Примеры социальной инженерии
Сегодня я расскажу почему не стоит недооценивать социальную инженерию и OSINT (разведку по открытым источникам). Также я вам объясню как на этом зарабатывают нелегально и покажу примеры.
Вот Вам новость. В ней очень хорошо показан пример социальной инженерии:
Вкратце, в подмосковье чиновница занимала один из постов и получила сообщение с предложением купить должность якобы сложившего полномочия председателя комитета лесного хозяйства. Произошло это в тот момент, когда она находилась в отпуске. Ей сразу же поставили ультиматум и сказали, что она должна либо купить должность, либо уволиться. Это было сделано для того, чтобы не дать ей время на размышление. Такой приём используется очень часто. И это очень интересный момент, когда используя социальную инженерию и OSINT (разведку по открытым источникам) таким образом зарабатывают на доверчивых мамонтах. С помощью OSINT, из её социальных сетей, просматривая фотографии, они узнали, что она в отпуске, оттуда же они узнали где она работает и её номер телефона, спарсили её коллег по работе из друзей. Дальше просто напросто они применили вишинг (убеждение по телефону), позвонили и убедили женщину в том, что должность необходимо купить, либо её уволят, назвали имена нескольких её коллег для убедительности. Ей звонок не показался подозрительным и она сразу же перевела им за покупку должности 2,5 миллиона рублей.
Многие до сих пор убеждены, что социальная инженерия, вишинг и подобное - это всё для мамонтов и что это не работает. Но посмотрите на реальность и как это происходит. Мамонты всегда существуют и будут существовать. Особенно в настоящее время, когда никто не хочет ничего проверять и сразу же верит всем на слово. Человек это более слабое звено, нежели технологии.
И вот ещё одна очень прикольная тема с использованием социальной инженерии и фишинга, которая меня порадовала. Когда на РФ наложили санкции, то людям нужно было переводить деньги в другие страны, потому что большинство не умеет пользоваться криптовалютой. И в этот момент начала появляться реклама сайтов с переводами денег за границу. Вот пример одного из таких сайтов. Допустим вам нужно перевести деньги из РФ в Германию, выбираете там страну, куда вам нужно перевести деньги и сумму:
Ссылку на сайт оставлять не буду, чтобы не мешать ребятам зарабатывать. Моё личное мнение такое, если человек не проверил информацию и его обманули, то виноват только лишь он сам. Не нужно перекладывать ответственность на других.
К примеру я выбрала, что хочу перевести в Германию из РФ 100 тысяч рублей. Далее жму отправить:
А далее самое интересное. Вылезает вот такая форма для заполнения:
На что это похоже?) Подобные сайты, работающие для переводов легально действительно существуют, но там вас не будут просить срок действия и cvv код. Вы просто переводите деньги на карту обменника, а далее получаете деньги на указанную вами карту в обмене.
Для примера я нашел слитые данные одной из карт и ввел туда. Далее нажал перевести и посмотрел через Network, что они после этого сохранили в базу данных:
Они сохранили даже часовой пояс. Скорее всего они сохраняют это для того, чтобы знать в какой часовой зоне находится посетитель сайта, чтобы списывать деньги когда человек спит:
Статус проверки данных карты в процессе, то есть они даже не проверяют карту на валидность (существует ли такая карта и рабочая ли она в данный момент), а просто сохраняют её:
Это только один из массы примеров того как можно зарабатывать на человеческой глупости и наивности)
Мамонты были, есть и будут. Темы не умирают, а меняется только подход. И те люди которые запрыгнули в скоростной поезд мошенничества остаются в нем надолго и просто меняют вагоны(подход), а не сам поезд(тему)..