Примеры социальной индженерии. 

Сегодня я расскажу почему не стоит недооценивать социальную инженерию и OSINT (разведку по открытым источникам). Также я вам объясню как на этом зарабатывают нелегально и покажу примеры.

Для прочитайте одну новость:
https://news.ru/regions/moshenniki-obmanuli-chinovnicu-iz-podmoskovya-na-2-5-mln-rublej

В ней очень хорошо показан пример социальной инженерии:

Вкратце, в подмосковье чиновница занимала один из постов и получила сообщение с предложением купить должность якобы сложившего полномочия председателя комитета лесного хозяйства. Произошло это в тот момент, когда она находилась в отпуске. Ей сразу же поставили ультиматум и сказали, что она должна либо купить должность, либо уволиться. Это было сделано для того, чтобы не дать ей время на размышление. Такой приём используется очень часто. И это очень интересный момент, когда используя социальную инженерию и OSINT (разведку по открытым источникам) таким образом зарабатывают на доверчивых мамонтах. С помощью OSINT, из её социальных сетей, просматривая фотографии, они узнали, что она в отпуске, оттуда же они узнали где она работает и её номер телефона, спарсили её коллег по работе из друзей. Дальше просто напросто они применили вишинг (убеждение по телефону), позвонили и убедили женщину в том, что должность необходимо купить, либо её уволят, назвали имена нескольких её коллег для убедительности. Ей звонок не показался подозрительным и она сразу же перевела им за покупку должности 2,5 миллиона рублей.

Многие до сих пор убеждены, что социальная инженерия, фишинг и подобное - это всё для мамонтов и что это не работает. Но посмотрите на реальность и как это происходит. Мамонты всегда существуют и будут существовать. Особенно в настоящее время, когда никто не хочет ничего проверять и сразу же верит всем на слово. Человек это более слабое звено, нежели технологии.

И вот ещё одна очень прикольная тема с использованием социальной инженерии и фишинга, которая меня порадовала. Когда на РФ наложили санкции, то людям нужно было переводить деньги в другие страны, потому что большинство не умеет пользоваться криптовалютой. И в этот момент начала появляться реклама сайтов с переводами денег за границу. Вот пример одного из таких сайтов. Допустим вам нужно перевести деньги из РФ в Германию, выбираете там страну, куда вам нужно перевести деньги и сумму:

Ссылку на сайт оставлять не буду, чтобы не мешать ребятам зарабатывать. Моё личное мнение такое, если человек не проверил информацию и его обманули, то виноват только лишь он сам. Не нужно перекладывать ответственность на других.

В общем я выбрал, что хочу перевести в Германию из РФ 100 тысяч рублей. Далее жму отправить:

А далее самое интересное. Вылезает вот такая форма для заполнения:

На что это похоже?) Подобные сайты, работающие для переводов легально действительно существуют, но там вас не будут просить срок действия и cvv код. Вы просто переводите деньги на карту обменника, а далее получаете деньги на указанную вами карту в обмене.

Для примера я нашел слитые данные одной из карт и ввела туда. Далее нажал перевести и посмотрела через Network, что они после этого сохранили в базу данных:

Они сохранили даже часовой пояс. Скорее всего они сохраняют это для того, чтобы знать в какой часовой зоне находится посетитель сайта, чтобы списывать деньги когда человек спит:

Статус проверки данных карты в процессе, то есть они даже не проверяют карту на валидность (существует ли такая карта и рабочая ли она в данный момент), а просто сохраняют её: