
Само понятие фишинг стало обыденным, пользователи опытней а сама сфера потихоньку умирает. Умирает не в том плане, что ее скоро нестанет. Нет, фишинг навсегда останется и будет лидирующей причиной массового взлома и утечки информации по всему миру. Фишинг умирает в плане окупаемости. Пользователей информируют больше, информационная грамотность растет. На смену старшему поколению сейчас, придет поколение, которое сейчас начинает свой путь в системе пчелы и пчеловода. Пчеловоду не нужно, что бы кто то другой пас его пчел. И пчеловод оберегает пчел от других, только для того, что бы самому пользоваться их ресурсами.
Развиватся в этой области стало легче, но результат уже не превосходит ожидания, как лет 7-9 назад – в то время фишинг и заполучил пьедистал почета. По статистике той же ФБР, есть 3 основных сценария мошенничества:
Сценарий первый: поддельные счета
Эта схема обычно связана с поддельными сообщениями от организации, с которой целевая компания хорошо знакома. При реализации этого сценария обычно отсылается запрос на отправку платежа на определенный счет, выглядящий очень правдоподобно. Если получатель не вдается в подробности, запрос может быть обработан на общих основаниях, и деньги отправятся на счет мошенника.
Сценарий второй: обман от имени руководителя
Эта схема подразумевает кражу электронной почты руководителя компании и рассылку поддельных писем сотрудникам с этого адреса, которые обычно работают в финансовом отделе и отвечают за обработку запросов на перевод денежных средств. В поддельных письмах могут быть запросы на покупку, безналичные переводы и другие финансовые транзакции, на первый взгляд выглядящие легитимно.
Сценарий третий: компрометирование учетной записи
Эта схема является комбинацией двух предыдущих. Вместо отсылки писем от имени скомпрометированного аккаунта внутри компании, сообщения отсылаются от другой организации или контакта, к которым есть доступ. Здесь также могут использоваться входящие счета и запросы на оплату для других компаний.
Да, взял я эту статистику из чужой статьи, суть не в том. Странности не замечаете? А я вам скажу что не так – хуйня все это, расходимся.
Почему? Хотя бы потому, что эти сценарии сейчас не работают. Да, перед нами реальная статистика, но актуальность ее под вопросом. Сейчас никто не будет рассылать письма от имени босса. Согласен, такая схема является одной из самых прибыльных схем, и те кто ее воплощает в жизнь, по моему скромному мнению,настоящие легенды. Но давайте я разрушу это облако романтизированного шлака.
Во первых, такая атака зашкаливает своим масштабом. Вы вдумайтесь – для начала, нужно взломать того самого босса. Это выбор цели. После этого нужно цель изучить, после чего составить качественное письмо соответствующее его интересам и слабым местам, которые, не так уж и легко найти. После этого, нужно его взломать, при этом не вызвав подозрений. А уже после этого, нужно составить письмо от имени босса под определенный «отдел», его отправка, заполучение логов и заметание следов.
Уже на этом этапе все звучит очень сложно. Но знаете что тут самое сложное? Последний пункт. Вдумайтесь – вы взламываете целевую компанию методом социальной инженерии. Атака получается точечной, а не «спам», как могло показаться. И вы думаете, это вам сойдет с рук? Сама задача настолько обсурдная, что для самой организации понадобится целая команда высоквалифицированных психологов. Да, вы не ослышались. Большое количество СИшников прекрасно знают психологию. Но такой взлом закончится заявлением. Ну а концовку вы сами знаете. То, о чем не говорит ФБР, публикую такую статистику – это сколько людей они повязали, давая такие «советы». Понятно, к чему я клоню? Сам факт публикации такого контента, уже является СИ. Это сделано не для того, что бы обезопасить пользователя. Это некий вызов всем идиотам, которые возомнили себя СИшниками. Хуйня все это, ребзя. Мозг человека вбрасывает гормоны и хим.элементы гораздо быстрее и сильнее, когда получает отказ. Мы сами не задумывемся, когда получаем отказ. Отказала девушка/парень? Это мелочи. Отказ воспринимается на подсознательном уровне в любых ситуациях, и в зависимости от психики и характерных интересов, сильнее или меньше. И когда наши социальные инженеры читают такой вброс, они сразу берут эту схему как основу, и перерабатывают ее, чуток изменяют и закидывают. Ведь если схема распространена, то наверное, прибыльная.
А вот статистика от меня – школьники.
Схема работает по принципу атомной реакции – одному человеку присылается вредонос, у него крадут аккаунт, и уже его контактам по той же схеме присылают ту же ссылку, тот же текст, и уже целая команда работает над заполучением логов. В итоге – сотни бесплатных аккаунтов. И распространено все это именно на школьниках. Это не рандомная схема а ля «нигерийский принц», это рабочая схема на самую уязвимую аудиторию. В этом и кроется разница – нужно различать между заоблачными тактиками и прочей хуйней, и действенными действиями.
Я весьма удивлен, если ты дочитал до конца. Такое чтиво это длинно, долго, без картинок. Уверен, что как минимум половина сразу закрыла статью, увидев ее грустное содержание. Из остатка еще половина ничего из нее не подчерпнула, а остальные поставят лайк изза того что просто меня знают. А потом меня спрашивают, почему у меня развлекательный контент с подтекстом ИБ.
Последнее редактирование:
