Віктор Турський про програмування / навігатор

концепції / social-engineering

Соціальна інженерія

Позиція каналу: найслабша ланка — це рідко криптографія, це людина, яку вмовили співпрацювати. Головний розбір теми — випуск про телефонних шахраїв, де Віктор програє справжній запис дзвінка шахраїв йому самому і розбирає їхній сценарій. Усе починається з роботизованого повідомлення «записано за розпорядженням Національного банку України, вашу картку заблоковано» — трюк із подачею, через який вхідний дзвінок сприймається як щось офіційне, що жертва нібито ініціювала сама, тож вона забуває, що це їй подзвонили. Далі жива «операторка» на імʼя Світлана нарощує довіру. Він проходить по ознаках обману: назва банку непомітно зʼїжджає з Національного банку на Ощадбанк, вони згадують ПриватБанк, якого він не називав, а просте запитання «яка мета дзвінка?» розвалює весь сценарій. Захист, який він повторює (відео він записав, щоб попередити батьків не менше, ніж підписників): справжні банки ніколи не просять промовляти вголос конфіденційні ідентифікатори — PIN, паспортні дані, кодове слово. Тверезна деталь: шахраї вже знали його імʼя та номер, а отже його контактні дані витекли до шахрайської бази.

Та сама схема маніпуляції зʼявляється і в технічних атаках: у випуску про те, чи захистить вас HTTPS атака з підробленим сертифікатом працює лише тому, що жертву переконують двічі клацнути й встановити сертифікат «щоб запрацював інтернет у кафе» — криптографія надійна, експлойтом є людина. А голосове про адмінські ключі для розробників показує суміжний сценарій провалу: взагалі без атакувальника — лише довіра та зручність, які ведуть до надто широкого доступу і реальної шкоди.

Розібрано у відео

Повʼязане

Практики безпеки — технічний захист марний, якщо людина сама віддає ключі. Принцип найменших привілеїв — обмежує радіус ураження, коли довіра виявилася хибною. HTTPS і TLS — валідний замочок нічого не означає, якщо ви власноруч встановили сертифікат атакувальника.