- Регистрация
- 20.01.2011
- Сообщения
- 7,665
- Розыгрыши
- 0
- Реакции
- 135
Статья написана в образовательных целях, чтобы вы понимали, как работает мозг преступника и знали, как не попасться на провокацию.
Всем салют, дорогие друзья!
Социальная инженерия — это игра на чувствах и эмоциях человека. Вот так два абсолютно разные направления — хакинг, который использует прямолинейность компьютера и то, что он выполнит любой код, которые ему позволит система, опираясь на чётко установленные правила и соц. инженерия, в которой никаких чётких правил нет, что и позволяет СИ существовать как таковой — сочетаются друг с другом.
Ради интереса люди , ходят на заброшенные заводы, поднимаются на вершины, лазят по деревьям, а также… Качают новый софт с заманчивым описанием. Да, подталкивает на всё это зачастую только один лишь интерес...
1. ИНТЕРЕС
Пример из книги:
Если вы бросите в лифте флешку, с вирусом в автозапуске, то будьте уверены — ее откроют и просмотрят. На саму флешку вы можете записать любые, не бросающиеся в глаза, файлы.
Конечно, можно списать на то, что человек, который залезет на флешку, сделает это для того, чтобы по файлам найти владельца, но это не до конца правда.
Во-первых там могут храниться личные данные и это будет выглядеть, как пересчет денег в найденном кошельке, если вы намереваетесь его вернуть.
Во-вторых её потеряли в лифте, а значит, скорее всего, потерял её человек, который живёт в этом доме, и достаточно просто наклеить объявление у лифта о находке.
Но давайте будем честны: заставляет открыть флешку и просмотреть её содержимое то самое пресловутое любопытство.
Сейчас тему с автозапуском, в привычном ее понимании, провернуть не получится, поскольку, начиная с Windows 7, на съемных носителях автозапуск по-умолчанию отключен.
Давайте рассмотрим еще один случай — привлечение внимания через интересы цели.
Методика тут немного сложнее первого случая и надо уже начинать проявлять креативность.
или Зарегистрируйся, вы знаете его ник и его активность, знаете в какую игру он играет и какие вопросы задает.
2) Исходя из содержания, у нее появился интерес написать нам.
Ну, для примера скажем, что человек интересуется кастомизацией какой-то игры и модами на неё. Соответственно, можно сделать вывод, что ветка на форуме про модификацию моделек его любимой игры не останется незамеченной с его стороны. Достаточно написать, что пока релиз не публичный, но для теста вы можете выдать мод лично в руки каждому написавшему.
Будьте уверены, если вы не прогадали с темой, то шанс, что он попадется на нашу удочку равен приблизительно 90%.
2. СТРАХ
Если любопытство у некоторых людей выражено не так ярко, то чувство страха присуще каждому из нас. Оно настолько сильно, что способно дестабилизировать состояние абсолютно любого человека, нужно просто найти подход.
Создавать ситуации при которых можно управлять жертвой через страх — задача трудная. Вернее сказать, это труднее, чем действовать через интерес. Особенно если учесть, что работа ведётся в рамках интернета. Согласитесь, достаточно сложно заставить жертву бояться, если из инструментов только клавиатура и монитор.
В качестве самого примитивного примера использования страхов, можно рассмотреть сообщения на сайтах с агрессивной рекламой о том, что компьютер заражён вирусом и его необходимо проверить.
Для технически неподкованных людей, именно страх перед заражением устройства не даст возможности обойти данную уловку.
Еще одним примером. для технически неподкованных людей, может стать появление страницы о том, что ими был нарушен закон на сайтах с недетским содержанием. В таком случае на самом сайте размещается завлекающий запрещённый контент, а внутри по таймеру жертве перекинет на страницу с сообщением о нарушении закона. Страх быть пойманным на запрещённом контенте заставляет «моментально оплатить штраф» или скачать ПО для «проверки компьютера на запрещённые файлы».
Выше мы привели самые примитивные примеры, которые, на наше удивление, до сих пор работают.
Однако, любая, даже самая сложная схема, на чём бы она не основывалась, выстраивается примерно по такому сценарию:
Всем салют, дорогие друзья!
Социальная инженерия — это игра на чувствах и эмоциях человека. Вот так два абсолютно разные направления — хакинг, который использует прямолинейность компьютера и то, что он выполнит любой код, которые ему позволит система, опираясь на чётко установленные правила и соц. инженерия, в которой никаких чётких правил нет, что и позволяет СИ существовать как таковой — сочетаются друг с другом.
Информация написана в образовательных целях, чтобы вы понимали как работает мозг преступника и знали, как не попасться на провокацию.
Главные чувства, которые используются для извлечение собственной выгоды в данной сфере — этоинтерес и страх.Ради интереса люди , ходят на заброшенные заводы, поднимаются на вершины, лазят по деревьям, а также… Качают новый софт с заманчивым описанием. Да, подталкивает на всё это зачастую только один лишь интерес...
1. ИНТЕРЕС
Пример из книги:
Если вы бросите в лифте флешку, с вирусом в автозапуске, то будьте уверены — ее откроют и просмотрят. На саму флешку вы можете записать любые, не бросающиеся в глаза, файлы.
Конечно, можно списать на то, что человек, который залезет на флешку, сделает это для того, чтобы по файлам найти владельца, но это не до конца правда.
Во-первых там могут храниться личные данные и это будет выглядеть, как пересчет денег в найденном кошельке, если вы намереваетесь его вернуть.
Во-вторых её потеряли в лифте, а значит, скорее всего, потерял её человек, который живёт в этом доме, и достаточно просто наклеить объявление у лифта о находке.
Но давайте будем честны: заставляет открыть флешку и просмотреть её содержимое то самое пресловутое любопытство.
Сейчас тему с автозапуском, в привычном ее понимании, провернуть не получится, поскольку, начиная с Windows 7, на съемных носителях автозапуск по-умолчанию отключен.
Давайте рассмотрим еще один случай — привлечение внимания через интересы цели.
Методика тут немного сложнее первого случая и надо уже начинать проявлять креативность.
Но беспокоиться не стоит: все идеально работает, просто нужен анализ.
Если вы собрали информацию о своей жертве, и выяснили, что она интересуется играми в steam и ей 40 лет, а проводит время он на форуме Для просмотра ссылки Войди - Цель — создать пост на форуме, чтобы:
2) Исходя из содержания, у нее появился интерес написать нам.
Ну, для примера скажем, что человек интересуется кастомизацией какой-то игры и модами на неё. Соответственно, можно сделать вывод, что ветка на форуме про модификацию моделек его любимой игры не останется незамеченной с его стороны. Достаточно написать, что пока релиз не публичный, но для теста вы можете выдать мод лично в руки каждому написавшему.
Будьте уверены, если вы не прогадали с темой, то шанс, что он попадется на нашу удочку равен приблизительно 90%.
- Почему 90%?
- Запомните: в соц. инженерии 100% работающих методик попросту нет, есть только практика.
2. СТРАХ
Если любопытство у некоторых людей выражено не так ярко, то чувство страха присуще каждому из нас. Оно настолько сильно, что способно дестабилизировать состояние абсолютно любого человека, нужно просто найти подход.
Создавать ситуации при которых можно управлять жертвой через страх — задача трудная. Вернее сказать, это труднее, чем действовать через интерес. Особенно если учесть, что работа ведётся в рамках интернета. Согласитесь, достаточно сложно заставить жертву бояться, если из инструментов только клавиатура и монитор.
В качестве самого примитивного примера использования страхов, можно рассмотреть сообщения на сайтах с агрессивной рекламой о том, что компьютер заражён вирусом и его необходимо проверить.
Для технически неподкованных людей, именно страх перед заражением устройства не даст возможности обойти данную уловку.
Еще одним примером. для технически неподкованных людей, может стать появление страницы о том, что ими был нарушен закон на сайтах с недетским содержанием. В таком случае на самом сайте размещается завлекающий запрещённый контент, а внутри по таймеру жертве перекинет на страницу с сообщением о нарушении закона. Страх быть пойманным на запрещённом контенте заставляет «моментально оплатить штраф» или скачать ПО для «проверки компьютера на запрещённые файлы».
Выше мы привели самые примитивные примеры, которые, на наше удивление, до сих пор работают.
Однако, любая, даже самая сложная схема, на чём бы она не основывалась, выстраивается примерно по такому сценарию:
- Мониторинг ресурсов
- Сбор актуальных новостей и определение N-нного количества жертв
- Проработка каждой жертвы. Сбор информации
- Поиск подхода
- Создание дружественного контакта
- Атака
- Отработка