vag4b0nd
29.12.2017, 16:57
[0] - [Вступление.]https://forum.antichat.xyz/attachments/4793656/img_bb9834f909.png
Всех приветствую дорогие друзья! Решил я сегодня завести речь о социальной инженерии(помимо моих 3-х циклов продолжение которых вы увидите после нового года). Почему о социально инженерии?
Да по тому, что мало что о ней написано на нашем прекрасном форуме. В основном и писать нечего - все же лучше практика!
Я постараюсь рассказать вам о некоторых тонкостях и способах которые использую лично я, и о которых был наслышан) В путь!
Если вы уже знакомы с СИ, то можете пропустить пункты 1 и 2 так как не найдете там ничего нового.
[1] - [Что это такое?]
Для начала не много от себя
Социальная Инженерия - это методы управления действиями человека воздействуя на него какой-либо информацией.
Теперь сравним с wiki
Социальная инженерия - метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
Разницы практически нет. Но хотелось бы добавить, что информация - это самое страшное оружие(фактор воздействия).
[2] - [Где хакеры применяют СИ?]
В основном в 1/4 хакерских атак проводимых на пользователей проявляется социальная инженерия.
https://forum.antichat.xyz/attachments/4793656/img_0577cbaad5.png
В частности:
Фишинг атака
Brute Force(при сборе информации)
Доставка малвари
Скрытие малвари
Проявим в MITM
При проведении CSS(XSS) атаки
CSRF атака(внушение перейти по ссылке)
И еще можно привести множество примеров. В следующем пункте рассмотрим само применение СИ.
[3] - [Вид изнутри]
Фишинг.
Мы уже рассматривали, что же из себя представляет фишинг в моем цикле "Получение доступа к аккаунтам социальных сетей" и более подробно в link removed.
Цикл:
Получение доступа - Введение (https://forum.antichat.xyz/threads/560947/).
Получение доступа - Фишинг (https://forum.antichat.xyz/threads/560951/).
Получение доступа - MITM (https://forum.antichat.xyz/threads/560988/).
Но теперь посмотрим на фишинг с обратной стороны - со стороны пользователя!
На ведь нужно используя социальную инженерию:
Скрыть фишинг
Доставить пользователю
И все это дело занимает не мало времени)
Ну-с друзья, приступим!
1. Перейдем по ссылке и обратим внимание на все детали какиетолько могут быть.
https://forum.antichat.xyz/attachments/4793656/img_4a28388e6f.png
Видим, что деталей которые может заметить пользователь просто куча!
2. Заметим, что при переходе по ссылке, мы попадаем с социальной сети на фишинг все той же социальной сети, причем сама странность в том, что мы попали на допустим страницу авторизации с открытой в другой вкладке этой же соц. сетью(реальной), вызовет сомненья у нормального человека. О том как заменить вкладки я писал в книге.
п.с: мы смотрим со стороны пользователя на пока что плохой фишинг.
3. Также все зависит от того, как пользователю был подсунут фишинг. Чаще всего очень плохой фишинг впаривают очень очень плохо. А именно:
Привет!
Я создал новый паблик. Можешь подписаться?
А теперь проанализируем хороший фишинг(в моей книге описано создание приличного фишинга).
1. Смотрим
https://forum.antichat.xyz/attachments/4793656/img_6159f4eb12.png
Как видим по мелким деталям - все изменилось.
2. Вкладка с моей социальной сетью заменилась фишингом, а в новой вкладке открыт сайт для отводки глаз.
https://forum.antichat.xyz/attachments/4793656/img_7f59543341.png
Также прошу заметить важную деталь, что при авторизации, фишинг произведет редирект вас на настоящую соц. сеть в которой вы уже авторизованы. И произойдет магия будто вы и вправду авторизовались после например ошибки.
3. Как правило при хорошем фишинге вам и впарить его постараются красиво. Например в ВК вам придет оповещение от "Администрации" следующего типа:
https://forum.antichat.xyz/attachments/4793656/img_91701ea22b.png
Вот так в фишинге мы проявили социальную инженерию. Хакер воздействует на пользователя не только полученной информацией, но и правильно сконструированной не правдой)
Brute Force(при добычи информации).
При проведении подбора пароля, мы должны узнать кучу информации о цели с последующим ее комбинированием(для составления пароля).
Помимо пароля нам конечно же нужен номер телефона. После месяца(в) а то и больше общения с целью. Мы наверняка входим в доверие и пытаемся получить какую-либо более важную информацию. Опять таки давайте встанем на место цели и посмотрим с другой стороны.
В доверие мы вошли не до конца. Поэтому я как цель ясное дело не доверяю свою информацию другому человеку.
Перед тем как начать общение с целью укажите в своей фейковой странице город который указан у цели.
Не всегда у цели указан реальный город!
Поэтому обратимся к фотографиям и порыскаем по exif данным. Я когда доходит дело, использую exiftool.
Далее смотрим на возраст. Он опять таки указан не всегда точный, поэтому снова обратим внимание на фото. А самое главное на манеру общения. Это можно сделать почитав посты на странице пользователя. Обратите внимание на то, в каких группах(пабликах) участвует цель. Возраст мы примерно определили. Себе на фейк ставим +/- 1 от этого возраста. Также в этой же или в другой социальной сети ищем пользователя подходящего по возрасту и просто добавляем себе на фейк эти фотографии.
Теперь перейдем к брутфорсу. Нам нужно получить более важную информацию. И мы создали наш танк для того чтоб пойти в бой!
Допустим выудили номер телефона. Теперь нужно проверить, привязан ли он к этому аккаунту.
Переходим по "Забыли пароль"(мобильной версии). Пишем номер который удалось узнать и фамилию пользователя. Если пользователь с такими данными имеется, то ясно дело что номер который мы вводили ранее привязан к данной странице.
https://forum.antichat.xyz/attachments/4793656/img_1e8cd632d0.png
Значит что тот номер который я выудил привязан к странице данного пользователя.
А если не получилось, то постарайтесь узнать нет ли у данного пользователя фейка.
А действия далее нас уже не интересуют. Так как сегодня мы разбираемся только с СИ.
На этом все друзья.
С наступающим вас!
https://forum.antichat.xyz/attachments/4793656/img_3d836ae4ee.png
П.С: в этой статье есть маленький новогодний таск. Первым трем решившим +1 репутации)
Всех приветствую дорогие друзья! Решил я сегодня завести речь о социальной инженерии(помимо моих 3-х циклов продолжение которых вы увидите после нового года). Почему о социально инженерии?
Да по тому, что мало что о ней написано на нашем прекрасном форуме. В основном и писать нечего - все же лучше практика!
Я постараюсь рассказать вам о некоторых тонкостях и способах которые использую лично я, и о которых был наслышан) В путь!
Если вы уже знакомы с СИ, то можете пропустить пункты 1 и 2 так как не найдете там ничего нового.
[1] - [Что это такое?]
Для начала не много от себя
Социальная Инженерия - это методы управления действиями человека воздействуя на него какой-либо информацией.
Теперь сравним с wiki
Социальная инженерия - метод управления действиями человека без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным.
Разницы практически нет. Но хотелось бы добавить, что информация - это самое страшное оружие(фактор воздействия).
[2] - [Где хакеры применяют СИ?]
В основном в 1/4 хакерских атак проводимых на пользователей проявляется социальная инженерия.
https://forum.antichat.xyz/attachments/4793656/img_0577cbaad5.png
В частности:
Фишинг атака
Brute Force(при сборе информации)
Доставка малвари
Скрытие малвари
Проявим в MITM
При проведении CSS(XSS) атаки
CSRF атака(внушение перейти по ссылке)
И еще можно привести множество примеров. В следующем пункте рассмотрим само применение СИ.
[3] - [Вид изнутри]
Фишинг.
Мы уже рассматривали, что же из себя представляет фишинг в моем цикле "Получение доступа к аккаунтам социальных сетей" и более подробно в link removed.
Цикл:
Получение доступа - Введение (https://forum.antichat.xyz/threads/560947/).
Получение доступа - Фишинг (https://forum.antichat.xyz/threads/560951/).
Получение доступа - MITM (https://forum.antichat.xyz/threads/560988/).
Но теперь посмотрим на фишинг с обратной стороны - со стороны пользователя!
На ведь нужно используя социальную инженерию:
Скрыть фишинг
Доставить пользователю
И все это дело занимает не мало времени)
Ну-с друзья, приступим!
1. Перейдем по ссылке и обратим внимание на все детали какиетолько могут быть.
https://forum.antichat.xyz/attachments/4793656/img_4a28388e6f.png
Видим, что деталей которые может заметить пользователь просто куча!
2. Заметим, что при переходе по ссылке, мы попадаем с социальной сети на фишинг все той же социальной сети, причем сама странность в том, что мы попали на допустим страницу авторизации с открытой в другой вкладке этой же соц. сетью(реальной), вызовет сомненья у нормального человека. О том как заменить вкладки я писал в книге.
п.с: мы смотрим со стороны пользователя на пока что плохой фишинг.
3. Также все зависит от того, как пользователю был подсунут фишинг. Чаще всего очень плохой фишинг впаривают очень очень плохо. А именно:
Привет!
Я создал новый паблик. Можешь подписаться?
А теперь проанализируем хороший фишинг(в моей книге описано создание приличного фишинга).
1. Смотрим
https://forum.antichat.xyz/attachments/4793656/img_6159f4eb12.png
Как видим по мелким деталям - все изменилось.
2. Вкладка с моей социальной сетью заменилась фишингом, а в новой вкладке открыт сайт для отводки глаз.
https://forum.antichat.xyz/attachments/4793656/img_7f59543341.png
Также прошу заметить важную деталь, что при авторизации, фишинг произведет редирект вас на настоящую соц. сеть в которой вы уже авторизованы. И произойдет магия будто вы и вправду авторизовались после например ошибки.
3. Как правило при хорошем фишинге вам и впарить его постараются красиво. Например в ВК вам придет оповещение от "Администрации" следующего типа:
https://forum.antichat.xyz/attachments/4793656/img_91701ea22b.png
Вот так в фишинге мы проявили социальную инженерию. Хакер воздействует на пользователя не только полученной информацией, но и правильно сконструированной не правдой)
Brute Force(при добычи информации).
При проведении подбора пароля, мы должны узнать кучу информации о цели с последующим ее комбинированием(для составления пароля).
Помимо пароля нам конечно же нужен номер телефона. После месяца(в) а то и больше общения с целью. Мы наверняка входим в доверие и пытаемся получить какую-либо более важную информацию. Опять таки давайте встанем на место цели и посмотрим с другой стороны.
В доверие мы вошли не до конца. Поэтому я как цель ясное дело не доверяю свою информацию другому человеку.
Перед тем как начать общение с целью укажите в своей фейковой странице город который указан у цели.
Не всегда у цели указан реальный город!
Поэтому обратимся к фотографиям и порыскаем по exif данным. Я когда доходит дело, использую exiftool.
Далее смотрим на возраст. Он опять таки указан не всегда точный, поэтому снова обратим внимание на фото. А самое главное на манеру общения. Это можно сделать почитав посты на странице пользователя. Обратите внимание на то, в каких группах(пабликах) участвует цель. Возраст мы примерно определили. Себе на фейк ставим +/- 1 от этого возраста. Также в этой же или в другой социальной сети ищем пользователя подходящего по возрасту и просто добавляем себе на фейк эти фотографии.
Теперь перейдем к брутфорсу. Нам нужно получить более важную информацию. И мы создали наш танк для того чтоб пойти в бой!
Допустим выудили номер телефона. Теперь нужно проверить, привязан ли он к этому аккаунту.
Переходим по "Забыли пароль"(мобильной версии). Пишем номер который удалось узнать и фамилию пользователя. Если пользователь с такими данными имеется, то ясно дело что номер который мы вводили ранее привязан к данной странице.
https://forum.antichat.xyz/attachments/4793656/img_1e8cd632d0.png
Значит что тот номер который я выудил привязан к странице данного пользователя.
А если не получилось, то постарайтесь узнать нет ли у данного пользователя фейка.
А действия далее нас уже не интересуют. Так как сегодня мы разбираемся только с СИ.
На этом все друзья.
С наступающим вас!
https://forum.antichat.xyz/attachments/4793656/img_3d836ae4ee.png
П.С: в этой статье есть маленький новогодний таск. Первым трем решившим +1 репутации)