Привет всем.
Сегодня я хочу рассказать вам про социальную инженерию (или кратко СИ).
В этой статье я хочу научить вас немного психологий.
Ладно начинаем.
Что такое Социальная инженерия
===========================
Социальное инженерия это психология которой пользуется хакер чтобы вытащить какую либо информацию или что либо другое от того против кого она принемается (жертва).
Обычно Социальной инженерией пользуются чтобы узнать кусочек информаций который нужен для взлома ,обмана или ещё чего нибудь другого.
С первово взгляда жертва в основном не когда не поверит что с ней болтает Социальный инженер а будет наоборот рад что тот с кем он говорит существует и будет поглощать нас нужной информации.
Пример Социальной инженерией
==========================
Допустим у нас есть форум под который мы хотим найти сплойт и мы хотим узнать его версию чтоб знать какой сплойт нам нужен (внизу форума не написана его версия) .
Что мы можем сделать?
В нашем случае мы можем обратиться к админу форума с просьбой сказать нам версию форума.
Но что если админ не такой дурак и он поймет что мы хотим взломать его форум (а то зачем же нам тогда знать его версию?) .
Для этого случая мы можем восполюзыватся Социальной инженерией .
Вот вам пример разговора который я провел с одним админом:
я: Привет
он: привет ,ты кто такой
я: я работаю в фирме безопастности сайтов
он: ааааааа я рад что ты выбрал поговорить сомной
он: скажи а что тебе надо
я: я хочу помочь тебе - сделать твой форум самым безопастным чтоб не один хакер не мог его взломать
он: а что тебе надо для этого
я: сказать мне твою версию.
он :Invision Power Board 1.3
я: спасибо скоро снова свяжусь с тобой
Как вы видите я добился результата- я знаю версию форума!
Давайте посмотрим несколько законов в Социальной инженерией.
1)я воспользывался предложением "я хочу помочь тебе - сделать твой форум самым безопастным чтоб не один хакер не мог его взломать" это предложение показало моей жертве какой я добрый и усилили её доверие ко мне
2)Один из важнейших законов Социальной инженерии оно что никогда после того как ты получил информацию котороя нужна
не сообщай что ты надул того у кого ты стырил информацию. Обычно лучьше продолжать разговор дружелюбно чтобы когда жертва пострадает она не подумала что ты виноват в этом.
История Рифкина
==============
Рифкин был самым большим Социальным грабителям за всю историю.
С помощью Социальной инженерией он достал себе 10 миллионов 200 тысяч долларов с помощью того что он воспользывался Социальной инженерией в одном очень уязвимом банке.
Как он это сделал ?
Очень просто ,он узнал, что служащие банка в котором он работал по контракту уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов.
Тогда он зашёл в это помещение со специальным визитом.
Зайдя в комнату, он немного повозился со своей работой, и незаметно прочитал и запомнил код на прилепленном кусочке бумаги.
Потом он ушел с работы и набрал номер помещения для трансфертов.Он представился банковсковским консультантом Майклом Хансеном, служащего Международного Отдела банка.
Сказав код который у него был прилепленн на кусочке бумаги он сообщил что он хочет перевести ровно 10 миллионов 200 тысяч долларов для Компании Ирвин-Траст в Нью-Йорке в качестве кредита в Банк Wozchod Handels в котором у него уже был открыт счёт.
Вдруг у него попросили внутриофисный номер который он не знал
.
Хотя Рифкин не ожидал этого вопроса он сообщил чтобы Дали иму проверить, и что он перезвонит позже.
Сразу же он позвонил в другое отделение банка и представил себя работником из помещения для трансфертов и получил нужный номер .
Перезвонив сново вто место куда он звонил до этого он сообщил внутриофисный номер и деньги были посланы.
Как с помощью СИ заставить жертву установить вирус
============================================
В основном это может не всегда сработать так что берегитесь ,так как на чаще весов висит доверие жертвы.
Ладно посмотрите на мой разговор с жертвой :
я:Привет!
жертва: прив
жертва: кото это
я: старый друг
жертва:как дела
я:все о.к. знаеш я тут программку построил на языке batch
жертва: я рад
я: ты можеш проверить её?
жертва: хорошо
я:только отключи антивирус а то все что пишется на языке batch он принемает за вирус
жертва: нет, а вдруг это вирус
я: это не вирус, эта программа делает 6 значные номера для аськи
жертва:хорошо!!!
я:на линк (я дал линк)
жертва:спасибо
я:удачи
жертва:я установил
Давайте аосмотрим что надо делать в таких случаях.
1)не говорить что это вирус и заставить жертву в это поверить.
2)Надо придумать что-то такое заманчивое что даже тот кто понимает что это может быть вирус отключил бы антивирус чтобы получить дань (в нашем случае эта дань она шестизнак).
Выводы
======
Как вы видети люди полностью уязвимы.
Они верят любой брехне (точнее большинство из них) котрую для них более умные люди придумывают.
Я лично всегда очень окуратно отвечаю на вопросы проверяв варианты а не поможет ли мой ответ повлиять на мою судьбу.
Так и я вам советую.
Помните что даже сейчас я могу в этот момент этой статьёй узнать о вас
.
Завершение статьи
===============
Ладно я дкмаю что я закончил мою статью про Социальную инженериею.
Для тех кого правда заинтересовала тема СИ (Социальная инженерия) то вот сайт про нее:
http://www.hackcanada.com/canadian/s...l_engineer.txt
И конечно существует книга Кевина Митника котороя называется The Art Of Deception.
Вот она:
http://www.hackemate.com.ar/textos/t...hapter%201.pdf
Это все.
© Dracula4ever
CИ
Древовидный вид