Anon | 00500

Имя пользователя: Anon

Статус: Активен

Регистрация jabber:

Поток: Anon

TG канал: Канал для опретивных оповещений



Закрыть

Назад

Социальная инженерия - это игра на чувствах и эмоциях человека. Вот так два абсолютно разные направления - хакинг, который использует прямолинейность компьютера и то, что он выполнит любой код, которые ему позволит система, опираясь на чётко установленные правила системы и СИ, в которой никаких чётких правил нет, что и позволяет СИ существовать как таковой - сочетаются друг с другом.

Главные чувства, которые используются для извлечение собственной выгоды в этой сфере: ннтерес и страх.

Люди ради интереса, ходят на заброшенные заводы, поднимаются на вершины, лазят по деревьям, а так же... Качают новый софт с заманчивым описанием. Для, подталкивает на всё это зачастую только один интерес.

Пример из книги и главных принципов социальной инженерии:

Бросаете в лифте флешку, с вирусом в автозапуске, на неё саму можете записать документацию всевозможную, вообщем-то любые не бросающиеся в глаза файлы подойдёт. Будьте уверены, ее откроют и просмотрят. Можно попробовать списать на то, что человек, который залезет на флешку, сделает это для того, чтобы по файлам найти владельца, но это не до конца правда. Во-первых там могут храниться личные данные, это как пересчитывать деньги в найденном кошельке, намереваясь его вернуть. Во-вторых её потеряли в лифте, а значит, скорее всего, потерял её человек, который живёт в этом доме, и достаточно просто наклеить объявление у лифта о находке. Но заставляет всё же открыть флешку и просмотреть её содержимое то самое пресловутое любопытство.

Способ древний, и сейчас у многих людей есть понимание, что запускать непроверенные файлы с флешки нельзя, но методика срабатывает и по сей день.


Второй случай - привлечение внимания через интересы цели.

Методика тут немного сложнее первого случая и надо уже начинать проявлять креативность, однако все работает но только после глубокого анализа. Если вы собрали информацию о своей жертве, и выяснили, что она интересуется играми в steam и ей 40 лет, а проводит время он на форуме www.игрыстим.ру, вы знаете его ник и его активность, знаете в какую игру он играет и какие вопросы задает.

Наша цель - создать пост на форуме, чтобы 1) он его обязательно заметил и 2) из содержания у него возник интерес написать вам. Ну для примера скажем, что человек интересуется кастомизацией какой-то игры и модами на неё. Ветка про модификацию моделек в этой игре не останется незамеченной им. В посте пишите, что пока релиз не публичный, но лично в руки дать можете, и если вы не прогадали с темой и он заметил вас, то будьте уверены, что 90% он вам напишет.

В СИ 100% работающих методик нет, есть только лучшее практике. И в примере выше есть шанс, что он не сработает. Надо морально быть готовым к такому. Может тема была плохо подготовлена, возможно с выбранным интересом пролетели. Тут причин не сработать есть много, это повод просто ещё раз переосмыслить всё и попробовать с начала.

Страх
-
Если любопытство у некоторых не такое ярко выраженное, то чувство страха есть у каждого. И оно способно дестабилизировать состояние любого человека.

Создавать ситуации при которых можно управлять через страх - задача трудная. Вернее сказать, это труднее, чем действовать через интерес. Особенно если учесть, что работа ведётся в рамках интернета. Достаточно сложно найти повод человеку бояться, если из инструментов только клавиатура и монитор.

Как разновидность использования страхов можно рассмотреть сообщения на сайтах с агрессивной рекламой о том, что компьютер заражён вирусом и его надо проверить. Не даёт его просто проигнорировать страх перед заражением устройства. Другим примером может стать появление страницы о том, что то только что был нарушен закон на сайтах с недетским содержанием. В таком случае на самом сайте размещается завлекающий запрещённый контент, а внутри по таймеру перекинет на страницу о нарушении закона. Страх быть пойманным на запрещённом контенте заставляет "моментально оплатить штраф" или скачать ПО для "проверки компьютера на запрещённые файлы".


Любая схема, на чём бы она не основывалась, выстраивается примерно по такому сценарию:

- Мониторинг ресурсов
- Сбор актуальных новостей и определение N-нного количества жертв
- Проработка каждой жертвы. Сбор информации
- Поиск подхода
- Создание дружественного контакта
- Атака
- Отработка

А о том, с чего именно лучше начитать я расскажу в следующей лекции.