концепції / social-engineering
Соціальна інженерія
Позиція каналу: найслабша ланка — це рідко криптографія, це людина, яку вмовили співпрацювати. Головний розбір теми — випуск про телефонних шахраїв, де Віктор програє справжній запис дзвінка шахраїв йому самому і розбирає їхній сценарій. Усе починається з роботизованого повідомлення «записано за розпорядженням Національного банку України, вашу картку заблоковано» — трюк із подачею, через який вхідний дзвінок сприймається як щось офіційне, що жертва нібито ініціювала сама, тож вона забуває, що це їй подзвонили. Далі жива «операторка» на імʼя Світлана нарощує довіру. Він проходить по ознаках обману: назва банку непомітно зʼїжджає з Національного банку на Ощадбанк, вони згадують ПриватБанк, якого він не називав, а просте запитання «яка мета дзвінка?» розвалює весь сценарій. Захист, який він повторює (відео він записав, щоб попередити батьків не менше, ніж підписників): справжні банки ніколи не просять промовляти вголос конфіденційні ідентифікатори — PIN, паспортні дані, кодове слово. Тверезна деталь: шахраї вже знали його імʼя та номер, а отже його контактні дані витекли до шахрайської бази.
Та сама схема маніпуляції зʼявляється і в технічних атаках: у випуску про те, чи захистить вас HTTPS атака з підробленим сертифікатом працює лише тому, що жертву переконують двічі клацнути й встановити сертифікат «щоб запрацював інтернет у кафе» — криптографія надійна, експлойтом є людина. А голосове про адмінські ключі для розробників показує суміжний сценарій провалу: взагалі без атакувальника — лише довіра та зручність, які ведуть до надто широкого доступу і реальної шкоди.
Розібрано у відео
- Голосове №4 — як мені дзвонили шахраї
справжній шахрайський дзвінок, записаний і розібраний: сценарій штучно створеної довіри, його ознаки і як одне запитання його розвалює
- Питання та відповіді №1: чи захистить HTTPS?
атака з підробленим сертифікатом працює через те, що жертву переконують встановити сертифікат «для інтернету в кафе»
- Голосове №1 — чому не можна давати розробникам адмінські ключі
людсько-процесний «родич» проблеми: ризик, породжений довірою та зручністю, а не атакувальником
Повʼязане
Практики безпеки — технічний захист марний, якщо людина сама віддає ключі. Принцип найменших привілеїв — обмежує радіус ураження, коли довіра виявилася хибною. HTTPS і TLS — валідний замочок нічого не означає, якщо ви власноруч встановили сертифікат атакувальника.