В 1865 году британский священник методистской церкви Уильям Бут создал организацию, под красивым непонятным названием "Евангельская Христианская ассоциация возрождения". В историю она вошла под возникшим позже лаконичным названием "Армия Спасения".

Самое уязвимое место любой информационной системы — это люди, её эксплуатирующие. Вам не требуется взламывать систему, если можно уговорить оператора сказать вам пароль. Можно войти в доверие жертвы и попросить незначительную услугу, в которой неловко отказать.

Самым известным социальным инженером является Кевин Митник. Его подробная биография и противостояние с другим хакером по имени Цутомо Шимомуро изложены тут.

Набор крутых историй в статье Как Митник троллил ФБР. Непревзойдённой считаем зарисовку "Обходим систему зашифрованной радиосвязи", в которой Митник своими действиями вынуждал сотрудников ФБР переходить от шифрованной связи к открытой, которую он мог подслушать.

Краткую биографию и историю про хакеров из макдональдса можно прочитать в статье. Собственно, хакинга макдональдса и не было, речь про вещание на частоте окошка макавто и троллинге посетителей. История примечательна тем, что многие действия Митника были мотивированы жаждой развлечься, а не получением выгоды. Но это не отменяет последствия его действий, в том числе уголовных.

Митник написал книги Искусство обмана (2001, по ней сняли посредственный фильм 2019 года) и Призрак в Сети (2012) с интересными историями.

Проектируя систему безопасности, учитывайте склонность людей совершать глупости. Не давайте сотруднику больше прав, чем необходимо. Предполагайте, что сотрудник случайно или намеренно может использовать своё положение для получения данных.

Пост я опубликовал в прошлом году в ТГ. А совсем недавно, 16.07.2023 Кевин Митник умер от рака поджелудочной. Надеюсь, эти источники вас заинтересуют, и вы познакомитесь с социальной инженерией вообще и с заслугами Митника в частности.

Езжу по дорогам родного Нижнего Новгорода от окраины до окраины. И стал замечать, что на выездах из города стоят машины на аварийке и около нее голосует мужик. Останавливаюсь, ну вдруг че помочь надо, прикурить или еще чего. А на деле оказывается, что это лица без национальности начинают рассказывать слезливую историю, что одному надо доехать до Питера, а денег нет (ага, на бэхе не самой древней). Я сначала не понял, говорю: ну 500р могу дать. А он: не, надо 10к, прям очень надо, я отдам в пн... Ну все понятно подумал я.
Второй просился в Пятигорск, ага-ага, на нижегородских номерах...
В общем будьте бдительны, не ведитесь на социальную инженерию.
П. С: не кидайте тапками, если это уже баян. Может кому поможет.

Живу в Германии, работаю в IT. На днях в нашей конторе ушла налево зарплата одного сотрудника. Хакеры, взломы, использование неизвестных уязвимостей? Не-а. Социальная инженерия, простая до безобразия.

Кто-то с почты на Hotmail написал нашему HR, представился именем этого сотрудника и попросил в связи со сменой банка изменить счет для перечисления зарплаты (это ок, зарплатных карт тут не бывает, сотрудник дает работодателю реквизиты личного счета). HR не смутило ни письмо с левой (а не рабочей) почты, ни отсутствие электронной подписи, ни дикие ашыпки явно указывающие на гуглопереводчик, ни неправильное написание имени. Он пожурил "сотрудника" за некорректно составленное обращение, попросил в следующий раз так не делать и поменял реквизиты во внутренней системе, на основании которой бухгалтерия перевела деньги.

Вскрылось все это только через несколько дней, когда настоящий сотрудник стал выяснять, где его зарплата. Откатывать платеж было уже поздно. Теперь этим занимается полиция, а HR ищет новую работу. Вангую, что счет оформлен на бомжа Ганса, деньги давно ушли так что концов не найти, а Hotmail отдаст полиции IP-адрес прокси в Зимбабве.

Сижу, никого не трогаю. Звонок:
- Здравствуйте Имярек Батькович (Имя, отчество - мои), вас беспокоит старший следователь Мошенникова Ложь Обмановна. Сообщаю вам, что разговор записывается. Вы можете сейчас подъехать в отделение полиции, по поводу уголовного дела, пока оно не попало в единый реестр досудебных расследований?
Я:
- Конечно могу, вы приезжайте ко мне домой и забирайте, и везите с мигалками, коль вам лень повестку было мне прислать.

Гудки....

Пояснения.

Обычно с материалами уголовного дела ознакамливаются либо после получения повестки, либо после ареста (когда везут на машине с мигалками).

Задачей данного звонка было выманить у меня паспортные данные (или другие персональные данные) или что похуже - сделать реальную встречу, где будут разводить по полной.