телефонного разговора, заставляет его назвать пароль к своему аккаунту? (Подробности в главах шесть и семь.)
Каждый ингредиент важен и поможет понять вкус «блюда» под названием «социальная инженерия». Изучив все приемы по отдельности, вы научитесь видеть, что кто-то пытается применить их и повлиять на вас. И тогда вы успеете защититься.
Смотрели когда-нибудь кулинарные шоу Гордона Рамзи? Он всегда ясно формулирует, что именно ему не нравится в блюде. Например: «Здесь слишком много перца и масла». А новичок, возможно, сказал бы: «Блюдо слишком острое и жирное». Существенно ли отличаются эти формулировки? По-моему, да. И я хочу помочь вам стать Гордонами Рамзи мира социальной инженерии (но, конечно, не такими сквернословами).
Итак, приступим же к делу. И начнем с обсуждения сбора данных из открытых источников.
2. Видите ли вы то, что вижу я?
Помните, что неудача – это лишь событие, которое не делает человека неудачником.
Сбор данных в открытых источниках – фундамент деятельности социального инженера. С обработки информации начинается и на использовании информации держится любая операция. Именно поэтому нужно разобраться, какие способы получения информации об объектах воздействия доступны социальным инженерам.
Вне зависимости от того, какой способ использования открытых источников вы выберете, важно заранее четко знать, что именно вы ищете. А это не так просто, как кажется. Ведь формулировка в духе «Хочу найти всю доступную информацию об объекте» – это не цель. Разная информация имеет для нас разную ценность, и ценность эта варьируется в зависимости от выбранного типа атаки.
Сбор данных из открытых источников в реальной практике
Давайте для начала я помогу вам увидеть ситуацию в целом. Согласно данным с сайта http://www.worldwidewebsize.com, на сегодняшний момент в мире зарегистрировано больше 4,48 млрд веб-страниц. Причем сюда не входят неиндексированные страницы, теневой интернет и т. п. Ежегодный мировой интернет-трафик достиг 1,3 зеттабайт (то есть 1 300 000 000 000 000 000 000 байт). В общей сложности в интернете может храниться порядка 10 йоттабайт данных (в байтах это 10 000 000 000 000 000 000 000 000).
ЗАБАВНЫЙ ФАКТ
Йоттабайт, как ни странно, следующий за зеттабайтом, был назван в честь персонажа «Звездных войн» – магистра Йоды. Впрочем, существуют несколько других категорий для еще бо́льших чисел и с еще более странными именами: например, shilentno-байт и domegemegrotte-байт.
Почему так важно представлять себе объем интернет-трафика? Например, если вы планируете адресный фишинг, вам необходимо искать информацию о хобби, предпочтениях и ценностях жертвы. Если же вы готовитесь к вишингу, больше смысла будет в сборе информации о месте работы жертвы и ее статусе в своей организации. Также стоит узнать обо всех внешних и внутренних службах, звонку из которых этот человек не будет удивлен. Если же вы собираетесь общаться с объектом воздействия лично, вам нужно знать,