Социальная инженерия

Профилактические меры

Для защиты от телефонного мошенничества важно соблюдать следующие меры предосторожности:

Будьте бдительны и не доверяйте подозрительным звонкам.
Никогда не сообщайте личную информацию незнакомцам по телефону.
Повесьте трубку, если вы чувствуете себя под давлением или запуганы.
Проверьте номер телефона, с которого был сделан звонок, и сообщите о мошенничестве соответствующим органам.

Ответственность за мошенничество

Владельцы колл-центров, участвующих в телефонном мошенничестве, могут быть привлечены к уголовной ответственности. Правоохранительные органы принимают меры по борьбе с этим видом преступной деятельности, и некоторые черные колл-центры уже были ликвидированы.

Заключение

Телефонное мошенничество представляет серьезную проблему, и методы, используемые мошенниками, постоянно совершенствуются. Важно быть бдительным, принимать профилактические меры и немедленно сообщать о мошеннических звонках, чтобы защитить себя и своих близких от потенциального вреда.

Влияние технологий и социальных сетей

Технологии и социальные сети делают нас уязвимыми. Доступ к личным данным, который предоставляет интернет, позволяет злоумышленникам создавать правдоподобные сценарии, основанные на нашей реальной жизни.

Так, благодаря открытым профилям, они узнают всё: от любимых кафе и друзей до семейных событий и даты рождения. Эти детали помогают строить убедительные ложные истории — их часто называют «подселением ложных идей». Например, вам звонит мошенник, сообщающий, что ваша банковская карта заблокирована, и упоминает детали о недавних покупках или поездках. Это вызывает доверие и устраняет сомнения, «подсаживая» мысль, что звонок — это реальная помощь, а не попытка обмана.

Модели манипуляции в социальной инженерии

Сценарии обмана строятся на нескольких типичных приёмах, которые мошенники виртуозно комбинируют, используя классические психологические паттерны.

1. Срочность и спешка

Мошенники любят напоминать, что решать нужно «прямо сейчас». Этот метод заставляет человека спешить, отключая критическое мышление. Они подталкивают жертву к поспешному решению, внедряя ложную мысль о необходимости немедленного действия: «Если я сейчас не переведу деньги, их украдут!»

Пример: В СМИ появилась

информация о посещении граждан лжесотрудниками коммунальных служб с требованиями переустановить счетчики, сигнализаторы загазованности и иные приборы обслуживания бытовых приборов. При чем необходимо внести предоплату или купить необходимое оборудование здесь и сейчас.

2. Авторитет и доверие

Мошенники активно используют доверие к авторитетным источникам, подстраиваясь под реальные бренды и государственные структуры. Они могут представляться сотрудниками банка или полиции, которые «решают проблему».

Это называется «эффектом авторитета», который сразу вызывает у нас доверие и ощущение надёжности. Злоумышленники уверенно используют не только реальные названия служб, но и данные о вашей личности, «подсаживая» мысль о своём профессионализме.

Пример: В последнее время от имени Роскомнадзора злоумышленниками рассылаются гражданам фальшивые письма, в которых сообщается о якобы наличии подозрений в финансировании противоправной деятельности. В зависимости от реакции жертвы с ней далее отрабатываются различные схемы обмана.

3. Ложное чувство вины или страха

Мошенники используют сильные эмоции — страх или чувство вины, которые мгновенно выводят человека из состояния спокойствия. Под их влиянием мы не задаемся вопросами, а просто следуем указаниям. Этот метод работает особенно хорошо с пожилыми людьми, которые боятся неудач и считают необходимым следовать «требованиям службы безопасности».

Пример: Звонок с сообщением о том, что ваш ребенок якобы попал в беду, может мгновенно заставить действовать на эмоциях, отключив логику и здоровый смысл.

Ложные идеи и принципы психологического воздействия

4. Постепенное вовлечение

Мошенники применяют методика «градуальных уступок»: сначала они просят небольшую услугу — например, подтвердить данные, а затем шаг за шагом втягивают в сложные манипуляции. Внедряя малые ложные идеи, они, по сути, «натаскивают» нас на послушание, и каждое действие выглядит всё более логичным.

Пример: В начале октября с 62-летней женщиной связались неизвестные, которые предупредили ее, что срок обслуживания ее сим-карты скоро истечет. Под предлогом продления договора они попросили россиянку назвать коды, поступившие ей в СМС, тем самым получив доступ к ее личным данным. Затем аферисты сообщили женщине, что некие злоумышленники пытаются сначала взять кредит от ее имени, а затем — дистанционно продать ее квартиру. Мошенники предложили новочебоксарке свою помощь и посоветовали следовать их указаниям. Испугавшись проблем с деньгами, она сняла со счета 50 тысяч рублей личных сбережений, оформила займы в микрофинансовых организациях на сумму еще более 35 тысяч рублей и перевела все средства на «безопасный» счет.

Вскоре после этого злоумышленники призвали пенсионерку помочь правоохранителям в поимке преступников, которые якобы дистанционно смогли завладеть ее квартирой, и в результате она в короткие сроки нашла покупателей и продала единственное жилье. Более двух миллионов рублей, вырученных со сделки, она также отправила аферистам.

5. Чувство исключительности

Мошенники могут обещать уникальные предложения, которые якобы доступны только вам. Они играют на естественном желании выделиться и быть особенным, что заставляет нас меньше критиковать и сразу воспринимать их слова как правду. Или могут сыграть на чувстве исключительности, а потом испугать потерей этого шанса.

Пример: В последнее время на сайтах знакомств

мошенники публикуют фотографии людей модельной внешности. Аферисты предлагают общаться через мессенджеры и быстро признаются в чувствах. Затем мошенники предлагают увидеться, однако всегда возникают непредвиденные ситуации, препятствующие встрече, а для решения этого внезапного казуса необходимо перевести денежные средства (помочь на таможне при пересечении границы или не хватает денег на билет и т.д.).

Как понять и избежать обмана?

В мире, где каждый день появляются новые способы социальной инженерии, важно критически относиться к любой информации, особенно поступающей от неизвестных номеров. Не стоит принимать все на веру — наоборот, здоровый скептицизм поможет оставаться в безопасности.

Совет: Если вам кажется, что вас торопят, давят или говорят от лица «службы», требующей немедленного перевода денег — остановитесь и проверьте всю информацию через официальные каналы.

Сегодня мошенники играют на человеческих эмоциях и используют их как инструмент, чтобы запутать нас. Признайте, что ваш мозг может быть податливым, и что, иногда, холодное и критичное мышление — лучшее оружие против любого манипулятора.

Спасибо за прочтение!

Ваши подписка и отклик очень важны для продвижения!

Эта статья про физическое проникновение в один из банков Ливана. Легальный проект, с неожиданной концовкой, который выполнял один из самых известных специалистов по физическому тестированию на проникновение Jason E. Street! Вся история — это набор фактов, смешанный с его личными комментариями с выступлений, интервью и общения в кулуарах. Поэтому подробности на личной совести эксперта, но я предлагаю ему поверить! Уж слишком громкая вышла история :)

Если вам интересно как проверяли физическую безопасность банка с помощью социальной инженерии, добро пожаловать под кат!

❯ А что за проекты такие?

Проекты по физическому проникновению на территорию заказчика — одни из самых веселых проектов! Автор этих строк, делал несколько подобных проектов, поэтому знает о чем говорит. Jason E. Street же очень известный эксперт индустрии, который провел в десятки раз больше подобных проектов.

Обычно основная цель — или получение доступа к компьютерам в офисе заказчика, или организовать удаленное подключение к сети организации. Для последнего чаще всего используют закамуфлированный мини-пк, например, Raspberry Pi с модемом и сим картой. Ограничения на подобных проектах, по крайней мере в РФ просты:

1. Не показывать никаких документов. Ведь их подделка карается УК РФ, а показывать настоящие — противоречит сути мероприятия.

2. Не оказывать сопротивления охране. Обычно с собой всегда есть договор на работы или авторизационное письмо (LOA). В письме/договоре указано, что человек проводит легальные работы и бить/сдавать в полицию его не нужно, а нужно связаться с руководством компании заказчика.

Именно в подобных условиях действовал и наш главный герой. Однако цель его была немного иная — не проверить возможность получить доступ, а научить сотрудников! Поэтому он рассчитывал быть пойманным к концу проекта.

❯ Первый проект

Ливан. Эта страна, которая сейчас не вылазит из сводок новостей, но на момент проведения проекта была гораздо более спокойной и тихой. Джейсон уже выполнял там один проект в банке и тогда он:

• Выдал себя за сотрудника головного офиса и спокойно гулял по трем отделениям.

• В одном отделении получил от менеджера его личный логин и пароль, а также вынес все документы, которые захотел.

• В двух выполнил «вредоносный» код на машинах менеджеров и одного управляющего.

• Из третьего и вовсе вынес компьютер!

Тогда хакера никто не остановил.

❯ Очень быстрое начало

Нынешний же проект проводили через пару лет в 2021 году в другом банке Бейрута, первое отделение которого было успешно взломано с самого утра. Но обиженный управляющий, который почувствовал себя дураком, решил взять противодействие в свои руки. Он лично обзвонил все крупные отделения банка и предупредил об ожидаемом визите «взломщика». Конечно же, это было не спортивно, но Джейсон решил, что поедет в небольшое отделение, в котором скорее всего его не ждут. И его действительно там не ждали!

В Бейруте надписи как правило на арабском и французском языках, которые хакер не знал. Поэтому на проект к нему был приставлен сопровождающий из местных, который и отлично говорил на трех языках, и показывал дорогу. К тому же именно этот сопровождающий должен был не дать арестовать хакера! Сопровождающий — живое доказательство легальности проекта. Но в тот день Джейсон очень торопился, потому что перед проектом выпил целую 1,5 литровую бутылку диетической пепси! Сопровождающий указал ему направление и сказал «Банк вон там в конце улицы, я приду через пару минут после тебя». По дороге Джейсон старательно искал туалет, но многие вывески он прочитать не мог, а знакомого значка WC нигде не увидел. В итоге на последней крупице силы воли забежал в офис банка в конце улицы и по указателям на второй этаж в туалет. После облегчения хакер осмотрел отделение сверху и спланировал свою показательную атаку.

Документы использовать нельзя, но поддельные письма? Бейджи? Можно! Это де юре не документы. Поэтому Джейсон достал свой фейковый бейджик «Майкрософт». Его цели были три:

1. Выполнить любой код на машинах сотрудников и показать им это.

2. Вынести компьютер из отделения.

3. Если его задержат, проверить, поверят ли его поддельному «авторизационному письму» и дадут ли ему уйти.

Для первой задачи он использовал Rubber Duck — известный инструмент легальных хакеров, который выглядит как флешка, но выполняет код. Компьютер определяет эту «флешку» как клавиатуру, которая начинает нажимать горячие клавиши и набирать команды. Именно так код выполняется. Да прям на виду у менеджера.

Все что делал код из Rubber Duck Джейсона — выводил надпись что «Эй, этого не должно было случиться!». Джейсон показывал это менеджеру и переходил к следующему, хотя для фиксации успеха достаточно одного взломанного ПК.

Уже на третьем взломанном компьютере им стали интересоваться, спросили кто он и откуда. Джейсон повторил свою легенду, что он из Майкрософт, показал пальцем на бейдж. И объяснил, что здесь он проводит аудит из-за слияния компаний, и пока это не публичная информация. Показал на своем IPad поддельное письмо, чтобы вызвать большее доверие. Почему на планшете? Почему-то с экрана выглядит доверительнее, чем распечатанное. Письмо было составлено очень грамотно, от имени CFO банка, которая к тому же являлась и дочерью владельца банка! Куда уж респектабельнее? Но ему не поверили и попросили поговорить с управляющим. Где же промах?

В кабинете управляющего Джейсон перешел к цели №3 — побегу. Его задача с помощью этого поддельного письма на планшете убедить управляющего его отпустить. Он ожидал два успешных исхода:

1. Управляющий письму верит, и он проиграл.
2. Управляющий не верит, просит дополнительные документы. Тогда Джейсон предлагает принести их из машины и не возвращается в банк.

В теории может быть и один неудачный исход, Джейсону не верят и его не отпускают «за документами». Тогда за него вступается сопровождающий и все объясняет, а управляющего ждет похвала. Кстати, а где сопровождающий?

❯ Не та дверь

Четвертый исход Джейсон не мог даже предположить. Управляющий внимательно смотрит его документы и говорит грустным, но очень строгим голосом: «Все понятно, но это письмо для банка по соседству. Так что ты делал с нашими компьютерами?!».

Эти два банка используют одинаковые корпоративные цвета. Вывески Джейсон привык не смотреть, ведь они чаще всего не на английском. Ну и помните, он ОЧЕНЬ торопился, а в этом здании два банка расположенных через стенку. Джейсон просто зашел не в ту дверь, и он взломал банк на что не имел никакого разрешения! Что он мог ответить управляющему после такого? «Это прискорбно» Хакер был настолько ошарашен, что не придумал ничего лучше.

В комнате управляющего его усадили в кресло и вокруг него шесть человек очень активно и сердито говорили по арабски. В качестве оправдания Джейсон решил показать что он делал, что ничего плохого не произошло. Он подключил свой Rubber Duck к компьютеру управляющего, и на экране появилось привычное окно блокнота с надписью. Но это произвело не то впечатление, фактически он только что взломал еще один ПК, увеличил себе срок и лица окружающих стали еще мрачнее. Последним аргументом, который, казалось бы, они не услышали, было «Погуглите меня, я известен такими вещами!».

К этому моменту сопровождающий уже давно был в банке напротив, он сначала подумал, что Джейсон уже зашел в кабинет управляющего и все ему объясняет. Но время шло, его подопечный не появлялся и он решил спросить, не заходил ли он сюда. После отрицательного ответа, он начал искать Джейсона и нашел. Аргументы сопровождающего уже были услышаны, но и они не играли большой роли. Все что им могли предложить — проехать в головной офис банка, где разберутся, что в целом было лучше чем вызов полиции.

Спасло Джейсона то, что код на его Rubber Duck не был по настоящему вредоносным, и состава преступления тут не было. К тому же, к счастью, он не успел выполнить пункт №2 и не вынес компьютер из отделения!

Все его нарушения были:

1. Проникновение на закрытую территорию.

2. Ложь сотрудникам банка.

Джейсон повторно объяснил ситуацию начальнику охраны, подробно рассказал что он делал и почему у него это вышло, что не так делали сотрудники и отвечал на множество вопросов, стараясь быть как можно более милым.

После четырех часов проведенных в кабинете начальника охраны, руководители банков договорились разделить расходы между собой и уладить ситуацию. Из соображений безопасности сразу после ухода Джейсона все компьютеры менеджеров и управляющего по ошибке взломанного филиала были очищены. Все-таки банки — высококонкурентная среда. Но главное, что инспектировать еще и безопасность тюрем Ливана не пришлось.

Написано специально для Timeweb Cloud и читателей Пикабу. Больше интересных статей и новостей в нашем блоге на Хабре и телеграм-канале.

Хочешь стать автором (или уже состоявшийся автор) и есть, чем интересным поделиться в рамках наших блогов (за вознаграждение) — пиши сюда.

Облачные сервисы Timeweb Cloud — это реферальная ссылка, которая может помочь поддержать авторские проекты.

WiFiPumpkin3 - это инструмент для перехвата и анализа сетевого трафика в беспроводных сетей. Он предоставляет возможности для создания поддельных точек доступа, перехвата данных, анализа трафика и многих других функций.

Недавно его добавили в последнюю версию NetHunter. Теперь можно использовать его прямо со смартфона Android.

Источник