Socjotechnika, czyli ściemnianie ludzi... | 19.07.2007. autor : may_cry |
Ha, ha, ha! To co lubię najbardziej - ładowanie kitu ludziom. Kto jak kto, ale hacker powinien tą "umiejętność" opanować bardzo dobrze. W tym artykule chciałbym na przykładach zobrazować wam potęgę tej umiejętności. Jeżeli wy macie jakieś pomysły jak w danej sytuacji pomóc sobie socjotechniką to podsyłajcie je poprzez Podeślij newsa.
Sposób z ankietą.
Jeżeli np. potrzebujemy dostać się na czyjąś pocztę e-mail to pierwszą rzeczą jaką powinniśmy zrobić to spróbować odpowiedzieć na pytanie przypominające hasło (wiadomo o co chodzi). Często są to pytania na które nie znamy odpowiedzi (załóżmy, że np. ulubiony kolor, owoc itp.). Wtedy W HTML-u tworzymy ankietę która zawiera ok 15 - 20 pytań o byle co. Na poziomie 5 - 15 pytania umieszczamy jego pytanie przypominające (np. to o ulubiony kolor). Następnie w kodzie HTML ustalamy, że wynik ankiety zostanie wysłany na naszą pocztę. Ankietę uploadujemy na jakiś serwer i sprawdzamy jej działanie.
Teraz możemy już przystąpić do dzieła! Na GG wysyłamy ofierze link do ankiety i piszemy coś takiego: "Siema! Wiesz dostaliśmy w szkole na WOS-ie zadanie, aby zbadać opinię publiczną. Proszę Cię wypełnij tą ankietę, a bardzo mi pomożesz... Z góry dzięki!" Jeżeli ofiara wypełni tą ankietę to wiadomo co będzie dalej...
Fałszywa uprzejmość.
Ten sposób wyczytałem w książce "Sztuka Infiltracji" Kevina Mitnicka.
Czasami hackerzy, aby uzyskać jakieś cenne informacje muszą opuścić swój pokój i udać się do danej firmy, instytucji czy czegoś tam innego. Ale oto zdziwko! Na drzwiach z dupnym zamkiem lub czytnikiem kart magnetycznych pisze: "Tylko dla personelu". Ale to nie problem. Zauważamy jak jest "wystrojony" personel i czy mają identyfikatory. Jeżeli tak to wracamy do domu i usiłujemy podrobić dany identyfikator i ubieramy się podobnie do personelu danej firmy. Później wracamy do gmachu i do miejsca ogólnodostępnego (np. stołówka lub poczekalnia, tudzież kibel). I tam szukamy członka personelu. Gdy już namierzymy ofiarę, czekamy, aż będzie chciała opuścić dane pomieszczenie. Wtedy szybko się zrywamy i wychodzimy razem z nim. Staramy się dojść do drzwi pierwsi, otworzyć je i przytrzymać dla naszej ofiary. Następnie podążamy za nią, aż do tych drzwi z niemiłym napisem. Wtedy, jeżeli wybrana przez nas ofiara jest kulturalna, to odwzajemni gest z przytrzymaniem drzwi. I tak mamy dostęp do zaplecza.
E-m@il od administracji.
Ten sposób opiszę na przykładzie portalu Onet.
Jest to wg. mnie najbardziej wyrafinowany, bezczelny i okrutny sposób. Chcemy dostać się na czyjąś pocztę e-m@il, ale niestety pytanie przypominające jest tak sformułowane, że pierwszy sposób opisany w artykule staje się bezużyteczny. Wtedy należy stworzyć sobie w tym portalu e-m@il, który będzie wyglądał jakby należał do administratora np. glowny.admin@poczta.onet.pl, centrum.pomocy@poczta.onet.pl itp. Następnie zakładamy blog lub stronę na republice. Jej wygląd dopasowujemy do ogólnego theme'a Onetu. Tworzymy w nim formularz zawierający pola: e-m@il, hasło, potwierdź hasło. Ustawiamy go tak jak w pierwszym paragrafie, aby informacje wysyłał nam na e-m@il. Teraz językiem oficjalnym i z estetycznie sformatowaną czcionką Piszemy do ofiary wiadomość z utworzonego uprzednio przez nas konta, o mniej więcej takiej treści: "Serdecznie pozdrawiamy wszystkich użytkowników! Administratorzy portalu Onet mają przyjemność oznajmić Państwu, że uruchomiono nowy system zabezpieczenia poczty elektronicznej przed SPAMem! Aby go uaktywnić należy odwiedzić stronę (tu link do naszego bloga) i wpisać do formularza niezbędne dane. Zaleca się jak najszybsze aktywowanie tej usługi! Dziękujemy..."
Nawet najlepsi "komputerowcy" powinni dać się nabrać. Jeżeli ofiara wypełni i zatwierdzi formularz to na nasz e-m@il przyjdą informacje o jej koncie. Po tej operacji dla bezpieczeństwa należałoby usunąć dany blog i konto poczty elektronicznej.