Книги по социальной инженерии для новичков: скачать бесплатно или читать онлайн

Книги по социальной инженерии👩‍💻 | invme

Даже в самой совершенной системе защиты существует брешь. Зачастую, это человек, который систему контролирует. И манипуляторы всех мастей, от мелких мошенников до хакеров мирового уровня, это прекрасно знают. Чтобы не пасть жертвой своей наивности и чужого злого умысла, прочтите книги из этой подборки. А если вам интересны виды манипуляции, прочитайте про один из них — газлайтинг.

Даже в самой совершенной системе защиты существует брешь. Зачастую, это человек, который систему контролирует

Что такое социальная инженерия

Социальная инженерия – метод, который позволяет получить доступ к информации. Этот метод использует особенности психологии людей. Основная цель социальной инженерии – получить доступ к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Хотя термин социальной инженерии появился не так давно, сам метод практикуется уже долго. Сотрудники разведывательных служб, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, когда пытаемся получить что-либо, часто даже не подозревая, используем методы социальной инженерии. О том, как защититься от кибермошенников, мы уже писали ранее.

Социальная инженерия – метод, который позволяет получить доступ к информации. Этот метод использует особенности психологии людей

Искусство обмана. К. Д. Митник, Вильям Л. Саймон

Книга доказывает и показывает, насколько мы все уязвимы. В современном мире, где безопасность выходит на первый план, на защиту компьютерных сетей и информации тратят огромные деньги. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социальные инженеры и как отразить нападение с их стороны.

Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы.

«Искусство обмана» не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.

Искусство вторжения. Кевин Д. Митник, Вильям Л. Саймон

Истории, которые рассказаны в книге, демонстрируют, что безопасных компьютерных систем нет. Хакеры находят новые уязвимости каждый день. Основной посыл не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить мышление, найти подход к проблеме безопасности и приобрести новый опыт.

Если вы профессионал в области ИТ или обеспечения безопасности, каждая из историй научит тому, как повысить уровень безопасности в вашей компании. А просто любопытный читатель получит детектив, истории о настоящих сорвиголовах.

Искусство вторжения. Кевин Д. Митник, Вильям Л. Саймон

Социальная инженерия и социальные хакеры. Максим Кузнецов, Игорь Симдянов

В книге сочетаются описания методик в разрезе современных теорий о поведении человека – трансактным анализом и нейролингвистическим программированием, вместе с прикладной информацией – примерами социального программирования и способами защиты от них.

Книга принесет пользу IT-специалистам, сотрудникам служб безопасности предприятий, психологам, которые изучают социальную инженерию и социальное программирование, а также простым пользователям ПК, поскольку именно их часто выбирают социальные хакеры в качестве самых удобных мишеней.

Игры, в которые играют люди. Эрик Берн

Книга проверена временем. Она пережила несколько переизданий многомиллионными тиражами на многих языках. Книга научит читателя осознанно анализировать особенности своего общения, а также поможет избавиться от многих поведенческих стереотипов и комплексов, которые мешают в повседневной жизни.

Изначально эта работа задумывалась в качестве продвинутого учебника психоанализа, однако в итоге автор сумел изложить ее простым и доступным каждому языком с использованием ярких и остроумных образов. «Люди, которые играют в игры» стала мировым бестселлером много лет назад и до сих пор остается одной из самых популярных книг по психологии.

Игры, в которые играют люди. Эрик Берн

Психология влияния. Роберт Чалдини

Роберта Чалдини – признанный мастер убеждения и манипуляции. Книга выдержала в США пять изданий, ее тираж давно уже перешагнул порог в полтора миллиона экземпляров. Она адресована всем, кто работает с людьми и по роду своей деятельности должен убеждать, воздействовать, оказывать влияние.

«Психологию влияния» знают и рекомендуют в качестве одного из лучших учебных пособий по социальной психологии, конфликтологии, менеджменту все западные, а теперь уже и отечественные психологи.

Как прекрасны бы ни были книги, знания без действий – мёртвый груз. Обращайте внимание на то, как вы себя ведете при общении с людьми. Отличный способ – прослушать свои записи разговоров, если такие есть, просмотреть старые сообщения, а потом подумать, как в будущем построить диалог эффективнее. Результат не заставит себя ждать. Обсудить новые знания и навыки вы можете на invme.com, там собираются люди, которым интересны новые знания и интересные знакомства.

Социальная инженерия и социальные хакеры

Введение

Для кого и о чем эта книга

Предметом книги является рассмотрение основных методов социальной инженерии – по мнению многих исследователей одного из основных инструментов хакеров XXI века. По своей сути, это книга о роли человеческого фактора в защите информации. О человеческом факторе в программировании выходило несколько хороших книг, одна из них, книга Ларри Константина, так и называется «Человеческий фактор в программировании». Это, пожалуй, единственная книга на данную тему, переведенная на русский язык. Вот что пишет автор в предисловии к этой книге: «Хорошее программное обеспечение создается людьми. Так же как и плохое. Именно поэтому основная тема этой книги – не аппаратное и не программное обеспечение, а человеческий фактор в программировании (peopleware)». Несмотря на то, что книга Л. Константина скорее по психологии, чем по программированию, первое издание книги было признано классическим трудом в области информационных технологий.

Информация тоже защищается людьми, и основные носители информации – тоже люди, со своим обычным набором комплексов, слабостей и предрассудков, на которых можно играть и на которых играют. Тому, как это делают и как от этого защититься, и посвящена данная книга. Исторически так сложилось, что хакерство с использованием человеческого фактора называют «социальной инженерией», поэтому наша книга так и называется «Социальная инженерия и социальные хакеры».

Защититься от социальных хакеров можно только зная их методы работы. Наша цель, как авторов книги, – ознакомить читателей с этими методами, чтобы лишить социальных хакеров их главного козыря: неискушенности их жертв в вопросах мошенничества и методах скрытого управления человеком. Мы также надеемся, что изучение материала книги будет полезным для читателей не только в профессиональном, но и в жизненном плане. Ведь изучение тех разделов психологии, о которых мы будем говорить в этой книге, позволит вам взглянуть на окружающую действительность глазами психолога. Поверьте, это большое удовольствие и большая экономия нервов, сил и времени.

Авторы предлагаемой книги пришли к социальному программированию и основным его концепциям, с одной стороны (и большей частью), через программирование, связанное с защитой информации, а с другой – через одно из направлений нашей профессиональной деятельности, связанное с проектированием и установкой средств защиты информации от несанкционированного доступа, систем охранной сигнализации, систем контроля доступа и т. д. Анализируя причины и методы взлома ПО или каналы утечки информации из различных структур, мы пришли к очень интересному выводу о том, что примерно в восьмидесяти (!) процентах причина этого – человеческий фактор сам по себе или умелое манипулирование оным. Хотя это наше открытие, безусловно, не ново. Потрясающий эксперимент провели английские исследователи. Не мудрствуя лукаво, они разослали сотрудникам одной крупной корпорации письма якобы от системного администратора их компании с просьбой предоставить свои пароли, поскольку намечается плановая проверка оборудования. На это письмо ответило 75% сотрудников компании, вложив в письмо свой пароль. Как говорится, комментарии излишни. Не нужно думать, что это просто люди такие глупые попались. Вовсе нет. Как мы увидим дальше, человеческие поступки тоже вполне неплохо программируются. И дело здесь не в умственном развитии людей, которые попадаются на подобные удочки. Просто есть другие люди, которые очень неплохо владеют языком программирования человеческих поступков. Сейчас интерес к социальной инженерии очень высок. Это можно заметить по многим признакам. К примеру, пару лет назад по запросу «социальная инженерия» в поисковой системе Google было только 2 ссылки. Теперь же их сотни… Известный хакер К. Митник, использующий для взломов методы социальной инженерии, выступает с лекциями в гостинице «Редиссон-Славянская» для топ-менеджеров крупных IT-компаний и специалистов служб безопасности корпораций… По социальной инженерии стали устраивать конференции, в ряде университетов собираются вводить курсы лекций на эту тему…

Однако у многих лекций и опубликованных статей, с которыми ознакомились авторы, есть несколько серьезных недостатков. Во-первых, не объясняется психологическая подоплека применяемых приемов. Авторы статей просто говорят: «Это делается так-то». А почему именно так – никто не объясняет. В лучшем случае приводятся фразы: «в основе этого приема лежат принципы нейролингвистического программирования», что, правда, запутывает еще больше. Иногда еще говорят, что «для того, чтобы не стать жертвой социальных хакеров, нужно развивать в себе психологическое чутье». О том, куда за этим самым чутьем сходить и где его приобрести, тоже ничего не говорится. И, наконец, третий и, пожалуй, самый серьезный недостаток публикуемых в настоящее время статей по социальной инженерии состоит в том, что большинство примеров, которые в них приводятся – надуманные («киношные»), которые в реальной жизни не сработают. Читатель, изучая этот пример, понимает, что если к нему заявится такой хакер, он его непременно раскусит. Что правда: такого, – раскусит. Но когда к нему приходит настоящий, – он выкладывает ему самые сокровенные секреты. Предлагаемая книга призвана, с одной стороны, устранить эти недостатки и дать читателю реальный психологический минимум, который лежит в основе «социального хакерства». С другой стороны, в книге много реальных, а не выдуманных примеров, что тоже поможет читателю в освоении материала, и покажет основные приемы, которыми действуют социальные хакеры. Прочитав эту книгу, читатели будут в немалой степени защищены от подобных манипуляций. И еще одно небольшое замечание. Во многих местах книга написана в стиле учебника по социальной инженерии. Таким образом, мы нередко писали так, как если бы обучали читателей методам социальной инженерии. Это не из-за того, что нам хотелось научить читателей методам мошенничества, а потому, что очень часто, для того чтобы распознать манипулятора, нужно знать, как он действует, вжиться в эту роль… Не для того, чтобы кого-то «охмурить», а только для того, чтобы суметь предвидеть опасность и предсказать дальнейшие действия.

Книга будет в одинаковой степени полезна представителям трех видов профессий: IT-специалистам, сотрудникам служб безопасности предприятий и психологам, изучающих социальную инженерию. В первую очередь, книга будет интересна IT-специалистам, причем самого широкого круга профессий: программистам, системным и сетевым администраторам, специалистам по компьютерной безопасности и т. д. Хотя бы потому, что за кражу ценной информации из «недр компьютера» спрашивают именно с IT-специалистов. И именно им в первую очередь приходится «расхлебывать» последствия такой кражи. Нередко на плечи IT-специалистов ложится и выяснение причин утечки информации. В силу этого многие зарубежные университеты уже вводят для специалистов по компьютерной безопасности курс лекций по основам социальной психологии. Книга будет интересна также и «рядовым» пользователям ПК, поскольку именно они наиболее часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

Психологам книга будет интересна по причине того, что в ней впервые изложены основные принципы социальной инженерии и показано, на каких психологических концепциях она базируется. Сотрудникам служб безопасности она полезна по причине того, что за несанкционированное проникновение на объект отвечают именно они, а такие проникновения очень часто строятся на использовании «человеческого фактора».

Читатели книги смогут задать любой вопрос, посвященный методам социального программирования, на специальном форуме на сайте авторов.

Благодарности

Авторы выражают признательность сотрудникам издательства «БХВ-Петербург», благодаря которым наша рукопись увидела свет.

Часть I

Что такое социальная инженерия и кто такие социальные хакеры

В первой части обсуждаются основные концепции социальной инженерии и социального хакерства. Первая глава, как обычно, – это введение в обсуждаемый вопрос, а во второй главе приведены различные примеры использования методов социальной инженерии.

Глава 1. Социальная инженерия – один из основных инструментов хакеров XXI века

Глава 2. Примеры взломов с помощью методов социальной инженерии

Глава 3. Примеры социального программирования

Глава 4. Построение социальных файрволов

Глава 5. Психологические аспекты подготовки социальных хакеров

Глава 1

Социальная инженерия – один из основных инструментов хакеров XXI века

…В начале февраля 2005 года многие специалисты по информационной безопасности нашей страны ждали выступления К. Митника, известного хакера, который должен был рассказать о том, какую опасность представляет собой социальная инженерия, и какими методами пользуются социальные инженеры (которых мы в дальнейшем будем называть социальными хакерами). Увы, ожидания не очень-то оправдались: Митник рассказал лишь об основных положениях социальной инженерии. И много говорил о том, что методы социальной инженерии используют преступники всего мира для получения самой различной засекреченной информации. По мнению многих участников встречи, слушать было интересно, т. к. человек действительно очень обаятельный, но никаких особых тайн раскрыто не было.

Примечание

Кевин Митник – известный хакер, которому противостояли лучшие эксперты по защите информации из ФБР, и осужденный в 90-х годах правосудием США за проникновение во многие правительственные и корпоративные секретные базы. По мнению многих экспертов, Митник не обладал ни значительной технической базой, ни большими познаниями в программировании. Зато он обладал искусством общения по телефону в целях получения нужной информации и того, что сейчас называют «социальной инженерией».

То же самое можно сказать и о его книгах – никаких особенных откровений там нет. Мы совершенно не исключаем, что Митник это все прекрасно знает, более того, мы даже в этом почти уверены, только, к сожалению, он ничего из того, что действительно знает, не рассказывает. Ни в своих выступлениях, ни в книгах.

Примечание

Что, наверное, в общем-то, и неудивительно, т. к. ФБР взялось тогда за него очень плотно, показав, кто в доме хозяин, и нервы ему подергали изрядно. Было и множество объяснений, и запрет на работу с ЭВМ в течение нескольких лет, и тюремное заключение. Не стоит удивляться тому, что после таких перипетий он стал весьма законопослушным человеком, и не будет не то какие-то секретные базы похищать, но даже и о не секретных вещах станет говорить с большой осторожностью.

В результате таких недоговорок социальная инженерия представляется этаким шаманством для избранных, что не так. Более того, есть еще один важный момент. Во многих описаниях атак пропускаются целые абзацы, если не страницы. Это мы вот к чему. Если взять конкретно схемы некоторых, наиболее интересных атак, и попытаться их воспроизвести согласно написанному, то, скорее всего, ничего не выйдет. Потому что многие схемы К. Митника напоминают примерно такой диалог.

– Вася, дай пароль, пожалуйста!

– Да на! Жалко мне, что ли для хорошего человека.

Разбор же этой «атаки» напоминает примерно следующее: «Вася дал социальному хакеру, потому что он с рождения не умел говорить «Нет!» незнакомым людям. Поэтому основной метод противодействия социальным инженерам – это научиться говорить «Нет»». …Может быть, эта рекомендация и подходит для Америки, но, боюсь, что не для России, где большинство скорее не умеют говорить «Да», а «Нет» у всех получается весьма неплохо. Действительно, есть тип людей, которые органически не могут отказать другому человеку, но, во-первых, таких людей немного, а всех остальных нужно к такому состоянию подводить. А о том, как подводить, не сказано ни слова.

Примечание

О психологической типологии и о том, как эти знания использовать в социальной инженерии, мы подробно поговорим в приложении 2.

Вот примерно это и имеется в виду, когда мы говорим, что у Митника нередко пропускаются целые абзацы. Можно допустить, что первая фраза могла иметь место в начале, а вторая – в конце разговора. Но между ними было еще очень многое и самое интересное. Потому что, чтобы все было так просто, нужно человека погрузить либо в глубокий гипноз, либо вколоть ему «сыворотку правды». Но даже если это так и было, то об этом тоже нужно писать.

В жизни же происходит, как правило, по-другому. И пароли говорят, и базы выносят, не потому что не просто «нет» ответить не могут, а потому что «нет» отвечать бывает, …очень не хочется. А для того, чтобы человеку, который владеет какой-то серьезной информацией, очень сложно было ответить «нет», нужно его подвести к такому состоянию. Проследив за ним, скажем, в течение недельки. Вдруг что интересное обнаружиться? Может он сам «засланный казачок» или по вечерам на конкурентов подрабатывает, а может дело то вообще серьезнее обстоит: по вечерам он подрабатывает не на конкурентов, а ходит в публичный дом …для людей с нетрадиционной сексуальной ориентацией, и, будучи для всех прочих примерным семьянином, очень не хочет, чтобы об этом кто-то узнал. Вот имея примерно такую информацию, к нему же можно смело подходить и говорить:

– Вася, а ну скажи-ка мне все пароли, которые знаешь. И доступ мне в свою сеть открой, чтобы я время попусту не терял.

И вот в этом случае уже очень многие Васи ответят:

– Да на, пожалуйста. И пароли дам и доступ открою. Жалко мне, что ли для хорошего человека…

На языке разведчиков это называется «вербовка». И если вдруг в вашей организации все куда-то исчезает, все пароли кому-то известны, подумайте о том, не сел ли кто «на хвост» кому-то из ваших сотрудников. Вычислить того, на кого сели, и тех, кто сел, обычно бывает не сложно. Умные сотрудники служб безопасности, кстати, прежде чем доверять людям ключевые посты, обычно очень сильно его проверяют на предмет, скажем так, слабых сторон кандидата на должность. И следят за ним, и тесты всякие умные устраивают, чтобы знать, что за человек работать пришел.

…Это вступление написано не для того, чтобы покритиковать К. Митника – каждого из нас есть за что покритиковать – а для того, чтобы показать, что в социальной инженерии не все так просто, как это иногда преподносится, и относиться к этому вопросу нужно серьезно и вдумчиво. Теперь, после этого вступления, как говорится, давайте начнем.

Компьютерная система, которую взламывает хакер, не существует сама по себе. Она всегда содержит в себе еще одну составляющую: человека. Образно выражаясь, компьютерную систему можно представить следующей простой схемой (рис. 1.1).

Рис. 1.1. Основные варианты взлома компьютерной системы (человек – с карикатуры Х. Бидструпа)

Задача хакера состоит в том, чтобы взломать компьютерную систему. Поскольку, как мы видим, у этой системы две составляющие, то и основных путей ее взлома соответственно два. Первый путь, когда «взламывается компьютер», мы назовем техническим. А социальной инженерией называется то, когда, взламывая компьютерную систему, вы идете по второму пути и атакуете человека, который работает с компьютером. Простой пример. Допустим, вам нужно украсть пароль. Вы можете взломать компьютер жертвы и узнать пароль. Это первый путь. А пойдя по второму пути, вы этот же самый пароль можете узнать, попросту спросив пароль у человека. Многие говорят, если правильно спросить.

По мнению многих специалистов, самую большую угрозу информационной безопасности, как крупных компаний, так и обычных пользователей, в следующие десятилетия будут представлять все более совершенствующиеся методы социальной инженерии, применяемые для взлома существующих средств защиты. Хотя бы потому, что применение социальной инженерии не требует значительных финансовых вложений и досконального знания компьютерных технологий. Так, к примеру, Рич Могулл, глава отдела информационной безопасности корпорации Gartner, говорит о том, что «социальная инженерия представляет из себя более серьезную угрозу, чем обычный взлом сетей. Исследования показывают, что людям присущи некоторые поведенческие наклонности, которые можно использовать для осторожного манипулирования. Многие из самых вредоносных взломов систем безопасности происходят и будут происходить благодаря социальной инженерии, а не электронному взлому. Следующее десятилетие социальная инженерия сама по себе будет представлять самую высокую угрозу информационной безопасности». Солидарен с ним и Роб Форсайт, управляющий директор одного из региональных подразделений антивирусной компании Sophos, который привел пример «о новом циничном виде мошенничества, направленного на безработных жителей Австралии. Потенциальная жертва получает по электронной почте письмо, якобы отправленное банком Credit Suisse, в котором говорится о свободной вакансии. Получателя просят зайти на сайт, представляющий собой почти точную копию настоящего корпоративного сайта Credit Suisse, но в поддельной версии представлена форма для заполнения заявления о приеме на работу. А за то, чтобы рассмотрели заявление, «банк» просил пусть символические, но деньги, которые требовалось перевести на такой-то счет. Когда же деньги перевели весьма много человек, сумма получилась уже не столь символическая. Фальшивый сайт сделан столь мастерски, что экспертам потребовалось время, чтобы убедиться, что это подделка. Стоит признать, что злоумышленники применили довольно хитрую комбинацию технологий. Их цель – самые нуждающиеся члены общества, т. е. те, кто ищет работу. Это как раз те люди, которые могут поддаться на такого рода провокацию», – говорится в словах Форсайта. Энрике Салем, вице-президента компании Symantec, вообще считает, что такие традиционные угрозы, как вирусы и спам, – это «проблемы вчерашнего дня», хотя компании обязательно должны защищаться и от них. Проблемой сегодняшнего дня Салем называет фишинг с использованием методов социальной инженерии.

Примечание

Подробно о фишинге – в главе 2.

Книги по социальной инженерии – Telegraph

Хорошая подборка книг по социальной инженерии, для тех кто давно собирался прочитать, но всё откладывал это дело в долгий ящик.

ПРИЗРАК В СЕТИ

Кевин Митник по праву считается самым неуловимым мастером компьютерного взлома в истории. Он проникал в сети и компьютеры крупнейших мировых компаний, и как бы оперативно ни спохватывались власти, Митник был быстрее, вихрем проносясь через телефонные коммутаторы, компьютерные системы и сотовые сети. Он долгие годы рыскал по киберпространству, всегда опережая преследователей не на шаг, а на три шага, и заслужил славу человека, которого невозможно остановить. Но для Митника хакерство не сводилось только к технологическим эпизодам, он плел хитроумные сети обмана, проявляя редкое коварство и выпытывая у ничего не подозревающего собеседника ценную информацию.

«Призрак в Сети» – захватывающая невыдуманная история интриг, саспенса и невероятных побегов. Это портрет провидца, обладающего такой изобретательностью, хваткой и настойчивостью, что властям пришлось полностью переосмыслить стратегию погони за ним. Отголоски этой эпической схватки чувствуются в сфере компьютерной безопасности и сегодня.

ePUB, FB2 — Скачать

ИСКУССТВО ОБМАНА

Книга The Art of Deception — «Искусство обмана» — доказывает, насколько мы все уязвимы. В современном мире, где безопасность подчас выходит на первый план, на защиту компьютерных сетей и информации тратятся огромные деньги. Деньги тратятся на технологии безопасности. Эта книга объясняет, как просто бывает перехитрить всех защитников и обойти технологическую оборону, как работают социоинженеры и как отразить нападение с их стороны Кевин Митник и его соавтор, Бил Саймон рассказывают множество историй, которые раскрывают секреты социальной инженерии. Авторы дают практические советы по защите от атак, по обеспечению корпоративной безопасности и снижению информационной угрозы «Искусство обмана» не только демонстрирует, насколько опасна и вредоносна социоинженерия, но поможет разработать собственную программу тренинга по безопасности для сотрудников компании.

ePUB, FB2 Скачать

ИСКУССТВО ВТОРЖЕНИЯ

Истории, рассказанные в этой книге, демонстрируют, как небезопасны все компьютерные системы, и как мы уязвимы перед подобными атаками. Урок этих историй заключается в том, что хакеры находят новые и новые уязвимости каждый день. Читая эту книгу, думайте не о том, как изучить конкретные уязвимости тех или иных устройств, а о том, как изменить ваш подход к проблеме безопасности и приобрести новый опыт.

Если вы профессионал в области информационных технологий или обеспечения безопасности, каждая из историй станет для вас своеобразным уроком того, как повысить уровень безопасности в вашей компании. Если же вы не имеете отношения к технике и просто любите детективы, истории о рисковых и мужественных парнях — вы найдете их на страницах этой книги.

FB2, ePUB Скачать

СОЦ. ИНЖЕНЕРИЯ И СОЦИАЛЬНЫЕ ХАКЕРЫ

Прием, когда хакер атакует не компьютер, а человека, работающего с компьютером, называется социальной инженерией. Социальные хакеры — это люди, которые знают, как можно «взломать человека», запрограммировав его на совершение нужных действий.

В книге описан арсенал основных средств современного социального хакера (трансактный анализ, нейролингвистическое программирование), рассмотрены и подробно разобраны многочисленные примеры социального программирования (науки, изучающей программирование поведения человека) и способы защиты от социального хакерства. Книга будет полезна IT-специалистам, сотрудникам служб безопасности предприятий, психологам, изучающим социальную инженерию и социальное программирование, а также пользователям ПК, поскольку именно они часто выбираются социальными хакерами в качестве наиболее удобных мишеней.

FB2, ePUB Скачать

Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности.

Социальная инженерия — методы, которыми хакеры пользуются, чтобы обмануть корпоративных пользователей и обойти самые мощные системы информационной безопасности. О ловушках, расставляемых доверчивым сотрудникам, — в статье по итогам выступления Кевина Митника на конференции «Информационная безопасность предприятия», прошедшей в Москве в 2005 году.

Кевин Митник — в прошлом хакер, взломавший информационные системы крупнейших компаний мира, а ныне консультант по информационной безопасности, учредитель компании Mitnick Security Consulting. Автор книг «Искусство обмана» и «Искусство вторжения».

Сегодня человеческий фактор в информационной безопасности играет гораздо более важную роль, чем 20 лет назад, когда Интернет не был коммерческим и его пользователями были лишь специалисты. Многие компании, которые думают, что проблему информационной безопасности можно решить просто с помощью аппаратных и программных средств, сильно заблуждаются. Технологии безопасности, которым мы привыкли доверять, — межсетевые экраны, устройства идентификации, средства шифрования, системы обнаружения сетевых атак и другие — малоэффективны в противостоянии хакерам, использующим методы социальной инженерии. Необходима мощная работа с персоналом, обучение сотрудников применению политики безопасности и техникам противостояния социоинженерам — только тогда ваша система безопасности будет комплексной.

Непрямая атака

Представьте ситуацию: крупный московский офисный центр. Вы входите в лифт и видите на полу компакт-диск с логотипом известной компании и наклейкой: «Строго конфиденциально. Заработная плата сотрудников за 2005 год». Самая естественная человеческая реакция — взять этот диск, отнести в свой офис и вставить в CD-ROM своего рабочего компьютера. Предположим, вы так и сделали. На диске — файл со знакомой иконкой MS Excel. Вы пытаетесь его открыть, но вместо столбиков цифр и фамилий видите лишь сообщение операционной системы: «ошибка, файл поврежден». В этот момент на ваш компьютер, помимо вашей воли и вашего ведома, загружается вредоносная программа. В лучшем случае это «троянец», отслеживающий, какие клавиши вы нажимаете и какие совершаете операции, и передающий эту информацию по мгновенно налаженному каналу связи на чужой компьютер. В худшем варианте — вирус, который в считанные мгновения разрушит вашу информационную систему и распространится по локальной сети, пожирая всю корпоративную информационную систему. Вы ведь подключены к локальной сети, правда?

Это типичный пример социальной инженерии — нарушения информационной безопасности компании с помощью воздействия на человека. Есть много способов манипулировать людьми, и любопытство — только один из мотивов, которые можно использовать.

Почему злоумышленники прибегают к социальной инженерии?

• Это проще, чем взломать техническую систему безопасности.
• Такие атаки не вычислить с помощью технических средств защиты информации.
• Это недорого.
• Риск — чисто номинальный.
• Работает для любой операционной системы.
• Эффективно практически на 100%.

База для социоинженера

Первый этап любой атаки — исследование. Используя официальную отчетность компании-жертвы, ее заявки на патенты, сообщения о ней в прессе, рекламные буклеты этой фирмы и, конечно же, корпоративный сайт, хакер пытается получить максимум информации об организации и ее сотрудниках. В ход идет даже содержимое мусорных корзин, если его удается раздобыть. Социоинженер выясняет, кто в компании имеет доступ к интересующим его материалам, кто в каком подразделении работает и где это подразделение расположено, какое программное обеспечение установлено на корпоративных компьютерах…

Словом, все, что только можно.

Хакер всегда стремится выдать себя за того, кто имеет право на доступ к интересующим его данным и кому эти данные действительно нужны по долгу службы. Для этого он должен свободно ориентироваться в терминологии, владеть профессиональным жаргоном, знать внутренние порядки компании-жертвы. Затем следует разработка плана атаки: предстоит изобрести предлог или схему обмана, которые помогут построить доверительные отношения с нужным сотрудником. Если атака прошла успешно и работник организации ничего не заподозрил, хакер, скорее всего, не ограничится одним вторжением, а вернется и будет дальше пользоваться возникшим доверием.

Ошибка резидента (пример из фильма «Дневной дозор»): главный герой (Антон Городецкий), успешно сымитировав личность представителя вражеского стана, пытается проникнуть в этот самый стан. Проходя мимо охранника, он небрежно бросает ему: «Привет, Витек!» — ориентируясь на бейдж с именем стража, приколотый к его пиджаку. Разоблачение следует немедленно: пиджак на охраннике — чужой.

Самые распространенные методы атак:

• Выяснение, передача или несанкционированная смена паролей
• Создание учетных записей (с правами пользователя или администратора)
• Запуск вредоносного программного обеспечения (например, «троянца»)
• Выяснение телефонных номеров или иных способов удаленного доступа к корпоративной информационной системе
• Фишинг (электронное мошенничество)
• Несанкционированное добавление дополнительных прав и возможностей зарегистрированным пользователям системы
• Передача или распространение конфиденциальной информации.

Прямая атака

В «доэлектронную эру» социальной инженерией пользовались злоумышленники, звонившие по телефону. Например, для того чтобы получить доступ к базе абонентов телефонной компании, достаточно было позвонить туда и представиться сотрудником сервисной службы, совершающим плановую проверку, или работником органов власти, уточняющим данные. Главное — выбрать нужный тон. Этот метод действует и сейчас, а современные средства телефонии только облегчают хакерам задачу. Так, с помощью специальной приставки к аппарату звонящий может изменить тембр голоса. А использование офисной мини-АТС помогает замести следы — усложнить определение номера, с которого звонят. Хакер набирает один из телефонов компании и спрашивает у сотрудника его логин и пароль, представляясь системным администратором. Если это крупная организация, где не все сотрудники знают друг друга, велика вероятность того, что пользователь сообщит социоинженеру интересующие его данные.

Невероятно, но факт: в ходе специального исследования 7 из 10 офисных сотрудниц лондонского вокзала Ватерлоо назвали свои логин и пароль незнакомцу в обмен на шоколадку!

С распространением компьютеров возможности социальной инженерии расширились. Теперь для атаки можно использовать электронную почту или ICQ. Иногда даже не нужно подделывать стиль того, от чьего имени пишешь, и сотрудник все равно ничего не заподозрит. Например, человеку приходит «письмо от начальства»: «Прошу направить мне копию базы данных по клиентам Северного Федерального округа в формате MS Excel в срок до 15.00 сегодня, 5 марта». Он, конечно же, направит — и прости-прощай секретные данные. Или «письмо от системного администратора»: «Уважаемые коллеги! В связи с обновлением версии системы совместной работы ваш логин и пароль изменен. Ваш новый логин и пароль — во вложенном файле». На самом же деле вложение содержит вирус, выводящий из строя операционную систему. Последнее — реальный пример из недавней практики московской компании «Òàóýð».

Бреши в информационной системе — сотрудники обычно:

• считают, что корпоративная система безопасности непогрешима, и теряют бдительность
• легко верят полученной информации, независимо от ее источника
• считают соблюдение корпоративной политики безопасности пустой тратой времени и сил
• недооценивают значимость информации, которой владеют
• искренне хотят помочь каждому, кто об этом просит
• не осознают пагубных последствий своих действий.

Ключик к каждому

В различных странах люди по-разному подвержены социоинженерному воздействию. Россияне — не самая доверчивая нация, а вот жители США и Японии очень внушаемы. В каждой стране есть свои культурные особенности, которые должен учитывать социоинженер. Например, на западе прекрасно работает «норма взаимности»: если человеку сделать что-то приятное, он будет чувствовать себя обязанным и при первой же возможности постарается отплатить добром. В Испании атака успешнее всего пройдет, если использовать личное доверие, завязать с жертвой приятельские отношения. А немец скорее поддастся на уловки хакера, если сыграть на его приверженности к корпоративному порядку.

Независимо от национальности, наиболее уязвимы для атак социоинженеров новые сотрудники. Как правило, им еще не успели рассказать о всех существующих корпоративных правилах, они не изучили регламентов информационной безопасности. Новички еще не знают всех своих коллег, особенно лично. К тому же, им свойственна повышенная доверчивость и готовность помочь, дабы зарекомендовать себя как активных и отзывчивых членов команды, на которых можно положиться. Они вряд ли будут интересоваться правами доступа социального инженера, который выдает себя за другого сотрудника, особенно вышестоящего.

Возможно, вас атакуют, если ваш собеседник:

• проявляет к вам повышенный интерес, преувеличенное внимание и заботу
• отказывается дать вам свои координаты
• обращается к вам со странной или необычной просьбой
• пытается втереться к вам в доверие или льстит вам
• говорит с вами подчеркнуто начальственным тоном.

Даже самые бдительные сотрудники не всегда могут распознать социальную инженерию. Да они и не должны действовать как детектор лжи. Ключевой фактор успеха — обучение. Политики безопасности должны войти в плоть и кровь каждого, кто работает в компании. И, разумеется, прежде чем втолковывать сотрудникам суть этих политик, нужно их разработать.

Книга «Социальная инженерия и социальные хакеры»

Максим Кузнецов, Игорь Симдянов Социальная инженерия и социальные хакеры

Введение

Для кого и о чем эта книга

Благодарности

Часть I. Что такое социальная инженерия и кто такие социальные хакеры

Глава 1. Социальная инженерия — один из основных инструментов хакеров XXI века

Основная схема воздействия в социальной инженерии

Основные отличия социальной инженерии от социального программирования

Глава 2. Примеры взломов с помощью методов социальной инженерии

Об истории социальной инженерии

Основные области применения социальной инженерии

Финансовые махинации

Информация о маркетинговых планах организации

Воровство клиентских баз данных

Фишинг

Фарминг

Рейдерские атаки

Глава 3. Примеры социального программирования

«Пожар» в кинотеатре

Как сделать «соляной кризис» методами социального программирования

Венки на трассе

Антиреклама перед аэропортом

Превращение толпы из агрессивной в оказионную

Музыкальный танк

Интернет-реклама оператора сотовой связи

«Убийство» форума

Распространение слухов

Цыганки с картами…

Психологические основы социального программирования

Глава 4. Построение социальных файрволов

Работники-хакеры

Построение социальных файрволов

Глава 5. Психологические аспекты подготовки социальных хакеров

Тренировка мышц лица

Переключение между психологическими типами

Тренировка эмоций

«Да» как «Нет» и «Нет» как «Да»

Искусство быть разным

Часть II. Психологический минимум социального программиста

Глава 6. Трансактный анализ, скриптовое программирование

Я-состояния

Трансактный анализ

Скрытые трансакции

Угловые трансакции

Что дает трансактный анализ социальному программисту

Скриптовое программирование или «Чужая колея»

Скрипты в человеческой судьбе

Параметры характера или формула удачи

Треугольник судьбы

Глава 7. Введение в НЛП

Мы снова говорим на разных языках

Подстройка и ведение

Влияние установок

Убеждение с игрой на некоторых слабостях

Эффект ореола или эффект обобщения

Глава 8. Введение в социальную психологию

Основные определения

Какие бывают группы

Групповые процессы

Как найти свое место в группе

Пространственные зоны общения

Виды толп и закономерности поведения людей в толпе

Циркулярная реакция

График Девиса

Виды толп

Основные свойства толпы

Психологические особенности поведения человека в толпе

Заключение или как стать социальным программистом

Приложения

Приложение 1. Искусство проведения переговоров

Встречают по одежке

Об внешнем имидже

Встреча начинается задолго до встречи

Не думайте плохо о заказчике

Заказчик дурак?

Почему они такие?

Рожденный ползать — уйди со взлетной полосы!

Невербальное общение

Что в имени тебе моем

Основной закон психологии общения

В любом из нас спит гений. И с каждым днем все крепче

Немного о виктимологии

Личная встреча — лишний шаг к успеху

Не возражайте в лоб

ЯЗВа

АнтиЯЗВа

Закон об объеме оперативной памяти

Закон края (закон Эббингауза)

Закон контрастов

Не уходите от скользких вопросов

Важность первого впечатления

Точность — вежливость королей

Давайте делать паузы в словах

Правила убеждения

Вместо резюме или минус эмоции

Приложение 2. Введение в типологию личности

Экстраверты и интроверты

Типология Кречмера

Зависит ли характер от строения тела или типология Шелдона

Типология Хорни

Ориентация на людей (уступчивый тип)

Ориентация от людей (обособленный тип)

Ориентация против людей (враждебный тип)

Типология Леви особо опасных преступников

«Подайте одобрения глоток» или немного о невротиках

Четыре типа темперамента

Типология Хейманса — Ле Сенна

Пограничная типология

Примечания

1

2

3

4

5

6

7

8

9

Социальная инженерия.

Наконец я сделаю нормальную статью

Предупреждение: Эта статья создавалась на основе 1й статьи на другом источнике, спасибо парню с никком Garcia Marqes.

Итааак, поехали.
Не знаю, на этой площадке создавались ли подобные темы, но этой дисциплине нельзя просто взять и выучиться и стать гуру. Этому нужно учиться постоянно. Обучение ВСЕГДА состоит из изучения теории, а также ПОСТОЯННОЙ практики.
Литературы по Социальной инженерии(СИ), как таковой мало. Нет таких учебников.Тем более, что этот термин нам интересен преимущественно со стороны информационной безопасности. А эта область сформировалась относительно не давно. И базируется она на знаниях прикладных социальных наук, по-просту, наук изучающие человеческое поведение. Но нам то нужно КОНКРЕТНОЕ руковдство! Так вот я вас расстрою: такого руководства нет! Но, тем не менее, вы все равно, при должном подходе и усидчивости, сможете достичь определенного уровня мастерства в СИ.
Как я уже писал выше, для этого нам необходима теория и практика! Я буду выкладывать здесь интересный (на мой взгляд) материал, изучая который (теория+практика), вы сможите повысить свой уровень СИ. Повторяю теоретические знания в любой облаласти бесполезны без практики.

Итак:

1. Тимур Гарин — «Речевые стратегии НЛП»
Есть много книг по данному направлению, но мне ближе этот автор из-за доверия к его личным разработкам и моделям в этой и смежных областях ( кстати бонусом будет то, что данный материал есть и в mp3, в виде семинара). Очень рекомендую!

2. Тимур Гарин и Светлана Бородина — «Разоблачение магии, или настольная книга шарлотана»
Книга настолько живая, что читается, исключительно с улыбкой на лице, особенно, когда вы будете вспоминать и/или замечать, описываемые в книге ситуации в вашей жизни.

3. Роберт Дильс — «Фокусы языка»
Немного сложное чтиво для новичка, но в перемешку с другим материалом, вполне читабельно. Книга по большей части основана на конспектах семинаров по изменению убеждений. Это, можно сказть, классика!

4. Анвар Бакиров — » Разговорный гипноз». Идеально подойдёт для начинающего коммуникатора. Проверено лично. Книга написана с юмором. Много примеров, даже в виде анекдотов! Рекомендую!

5. Андрей Курпатов — » Человек неразумный»
Дважды прочёл эту книгу. Книга о механизмах работы мозга. В основе книги лежат открытия известных российских учёных в области человеческого поведения. Это можно сказать основа основ.

6. Анвар Банкиров — » НЛП. Роли, которые играют люди»
Ещё одна книга данного автора. Она о людях, которые умеют вызывать доверие. Собственно этому мы и хотим научиться.

7. Максим Кузнецов и Игорь Симдянов — «Социальная инженерия и социальные хакеры»
Очень много статей и сайтов со ссылкой на эту книгу. Не смог пройти мимо!

8. Фрэнк Уильям Абигнейл — «Поймай меня, если сможешь»
Данная книга не нуждается в комментариях. Книга-биография, об искусных приемах высокопрофессионального мошенничества. Сей автор стоит в одном понтеоне с не менее известным классиком жанра Кевином Митником. (к нему мы ещё вернёмся). По этой книге Спилберг снял одноименный фильм с Лео ДиКаприо. Обязательно к прочтению!

8. Пол Экман — «Психология лжи»
Данная работа основана на исследованиях невербального поведения человека. В книге уделяется особое внимание распознаванию эмоциональных состояний человека. А как же без этого? Это один из ключей доступа к доверию человека.

9. Кевин Митник и Уильям Саймон — » Искусство обмана»
Собственно, эта и следующая книга не нуждается в комментариях. Не буду копировать текст из Википедии. Скажу, что повествуется в ней о уязвимости человека в современном мире. Особенно в мире с развитыми средствами коммуникаций.

10. Кевин Митник — «Призрак в сети. Мемуары величайшего хакера»
Книга-биография.

11. Роберт Чалдини — «Психология влияния»
Книга о влияние людей друг на друга. Интересная вещь! Базируется на социальной психологии.

12. Даниэл Канеман — «Думай медленно… Решай быстро»
Очень полезная книга для манипуляций на чувствах. Хотя написана она не для этого)))

13. Сергей Кара-Мурза — «Манипуляция сознанием»
В книге раскрываются механизмы социальной инженерии на примере истории российского государства. СИ существовала всегда, только название придумали не давно. В книге множество примеров контроля человеческого мышления на государственном уровне.

14. Оливия Фокс Кабейн — » Харизма. Как влиять, убеждать и вдохновлять»
Автор этой книги утверждает, что харизма — это поддающееся тренировке качество, а не дар. Полезная книга для власти над чужим мнением.

15. Сергей Павлович — » Как я украл миллион. Исповедь раскаявшегося кардера»
Книга состоит из 63 глав. Половина глав описывает беззаботные будни кардера: нарезаем пластик, потрошим банкоматы, дорогое бухло, шлюхи. Вторая половина: как грустно в СИЗО, как холодно на киче зимой, как хочется увидеть родных и подругу. Короче, чтоб думали, прежде чем пойти по этому пути!
..
16. Дэвид Майерс — » Социальная психология»
Читается на одном дыхании не смотря на то, что написано в научном стиле. Интересна буквально каждая страница. И на каждую страницу можно привести десятки примеров из своей или чужой жизни, из книг, из фильмов.

Далее ссылки:
Социальная инженерия на практике: «физический доступ» на закрытую конференцию Кевина Митника

Секретное оружие социальной инженерии

Книги Криса Касперски ( не путать с создателем известного софта)

Социальная инженерия: ликбез про метод атаки, который никогда не устаревает

Как аферистам удается нас обмануть — BBC Русская служба

Главная — ruonion.com Социальная инженерия и её основные методы.

Социальная инженерия и ловушки мышления: как взломать мозг

Социальная инженерия. Что? Как? Почему?

ФИЛЬМЫ

https://youtu.be/SgQ-5il2080

https://youtu.be/sJ8pqGPQb48

https://youtu.be/MItg26gh6fg

Пароль «Рыба-меч» — Трейлер

Фильм про хакеров — «Discovery Хакеры»

Anonymous Documentary — Имя нам легион. История хактивизма

Хакер (2016) Русский трейлер фильма (HD)

Мошенники. Документальный фильм. 1 канал

Величайший аферист Бернард Мейдофф

Золотой теленок 1 серия

Золотой теленок 2 серия

Цифровая эпидемия. Кибербезопасность | Основной элемент

Ещё есть такая техника, называется Шаблон Стагнера. – это метод создания быстрого Доверия. Профессиональный курс мгновенного» холодного» чтения людей.
Залит на торрентах. Не буду давать ссылку, т.к.в источниках не уверен!

Кевин Митник — Искусство обмана читать онлайн

Кевин Митник, Вильям Саймон

Искусство обмана

Неопубликованная глава

Перевод: Yarlan Zey ([email protected]pisem.net)

(Это оригинальная глава, значительно сокращенная в опубликованной версии книги.)

Я неохотно писал этот раздел, потому что я был уверен, что он будет звучать эгоистично. Ну, хорошо, он эгоистичен. Но со мной связывались буквально сотни людей, которые хотели знать «кто такой Кевин Митник?». Если вам безразлично, обратитесь к Главе 2. Для всех остальных, кого это ещё волнует, вот мой рассказ.

Рассказ Кевина

Некоторые хакеры стирают чужие файлы или целые жёсткие диски; их называют кракерами или вандалами. Некоторые из хакеров-новичков не заботятся об изучении технологии, они просто скачивают хакерский инструмент для взлома компьютерных систем; их называют script kiddies. Более опытные хакеры с навыками в программировании разрабатывают хакерские программы и рассылают их по сети и ББСкам. И ещё, есть индивидуумы, которые не интересуются технологией, они просто используют компьютер для захвата чужих денег, товаров или услуг. Не смотря на миф о Кевине Митнике, созданный медиа, я не злонамеренный хакер. То, что я делал, даже не было противозаконно, когда я это начал, но стало преступлением после принятия нового законодательства. Я всё равно продолжал это делать и был пойман. Моя тяжба с правительством была основана не на преступлениях, а на создании из моего случая прецедента. Я не заслужил, чтобы меня преследовали как террориста или опасного преступника: обыскивали мою квартиру с неподписанным ордером; сажали в одиночную камеру на целые месяцы; отказывали в фундаментальных конституционных правах, гарантированных любому преступнику; отказывали не только в залоге, но и в слушании залога; и годами бороться, чтобы получить правительственные улики, чтобы мои адвокаты смогли подготовиться к моей защите.

Что касается моего права на быстрое испытание? Каждые шесть месяцев втечение нескольких лет я стоял перед выбором: подписать бумагу об отказе от конституционного права на быстрое испытание или пройти через испытание с неподготовленным адвокатом; я выбирал первое. Но я отклоняюсь от своего рассказа. Возможно, мой жизненный путь сложился в ранней юности. Я был счастливым ребёнком, но маялся от скуки. После того как мой отец разбился, когда мне было 3, моя мать работала официанткой, чтобы нас прокормить. Она целыми днями работала по сумасшедшему графику и я почти всё время был предоставлен сам себе. Я сам был своей няней. Жизнь в долине Сан-Фернандо открыла мне возможность исследовать целый Лос-Анджелес, и к 12 годам я обнаружил, как можно бесплатно путешествовать по всей великой Л.А. долине. Однажды я обнаружил, что водители используют необычную модель дырокола, чтобы отмечать на билете день, время и маршрут. Отвечая на мои тщательно подготовленные вопросы, знакомый водитель рассказал мне, где можно купить такой дырокол. Обычно со своим билетом вы можете только пересесть на другой автобус и продолжить поездку в своём направлении, но я разработал способ как бесплатно путешествовать в любом направлении. Чистые билеты можно было найти в парке: мусорные корзины около автобусных терминалов всегда переполнены книгами с неиспользованными билетами, которые водители выбрасывали в конце маршрута. При помощи дырокола я мог наделать своих билетов и путешествовать в любую точку Л.А., куда ходили автобусы. Вскоре я помнил расписания автобусов всей системы. Это был пример моей удивительной способности запоминать некоторые виды информации, сейчас я помню телефонные номера, пароли и другие вещи такие же далёкие, как и моё детство. Также в ранние годы открылась моя способность магического воздействия на людей. Когда я обнаружил, как работает новая уловка, я начал её отрабатывать, пока не достиг мастерства. Я находил некоторое удовольствие в одурачивании людей. Мой переход от телефонного фрикинга к хакингу произошёл в старших классах, когда я столкнулся с так называемой социальной инженерией и встретил другого студента, также увлечённого фрикингом. Телефонный фрикинг – это разновидность хакинга, когда вы исследуете телефонные сети, эксплуатируя телефонные системы и служащих телефонных компаний. Он показал мне некоторые уловки, которые он мог делать с телефонами, вроде получения любой информации телефонной компании о её клиентах и использования секретных тестовых номеров, чтобы делать бесплатные звонки на дальние расстояния. Бесплатные только для нас – намного позднее я узнал, что это были вовсе не секретные номера: счета приходили какому-нибудь абоненту MCI. Это было моё знакомство с социальной инженерией – мой детский сад, так сказать. Он и другой телефонный фрикер, которого я встретил позднее, давали мне послушать свои звонки в телефонную компанию. Я узнал, как заставить себя звучать убедительно и узнал о различных офисах и процедурах телефонной компании. Но это «обучение» продолжалось недолго. Вскоре я всё это делал сам, делая даже лучше, чем мои первые учителя. Направление моей жизни на ближайшие 15 лет было определено.

Одной из моих любимейших шуток был захват неавторизованного доступа к телефонному коммутатору и подмена класса телефонной службы моего товарища по фрикингу. Когда он хотел позвонить из дома, то получал сообщение опустить гривенник, потому что коммутатор телефонной компании воспринимал его телефон как общественный телефон-автомат.

Я изучал всё, что касается телефонов – не только электронику, коммутаторы и компьютеры, но также организацию корпорации, процедуры и терминологию. Вскоре я, возможно, знал о телефонной системе больше, чем любой из служащих.

И я развил мои навыки в социальной инженерии настолько, что к 17 годам я мог говорить с большинством из служащих Telco почти о чём угодно, лично или по телефону. Моя хакерская карьера началась в старшей школе. Тогда мы использовали термин хакер к человеку, который потратил огромное количество времени, копаясь с софтом и железом, разрабатывал более эффективные программы или исключал всё ненужное, чтобы сделать работу быстрее. Сейчас термин стал ругательством, означая «опасный преступник». Здесь я использую термин хакер в том же смысле, в каком он всегда использовался раньше, в более мягком смысле. В конце 1979 группа хакеров из Los Angeles Unified School District предложила мне взломать The Ark, компьютерную систему Digital Equipment Corporation, использовавшуюся для разработки софта для их операционной системы RSTS/E. Я хотел быть принятым в эту хакерскую группу, чтобы я мог узнать у них больше об операционных системах. Эти новые «друзья» знали номер диал-апа компьютерной системы DEC. Но они не могли войти без имени аккаунта и пароля. Когда вы кого-то недооцениваете, он может вернуться и ударить с фланга. В данном случае это был я, сумевший взломать систему DEC в столь юном возрасте. Представившись Антоном Черновым (Anton Chernoff), одним из ведущих разработчиков проекта, я просто позвонил системному администратору. Я заявил, что не могу войти в один из «моих» аккаунтов, и убедил этого парня достаточно, чтобы он предоставил мне доступ и позволил мне выбрать пароль по своему усмотрению. В защите экстра класса любой пользователь, соединяющийся с системой, должен был ввести диал-ап пароль. Системный администратор дал мне его. Это был пароль «buffoon» (клоун), которым, я думаю, он себя почувствовал, когда стало понятно что произошло. Менее чем за 10 минут я получил доступ к RSTE/E системе DEC. И я вошёл не как обычный пользователь, у меня были все привилегии системного разработчика. Поначалу мои новые так называемые друзья не поверили, что я получил доступ к The Ark. Один из них отпихнул меня от клавиатуры с лицом, выражающим недоверие. Его рот открылся, когда он увидел, что я в привилегированном аккаунте. Позднее я обнаружил, что они начали копирование исходного кода компонентов к операционной системе DEC. Теперь была моя очередь удивляться. Когда они скопировали софт, они позвонили в отдел безопасности корпорации DEC и сказали, что кое-кто взломал корпоративную сеть компании. И выдали моё имя. Мои так называемые друзья сначала использовали мой доступ к исходному коду высокой секретности, а затем меня подставили.

Читать дальше

Лучшие книги по социальной инженерии (2021 г.): PersuasionExperts

Часто задаваемый вопрос на Reddit: «Какие книги по социальной инженерии самые лучшие?»

Здесь я пытаюсь ответить на этот вопрос.

Я внесу ваши предложения в список и обновлю его, когда выйдет новая книга.

Книги выбираются на основании трех строгих правил:

Наука о взломе человека Кристофера Хаднаги

Хаднаги имеет более чем 16-летний опыт работы в области безопасности.

Он — консультант по безопасности, автор 4 книг по социальной инженерии и создатель Social Engineering Village (SEVillage) в DEF CON и DerbyCon.

Вот что вы узнаете из этой книги:

• Инструменты для сбора информации о вашей цели

• Как быстро создать психологический профиль на основе их стилей общения

• Советы, уловки, опыт по предварительному тексту

• Как установить взаимопонимание

• Тактика влияния

• Используйте язык тела, чтобы заставить их чувствовать то, что вы хотите,

• Как применять принципы

• 4 шага для смягчения и предотвращения план

OSINT: Ресурсы для поиска и анализа онлайн-информации (7-е издание) Майкл Баззель

Майкл более 20 лет проработал в правительстве следователем по компьютерным преступлениям.

В течение большей части этого времени он работал в Целевой группе ФБР по киберпреступлениям, где занимался различными онлайн-расследованиями и сбором разведданных.

После ухода с государственной службы он работал техническим советником в первом сезоне сериала «Мистер. Робот ».

В этом выпуске вы узнаете о новейших инструментах и ​​методах сбора информации о любом человеке.

The Hacker Playbook 3 Питер Ким

Питер имеет более чем 12-летний опыт тестирования на проникновение / красной команды для крупных финансовых учреждений, крупных коммунальных предприятий, компаний индустрии развлечений из списка Fortune 500 и государственных организаций.

THP3 охватывает каждый этап теста на проникновение. И это поможет вам вывести свои атакующие хакерские навыки на новый уровень.

Расширенное тестирование на проникновение: Взлом самых безопасных сетей в мире, Уил Аллсопп

Уил более 20 лет опыта во всех аспектах тестирования на проникновение.

Он участвовал в проектах и ​​обучал специалистов на четырех континентах.

В этой книге хакинг выходит далеко за рамки Kali Linux и Metasploit, чтобы обеспечить более сложное моделирование атак.

Он объединяет методы социальной инженерии, программирования и эксплойтов уязвимостей в междисциплинарный подход для нацеливания и взлома сред с высоким уровнем безопасности.

Руководство по эллипсису Чейза Хьюза

Он дает практические методы понимания человеческого поведения и влияния на него.

Чему вы собираетесь учиться?

• Как анализировать человеческое поведение

• Распознавать и использовать человеческие потребности

• Как работает мозг и его лазейки

Кодекс доверия Робина Дрика

Робин Дрик работал как агент контрразведки ФБР около 20 лет.

Его работа заключалась в установлении взаимопонимания со шпионами, вербовщиками или людьми, связанными с ними, чтобы он мог получать информацию.

Кодекс доверия основан на системе, которую Дрик разработал, протестировал и внедрил в течение многих лет полевых исследований на самых высоких уровнях национальной безопасности.

Миф о харизме Оливии Ф. Кабан

Это одна из лучших книг о харизме.

Он полон практических советов, действий и примеров, которые помогут вам развить харизматическую личность.

Вот что вы собираетесь изучить:

• Три основных элемента харизмы: Присутствие, Сила, Теплота

• Как справляться с дискомфортом

• Создавать харизматические состояния

• Как выбрать правильный стиль харизмы

• Как произвести хорошее первое впечатление

• Язык тела

• Работа с трудными людьми

• Как провести отличную презентацию

• Стать харизматическим лидером во времена кризис

Скрытое убеждение Кевин Хоган

Кевин — международный оратор, консультант и корпоративный тренер.

Он является автором 24 книг по продажам и убеждению.

Covert Persuasion содержит множество методов убеждения, фраз НЛП, примеров, исследований …

Вы найдете практическую информацию, чтобы влиять на людей.

The Confidence Gap by Russ Harris

Это исчерпывающее и полное руководство по укреплению доверия.

Он показывает вам первопричину того, почему людям не хватает уверенности, и дает вам инструменты для достижения вашей цели.

Honorable Mentions:

Взлом без технологий, Джонни Лонг, (ныряние в мусорном контейнере, выход на заднюю дверь, серфинг на плечах …)

Что все говорят, Джо Наварро (Язык тела)

Влияние Роберт Чалдини (Принципы убеждения)

«Это не все обо мне», Робин Дрик, (Методы построения раппорта)

Крис Восс «Никогда не разделяй различия» (Переговоры)

Игры, в которые играют люди, Эрик Берн (Как люди взаимодействуют друг с другом)

«48 законов власти» Роберта Грина

Роберта Грина «Законы человеческой природы»

Отказ от ответственности: если вы покупаете по ссылкам Amazon, я получаю небольшую комиссию.Это помогает мне писать больше.

Я не продвигаю книги, которые я не читал и которые считаю полезными.

Список книг SEORG — Безопасность через образование

Добро пожаловать в список книг SEORG! Этот список пополняется рефералами из нашего ежемесячного подкаста. Узнайте, что читают ведущие эксперты в области безопасности и психологии. Сделайте покупку на Amazon, щелкнув изображение.

из SEPodcast 137 — Human Hacking with Chris Hadnagy

Крис рекомендует:

Без совести: тревожные миры психопатов среди нас Роберт Д.Заяц

Антихрупкость: вещи, получаемые от беспорядка Нассим Николас Талеб.

Словарь языка тела: Полевое руководство по человеческому поведению Джо Наварро.

Указано в алфавитном порядке по авторам. Просмотрите наш список — с более чем 100 названиями, вы обязательно найдете хорошее чтение! Сделайте покупку на Amazon, щелкнув изображение.

Abagnale, Франк

Искусство воровства Фрэнка Абнагла

Аллесандра, Тони / О’Коннор, Майкл Дж.

Платина Правило Тони Аллесандры и Майкла Дж. О’Коннера. Ссылается Робином Дриком во время SEPodcast Episode 16

Александр, Эбен

Доказательство небес Эбен Александр. Ссылается Робином Дриком во время SEPodcast Episode 99

Жизнь в осознанной Вселенной Эбен Александер. Ссылается на Робина Дрика во время SEPodcast Episode 99

Allsopp, Wil

Несанкционированный доступ Wil Assop

Андерсон, Дарран

Воображаемые города Даррана Андерсона.Ссылается на Нил Фэллон во время SEPodcast Episode 77

Ариэли, Дан

Верх иррациональности Дэн Ариэли. Послушайте информативную дискуссию с известным автором и спикером Дэном Ариэли во время SEPodcast Episode 23

, на которую ссылается Лили во время эпизода 48 подкаста SE

Предсказуемо иррационально Дэн Эйрели. Послушайте информативную дискуссию с известным автором и спикером Дэном Ариели во время SEPodcast Episode 23

Аристотель

Риторика Аристотеля.Ссылается доктором Чалдини во время SEPodcast Episode 86

Армстронг, Дж. Скотт

Убедительная реклама Скотт Дж. Армстронг. Ссылается доктором Чалдини во время эпизода 86 SEPodcast

.

Auster, Paul

Нью-Йоркская трилогия Пола Остера. Ссылается на Нил Фэллон во время SEPodcast Episode 49

Бах, Ричард

Иллюзии Ричарда Баха.Упомянутый Дов Барон во время эпизода 104 SEPodcast

Бах, Давид

Smart Women Finish Rich Дэвида Баха. Упомянутый Уитни Максвелл во время SEPodcast Episode 110

Баркер, Эрик

Лай не на то дерево Эрик Баркер. Ссылается на Робина Дрика во время SEPodcast Episode 99

Барон, Дов

Неистово преданный Дов Барон.Упомянутый Дов Барон во время эпизода 104 SEPodcast

Баззелл, Майкл

Методы разведки с открытым исходным кодом Майкла Баззелла. Ссылается на Ник Фурно во время SEPodcast Episode 39

, по рекомендации Майкла Баззелла во время SEPodcast Episode 59

, по рекомендации Майкла Баззелла во время подкаста 103 серии SEPodcast

Скрытие от Интернета Майкл Баззелл.Наслаждайтесь анимационным интервью с автором во время SEPodcast Episode 82

Персональная цифровая безопасность . Наслаждайтесь анимацией автора во время SEPodcast Episode 82

Баззелл, Майкл / Мак, Янтарь

Перехитри детей в Интернете Майкла Баззелла и Эмбер Мак. Наслаждайтесь анимационным интервью с автором во время SEPodcast Episode 82

Баззелл, Майкл / Кэрролл, Джастин

Полный справочник службы безопасности и конфиденциальности .Наслаждайтесь информативным и живым интервью с авторами Майклом Баззеллом и Джастином Кэрроллом во время SEPodcast Episode 82

Брэдбери, Трэвис / Гривз, Жан

«Эмоциональный интеллект 2.0» Трэвис Брэдбери и Джин Гривз. Ссылается Стефани Пол во время SEPodcast 119

Бернейс, Эдвард Л. / Катлер, Ховард Уолден

Разработка согласия Эдвард Л.Бернейс и Говард Уолден Катлер. Упомянутый Аароном Делвишем во время SEPodcast Episode 22

Боуден, Марк

Правда и ложь: что люди на самом деле думают Марк Боуден и Трейси Томсон. Послушайте увлекательную дискуссию с Марком Боуденом во время SEPodcast 129.

Ссылка Стефани Пол во время SEPodcast 132.

Breathed, Беркли

Тома округа Блум 1-3 Беркли Бретед.Ссылается на Джейсон Стрит во время SEPodcast 93

Браун, Алан С.

Психология Симпсонов: Ой! Алан С. Браун. Ссылается доктором Трэвисом Лэнгли в SEPodcast Episode 76

Браун, Дэниел Джеймс

Мальчики в лодке Дэниела Джеймса Брауна. Ссылается Эми Херман во время SEPodcast Episode 106

Бриньольфссон, Эрик

Вторая эпоха машин Эрик Бриньольфссон.Упомянутый Кевином Рузом во время SEPodcast Episode 80

Бург, Боб

The Go-Giver Боба Бурга. Направлено д-ром Джессикой Баркер во время SEPodcast Episode 118

Cabane, Оливия Фокс

Миф о харизме Оливии Фокс Кабан. Упомянутый Джорданом Харбингером во время эпизода 94 SEPodcast

Каин, Сьюзан

Тихо: сила интровертов в мире, который не может перестать говорить Сьюзан Кейн ., на которую ссылается Аманда во время SEPodcast Episode 90

Карнеги, Дейл

Как заводить друзей и оказывать влияние на людей Дейл Карнеги. Ссылается Робином Дриком во время SEPodcast Episode 16

Упомянутый Пол Асадурян во время SEPodcast Episode 88

Упомянутый Джорданом Харбингером во время эпизода 94 SEPodcast

Упомянутый Ианом Роулендом во время эпизода 109 SEPodcast

Карпентер, Перри

Трансформационная осведомленность о безопасности Перри Карпентер.Ссылается на Перри Карпентер во время SEPodcast Episode 120

Карсон, Дейл К.

Доказательство ареста Дейл К. Карсон. Послушайте поучительную беседу с бывшим агентом ФБР, автором и адвокатом Дейлом Карсоном во время эпизода SEPodcast 11

.

Чайлд, Ли

Полуночная линия Ли Чайлд. Упомянутый Уитни Максвелл во время SEPodcast Episode 110

Кристакис, Николас

Подключено Николасом Христакисом.На что ссылается Йорина фон Циммерман во время подкаста 62 серии

.

Чалдини, Роберт

Влияние Роберта Чалдини. Ссылается доктором Эллен Лангер во время SEPodcast Episode 07

Упомянутый Брайаном Бушвудом во время SEPodcast Episode 75

Наслаждайтесь проницательным и проницательным интервью с Робертом Чалдини, почетным профессором психологии и маркетинга Университета штата Аризона, во время SEPodcast Episode 86

по рекомендации Рэйчел Тобак во время эпизода 110 SEPodcast

Pre-Suasion Роберт Чалдини.Наслаждайтесь проницательным и проницательным интервью с Робертом Чалдини, почетным профессором психологии и маркетинга Университета штата Аризона, во время SEPodcast Episode 86

Коэльо, Пауло

Алхимик Пауло Коэльо. Ссылается на Уитни Роулетт во время SEPodcast Episode 91

Койл, Дэниел

Код таланта Дэниела Койла. Ссылается Крисом Воссом во время SEPodcast Episode 117

Культурный код Дэниела Койла.Ссылается Крисом Воссом во время SEPodcast Episode 117

Crossley-Holland, Кевин

На перекрестке Кевина Кроссли-Холланда. Ссылается Амайей во время SEPodcast Episode 90

Кадди, Эми

Присутствие Эми Кадди. Наслаждайтесь поучительным интервью с автором во время SEPodcast Episode 79

.

, по рекомендации Кристофера Хаднаги во время эпизодов 88 и

SEPodcast

SE Подкаст 90 серия

Дэвис, Барри

The Spycraft Руководство Барри Дэвиса

Декер, Кевин С.

Звездные войны и философия Кевина С. Декера. Ссылается доктором Трэвисом Лэнгли в SEPodcast Episode 76

Delwiche, Аарон / Хендерсон, Дженнифер Джейкобс

Справочник по культурам участия Делвиш и Хендерсон. Упомянутый Аароном Делвишем во время SEPodcast Episode 22

Дикс, Мэтью

Something Missing Мэтью Дикс.Упомянутый Колином в SEPodcast Episode 90

Дрик, Робин

Это не все обо мне Робин Дрик. Ссылается на Джен Фокс в SEPodcast Episode 73

по рекомендации Криса Кирша, победителя SECTF 2017 года в эпизоде ​​98 SEPodcast

Определение размеров людей Up by Robin Dreeke. Ссылается Робином Дриком во время SEPodcast Episode 120

Кодекс доверия Робин Дрик.Ссылается на Робина Дрика в эпизоде ​​99 SEPodcast и эпизоде ​​120 SEPodcast

Дуайер, Кристофер П.

Критическое мышление Кристофера П. Дуайера. Послушайте информационное обсуждение с автором во время SEPodcast Episode 124.

Экман, Пол, Ph.D.

Почему дети лгут доктора Пола Экмана. Ссылается доктором Полом Келли во время SEPodcast Episode 55

Эмоции, раскрытые доктором.Пол Экман. Ссылается доктором Полом Келли во время SEPodcast Episode 55

Ложь доктора Пола Экмана. Ссылается Стивом во время SEPodcast Episode 63

Экман, Пол / Фризен, Уоллес В.

Разоблачение лица доктора Пола Экмана и Уоллеса В. Фризена. Ссылается доктором Полом Келли во время SEPodcast Episode 55

Эллул, Жак

Пропаганда Жака Эллюла.Упомянутый Аароном Делвишем во время SEPodcast Episode 22

Эльнури, Укротитель

Американский радикал от Тамера Эльнури. Ссылается на JJ Green во время SEPodcast Episode 102

Evans, Vyv

Код эмодзи: лингвистика за смайликами и напуганными кошками. Послушайте увлекательную дискуссию с доктором Эвансом во время SEPodcast 131, где он обсуждает широко распространенное использование эмодзи и то, как это может помочь заполнить пробел между текстом и личным общением.

Faircloth, Джереми / Бил, Джей / Темминг, Рулоф / Меер, Харун / Ван дер Уолт, Чарл / Мур, HD

Набор инструментов с открытым исходным кодом The Penetration Tester от Faircloth, Beale, Temmingh, Meer, Van der Walt и Moore

Фей, Тина

Bossy Pants от Тины Фей. Ссылается на Рэйчел Тобак во время эпизода 110 SEPodcast

.

Ффорде, Джаспер

Оттенки серого Джаспера Ффорде.Ссылается Брэдом Сагарином во время SEPodcast 89

Фитцхаррис, Линдси

Искусство разделки Линдси Фицхаррис. Упомянутый Лаки Йейтс во время подкаста SEPodcast Episode 100

Фукуяма, Фрэнсис

Идентификационный номер Фрэнсиса Фукуямы. Ссылается на Клинта Уоттса в SEPodcast Episode 113

Gambetta, Диего

Коды подземного мира Диего Гамбетта.Ссылается доктором Сассе в SEPodcast Episode 85

Гаванде, Атул

Контрольный список Манифест Атула Гаванде. Ссылается Эми Херман во время SEPodcast Episode 83

Гермер, Кристофер К.

Осознанный путь к самосостраданию Кристофера К. Гермера. Упомянутый Греггом Энрикесом в SEPodcast Episode 116

Джебран, Халил

Пророк Халила Джебрана.Ссылается на Мишель Финчер во время SEPodcast Episode 88

Упомянутый Дов Барон во время эпизода 104 SEPodcast

Гладуэлл, Малкольм

Blink Малькольма Гладуэлла. Упомянутый Брэдом Смитом во время SEPodcast Episode 4

По рекомендации доктора Пола Келли во время SEPodcast Episode 55

Гоулман, Даниэль

«Эмоциональный интеллект» Дэниела Гоулмана.Ссылается доктором Полом Келли во время SEPodcast Episode 55

По рекомендации Криса Хэднаги во время SEPodcast Episode 88

Грей, Джон доктор философии

Мужчины с Марса Женщины с Венеры , доктор философии Джона Грея. На это ссылается Ченни Симмс во время SEPodcast 131.

Гринвуд, Элизабет

Игра в мертвых Элизабет Гринвуд. Упомянутый Майклом Баззеллом во время подкаста SEPodcast Episode 92

Гатри, Джулиан

Как сделать космический корабль Джулиана Гатри.Ссылается на Уитни Меррилл во время эпизода 114 SEPodcast

Гроссман, Дэйв

На убийстве Дэйв Гроссман. Упомянутый Джимми До во время SEPodcast Episode 69

Ha, Кристина

Рецепты моей домашней кухни Кристин Ха. Наслаждайтесь вдохновляющим и живым интервью с автором во время SEPodcast Episode 41

Хаднаги, Кристофер

Разоблачение социального инженера Кристофера Хаднаги.Победитель конкурса «Выбор народа кибербезопасности» 2018 года!

По рекомендации доктора Пола Келли во время SEPodcast Episode 55.

, на которую ссылается Стефани во время эпизода 63 SEPodcast

Упомянутый Робин Дрик во время SEPodcast Episode 78

Социальная инженерия: наука о взломе человека Кристофера Хаднаги. Упомянутый Робин Дрик во время SEPodcast Episode 78

Хаднаги, Кристофер / Финчер, Мишель

Темная вода для фишинга от Hadnagy and Fincher. Упомянутый Робин Дрик во время SEPodcast Episode 78

, по рекомендации Майка во время SEPodcast Episode 90

Халперн, Дайан Ф.

Мысль и знания Дайан Ф. Халперн. Упомянутый доктором Кристофером П. Дуайером во время эпизода 124 SEPodcast.

Harari, Yuval Noah

Sapiens Юваль Ноа Харари. Ссылается на Клинта Уоттса в SEPodcast Episode 113

Упомянутый Джонатаном Миллером во время подкаста SEPodcast Episode 133

Харвуд, К.CHase

«Неожиданного происхождения» К. Чейза Харвуда. Ссылается Лори во время SEPodcast Episode 90

Хэй, Генри

Learn Magic Генри Хэем. Ссылается на Мак Кинг во время SEPodcast Episode 47

Hof, Wim

The Wim Hof ​​ Method by Wim Hof. На это ссылается Усама (Сэм) Квараши во время 136-й серии SEPodcast.

Хоган, Кевин / Спикман, Джеймс

Тайное убеждение Хогана и Спикмана

Психология убеждения Кевин Хоган.

Холидей, Райан

Поверь мне, я лгу Райан Холидей. Слушайте живое интервью с автором во время SEPodcast Episode 37

Хьюз, Чейз

Руководство по многоточию Чейза Хьюза.Наслаждайтесь информационным обсуждением с автором во время SEPodcast 115

Упомянутый Марком Боуденом во время эпизода 129 SEPodcast.

Упомянутый Стефани Пол во время SEPodcast Episode 132.

Ирвин, Уильям Б.

Путеводитель по хорошей жизни Уильям Б. Ирвин. Направлено д-ром Джессикой Баркер во время SEPodcast Episode 118

Ясанов, Алан

Биологический разум Алан Джасанов.Ссылается на Клинта Уоттса в SEPodcast Episode 113

Дженсен, Билл / Кляйн, Джош

Работа с взломом Дженсена и Кляйна. Упомянутый Джошем Кляйном во время SEPodcast Episode 33

Канеман, Даниэль

Thinking Fast and Slow by Daniel Kahneman. Ссылается Лили во время SEPodcast Episode 48

По рекомендации доктора Кристофера П.Двайер во время эпизода 124 SEPodcast

Кацнельсон, Ира

Когда позитивные действия были успешными Ира Кацнельсон. Упомянутый Паоло Гаудиано во время SEPodcast Episode 107

Келли, Скотт

Endurance Скотт Келли. Ссылается на Ник Фурно во время SEPodcast Episode 111

Ким, Джин / Бер, Кевин

Проект Феникс Ким и Бер.Ссылается Дэном во время SEPodcast Episode 90

Кляйн, Джош

Roo’d Джоша Кляйна. Упомянутый Джошем Кляйном во время SEPodcast Episode 33

Конникова Мария

Игра на уверенность Марии Конниковой. Упомянутый Джастином Кэрроллом во время SEPodcast Episode 82

Котлер, Стивен

Восстание Супермена Стивена Котлера.Ссылается Крисом Воссом во время SEPodcast Episode 117

Кребс, Брайан

Нация спама Брайана Кребса. Наслаждайтесь наводящим на размышления интервью с журналистом и репортером Брайаном Кребсом во время SEPodcast Episode 61

Курланский, Марка

Соль Марка Курланского. Упомянутый Майклом Баззеллом во время подкаста SEPodcast Episode 103

Квик, Джим

Безграничный: улучшите свой мозг, узнайте что-нибудь быстрее и разблокируйте свою исключительную жизнь Джим Квик.Ссылается Стефани Пол во время SEPodcast Episode 132.

Лама, Далай / Экман, Пол, доктор философии

Эмоциональная осведомленность Далай-лама и Экман. Упомянутый д-ром Полом Экманом во время SEPodcast Episode 32

Эллен Лангер, доктор философии

Внимательность доктора Эллен Лангер. Ссылается доктором Лангером во время SEPodcast Episode 70

Как стать художником Автор: Dr.Эллен Лангер. Ссылается д-ром Лангером во время SEPodcast Episode 07

По рекомендации доктора Лангера во время SEPodcast Episode 70

Против часовой стрелки доктора Эллен Лангер. Ссылается доктором Лангером во время SEPodcast Episode 07

, на которую ссылается доктор Лангер во время SEPodcast Episode 70

Сила внимательного обучения доктор Эллен Лангер. Ссылается доктором Лангером во время SEPodcast Episode 07

Психология контроля Др.Эллен Лангер

Льюис, CS

Хронсилы Нарнии К.С. Льюиса. Ссылается Брайаном во время SEPodcast Episode 90

Льюис, Майкл

Пятый риск Майкл Льюис. Ссылается на Клинта Уоттса в SEPodcast Episode 113

Либерман, Дэвид Дж., Доктор философии

Заставьте кого угодно делать что угодно by Dr.Дэвид Либерман

Лонг, Джонни

Google Hacking от Johnny Long + еще 3

No Tech Hacking от Johnny Long + еще 3

InfoSec Career Hacking Джонни Лонг + еще 5

Asterisk Hacking от Johnny Long + еще 3

Google Talking от Johnny Long + еще 2

Руководство Techno Security по управлению рисками Джонни Лонг + еще 2

OS X для хакеров в глубине души от Johnny Long + еще 4.Наслаждайтесь содержательной беседой с экспертом по компьютерной безопасности, автором и оратором Джонни Лонгом во время SEPodcast Episode 60

.

LuPone, Патти

Патти Лупоне: воспоминания Патти Лупоне. Ссылается Эмили Брэндвин во время SEPodcast Episode 95

Махолтра, Дипак / Базерман, Макс

Negotiation Genius от Maholtra и Bazerman. Ссылается на Дженни Рэдклифф во время SEPodcast Episode 45

Мандер, Джерри

Четыре аргумента в пользу ликвидации телевидения Джерри Мандер.Упомянутый доктором Брэдом Сагарином во время SEPodcast Episode 89

В отсутствии священного Джерри Мандера. Упомянутый доктором Брэдом Сагарином во время SEPodcast Episode 89

Маршалл, Тим

Узники географии Тим Маршалл . На это ссылается Лиза Форте в SEPodcast Episode 135.

Мартин, Джудит / Камен, Глория

Мисс Маннерс Мартин и Камен

Maurer, David W / Sante, Luc

The Big Con от Маурера и Люка

Макафи, Джон

Путеводитель McAfee по Центральной Америке.Упомянутый Джоном Макафи во время SEPodcast Episode 64

Маккарти, Мормак

Дитя Бога Мормак Маккарти. Ссылается на Нил Фэллон во время SEPodcast Episode 77

Маккалок, Гретхен

Потому что Интернет: понимание новых правил языка Гретхен Маккалок. Упоминается доктором Вивом Эвансом во время 130-го эпизода SEPodcast.

МакГонигал, Келли

Инстинкт силы воли Келли МакГонигал.Ссылается доктором Майклом Инзлихтом во время SEPodcast Episode 58

McDermid, Val

Криминалистика Вэл Макдермид. Ссылается Эми Херман во время SEPodcast Episode 83

Миллан, Цезарь

Be the Pack Leader Сезар Миллан. Ссылается на Чейза Хьюза в SEPodcast Episode 115

Митник, Кевин D

Призрак в проводах Кевина Митника.Послушайте необработанное, не прошедшее цензуру, неразрезанное интервью с консультантом по безопасности, автором и хакером Кевином Д. Митником во время SEPodcast Episode 26

, по рекомендации доктора Брэда Сагарина во время 89-й серии SEPodcast

По рекомендации Рэйчел Тобак, победительницы SECTF 2017 года, во время эпизода 98 SEPodcast

, по рекомендации Эрика Тейлора во время 101 серии SEPodcast

Митник, Кевин Д. / Саймон, Уильям Л.

Искусство обмана Митник и Саймон.Упомянутый Кевином Митником во время эпизода 26 SEPodcast

По рекомендации Рэйчел Тобак, победительницы SECTF 2017 года, во время эпизода 98 SEPodcast

Мнукин, Роберт

Торговля с дьяволом Роберт Мнукин

Моррис, Десмонд

Люди смотрят Десмонд Моррис. Ссылается на Анн-Мартье Уд во время эпизода 122 SEPodcast

Мосс, Джефф / FX / Крейг, Пол / Гранд, Джо / Маллен, Тим / Федор / Рассел, Райан / Бил, Джей

Похищение сети: как владеть континентом Джефф Мосс + еще 7.Наслаждайтесь информативным обсуждением с автором Джеффом Моссом, основателем Black Hat и DEFCON, во время SEPodcast Episode 18

Мосс, Джефф / FX / Гранд, Джо / Маллен, Тим / Дубровски, Идо / Рассел, Райан

Кража сети: как стать владельцем коробки Джеффа Мосса + еще 5. Наслаждайтесь информативным обсуждением с автором Джеффом Моссом, основателем Black Hat и DEFCON, во время SEPodcast Episode 18

Myers, Lawrence W

Spycomm Лоуренс В.Майерс

Нафиси, Азар

Чтение Лолиты в Тегеране Азар Нафиси. Ссылается Садией Афроз во время SEPodcast Episode 68

Намкунг, Виктория

То, что мы говорим себе Виктория Намкунг. Ссылается Эмили Брэндвин во время SEPodcast Episode 95

Наварро, Джо

Что говорят все Джо Наварро.Автор и ведущий исследователь языка тела и невербальной коммуникации Джо Наварро дает интервью во время SEPodcast Episode 14

.

по рекомендации Эми Кадди во время SEPodcast Episode 79

, на которую ссылается Анн-Мартье Уд во время эпизода 122 SEPodcast

Упомянутый Уильямом Ортисом во время эпизода 125 SEPodcast

Словарь языка тела: Полевое руководство по человеческому поведению Джо Наварро. На него ссылается Марк Боуден во время 129-й серии подкаста SEPodcast.

Громче, чем слова Джо Наварро. Ссылается Стефани Пол во время SEPodcast Episode 132.

Нестор, Джеймс

Дыхание: Новая наука об утерянном искусстве Джеймса Нестора. Упомянутый Усамой (Сэм) Куараши во время SEPodcast Episode 136.

Ной, Тревор

Рожденный преступлением Тревор Ноа. Ссылается Эмили Брэндвин во время SEPodcast Episode 95

По рекомендации Др.Ева Кроков в эпизоде ​​123 SEPodcast

Нолан, Джон

Конфиденциальные бизнес-секреты Джона Нолана. Наслаждайтесь интервью с бывшим офицером федеральной разведки и экспертом в области бизнес-аналитики Джоном Ноланом во время SEPodcast Episode 35

Упомянутый Робин Дрик во время SEPodcast Episode 78

O’Connor, Flannery

Все, что поднимается, должно сходиться Фланнери О’Коннор.Ссылается на Уитни Макс во время SEPodcast Episode 110

Огден, Том

Полное руководство идиота по уличной магии Том Огден

О’Горман, Джим / Кеннеди, Дэвид / Кирнс, Девон / Ахарони, Мати

Metasploit Джима О’Гормана и др. Наслаждайтесь энергичной и веселой беседой с авторами книги во время SEPodcast Episode 24

.

Оллам, Девиант

Практическое взломание замков от Deviant Ollam.Ссылается на Deviant Ollam во время SEPodcast Episode 67

Ключи от Королевства Девиант Оллам. Ссылается на Deviant Ollam во время SEPodcast Episode 67

О’Тул, Мэри Эллен, доктор философии / Боуман, Алиса

Опасные инстинкты О’Тул и Боуман. Наслаждайтесь интервью с бывшим профилировщиком ФБР и автором Мэри Эллен О’Тул во время SEPodcast Episode 40

Паккард, Вэнс

Скрытые уговоры Вэнс Паккард.Ссылается доктором Чалдини во время эпизода 86 SEPodcast

.

Паланик, Патрон

Fight Cluby , автор Чак Паланик. Ссылается Мишель во время SEPodcast Episode 90

Patterson, Kerry / Grenny, Joseph / McMillan, Ron / Switzler, Al

Важнейшие разговоры Керри Паттерсон и др. Упомянутый Уитни Максвелл во время SEPodcast Episode 110

Пиз, Барабара и Аллан

Полная книга языка тела Барбары и Аллана Пиз.Упоминается Чани Симмс во время SEPodcast Episode 131.

Пеннебейкер, Джеймс, доктор философии

Тайная жизнь местоимений доктора Джеймса Пеннебейкера. Автор, педагог, исследователь и психолог — доктор Пеннебейкер — один интересный человек. Наслаждайтесь веселым и содержательным интервью с доктором Пеннебейкером во время SEPodcast Episode 87

Perlmutter, David / Villoldo, Alberto

Power Up Your Brain Пермуттер и Виллольдо.Ссылается Стефани Пол во время SEPodcast 119

Розовый, Daniel H

To Sell is Human Дэниел Х. Пинк. Ссылается доктором Чалдини во время эпизода 86 SEPodcast

.

Райх, Давид

Кто мы и как мы сюда попали Дэвид Райх. Ссылается на Клинта Уоттса в SEPodcast Episode 113

Ридли, Мэтт

Рациональный оптимист Мэтта Ридли.Упомянутый Брайаном Бушвудом во время SEPodcast Episode 75

Ries, Al / Ries, Laura

Происхождение брендов Райс и Райс. Упомянутый Брайаном Бушвудом во время SEPodcast Episode 75

Робертс, Робин

Everybody’s Got Something Робин Робертс. Ссылается Эмили Брэндвин во время SEPodcast Episode 95

Роуленд, Ян

Полная книга фактов холодного чтения Иэна Роуленда.Автор и известный эксперт по холодному чтению Ян Роуленд присоединяется к SEPodcast 109 для информативной и живой дискуссии.

Розенберг, Маршалл Б., доктор философии

Ненасильственное общение: язык жизни: инструменты, изменяющие жизнь для здоровых отношений Маршалл Б. Розенберг, доктор философии и Дипак Чопра. Упомянутый Джонатаном Миллером во время подкаста SEPodcast Episode 133

Рушкофф, Дуглас

Принуждение Дугласа Рушкоффа.Упомянутый Аароном Делвишем во время SEPodcast Episode 22

Рассел, Мэтью А

Майнинг в социальной сети Мэтью А. Рассел. Упомянутый Джоном Серпа во время SEPodcast Episode 73

Скотт, Сьюзан

Жестокие разговоры Сьюзан Скотт. Ссылается Стефани Пол во время SEPodcast 119

Шарот, Тали

The Influential Mind Тали Шарот.Направлено д-ром Джессикой Баркер во время SEPodcast Episode 118

Шарп, Сина

Competitive Intelligence Advantage Сина Шарп. Консультант и автор Сины Шарп во время интервью SEPodcast 43

Сильверман, Сара

Ночное недержание мочи Сары Сильверман. Ссылается Эмили Брэндвин во время SEPodcast Episode 95

Саймон, Кармен

Невозможно игнорировать Кармен Саймон.Ссылается Стефани Пол во время SEPodcast 119

Сент-Джон Мандель, Эмили

Станция Одиннадцать Эмили Сент-Джон Мандель. Ссылается доктором Джеймсом Пеннебейкером во время SEPodcast Episode 87

Штайнмайер, Джим

Магия Алана Уэйклинга Джима Стейнмейера. Упомянутый Р. Полом Уилсоном во время SEPodcast Episode 72

Скрытие слона Джим Стейнмейер.Упомянутый Р. Полом Уилсоном во время SEPodcast Episode 13

Стефенсон, Нил

Snow Crash Нил Стивенсон. Упомянутый «Брюсом» во время SEPodcast Episode 66

Cryptonomicon Mass Market Нил Стивенсон. Ссылается на Ли во время SEPodcast Episode 90

Столл, Клифф

Яйцо кукушки Клиффа Столла.Упомянутый Джоном Серпа во время SEPodcast Episode 73

Стоун, Дуглас

Трудные разговоры: как обсудить самое главное доктор Дуглас Стоун. Упомянутый Джонатаном Миллером во время подкаста SEPodcast Episode 133

Street, Джейсон / Нэборс, Кент / Баскин, Брайан

Dissecting the Hack Джейсон Стрит и др. Автор, спикер и один из людей года по версии журнала Time 2006, Джейсон Стрит дает интервью в SEPodcast 93

.

Штросс, Чарльз

Оценка уничтожения Чарльз Стросс.Ссылается на HD Мур во время SEPodcast Episode 71

Доктор Тара Сварт

Источник: Тайны Вселенной, наука о мозге доктора Тары Сварт. Ссылается Стефани Пол во время SEPodcast Episode 132

Talamantes, Иеремия

Пособие для социального инженера Иеремии Таламантеса. По рекомендации Рэйчел Тобак, победительницы SECTF 2017 года в эпизоде ​​98 SEPodcast

Таврис, Кэрол

Ошибки были сделаны (но не мной) Кэрол Таврис.Ссылается доктором Элизабет Лофтус во время 134 эпизода SEPodcast

.

Талер, Ричард

Плохое поведение Ричард Талер. Ссылается на Мишель Финчер во время SEPodcast Episode 88

Томас, Энджи

The Hate U Give Энджи Томас. Упомянутый Паоло Гаудиано во время SEPodcast Episode 107

Торренцано, Ричард / Дэвис, Марк

Цифровое убийство Торренцано и Дэвис.Ссылается на Криса Дюфура во время SEPodcast Episode 54

Тулшян, Ручика

Преимущество разнообразия Ручика Тулшян. Упомянутый Паоло Гаудиано во время SEPodcast Episode 107

Урибе, Бетти, доктор философии

#Values: Секрет высочайшей эффективности в бизнесе и жизни доктор Бетти Урибе. На это ссылается Стефани Пол во время SEPodcast 119 и SEPodcast 132.

Van der Kolk, Besser, M.D.

Тело сохраняет счет Бессель ван дер Колк, доктор медицины, на которого ссылается Усама (Сэм) Квараши в SEPodcast Episode 136.

Ваттенберг, Бен Дж.

The Birth Dearth Бен Дж. Уоттенбери. Ссылается на Джейн Эллиотт во время SEPodcast Episode 46

Уир, Энди

Марсианин Энди Вейр.Упомянутый Марком Чепменом во время SEPodcast Episode 74

Уэстон, Джо

Освоение уважительной конфронтации Джо Уэстон. Эксперт по разрешению конфликтов и автор Джо Уэстон во время интервью SEPodcast 51

Уайлс, Джек

Руководство Techno Security по электронному обнаружению и цифровой криминалистике Джек Уайлс

Уилсон, Р.Пол

Искусство Con Р. Пол Уилсон. Упомянутый Р. Полом Уилсоном во время SEPodcast Episode 72

Wohlleben, Питер

Скрытая жизнь деревьев Питера Воллебена. Ссылается на Ping Look во время SEPodcast Episode 88

Вудард, Колин

American Nations Колина Вударда. Ссылается на Клинта Уоттса в SEPodcast Episode 113

Уайлер, Нил Р / Поттер, Брюс / Херли, Крис

Агрессивная самозащита сети Wyler et al

Зак, Пол, PhD

The Moral Molicule автор: Dr.Пол Зак. Доктор Пол Зак учит, какие химические вещества вызывают доверие и как вызвать его у каждого человека во время подкаста SEPodcast Episode 44

.

5 лучших книг по кибербезопасности для начинающих

Кибербезопасность — это «практика защиты критически важных систем и конфиденциальной информации от цифровых атак» (IBM). Сама область деятельности ежедневно развивается с развитием технологий, а хакеры на шаг впереди к разработке новых вредоносное ПО. Я расскажу о пяти лучших книгах по кибербезопасности для начинающих, чтобы лучше понять, что такое кибербезопасность.Эти книги могут помочь вам понять, подходит ли вам этот выбор карьеры. Искусство невидимости Кевина Митника иллюстрирует «то, что происходит без вашего ведома и« искусства невидимости »»

Джессика Труонг

Заинтересованы в безопасности? Следите за содержанием Cybersecurity

Cybersecurity — это «практика защиты критически важных систем и конфиденциальной информации от цифровых атак» (IBM). Сама эта область ежедневно развивается, благодаря прогрессу в технологиях и хакерам, которые на шаг опережают разработку новых вредоносных программ.Если вы интересуетесь безопасностью и технологиями, то это поле для вас. Я расскажу о пяти лучших книгах по кибербезопасности для начинающих, чтобы лучше понять, что такое кибербезопасность. Эти книги могут помочь вам понять, подходит ли вам этот выбор карьеры.

Список книг по кибербезопасности, охватываемых этой статьей

1. Кибербезопасность для начинающих
2. Социальная инженерия: наука о взломе человека
3. Искусство невидимости
4. Взлом для начинающих
5. Справочник синей команды: реагирование на инциденты, издание

1.Кибербезопасность для начинающих, Raef Meeuwisse

«Если вас не беспокоит кибербезопасность, вы мало о ней знаете»

В этой книге представлен обзор кибербезопасности, в каждой главе которого рассматриваются различные темы отрасли. Главы можно читать в любом порядке, потому что для понимания последующих не требуется никаких знаний из предыдущих глав. Meeuwisse отлично справляется с описанием основ кибербезопасности, что делает эту книгу одной из лучших книг по кибербезопасности для начинающих.

Он дает определения для всех важных терминов, которые читатель должен понимать на протяжении всей книги. Meeuwisse также объясняет цель использования примеров из практики в этой книге. Я перечислил темы, затронутые в его книге ниже, на случай, если вы все еще сомневаетесь.

Охваченные темы

• Навыки, необходимые для создания группы кибербезопасности
• Базовые концепции кибербезопасности
• Несколько примеров из практики
• Участие человека
• Методы атак и защиты
• Риски кибербезопасности
• Безопасность организации
• Будущее кибербезопасности

Ознакомьтесь с книгой здесь.

2. Социальная инженерия: наука о взломе человека, Кристофер Хаднаги

Хаднаги дает обзор различных техник социальной инженерии и объясняет, как и почему они работают; он также приводит примеры из реальной жизни для каждой техники, чтобы облегчить понимание. Хаднаги считает, что любой, кто прочитает эту книгу, узнает кое-что о социальной инженерии. Независимо от вашего опыта, это отличная книга, если вы хотите узнать о социальной инженерии.На мой взгляд, социальная инженерия — очень важная тема, с которой можно начать.

Охваченные темы

• OSINT
• Расширенные инструменты моделирования и профилирования коммуникаций
• Предварительный текст
• Установление связи
• Типы атак социальной инженерии

Ознакомьтесь с книгой здесь .

3. Искусство невидимости Кевин Митник

«Чтобы быть невидимым в сети, вам более или менее необходимо создать отдельную личность, которая совершенно не связана с вами.… Вы также должны строго защищать отделение своей жизни от этой анонимной личности »

Кевин Митник считается всемирно известным и самым разыскиваемым хакером, и в своей книге« Искусство невидимости »он иллюстрирует,« что происходит без вашего участия. знания и «искусство невидимости» »(mitnicksecurity).

В этой книге он предлагает« интерактивные и реальные тактики, а также недорогие методы защиты вас и вашей семьи в простых пошаговых инструкциях »(mitnicksecurity) .Он обсуждает различные тактики, которые могут защитить вашу конфиденциальность, и что вы можете сделать, чтобы не оставить никаких цифровых следов. Этим темам посвящена книга Митника, а также рецензия на книгу Скотта Шобера.

Охваченные темы

• Шифрование
• Конфиденциальность
• Пароль
• Безопасность Wi-Fi
• HTTPS
• Отслеживание активности

Проверьте книгу здесь .

4. Взлом для начинающих: пошаговое руководство для вас, чтобы изучить основы кибербезопасности и взлома, Рамон Настасе

Если вы заинтересованы во взломе, эта книга идеально подходит для вас и еще одна одна из лучших книг по кибербезопасности для начинающих.

Эта книга научит читателей, как думают хакеры, почему они взламывают компьютерные системы и как они это делают. Эта книга предназначена для тех, кто интересуется тестированием на проникновение, потому что вы узнаете о различных существующих атаках и методах, используемых для взлома системы.Следующий список — это темы, затронутые в книге Настасе.

Охваченные темы

• Пятиэтапный процесс взлома
• Установка и использование Kali Linux
• Сканирование устройств в сети
• Кибератаки
• VPN
• Межсетевой экран

Ознакомьтесь с книгой здесь .

5. Справочник Синей команды: Реагирование на инциденты, издание Дона Мердока

Если у вас есть интерес к Синей команде — i.е. работая в SOC, реагируя на инциденты и т. д., эта книга станет для вас хорошим началом. Мердок дает обзор того, каково быть специалистом по реагированию на инциденты кибербезопасности.

Мердок подробно объясняет, почему и как используется каждый инструмент. Быть частью синей команды означает, что у вас есть взгляд на организацию изнутри. Члены синей команды работают вместе, чтобы защитить организацию от угроз и критических активов.

Охваченные темы

• Шаги реагирования на инциденты / шаблон
• Понимание хакера и инструментов, которые они используют
• Анализ на основе хоста
• Анализ на основе сети

Ознакомьтесь с книгой здесь .

Заключительные мысли об этих книгах по кибербезопасности для начинающих

Это пять лучших книг по кибербезопасности для начинающих, с которых, я считаю, вам следует начать, если вы хотите продолжить карьеру в области кибербезопасности. В каждой из этих книг подробно рассматриваются различные аспекты кибербезопасности.

Если конкретная тема в рамках кибербезопасности вызывает интерес, я рекомендую начать с книги по этой теме. Хотя я перечислил только эти пять книг, во многих других областях существует еще больше.В кибербезопасности так много аспектов, из которых можно выбирать, поэтому эти книги — только начало.

Истории по теме

Теги

Рецензия на книгу — Социальная инженерия

Если
вам нужна эффективная программа повышения осведомленности о безопасности, которую вы должны понимать
как на сотрудников будут нападать, и чтобы понять, что нужно знать
основы социальной инженерии. Я только что закончил читать
книга Социальная инженерия
автор: Chris Hadnagy, и хотел бы поделиться с вами своими мыслями.Во-первых, на удивление мало хороших книг, посвященных взлому
человек. Хотя хакерских технологий буквально сотни, вы
На Amazon можно найти пять таких книг, посвященных человеческим проблемам. Так что я
всегда рады видеть, когда у нас появляется новый ресурс, такой как этот. если ты
не знают, Крис и его команда также поддерживают веб-сайт, посвященный
социальная инженерия на http://www.social-engineer.org.

В целом, книга мне нравится, я бы поставил на Amazon 4 из 5 возможных.
книга делает выдающуюся работу по закладке основы социальной
инженерия и все различные концепции, которые вступают в силу.Крис
определяет, определяет и ссылается на все способы, которыми вы можете
контролировать, понимать и влиять на людей. Что меня впечатлило больше всего
насколько обширен был материал по всем различным концепциям и
теории. В некотором смысле я бы почти счел это академическим
справку, в нем описаны все возможные инструменты, которые вы можете использовать в
взломать человека.

Я думаю, было бы здорово вывести это на следующий уровень, что-то
как « Разоблачение взлома «. Как мы можем использовать эти разные инструменты
и объединить их в спланированную атаку? Глава 8 делает это с некоторыми
эффект, описывающий тематические исследования, но я думаю, вы могли бы посвятить
всю книгу к этому.Еще бы помогло, если бы Крис
определил, какие техники, по его мнению, были наиболее эффективными, на основе его
опыта, временами меня просто ошеломляли все разные
параметры. Наконец, я бы хотел увидеть книгу, в которой меньше внимания уделяется
по физической социальной инженерии и тот, который больше фокусируется на сети
на основании. Некоторые из затронутых тем требуют личного присутствия (микро
выражения, взлом замков и т. д.), и большинство примеров были основаны на
тесты на физическое проникновение (хотя мне очень понравился пример
нападение на генерального директора по сбору марок через Интернет).В общем, отличная книга, которую стоит прочитать, если вы хотите развить свой
навыки социальной инженерии.

Изучение социальной инженерии | Packt

Одна из крупнейших кибератак века произошла на Yahoo !, где, как считается, злоумышленники смогли взломать ее системы в 2014 году и уничтожить данные учетных записей более 500 миллионов пользователей. ФБР подтвердило, что в атаке использовалась социальная инженерия, чтобы злоумышленники не смогли тщательно изучить все уровни инструментов и систем безопасности, используемых для защиты таких данных.Таким образом, эта атака на Yahoo !, гигантскую технологическую компанию, подтверждает, что социальная инженерия более опасна, чем предполагалось. Никто не застрахован, если один из старейших поставщиков услуг электронной почты, вкладывающий значительные средства в инструменты кибербезопасности, может быть так легко скомпрометирован с помощью этой техники.

Социальные инженеры также смогли избавиться от огромных сумм денег, используя простые атаки социальной инженерии. В 2015 году компания Ubiquiti Networks, производящая сетевое оборудование, была поражена методом социальной инженерии.Злоумышленники смогли собрать информацию о генеральном директоре и фактически выдать его личность. Они использовали это подражание, чтобы дать указание финансовому отделу направить огромные суммы денег какой-то зарубежной компании, которая проинформировала его об изменении своих платежных предпочтений. Вне всяких сомнений, сотрудник финансового отдела перевел деньги только для того, чтобы позже обнаружить, что приказы исходили не от настоящего генерального директора и что злоумышленники уже похитили миллионы с трудом заработанных организацией денег.Дальнейшее расследование показало, что системы безопасности все еще были на месте и не были взломаны, а кража была совершена только с помощью социальной инженерии.

Оба этих инцидента подчеркивают тот факт, что человеческую слабость нельзя сбрасывать со счетов в цепочке кибербезопасности. Этот метод быстро становится широко используемым для атак на организации:

Кто победит? Все ваши реализации безопасности или простая человеческая ошибка?

Сегодняшним киберпреступникам повезло, ведь пользователи подвергаются атакам социальной инженерии.Рост использования платформ социальных сетей стал ключевым фактором увеличения числа атак социальной инженерии. Это связано с тем, что сегодняшние пользователи живут своей жизнью в социальных сетях и рассказывают подробности о своей повседневной жизни, семье, рабочем месте, личных предпочтениях и т. Д., Которые могут быть использованы для атаки социальной инженерии. Злоумышленнику достаточно пройти через учетные записи пользователя в социальных сетях, чтобы получить достаточно информации для проведения успешной атаки социальной инженерии. Информации в Facebook, Twitter, Instagram и Snapchat более чем достаточно, чтобы социальный инженер мог принять личность большинства пользователей.Также на удивление легко создать фальшивую учетную запись топ-менеджера в социальных сетях. Эта учетная запись вызывает немедленное уважение и выполнение любых приказов, отданных целевой группе, и поэтому может использоваться для сбора денег с младших сотрудников в организации.

Еще один метод, используемый в социальных сетях, — это создание учетных записей-приманок, несуществующих людей, которые используются для атак на реальных людей. В июле 2017 года старший сотрудник ИТ-отдела ближневосточной телекоммуникационной компании ( METCO ) сбежал из-под усов вскоре после того, как утвердил запрос на добавление в друзья из учетной записи приманки.Атака, похоже, была направлена ​​против фотографа-любителя. Это связано с тем, что злоумышленники создали привлекательный профиль молодой девушки по имени Миа, в котором говорилось, что она подающая надежды фотографа в Лондоне, и у нее было много хобби с целью. Очевидно, цель быстро приняла предложение дружбы, полагая, что у них сильная связь. После нескольких недель разговоров Миа отправила мужчине фото-опрос. ИТ-персонал не знал, что в файле опроса содержалось вредоносное ПО под названием Pupy RAT, , которое используется для кражи учетных данных при открытии.К счастью, компьютер компании был защищен эффективными антивирусными программами конечного хоста, которые быстро обнаруживали и вылечивали вредоносное ПО до того, как был нанесен какой-либо ущерб. Дальнейшее расследование позволило выявить хакерскую группу, стоящую за попыткой атаки социальной инженерии. Было подтверждено, что группа ранее пыталась атаковать компанию с помощью фишинговых писем, но ни одна из них не увенчалась успехом. Сотрудники были проинформированы о поддельных электронных письмах и переходе по подозрительным ссылкам или открытии вложений в электронные письма.Похоже, что хакерская группа смогла придумать атаку социальной инженерии и нацелиться на одного сотрудника через Facebook.

Этот инцидент подтверждает, что пользователи, независимо от отделов, в которых они работают, подвержены атакам социальной инженерии. Цель здесь была хорошо осведомлена в области информационных технологий, но, тем не менее, облик молодой привлекательной женщины, разделявшей его интересы, мог ослабить его бдительность. Он открыл файл в сети организации, который мог украсть учетные данные для входа или даже распространиться по сети и заразить другие компьютеры.Если бы использовалось более сильное вредоносное ПО, атака, вероятно, прошла бы. Когда дело доходит до социальной инженерии, все пользователи сталкиваются с одними и теми же слабостями. Все, что нужно, — это найти злоумышленнику слабые места в одной личности. Это может быть слепое подчинение какому-либо авторитету, одиночество, финансовые или инвестиционные потребности среди прочего.

Окени и Томас провели исследование анатомии человеческого хакерства, которое можно перевести в социальную инженерию.

Они сказали, что люди всегда открыты для манипуляций со стороны социальных инженеров; все, что нужно, — это повернуть нужные ручки.Они обнаружили, что люди подчиняются вышестоящей власти и, таким образом, готовы выполнять команды, переданные от своего начальства. Это слабое место, которое социальные инженеры часто используют, чтобы попытаться передать вредоносные команды, используя поддельные профили старшего управленческого персонала в организации. Оба автора также пришли к выводу, что люди сочувствуют незнакомцам и доверяют им. Люди заботливы и готовы помочь незнакомцам, и это ставит их в неприятное положение, когда ими могут манипулировать обычные мошенники.Вежливость, доверие и сочувствие использовались для того, чтобы люди сообщали хакерам подробности на своих личных устройствах, содержащих очень конфиденциальные данные. Затем эти хакеры могут установить вредоносное ПО или скопировать конфиденциальные данные до того, как цель узнает об этом. Женщин, особенно беременных или женщин с ограниченными возможностями, использовали для того, чтобы получить от целей раскрытие информации о своих устройствах только для распространения вредоносных программ или копирования или удаления данных. Авторы обнаружили, что люди всегда заинтересованы в определенных наградах и готовы предпринимать действия, которые якобы принесут им награды.

Обычно используется тактика фишинга, чтобы сообщить пользователям, что у них есть шанс выиграть солидные призы, если они перейдут по определенным ссылкам. Многие люди хотят получить призы и поэтому нажимают на ссылки, которые якобы ведут их на бесплатные страницы, только для того, чтобы обнаружить, что ссылки ведут на вредоносные веб-сайты. У людей также есть чувство вины, желание доставить удовольствие и чувство морального долга. Это одни из психологических вопросов, которые будут обсуждаться в следующих главах.

Хорошо понимать, что социальная инженерия, как правило, не является плохой практикой; в нем есть как хорошие, так и вредоносные приложения.Он эффективен в обоих направлениях, потому что цели обладают теми же характеристиками, которые были определены ранее, и поэтому всегда открыты для атаки. Социальная инженерия играет ключевую роль в обществе; это позволяет людям получать услуги. Независимо от того, хорошие они или плохие, это побуждает людей принимать решения, благоприятные для человека, который их запрашивает. Просто социальная инженерия теперь используется плохими парнями для совершения огромных преступлений. Структура тактики, используемой для манипулирования людьми во время преступных действий, такая же, как и для достижения положительных результатов.Используемые слабости относительно одинаковы, и все люди их разделяют.

Одним из старейших мошенников с применением социальной инженерии является мошенничество в Нигерии . Возможно, это была первая широко успешная атака социальной инженерии с использованием электронной почты. Поскольку он появился в первые дни электронной почты, многие люди попались на него. Злоумышленники притворились состоятельным нигерийским принцем, заключившим выгодную сделку, для которой требовалась лишь цель, чтобы предложить некоторую помощь и получить большую долю. Обман был выполнен, когда цели просили решить определенные проблемы, заплатив немного наличных, чтобы получить крупную выплату им.Проблемы продолжались до тех пор, пока цель в конце концов не осознала, что денег нет. В этой атаке использовались некоторые человеческие качества, которые обсуждаются следующим образом:

• Первый из них — это жадность, когда жертвам внушали уверенность в том, что они действительно получат большую долю от огромного состояния. Все хотят денег, и, если они дойдут так легко, многие люди захотят сделать то, о чем их просят. Это не странная характеристика, которая присутствовала только у жертвы; это характерная черта, присущая каждому.
• Другой использованной характеристикой была приверженность. Люди естественно хотят видеть вещи до конца. Это причина, по которой злоумышленники обнаружили, что они могут лишить людей денег, заверив их, что чем раньше они произведут платеж, тем быстрее будет произведена выплата. Опять же, это характерная черта, присущая каждому.

• Последняя характеристика — это доверие, и оно было основной частью атаки. Незнакомцами манипулировали, чтобы они доверяли другому незнакомцу на другом континенте и верили, что все, что им сказали, было правдой.Доверие мощно, и незнакомцы поспешили дать предполагаемому нигерийскому принцу преимущество сомнения, когда произошла ошибка при обработке выплаты. Используя сразу три человеческие слабости, атака была очень мощной, и некоторые люди в итоге потеряли до 50 000 долларов.

Ниже приведен пример спама:

Пример спама с явными признаками

Предыдущий пример описывает хорошо структурированную атаку социальной инженерии, которая использует человеческие характеристики в злонамеренных целях.Важно отметить, что одни и те же характеристики используются для положительных результатов. Доверие используется каждый день в соглашениях или при совершении транзакций, и только в неблагоприятных сценариях используется злонамеренно. Обязательство используется почти во всех начинаниях, чтобы гарантировать их успешное выполнение. Люди получают определенное внутреннее вознаграждение за выполнение задач и поэтому стремятся довести до конца все, что они начинают.

Жадность — тоже не обязательно плохая характеристика.Только человек может быть слегка жадным. Деньги ищут, и это тонкая жадность, которая позволяет людям искать их всеми возможными способами. Следовательно, только в неблагоприятных сценариях эти характеристики используются в злонамеренных целях.

Рассмотрим следующую цифру, основанную на отчете Verizon о нарушениях данных, 2015 г .:

Социальная инженерия / фишинговые атаки происходят быстро, и их трудно остановить (на основе отчета Verizon о нарушениях данных, 2015 г.)

Практическая социальная инженерия | Пресс без крахмала

Загрузить Глава 4: СОБРАНИЕ БИЗНЕСА OSINT

Социальная инженерия — это искусство извлечения выгоды из человеческой психологии, а не технических уязвимостей для компрометации систем.Это эффективный метод атаки, потому что даже самые продвинутые группы по обнаружению безопасности мало что могут сделать для защиты от того, что сотрудник щелкнет вредоносную ссылку или откроет файл в электронном письме, и тем более от того, что сотрудник может сказать во время телефонного звонка. Эта книга покажет вам, как воспользоваться этими зловещими с этической точки зрения техниками, чтобы вы могли лучше понять, что кроется в этих атаках, а также как предотвратить попытки киберпреступников и злоумышленников получить доступ, которые используют в своих интересах человеческую природу.

Автор Джо Грей, отмеченный наградами эксперт в этой области, делится своими примерами социальной инженерии, передовым опытом, инструментами OSINT и шаблонами как для организации (этических) атак, так и для сообщения о них компаниям, чтобы они могли лучше защитить себя. Его методы максимизируют влияние и убеждение с помощью творческих приемов, таких как использование скриптов Python, редактирование файлов HTML и клонирование законного веб-сайта, чтобы обмануть пользователей их учетные данные. После того, как вы преуспели в сборе информации о ваших целях с помощью передовых методов OSINT, Грей проведет вас через процесс использования этой информации для выполнения реальной социальной инженерии, а затем научит вас применять эти знания для защиты вашей организации от атак такого типа. .

Вы узнаете:

• Как использовать инструменты разведки с открытым исходным кодом (OSINT), такие как Recon-ng и whois
• Стратегии сбора информации о цели из социальных сетей и ее использования для подбора пароля.
• Методы фишинга, такие как спуфинг, приседание и установка собственного веб-сервера, чтобы избежать обнаружения
• Как собирать показатели успешности атаки и сообщать о них клиентам
• Технический контроль и программы повышения осведомленности для защиты от социальной инженерии

Быстро развивающаяся, практическая и этически ориентированная, Практическая социальная инженерия — это книга, которую каждый пентестер может немедленно использовать.

Социальная инженерия | MIT Press

Сводка

Манипулятивная коммуникация — от пропаганды начала двадцатого века до современного онлайн-мошенничества — рассматривалась через призму социальной инженерии.

Соединенные Штаты наводнены подтасованной информацией обо всем, от результатов выборов до эффективности лечения. Корпоративные социальные сети — особенно хороший канал для манипулятивного общения, и Facebook особенно охотно для этого использует.В статье Социальная инженерия Роберт Гель и Шон Лоусон показывают, что онлайн-дезинформация уходит корнями в более ранние методы: массовую социальную инженерию начала двадцатого века и межличностную хакерскую социальную инженерию 1970-х годов, которые сегодня сливаются в то, что они называют «массовой социальной инженерией». ” По мере того, как Гель и Лоусон прослеживают современную манипулятивную коммуникацию до более ранних форм социальной инженерии, возможности для улучшения становятся более ясными.

Авторы показывают, как конкретные манипулятивные коммуникативные практики представляют собой смесь сбора информации, обмана и индифферентных к правде утверждений, и все это с инструментальной целью побудить людей к действиям, которые социальный инженер хочет от них.Тем не менее, они утверждают, что термин «фальшивые новости» сводит все к двоичному файлу истина / ложь, который не может охватить сложность манипулятивного общения или сопоставить многие из его практик. Они обращают особое внимание на концепции и термины, используемые хакерскими социальными инженерами, включая хакерскую концепцию «чуши собачьей ерунды», которую авторы описывают как безразличную к правде смесь обмана, точности и общительности. В заключение они дают рекомендации о том, как общество может подорвать массовую социальную инженерию и перейти к более здоровому демократическому обсуждению.

Мягкая обложка

28,00 долл. США

Икс

ISBN: 9780262543453
344 с. | 6 дюймов x 9 дюймов

Февраль 2022 г.

Авторы

Роберт В.

Добавить комментарий Отменить ответ

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Комментарий *

Имя *

Email *

Сайт