Social Engineering

Social Engineering
Nie biorę odpowiedzialności za szkody wyrządzone przeczytaniem tego artykułu. Artykuł został stworzony do celów edukacyjnych. Zastrzegam sobie prawa Autorskich….Można go rozprzestrzeniać tylko z podpisem autora…
Social Engineering -Jest to dosłownie robienie ludzi w Bambuko w żargonie oczywiście, ale tak jest naprawdę dzięki ludzkiej głupocie i naiwności a także zaufaniu można dokonać wszystkiego nawet dojść do stopnia manipulowania tą osobą. Jest to nie humanitarne i wbrew naturze ludzkiej a jednak ludzie tak często po nią chwytają. W polityce posłowie podczas wyborów chwytają po nią by przekonać wyborców do siebie i ośmieszyć inne partie np.. mówią ze trzeba głosować na nich bo dzięki nim będzie kraj wolny od korupcji a jak nie zagłosujesz to będziesz mieszkał w kraju w którym tylko kradną. Mamy tu przykład prostej inżynierii socjalnej jeśli zrobisz to będzie dobrze ale jeśli nie zagłosujesz to będzie złe . Chętnie jest też wykorzystywany w Marketingu np.. przy sprzedawaniu proszku gdzie pokazują ze ten proszek jest najlepszy bo usuwa plamy nawet w ….. a tamten sobie z tym nie radzi… Niektórzy ludzie w to uwierzą a nawet czasem duża cześć społeczeństwa i pójdą do sklepu i kupią ten proszek..
W social engineering chodzi o to aby osoba nie zaczaiła jaki mamy dokładnie zamiar a czasem kim tak naprawdę jesteśmy.. Próbujemy przekonać ją na wszystkie sposoby często warto wykorzystać strach i niewiedze tejże osoby, oraz nacisk „Jeśli tego nie zrobisz to…”
Social Engineering w Informatyce a szczególnie w Crackingu jest silna bronią pozwala włamywaczowi(black hat) w prosty sposób wyciągnąć hasło lub wysłania Trojana który jest mu potrzebne do przeprowadzenia pełnego włamania i przejęcia kontroli nad komputerem ale o tym kiedy indziej .. Najczęściej po to aby wykraść jakieś ważne dane albo przyłączyć go do bonetu, lub wykorzystać ten komputer do dalszego ataku na jakąś większą korporacje (np.Microsoft Laughing

).
Podam teraz przykłady:
1. Rozmawiamy sobie np. przez gg z potencjalną ofiarą której chcemy wysłać Trojana. Nawiązujemy z nią silną więź tak żeby nam zaczęła ufać. Czekamy na odpowiedni moment kiedy np. potrzebuje jakiegoś programu w tedy zmieniamy nazwę Trojana na nazwę programu i wysyłamy ofierze go odbiera włącza i mamy tylne wejście…Jak się dowiedzieć że ofiara włączyła Trojana?? Prosto napisze że coś nie działa…Na to pytanie musisz się zawsze przygotować np. odpowiedz może wyglądać tak: na pewno musi działać tak się upierasz przez chwile potem mówisz.. czekaj zaraz sprawdzę….po pewnym czasie: kurcze masz racje nie działa nie wiem jak to się stało pewnie siostra mi pogrzebała znowu na komputerze itp.. Główną zasadą po wysłaniu Trojana jest to, że nie wolno wtedy od razu zrywać kontaktu z ofiarą ponieważ może się pokapować, że coś jej wysłaliśmy chyba ze to totalna lama nawet tacy się zdarzają , ale dla pewności dalej prowadzimy rozmowę. Trzeba się jeszcze przygotować na najważniejsza odpowiedź: Jeśli antywirus ofiary wykryje Trojana?? W tedy to jest hardcore ale ze wszystkiego można wyjść np. mówiąc że kumpel ci wysłał ten plik i mowił że to ten program…<=naiwne ale niektóre osoby się złapią….
2. Chcemy przeprowadzić atak na skrzynkę pocztowa. Możemy próbować złamać hasło przez zgadywanie lub przez atak słownikowy lub atak BrutusForce programem „Brutus” który jest bardzo poręczny ale o tym kiedy indziej . Teraz wiele kont ma już blokady np. do 10 złych haseł lub Tokkeny. Jedynym wtedy wyjściem jest użycie naszej social engineering. W takim razie np. zakładamy jakieś konto na serwerze gdzie ma konto ofiara co będzie się kojarzyć z kontem administratora np. [link widoczny dla zalogowanych]. Z tego konta wysyłamy podobny do tego E-mail.
Witam Pana/Pani
Z powodu zmiany szyfrowania z MD2 na MD5 hasła oraz zmiana (połączenia SSL z szyfrowania 64 do 1024 KB jeśli dany serwer ma szyfrowanie np. gmail.com jeśli nie ma wymyślamy coś innego) co zwiększa zabezpieczenia autoryzacji dostępu w naszym serwisie Prosimy wysłać nam Hasło aby i u Pana/Pani można było zmienić zabezpieczenia. Jeśli Pani/Pan tego nie zrobi Skrzynka Pocztowa będzie podatna na ataki siłowe a dokładnie na luki znajdujące się w szyfrowaniu MD2 w którym niedawno odkryto krytyczną lukę która zmniejsza czas złamania hasła do 4h. (lub podsłuchanie rozmowy z powodu słabego szyfrowania które można złamać wciągu 1min)
Z poważaniem administratorzy serwisu o2.pl.
3. Podobnym do tego przykładem może być prośba wejścia na stronę na której ktoś się będzie musiał zalogować w celu potwierdzenia zmiany szyfrowania.
4. Następnym przykładem może być podszywanie się pod jakieś strony internetowe np.. banku i wysyłając e-maile od „banku” do użytkownika tego banku w celu zalogowania się by uwzględnić zmiany w szyfrowaniu… . podobnie do powyższej treści.. To pozwoli nam włamać się na jego konto bankowe – ataki takie mają już własną nazwę Phishing. Zaliczają się do nich „łowienie haseł”..
5. I wiele innych przykładów można by wymieniać a te by się ciągle nie kończyły. Powstawały by nowe bardziej wyrafinowane(trening czyni mistrza a potem 5 latek w pierdlu Laughing

)
6. Jednym z takich wielkich Crackerów (black Hat) który używał social engineering Był Kevin Mitnick Który jak to sam powiedział „Łamałem ludzi nie komputery”.. Napisał tez parę swoich książek jedną z nich jest „sztuka podstępu”.
Na koniec: Wiele osób szczególnie na forach dyskusyjnych lub w art które czytałem pisze że social engineering nie jest dla crackerów (black hat) i tu się właśnie mylą, wygląda na to że nigdy nie przeczytali o tej technice a jak widać każdy ja może rozbudować do własnych potrzeb jest najsilniejszą stroną przed którą nie obronią nas żadne firewall, antywirusy dosłownie nic. Więc uważajcie bo może właśnie kolega który przyszedł w odwiedziny wyciąga z waszego komputera hasła do gg lub co gorsza kopiuje waszą prace.

Mam nadzieje ze pomogłem.
Proszę wypisać linijki które są nie zrozumiałe a ja je poprawie… Każdy popełnia błędy jesteśmy tylko ludźmi….. Dziękuje za współprace…

Post został pochwalony 0 razy