SlideShare a Scribd company logo

Социальная инженерия для инженеров

Download as PPTX, PDF
Vlad Styran
Vlad Styran
BusinessTechnology
1 of 27
социальная инженериядля инженеров Владимир Стыран BMS Consulting, LLC
Что такое социальная инженерия?
Научный метод
Social Engineering (SE)Социальная инженерия(СИ) The act of manipulating a person to accomplish goals that may or may not be in their best interest. Акт манипулирования человеком для достижения целей, которые могут быть или не быть в его интересах. www.social-engineer.org
Методы СИ
Психологическое воздействие
Отвлечение внимания Подчинение авторитету Эффект толпы и общественное начало Боязнь попасться на лжи Успешный обман Наши Нужды и Желания Ощущение срочности Давление на жалость
Невербальная коммуникация
Яблоко от яблони…
При общении 80% информации мы передаем и получаем не вербально Жесты и мимика не врут (без тренировки) Попытки подавить лимбические реакции становятся причиной микро выражений Важно: однозначно распознать ложь невозможно Путь к познанию лежит через внимательность к окружающим
Тактика социального инженера
Pretexting (предлог) Соц. инженер «до»: личность, сценарий Framing (обрамление) Цель «до»: опыт, эмоции, переживания Elicitation (извлечение) Выманивание информации Manipulation (манипуляция) Побуждение к действиям
Нейролингвистическое программирование
Рискии угрозы
Инцидентная практика
Типичный сценарий атаки
Почему соц. инженерия успешна? Людям свойственно доверять Люди склонны помогать Человеческий мозг не совершенен Хороших людей больше… … но плохие лучше вооружены
Как защищаться?
Образование себя, своей семьи, друзейи коллег Здоровый скепсис доверяй но проверяй Язык тела мимика, взгляд, позы, микро выражения Инструктажи пользователей DON’T KLICK THE LINKS !!!111one11eleven
Как использовать во благо? Воспитание и обучение концентрация внимания поддержка авторитета Кризисные ситуации стабилизация поведения побуждение к действию Руководство и переговоры «медиация», «бутерброд», мотивация и т.д.
Что читать Chris Hadnagy Social Engineering Joe Navarro What Every Body Is Saying Louder Than Words Kevin Mitnick The Art Of Deception
Социальная инженерия в медиа
WWW www.social-engineer.org Social Engineer Porcast @humanhacker www.jnforensics.com @navarrotells www.paulekman.com
Постоянно практикуйтесь! Придержите дверь идущему сзади Поговорите о погоде с коллцентром Следите за невербаликой собеседника Не поддавайтесь на уловки Не спешите Не отвлекайтесь Думайте всем мозгом!
Спасибо за внимание! www.sapran.com sapran@sapran.com @xaocuc skype/sapran

Recommended

РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digital
РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digitalРИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digital
РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digitalТарасов Константин
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 

Recommended

РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digital
РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digitalРИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digital
РИФ 2016, ГК «МИЦ»: Комплексная стратегия присутствия в digitalТарасов Константин
 
Процедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниПроцедура внедрения СУИБ в банке: основные шаги и подводные камни
Процедура внедрения СУИБ в банке: основные шаги и подводные камниVlad Styran
 
Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Recon-Fu @BsidesKyiv 2016
Recon-Fu @BsidesKyiv 2016Vlad Styran
 
Кібер-Шмібер
Кібер-ШміберКібер-Шмібер
Кібер-ШміберVlad Styran
 
Berezha Security
Berezha SecurityBerezha Security
Berezha SecurityVlad Styran
 
Наступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеНаступательная безопасность: шпаргалка заказчика тестов на проникновение
Наступательная безопасность: шпаргалка заказчика тестов на проникновениеVlad Styran
 
Социальные аспекты ИБ
Социальные аспекты ИБСоциальные аспекты ИБ
Социальные аспекты ИБVlad Styran
 
правда про ложь
правда про ложьправда про ложь
правда про ложьVlad Styran
 
Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016bugcrowd
 
Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...Калинкина Наталья
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
кризис руководителя на кончиках пальцев
кризис руководителя на кончиках пальцевкризис руководителя на кончиках пальцев
кризис руководителя на кончиках пальцевАндрей Анатольевич Ващенко
 
имидж жен2013
имидж жен2013имидж жен2013
имидж жен2013Denis Bohush
 
Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.Alexandr Yakimenko
 
Информационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляцииИнформационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляцииMax Kornev
 
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 

More Related Content

Viewers also liked

Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженераVlad Styran
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTVlad Styran
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buyVlad Styran
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Vlad Styran
 
#root это только начало
#root это только начало#root это только начало
#root это только началоVlad Styran
 
Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016bugcrowd
 

Viewers also liked (6)

Путевые заметки социального инженера
Путевые заметки социального инженераПутевые заметки социального инженера
Путевые заметки социального инженера
 
Прелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINTПрелюдия к атаке: практика и автоматизация OSINT
Прелюдия к атаке: практика и автоматизация OSINT
 
Next generation pentest your company cannot buy
Next generation pentest your company cannot buyNext generation pentest your company cannot buy
Next generation pentest your company cannot buy
 
Построение Secure Development Lifecycle
Построение Secure Development Lifecycle Построение Secure Development Lifecycle
Построение Secure Development Lifecycle
 
#root это только начало
#root это только начало#root это только начало
#root это только начало
 
Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016Bug Bounty Hunter Methodology - Nullcon 2016
Bug Bounty Hunter Methodology - Nullcon 2016
 

Similar to Социальная инженерия для инженеров

Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...Калинкина Наталья
 
Social engineering
Social engineeringSocial engineering
Social engineeringcnpo
 
имидж жен2013
имидж жен2013имидж жен2013
имидж жен2013Denis Bohush
 
Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.Alexandr Yakimenko
 
Информационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляцииИнформационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляцииMax Kornev
 

Similar to Социальная инженерия для инженеров (6)

Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...Презентация к исследовательской работе: "Влияние средств массовой информации ...
Презентация к исследовательской работе: "Влияние средств массовой информации ...
 
Social engineering
Social engineeringSocial engineering
Social engineering
 
кризис руководителя на кончиках пальцев
кризис руководителя на кончиках пальцевкризис руководителя на кончиках пальцев
кризис руководителя на кончиках пальцев
 
имидж жен2013
имидж жен2013имидж жен2013
имидж жен2013
 
Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.Почему мы боимся выступать? Публичные выступления.
Почему мы боимся выступать? Публичные выступления.
 
Информационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляцииИнформационная безопасность: Технологии манипуляции
Информационная безопасность: Технологии манипуляции
 

More from Vlad Styran

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...Vlad Styran
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Vlad Styran
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too lateVlad Styran
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101Vlad Styran
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...Vlad Styran
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security WebcastVlad Styran
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecurityVlad Styran
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunitiesVlad Styran
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckVlad Styran
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюVlad Styran
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UAVlad Styran
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themVlad Styran
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Vlad Styran
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюVlad Styran
 

More from Vlad Styran (14)

В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
В чому різниця між тестами на проникнення, аудитами, та іншими послугами з кі...
 
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
Human is an amateur; the monkey is an expert. How to stop trying to secure yo...
 
The sooner the better but never too late
The sooner the better but never too lateThe sooner the better but never too late
The sooner the better but never too late
 
Threat Modeling 101
Threat Modeling 101Threat Modeling 101
Threat Modeling 101
 
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
BSides Kharkiv 2018: Social-engineering your quality of work, personal, and s...
 
Application Security Webcast
Application Security WebcastApplication Security Webcast
Application Security Webcast
 
Sigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software SecuritySigma Open Tech Week: Bitter Truth About Software Security
Sigma Open Tech Week: Bitter Truth About Software Security
 
NoNameCon partnership opportunities
NoNameCon partnership opportunitiesNoNameCon partnership opportunities
NoNameCon partnership opportunities
 
BruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't SuckBruCON 0x09 Building Security Awareness Programs That Don't Suck
BruCON 0x09 Building Security Awareness Programs That Don't Suck
 
Организация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностьюОрганизация, культура, и управление кибер-безопасностью
Организация, культура, и управление кибер-безопасностью
 
Cybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UACybersecurity Framework 021214 Final UA
Cybersecurity Framework 021214 Final UA
 
Fantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from themFantastic Beasts and where to hide from them
Fantastic Beasts and where to hide from them
 
Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...Использование приватных, публичных и гибридных облаков для обеспечения информ...
Использование приватных, публичных и гибридных облаков для обеспечения информ...
 
Центр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностьюЦентр оперативного управления информационной безопасностью
Центр оперативного управления информационной безопасностью
 

Социальная инженерия для инженеров