УДК 681.3.06
ББК 32.973.26-018.2
Х99
Перевод Анастасия Соломина
Научный редактор Денис Букин
Редакторы Ирина Беличева, Елена Аверина
Хэднеги К.
Х99
Искусство обмана: Социальная инженерия в мошеннических
схемах / Кристофер Хэднеги ; Пер. с англ. — М.:
Альпина Паб лишер, 2020. — 430 с.
ISBN 978-5-9614-1072-3
Бывало ли так, что вам звонил человек, представляющийся
сотрудником банка? Или приходило письмо со ссылкой, на которую
вы, к счастью, не перешли?
Технологии, при помощи которых злоумышленники пытаются получить
доступ к вашим паролям или данным, основаны на социальной
инженерии — науке об изощренном и агрессивном манипулировании
поведением людей. В ее активе целый арсенал инструментов манипуляции:
давление на жалость, умение запудрить мозги или вывести
из себя, проявить несвойственную жадность и поставить в неловкое
положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами подобного обмана, мы не только подвергаемся
риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной
инженерии, научит вас распознавать манипуляции всех типов
и противодействовать мошенникам всех мастей. Больше никто
не сможет заставить вас сделать то, что вы делать не планировали —
расстаться с деньгами, выдать важную информацию, совершить
опасные действия. Все примеры, которые приводит Хэднеги, взяты
из его личной и профессиональной практики.
УДК 681.3.06
ББК 32.973.26-018.2
Все права защищены. Никакая часть этой книги не может быть воспроизведена в какой бы то
ни было форме и какими бы то ни было средствами, включая размещение в сети интернет и в корпоративных
сетях, а также запись в память ЭВМ для частного или публичного использования,
без письменного разрешения владельца авторских прав. По вопросу организации доступа к электронной
библиотеке издательства обращайтесь по адресу mylib@alpina.ru.
© 2018 by John Wiley & Sons, Inc.,
Indianapolis, Indiana
All rights reserved. This translation
published under license with the original
publisher John Wiley & Sons, Inc.
ISBN 978-5-9614-1072-3 (рус.)
ISBN 978-1-119-43338-5 (англ.)
© Издание на русском языке, перевод,
оформление.
ООО «Альпина Паблишер», 2020
Стр.5
СОДЕРЖАНИЕ
К русскому изданию. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
Об авторе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13
О техническом консультанте . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
Благодарности . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 15
Предисловие . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
Введение . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 21
1. Заглянем вновый мир социальной инженерии . . . . . . . 23
Что изменилось? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
Почему эту книгу стоит прочесть? . . . . . . . . . . . . . . . . . . . . . . . . 28
Социальная инженерия: обзор . . . . . . . . . . . . . . . . . . . . . . . . . . . 31
СИ-пирамида. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 38
Что вы найдете вэтой книге?. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 42
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 45
2. Видители вы то, что вижу я? . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Сбор данных из открытых источников
вреальной практике . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 49
Не связанные сиспользованием технологий
методы сбора данных из открытых источников. . . . . . . . . . . . 56
Орудия труда. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .106
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .109
3. Профайлинг через общение (или как использовать
слова собеседника против него же) . . . . . . . . . . . . . . . . . .111
На подходе. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .115
Вставьте DISC. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .118
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .135
Стр.6
4. Как стать кем угодно . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .139
Принципы легендирования . . . . . . . . . . . . . . . . . . . . . . . . . . . . .141
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .162
5. Язнаю, как тебе понравиться . . . . . . . . . . . . . . . . . . . . . . . .165
Племенное мышление . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .169
Раппорт всоциальной инженерии . . . . . . . . . . . . . . . . . . . . . . .171
Машина по производству раппорта. . . . . . . . . . . . . . . . . . . . . .194
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .195
6. Сила влияния . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .199
Первый принцип: взаимный обмен . . . . . . . . . . . . . . . . . . . . . .202
Второй принцип: обязательства . . . . . . . . . . . . . . . . . . . . . . . . .207
Третий принцип: уступки. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .211
Четвертый принцип: дефицит . . . . . . . . . . . . . . . . . . . . . . . . . . .216
Пятый принцип: авторитет . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .220
Шестой принцип: последовательность . . . . . . . . . . . . . . . . . . .226
Седьмой принцип: симпатия. . . . . . . . . . . . . . . . . . . . . . . . . . . . .231
Восьмой принцип:
социальное доказательство . . . . . . . . . . . . . . . . . . . . . . . . . . . . .235
Влияние или манипуляции? . . . . . . . . . . . . . . . . . . . . . . . . . . . . .238
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .246
7. Оттачивая мастерство . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .249
Динамические правила фрейминга . . . . . . . . . . . . . . . . . . . . . .251
Извлечение информации . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .263
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .285
8. Язнаю, очем ты молчишь. . . . . . . . . . . . . . . . . . . . . . . . . . . .287
Роль невербалики . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .288
Ваша базовая эмоция работает нанас . . . . . . . . . . . . . . . . . .293
Понимание природы невербальных сигналов . . . . . . . . . . . .304
Комфорт идискомфорт . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .307
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .333
Стр.7
9. Взлом сознания. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .337
Перед социальной инженерией все равны . . . . . . . . . . . . . . .338
Принципы пентестинга . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .340
Фишинг. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .346
Вишинг . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .352
SMiSHing . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .360
Имперсонация . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .362
Планирование имперсонации . . . . . . . . . . . . . . . . . . . . . . . . . . .363
Составление отчета . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .370
Вопросы СИ-пентестеру. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .376
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .383
10. Естьли увас ПЛАН? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .385
Шаг 1: научиться выявлять СИ-атаки . . . . . . . . . . . . . . . . . . . . .388
Шаг 2: разработать реализуемые
иреалистичные правила для сотрудников . . . . . . . . . . . . . . .391
Шаг 3: проводить регулярные проверки . . . . . . . . . . . . . . . . .396
Шаг 4: реализовывать программы информирования
сотрудников по вопросам безопасности . . . . . . . . . . . . . . . . .400
Соединяем все вместе . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .402
Обновляйтесь . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .403
Учитесь наошибках коллег. . . . . . . . . . . . . . . . . . . . . . . . . . . . . .404
Создайте культуру бдительности. . . . . . . . . . . . . . . . . . . . . . . . .407
Резюме . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .412
11. Что теперь? . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .415
Социальные навыки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .416
Технические навыки . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .420
Образование . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .422
Профессиональные перспективы. . . . . . . . . . . . . . . . . . . . . . . .423
Будущее социальной инженерии . . . . . . . . . . . . . . . . . . . . . . . .426
Стр.8