Что важно при выполнении атак? Обратная связь для жертвы! Она может быть более или менее эффектной:

(минутку, найду для вас пример)

Но совсем без обратной связи делать атаки не рекомендуем:

На Коде ИБ ПРОФИ в Сочи мы расскажем подробней про модель психологического воздействия, разные векторы атак с использованием социальной инженерии, навыки и мотивацию сотрудников, доверие к безопасности, положительную обратную связь и другие интересные вещи.

Главное — разберем, как организовать процесс обучения и тренировки навыков ваших людей.

И практика: мы вместе разработаем учебные цифровые атаки, запустим их и получим реальную обратную связь от очень сильной цели, которая сама согласилась ей стать!

Для начала обсуждения приглашаю всех в комментарии. И до встречи в Сочи 😊

Сергей, а вот пример "В прилагаемом файле - список кандидатур на Мисс Компания - 2019, добавляйтесь если хотите участвовать" это вектор "Любопытство" или все же что-то отдельное? Вроде бы и любопытство, но подтекст иной совершенно чем "посмотри как ты отжигаешь на видео". Это был кейс от SearchInform, кажется, "пробитие" было почти 100%

Да, мы политкорректно это Любопытством классифицируем 😉 Ольга что скажешь про это?

Здесь перекликаются как эмоции, так и лежащие за ними потребности человека. Рядовой сотрудник, которому просто скучно - испытает любопытство (потомучто это поможет ему развеять ту же скуку, посмотреть на красивые фото тех, кто уже участвует). Если же у нас есть сотрудница, которая испытывает потребность в признании (со стороны коллектива, общества и т.д.), не важно по какой причине (самооценка или еще что), то она испытает и любопытство, и жадность (эквивалентом прибыли являются не только деньги, но в том числе репутация, признание, популярность и пр.).

При этом понятно, что спектр эмоций больше, нежели мы указываем. Просто те, что мы используем - базовые и позволяют классифицировать все возможные цифровые атаки с психологической точки зрения. Никто вам не мешает использовать те же эмоциональные спектры и выделять более "узкие эмоции", для примера классический вариант:

Очень сложная, но красивая схема. А не было ли идеи соотносить бессенсорную "осведомленность" и "навык" с сенсорным опытом? Я в том смысле, что по старой традиции делить всех на визуалов, аудиалов и кинестетиков пробовать учить сотрудников учиться "слышать звоночки", "чувствовать как тебя пытаются поймать на крючок", "замечать маячки"? Ну чтобы сотрудник, который видит письмо явно за пределом рутины, попробовал у себя внутри найти "звонок"/"крючок"/"маячок"?

В конце концов, фишинг - это про рыбалку :)

По мере тренировки навыков мы: 1. Даем опыт столкновения с атаками. Согласно статистике, человека (функциональный и без отклонений в развитии), столкнувшегося хоть раз с цифровой атакой, сложнее обмануть и подтолкнуть к повторным необдуманным действиям (точные цифры не скажу, но разница статистически значимая - около ~60%).  2. Позволяем использовать полученные на курсах обучения знания - на практике. Т.е. как раз сдетектировать данные сигналы мошеннического контента. Вот только какой арсенал они используют - их дело (мы же ценим права и свободы личности :)). К какому бы типажу они не принадлежали (кинестетики, визуалы или аудиалы), - полученное обучение/тренировки, позволяют им усваивать материал на всех уровнях.

Если мы делим людей на категории, то тогда должны индивидуально подстраивать под каждую аудиторию обучение и тренировку. Тогда возникает два организационных вопроса: 1.  Смогут ли компании проводить дополнительно тестирование сотрудников, чтобы выделять им отдельное обучение/тренировки.  2. Зачем вообще так заморачиваться? В большинстве случаев данное деление не работает, особенно в среде обучения. Чем  функциональнее человек, тем большими средствами он может оперировать (те ме же психическими). Большинство людей - смежные типы аудиалы/визуалы, визуалы/кинестетики. Про четкую разграниченность можно говорить скорее как про исключение. Когда очевидный аудиал - скрытый музыкальный гений.

Тем не менее, личностные черты имеют важное значение. Про это мы так же поговорим на масстер-классе и расскажем, как можно те или иные качетсва детектировать у пользователей в тех же социальных сетях, чтобы создавать действительно мощные обучающие атаки.

Если в данном случае вам будем удобнее  использовать именно  типологию личности по видам восприятия, то - это ваш инструмент. Средства все хороши, главное уметь их использовать.

Просто я думаю, что чем ближе к бессознательному "распознаем острый крючок спинным мозгом", тем эффективнее триггер (тоже, кстати, "крючок") на "чувство опасности" - "меня пытаются поймать". А схема по эмоциям точно будет работать, но только у тех у кого эмоциональный интеллект и/или рефлексия в порядке (впрочем обычно это так). Спасибо за подробные ответы, сожалею что в этот раз не смогу быть на курсе. Посмотрю Ваше выступление в сети.

Эмоции не единственный инструмент, который мы предлагаем. Обязательно посмотрите запись мастер-класса, думаю вам понравится и я найду возможность не раз поднять заинтересовавшую вас тему :)

Дело в том, что она не только меня интересует. Начальный (инициирующий) инструментарий наших замечательных группировок Lurk, Carbanak и прочих умников это как раз фишинговые письма (АнтиДРОП, руководящие указания ЦБ и прочее) и баннеры "Вы выиграли N $". До 80% атак начинаются именно так. Последний наш кейс с уплывшими в Канаду 100.000EUR предназначенных для Хорватии (на покупку турками яхты) также начитался с подмены в эл.письме в домене "i" на "l" (thimarine - thlmarine). Эффективное обучение антифишингу - реальный ключ к снижению количества и стоимости инцидентов. Один человек, поймавшийся на удочку - это готовая дыра в системе нерегулярного размера. Буду смотреть, короче...