КиберБезОскара
КиберБезОскара
Читать в Telegram

Контролируемый взлом — обзор книги Юрия Другача

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
социальная инженерияфишингЮрий Другач

В моих руках книга "Контролируемый взлом. Библия социальной инженерии." Социальная инженерия это не об использовании технических уязвимостей, хотя часто они комбинируются вместе во время атаки. Уязвимость здесь - это сам человек. Например, мошенники используют социальную инженерию в звонках и сообщениях с целью кражи денег, получения пароля от гос. услуг и корпоративных систем.

Определение термина из книги:

Социальная инженерия - совокупность методов обмана человека с целью побуждения к действиям, способствующим несканционированному доступу к информации или инфраструктуре.

Кратко - обман человека с целью побуждения к действиям, выгодным к злоумышленнику.

Автор, Юрий Другач, пишет простым языком с скриншотами и иллюстрациями, поэтому прочитал за два перелёта. По стилю изложения похожа на книгу «Хакерство. Физические атаки с использованием хакерских устройств», о которой писал ранее. В принципе обе книги позволяют быстро получить представление об обозначенных темах и методах злоумышленников, не перекапывая десятки статей в Интернете.

  • ❇️ Интересно описание не очевидного метода "Find Trap" или "самостоятельный поиск ловушки" - злоумышленник направляет жертву на самостоятельный поиск вредоносного ресурса через поисковые системы. При этом обходятся средства защиты - первое сообщение или письмо не содержат вредоносных вложений или ссылок, и снижается бдительность - ведь жертва сама ищет информацию, а значит обманчиво контролирует ситуацию. Вариантов масса - упоминание нового термина, комментарий с рекомендацией погуглить, письмо от выдуманной компании, метод заработка, отзыв на несуществующую книгу 😉
  • ❇️ Не связанный с техникой приём социальной инженерии - «плечевая атака» или «пле­чевой сер­финг» - прос­тое подглядывание со сто­роны за источни­ком кон­фиден­циаль­ной информации. Кстати, сидя в самолёте, где я как раз читал книгу, прекрасно видно телефон человека спереди по диагонали. Недавно, невольно зацепился за условия по зарплате пассажира, летевшего после собеседования, а в этот раз сосед вычитывал научную монографию. Учитывая, что утренний и вечерний рейс аэрофлота обычно "деловой" и встречаешь много знакомых лиц, нужно быть осторожнее с экраном ноутбука и телефона.

❗️После прочтения можно стать параноиком и с опаской относиться к каждому полученному сообщению, но основной метод защиты - это повышение осведомлённости. Предупреждён — значит вооружён.

Чтобы не попасть на find trap при поиске книги😂, даю ссылки - купить книгу можно на озон и на сайте издательства.

#книгифильмы@oscar_cybersec #фишинг #социальнаяинженерия

Обложка книги «Контролируемый взлом. Библия социальной инженерии» в руках на фоне салона самолёта; видно крупным планом.
Книга в руке автора в салоне самолёта.