Как правило, атаки с применением социальной инженерии можно разделить на два этапа – изучение жертвы и применение уловок, облегчающих доступ к конфиденциальному. Позвольте рассказать на довольно простом примере, как это происходит. К примеру, некоему хакеру понадобилась информация о состоянии банковских счетов в какой-либо компании. Но доступ к информации нельзя получить извне – банк, что естественно, такой информации направо и налево не раздает, а на сервера компании попасть невозможно по причине отсутствия учетной записи для доступа к закрытым данным. Тогда, чтобы не мучаться с поиском уязвимостей операционной системы и подбором логинов и паролей, он решает найти жертву – сотрудника компании, которого можно использовать для получения доступа. Исследуя социальные сети, он выискивает потенциальных жертв, составляет их первичные психологические портреты – как относятся к работе, довольны ли условиями труда, возможно, есть какие-то шероховатости в отношениях с коллегами. Как правило, сотрудники могут выкладывать в Сеть косвенные данные, подтверждающие тот или иной пункт, например, из всех сотрудников компании в друзья не добавлен лишь один. Это может служить как признаком неприязни к конкретной персоне, так и знаком, что в крупной компании существует изоляция отделов (весьма вредное условие для жизни компании). Допустим, выбрана жертва – чаще всего это лицо женского пола (дамы, простите, но статистика жестока), как правило, типичный представитель офисного планктона. Злоумышленник начинает входить в доверие любыми способами – от банального знакомства в интернете до многоходовой тактической операции (к примеру, узнав, что жертва иногда работает из дома, может совершить вирусную атаку на ее компьютер и, представившись мастером, похитить имеющуюся информацию во время работы с компьютером).

Отходя от темы: ситуация, описанная выше, вполне реальна. Это было в Санкт-Петербурге несколько лет назад. Некий «умелец», стремясь получить доступ к компьютерам, расклеил в районе объявления «компьютерный мастер». Цены поставил приемлемые, люди начали обращаться за услугами – как вскоре оказалось, был подвох. «Мастер» намеренно заражал компьютеры вирусами, которые потихоньку «сливали» информацию на неизвестный сетевой адрес. Конечно, люди бросились вызванивать «мастера», обратились в правоохранительные органы, но все тщетно. Сим-карта оказалась одноразовой, выйти на след преступника не удалось.

Вторым и финальным этапом является хищение информации – оно может осуществляться как через блокчейн-сети, так и напрямую с компьютера жертвы (разумеется, это жестко подставит жертву). А потом информацию можно использовать в свою пользу – шантажировать жертву, продать информацию на сторону или вовсе закрыть компанию, такие варианты нельзя сбрасывать со счетов. А теперь давайте рассмотрим основные техники социальной инженерии. Это необходимо сделать, чтобы адекватно реагировать на проявления манипулятивных техник – нельзя победить врага, если не изучать его поведения. Адепты социальной инженерии часто используют техники фишинга или аналогичные для получения контроля над человеком.

Фишинг – это атаки, использующие техники влияния на личность для сбора учетных данных или распространения вредоносных программ. Фишингом можно назвать неправомерное использование Всемирной сети в мошеннических и/или вымогательских целях. Чаще всего с помощью фишинговых атак злоумышленники пытаются получить такую конфиденциальную информацию, как логины и пароли, данные кредитных карт, сетевые учетные данные. Как правило, фишинговая атака планируется с переходом на поддельный сайт, после посещения которого у жертвы возникнут неприятности с компьютером, например, на компьютер установится «блокировка» системы с требованием оплатить код разблокировки. Встречается и такой вид фишинга, когда пользователю приходит сообщение о положенной ему выплате (чаще всего связанной с новым указом президента и т. д.), а при переходе по ссылке открывается якобы главная страница банка, где от пользователя требуют ввести данные карты для начисления положенного. Наивный пользователь вводит данные своей карты, садится в ожидании перевода, но вместо этого теряет все деньги, что были на счету. И даже если на карту вновь положат деньги, они вновь исчезнут, о такой карте можно забыть, на ней хранить уже ничего нельзя. Фишинговую атаку можно подвести под любые цели – хищение финансов, получение паспортных или учетных данных.