В статье о взломе через Telnet уже упоминалось о социальной инженерии и поэтому я решил рассказать немного о том, что она из себя представляет и с чем ее едят:)
Ну что ж давайте начнем!!!
СИ
Эта должность позволила ему получить доступ к системе трансфертов - он мог наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов.
Но в этом помещении работали некоторые служащие, не утруждавшие себя попытками запомнить новый код, изменявшийся каждый день, и записывающие его на листочек бумаги. И в один день Рифкин пришел в это помещение только для того, чтобы взглянуть на этот кусочек бумаги. Это было не сложно.
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, спрятав алмазы в поясе для денег.
Стенли Рифкин использовал искусство обмана - навыки и технику, которая сегодня зовётся социальной инженерией. Скрупулёзный план и хорошо подвешенный язык - всё, что для этого нужно.
Ну что ж давайте начнем!!!
СИ
В этой статье мы разберем, что такое социальная инженерия и для чего она нужна. Социальную инженерию можно с уверенностью назвать одним из направлений в хакинге, хотя это направление не касается компьютерных систем, а основано на чистой психологии. Конечно же, Вы подумаете, зачем мне нужна эта никчемная вещь, я ведь хакер, а не психолог? На самом деле, где то 70 % хакерских взломов и проникновений в компьютерные системы не возможно без социальной инженерии. По этому это направление для Вас очень важно, и Вы должны уделять на его изучение не меньше времени, чем на изучение компьютерных систем, это если Вы конечно хотите стать, например,как Кевин Митник. И так я думаю со вступлением пора заканчивать и пора приступать к изучению такого зверя , как социальная инженерия! Поехали…
Социальная инженерия появилась в компьютерных системах одновременно с возникновением хакеров, а хакеры появились с возникновением компьютерных систем, ну не будем уходить от темы. Но сам термин и сама социальная инженерия появилась на- много раньше первых хакеров. Социальная инженерия появилась в мире с первым образовавшимся обществом, так как само слово социальность - это общественность, или же гражданственность, смотря какую систему мы рассматриваем. Так вот, суть социальной инженерии - это заставить человека сделать какое-либо действие, которое не выгодно ему и необходимо социальному инженеру. Пример из истории: наш великий вождь, товарищ Сталин, использовал социальную инженерию, когда заставил добровольно работать людей на субботниках бесплатно и с огромным энтузиазмом. Работать бесплатно невыгодно для людей(правильно? Правильно!), а правительству, то есть социальному инженеру, в нашем случае Сталину, это очень выгодно. Вот так и выглядит социальная инженерия, но тут не все так просто как кажется на первый взгляд, как и у каждой науки (а это вполне можно назвать наукой), у нее есть свои тонкости. И вот эти тонкости нам и предстоит с вами изучить.
Теперь возвращаемся обратно к хакингу и будем рассматривать социальную инженерию в компьютерных системах. В хакинге термин социальная инженерия имеет аббревиатуру СИ, с этого момента я буду употреблять только эту аббревиатуру, и Вы должны привыкнуть к ней. И так - далее, СИ работает только с дырками в психологии мозга, ну а если быть еще точнее, то используются дырки, социальной системы, в которой живет человек. Чтобы было понятнее, попытаюсь привести подходящий пример. Представим, что мы хотим всунуть человеку вирус, но у него стоит антивирус, который его спалит, а шифроваться и тратить время на криптовку вируса у Вас нет, нужно как то заставить его выключить антивирус и запустить Ваш вирус. Ну давайте выберем систему, в которой находится человек. Представим, что это Ваша девушка (хотя нет это очень легко), пусть это будет Ваш коллега по работе. Вы склеиваете Троян который, крадет пароли с какой-нибудь интересной программой. Другу предлагаете программу, расписываете ее как- будто такая программка есть только у тебя и она самая крутая. Затем спрашиваете, так, невзначай, что у него за антивирус, после его ответа (не важно какой он антивирус назовет) говорите: «Слушай, а ты знаешь, эта программа конфликтует при установке с "этим" антивирусом, выключи его и запусти программу», такая комбинация срабатывает практически в 90%. А теперь рассматриваем, где же дырка в этой системе. А система эта основана на том, что коллеги по работе обычно помогают друг другу какими- либо техническими или иными советами, а тот человек которому советует, обычно полностью опирается на советчика, так как автоматически (уже на подсознательном уровне ) он понимает что этот человек уже сталкивался с данной проблемой и поэтому не стоит изобретать велосипед, а можно просто послушаться совета. А мерзапакасные люди, ой извиняюсь, Социальные инженеры, как раз то используют эту дырку в своих интересах - это одна из дыр одной из систем.
У хакеров есть одно правило(ну или может поговорка) «Все что создал человек можно взломать», так вот, все социальные системы, которые используются в обществе, создал человек, а это означает, что во всех этих системах есть дырки, так как человек за всю историю человечества не создал идеальной системы, да и вообще ничего идеального, что бы не давало сбоев. И из этого можно сделать вывод , что СИ это вполне состоявшееся направление в хакинге, и взломы можно осуществлять не только ковыряясь в дырках компьютерных систем, но и на уровне психологии.
СИ делится на два вида, один из них краткосрочный, а второй долговременный. Давайте разберем какие у них свойства:
- Краткосрочный производится за короткий срок времени. Пример, который был приведен выше, относится к краткосрочному. Его плюс в том, что он не требует лишних временных ресурсов, а минус - то, что не может заставить сделать человека какие -то сильно значимые действия для социального инженера.
- Долговременный означает, что необходимо потратить уйму времени на то, чтобы подчинить человека. Минус вам и так понятен, а вот плюс относительно краткосрочного в том, что можно заставить человека совершать более значительные действия, необходимые социальному инженеру.
Ну, что же, товарищ, думаю, этого минимума информации тебе хватило для понимания того, что такое СИ, где она используется и почему она так необходима для истинного хакера.
Приведу более красочный пример СИ:
Эта статья рассказывает о Стенли Марке Рифкине, который благодаря паре телефонных звонков и несоблюдению своими коллегами правил безопасности заработал более 10 миллионов долларов.
Взлом тщательно охраняемого кода
В 1978 году Рифкин работал в банке по контракту и занимался разработкой системы для резервного копирования данных из помещения телеграфных переводов, в котором служащие каждый день получали и отправляли трансферты в несколько миллиардов долларов. Эта должность позволила ему получить доступ к системе трансфертов - он мог наблюдать, что делали служащие банка для совершения операций. Он узнал, что служащие банка, уполномоченные на передачу трансфертов, каждое утро получали тщательно охраняемый код, используемый при осуществлении запросов.
Но в этом помещении работали некоторые служащие, не утруждавшие себя попытками запомнить новый код, изменявшийся каждый день, и записывающие его на листочек бумаги. И в один день Рифкин пришел в это помещение только для того, чтобы взглянуть на этот кусочек бумаги. Это было не сложно.
Классический случай обмана
Покинув комнату, он направился к платному таксофону в холле здания банка, в который опустил монету и набрал номер помещения для трансфертов. По телефону он представился Майклом Хансеном, служащим Международного Отдела банка. - Привет, это Майк Хансен из международного, - сказал он молодой женщине, которая подняла трубку. Она запросила офисный номер. Эта была стандартная процедура, и он был к ней готов: "286" ответил он.
- ОК, ваш код?
- 4789, - ответил Рифкин. Затем он дал инструкции для перевода: "ровно 10 миллионов 200 тысяч долларов" для Компании Ирвин-Траст в Нью-Йорке в качестве кредита в Банк Wozchod Handels в Цюрихе, Швейцария, в котором у него уже был открыт счёт.
- ОК, готово. Сейчас мне нужен внутриофисный номер, - ответила девушка
Рифкин не ожидал этого вопроса, но он решил оставаться в роли, действуя как будто всё было нормально, и спокойно ответил: "Дай проверить, я перезвоню тебе позже".
Он позвонил в другое отделение банка, представившись работником из помещения для трансфертов. Он получил нужный номер и опять позвонил девушке.
- Спасибо, - ответила девушка.
Несколькими днями позже Рифкин прилетел в Швейцарию, забрал свои деньги и обменял более $8 миллионов на горстку алмазов. Затем он улетел обратно, прошёл через таможню США, спрятав алмазы в поясе для денег.
Стенли Рифкин использовал искусство обмана - навыки и технику, которая сегодня зовётся социальной инженерией. Скрупулёзный план и хорошо подвешенный язык - всё, что для этого нужно.
Пример взят вот отсюда:http://vk.com/page-777107_6659035. Кому очень понравилась социальная инженерия, то перейдите по ранее указанной ссылке и ознакомьтесь с содержимым которое там находится.Уверен Вам очень понравится информация почерпнутая из этого источника.
Комментариев нет:
Отправить комментарий