Социальная инженерия Каждый, наверное, из нас слышал или видел данный термин. Часто он встречается как раз на порталах посвященных сетевой безопасности. Итак, что же это все-таки означает? А обозначает он способность "заговорить человеку зубы" и путем, каких либо махинаций войти к нему в доверие, что бы потом воспользоваться этим в своих корыстных целях. Я сделаю небольшой лирический отступ в недалекое прошлое. Многим, наверное, приходили письма на e-mail от якобы админов каких то проектов, на которых вы имеете аккаунт и рассказывали вам душещипательную историю про то, как злобные хакеры взломали базу данных их проекта и поэтому вы должны немедленно отослать на данное мыло ваш логин и драгоценный пароль. Вы можете не верить, но многие люди отсылали - причем с мыслями "вот какие тут добрые админы! они заботятся о моей безопасности!". А на самом деле все логины и пароли уходили злым кульхацкерам ,которые и выдавали себя за админов. Мне тоже один раз пришло такое письмо, якобы от админа моего провайдера который требовал логин и пароль от моего аккаунта для выхода в интернет. Но я уже был наслышан о таких письмах и в ответном письмо послал этих кульхацкеров туда куда птицы улетают зимой (то есть на ЙУХ).Больше с того адреса мне не писали.В данной статье я хочу помочь вам научиться использовать эту самую Социальную Инженерию (далее СИ) и самому не попадаться на эти уловки.Итак вот краткий список что нам потребуется для этого: 1)Светлая голова (куда уж без нее) 2)Грамотная русская речь (я думаю мало народа купиться на СИ письмо автор которого пишет слово "еще" как "исчо") 3)Небольшое знание человеческой психологии ( об этом я вам сейчас и расскажу) Одним из самых важных аспектов человеческой психологии является: Любопытство Итак, наверное, многим из вас хоть раз в жизни приходило в голову впарить кому нибудь трояна? Ну вот вот допустим надо узнать о чем пишет ваша девушка или молодой человек в ICQ своим друзьям. Вопрос жизни и смерти прям))) троян мы подготовили, закриптовали (склеили с картинкой или с чем угодно) остался пустяк - впарить его. 1)Впариваем молодому человеку если вы не хотите сами палиться (что бы молодой человек знал что именно благодаря вам его хистори плавно перекочевало с его компбьтера на ваш) регим новый номер ICQ(c женским ником - какой нибудь "Принцессой" или "Машкой")) далее смотрим по обстоятельствам - есть несколько вариантов а) вводим в Гугле (кто не знает www.google.ru) ник (ICQ,e-mail) жертвы и смотрим, на каких сайтах и форумах он встречается и где он зарегестрирован. Допустим он зарегестрирован на каком нибудь форуме типа www.blablabla.ru/forum/. Регимся на нем тоже. Ок теперь время действий. Стучимся со свежезарегенного номерка к нему в аську. Далее следует примерно вот такой диалог.(Хацкер (Х) - это вы. Жертва (Ж) этот молодой человек) Code: Х: Привет!) Ж: Привет. Ты кто?? Х: ой, а я с www.blablabla.ru/forum/ только вот пять минут назад зарегилась)) ты не можешь мне помочь? Меня Маша зовут ) Ж: хм.. а чем я могу помочь? меня Леша зовут)) Х: да я хотела свою фотку на аватар поставить а у меня что то не получается((( я вообще не понимаю что там делать надо.. я вообще мало в компьтерах разбираюсь Ж: ну там же все просто( далее идет долгое и подробное описание как это надо сделать) Х: блин... ну все равно ничего не получается ((( Ж: блин... Х:слушай а давай я тебе дам свой логин и пароль и фотку скину а ты поставишь? пожалуйста!) Ж: блин... (пытается опять объяснить как надо правильно ставить аватар) Х: ну все равно нифига не получается ((((((((( помоги пожалуйста. ты же я вижу хорошо в компах разбираешься ( а вот это одна из главных фраз - давит на самолюбие жертвы)))) Ж: ну давай фотку.. и логин с паролем.. ща поставить попытаюсь. Х ок спасибо) Дальше все понятно ) скидываем логин с паролеми,наш троян склееный с фоткой) 99% что жертва посмотрит фотку перед тем как пытаться ее куда то ставить))а мы будем сидеть и ждать отчеты) б)или же можно все это делать не парясь с новыми номерками и регистрациями. Можно просто в обычном диалоге с "жертвой" после стандартных "Привет как дела" ответить что дела ужасно, мол вскочил " огромный прыщик" на лице, что мол жизнь кончена и так далее. Продолжаем плакаться пока жертва как "настоящий Лыцарь"не начнет нас утешить и скажет что нибудь подбадривающее)а вы со словами "Правда? ну на сам посмотри! правда незаметно???" отправляете жертве трояна склееного с картинкой и опять же сидим и ждем отчеты) 2) Впариваем девушке тут немного попроще. Берем все тот же закриптованный троян (склеиваем, с чем нибудь) и заливаем на какой нибудь файлообменник или на свой сайт на народе или любом другом халявном хостинге( что бы получилось ссылка вида http://superpupersite.narod.ru/super.(расширение зависит от типа файла с чем вы склеивали трояна) и скидываете ссылку в аську нашей жертве)) а потом сразу же пишите ей что то типа "Ой не качай! это не тебе!" 80% девушек скачает)))) а мы сидим и ждем отчеты) Рассмотрим следующий аспект человеческой психологии Доверчивость Люди склонны доверять даже тем людям которых они видят и слышат в первый раз в жизни.В этом случае от нас (СИ инженера) требуется просто уверенность в себе и уверенным голосом убедить человека, почему он должен скачать это файл, отдать свои логины и пароли или пропустить вас в охраняемый подъезд (каждый, наверное сталкивался с бабками консьержками которые упорно не пускали вас в гости к вашей девушке? или охранником в школе который вас на перемене курить не пускал на улицу.)) Я повторюсь, что тут надо изъясняться уверенно, не волноваться и не показывать жертве(собеседнику) что вы волнуетесь сами. Что вам действительно надо позвать Гиви из 47 квартиры по указанию учителя. Что бы этот самый Гиви смог сдать тетрадку или дневник вовремя. Что вам действительно в данный момент надо сбегать домой за учебником иначе ты получишь двойку.Я так в 7 классе после первого урока часто курить бегал) подходил к охраннику и говорил что мол забыл запереть дверь входную дома или забыл конспект. Благо живу в 100 метрах от школы. Он и выпускал ))) Страх Страх чего то потерять или чего то не получить, или просто какой-нибудь комплексный страх. То есть когда человеку приходит письмо от якобы его провайдера в котором черным по белому написано, что он должен не медленно выслать свой логин и пароль иначе его аккаунт будет заблокирован или того хуже удален! и человек напуганный таким оборотом событий отсылает и пароль и логин. Хорошим примером этого будет случай, описанный в статье Алексея Лукацкого, в котором хакер в течение всего пары минут получает пароль к аккаунту работника банка: В разгар рабочего дня в операционном зале банка раздается звонок. Молодая операционистка поднимает трубку телефона и слышит мужской голос: Code: -С вами говорит администратор сети, Иван. Как вас зовут? -Оля! -Олечка, мы сейчас проводим плановую модификацию программного обеспечения "Операционный день банка". Ты не могла бы назвать мне свой пароль? -А мне говорили, что чужим нельзя называть свой пароль. -Так я ведь не чужой! Я свой, я сотрудник отдела информатизации. Мой начальник - Петр Петрович Петров. Я хочу всю работу сделать поскорее. А то и тебе и мне придется оставаться после работы. А у тебя, наверняка, есть дела вечером. К тому же, твоему начальнику тоже придется задержаться после работы. А он будет этим недоволен, что может отразиться и на тебе. Ты согласна? -Да, согласна. -Тогда назови свой пароль и все будет ОК. -Мой пароль olja. -ОК. Спасибо за помощь. Видите все как просто? а все из-за того, что эта Оля побоялась задержаться на работе и то, что начальник может рассердиться. тут главное умение заключается что бы надавить на этот страх и грамотно выразить свою мысль почему жертва должна сообщить вам какую-то информацию ( в данном случае пароль) Жадность Это один из главных человеческих пороков и его используют многие Социнженеры. В том числе и кидалы. Многие люди хотят взять всего побольше и подешевле. Гонятся за дешевизной и халявой. Но запомните, что бесплатный сыр бывает только в мышеловке.И поэтому когда вы видите на форуме объявление о подозрительно дешевой продаже или вам счтучат в асьу и предлагают купить пятизнак 12345 за 10WMZ не надо тут же бежать и менять все свои деньги. А просто подумать, почему так дешево продается такая элита 100% кидок. И вы рискуете после перевода денег на указанный кидалой кошелек услышать мат в свою сторону и то что он вас кинул.А можете вообще ничего не услышать. да что за примером далеко ходить - возьмем того же самого Мавроди с его МММ.Вот это СИ глобального масштаба построенная на жадности и доверчивости людей! они сами несли деньги ему. И тысячи вкладчиков до сих пор его боговторят и думают, что он им все выплатит обратно. Но это маловероятно.Вообщем не жадничайте и не попадайтесь на удочку кидал. Внимание данная статья носит ознакомительный характер и использование методов описанных выше может нарушать УК РФ. Автор не несет ответственности за данную статью. P.S. это моя первая статья так что прошу ногами не пинать.Оставляйте свои комментарии и замечания.Спасибо за внимание.
понравилась статейка, но все это я гдето уже слышал, неново.. Прикольная статья у кеза была про впаривание троянов и в тоже жанре что и у тебя. А так за старание +
Часть вторая. (Социальная инженерия) Начало и описание. Социальная инженерия и НЛП - ***ня. Сюжет - не занимайтесь этой ***нёй лучше, так как, если не вы[censored] и называть вещи своими именами, то имя всему этому "враньё и хитрость". А если вы от природы не хитрый, то чтение е[censored] книг митника вам не поможет. Концовка: Идите в книжный магазин и купите книжку по C,c++,tcp/ip и не занимайтесь идиотизмом.
Ничего нового не узнал, думаю никто ничего нового из этой статьи не узнал, чтобы такое знать не нужно читать книжги и статьи, надо просто иметь логическое мышление Но за старания хочу выразить свое уважение в виде плюсига
автор ищи ошибки в своем тексте(ошибок больше чем 1) полностью поддерживаю tclover на вранье много не поимеешь - не уважения ничего другого (бывают конечно исключения)
Данная статья написана для новичков (тех которые слово СИ видят первый раз в жизни) и вообще для общего развития. Напоминаю что это моя первая статья. А за ошибки уж извините..
дело не в ошибках дело в пропаганде "на*ба" если бы статья была изложена в контексте как себя обезопасить - это другое дело си -это кидалы.хотя многие не согласятся.
Лучшая защита - это нападение (с) А зная методы нападения я думаю додуматься как от них обезопаситься не очень сложно?
Со второй частью сложно не согласиться Все что после слова "жадность" нужно всегда держать в голове изложи тему в другом контексте=)если оно тебе конечно надо в данном случае нападение и защиты совершенно разные вещи
+ что сразу наехали - нормально написал многие при фразе пробуй СИ говорят, что языков программирования не знают имхо, объединить с этим http://forum.antichat.ru/showpost.php?p=155878&postcount=1 и в карту статей
да нормально он тут написал все... мне бы такую статейку года два назад прочитать бы - было бы шикарно... однозначно +
Смысл...Так ведь при помощи нее можно пробить даже самую сильную защиту...Человеческий фактор никто не отменял!
при помощи статьи пробить? и что же ты узнал из этой статьи такого, что теперь можеш пробить самую мощную защиту?
Блин...от статьи ты получаешь навыки!!!!А потом все зависит от тебя...В наше время без СИ никуда.Имхо.
