Acidripp Posted January 15, 2009 Report Posted January 15, 2009 (edited) Nu stiu daca s-a mai gandit cineva la asta pana acuma, dar eu... pardon, unii oameni au folosit aceasta metoda si inca o mai folosesc cu succes.Ma refer bineinteles la obtinerea de domenii .ro .com .net si .org.Problema se pune in felul urmator:Puneti mana pe o factura de Vodafone, optional una care apartine unei persoane care v-a suparat tare de tot, nu va spun cum ca atata va duce mintea plus ca furtul de corespondenta este o infractiune si este pedepsita ca atare Bun, sa zicem ca aveti factura in mana, ia sa vedem ce informatii va ofera aceasta:NumePrenumeAdresaSeria facturiiCod clientNumar de telefonAcum urmeaza partea de inginerie sociala:Cumparati din piata un telefon mobil, cel mai ieftin posibil, mergeti la un magazin de cartier si cumparati o cartela de Vodafone cu numar (alegeti un numar care sa semene cat mai mult cu 0720222222 intelegeti ideea - cat mai multi de 2).Acum in functie de datele de pe factura gasiti o fata cu o voce cat mai sexy (nu glumesc) sau un baiat cu o voce autoritara si pe care sa nu-i pufneasca rasul din senin (am mai vazut cazuri) care va suna la numarul de pe factura.Conversatia ar trebui sa decurga in felul urmator:x: Alo, domnul/doamna Y?Y: Da, spuneti va rog.x: Buna ziua/seara, ma numesc Z (un nume cat mai sobru nu "Francfurt Adnan" sau stiu eu ce alta aberatie) operator/operatoare call center Vodafone Bucuresti. O sa va rog sa-mi confirmati niste date inainte.Y: Spuneti.x: Sunteti titularul acestui abonament?Y: Da.x: Locuiti la adresa cutare?Y: Da.x: O sa va rog sa-mi comunicati CNP-ul dumneavoastra.Y: 1860302320021x: Vreau sa va intreb daca v-a sosit ultima factura cu seria 123141534653464?Y: Nu. (wow surpriza x: Vrem sa va anuntam ca am intampinat niste dificultati in emiterea ultimelor facturi si ca daca nu aveti datele complete ale acesteia suntem obligati sa vi le comunicam pentru a putea efectua plata. Doriti sa vi le spun acum ?(de obicei va spune ca nu deoarece oricum primeste un sms cu datele facturii, dar in caz contrar veti furniza aceste date)Y: Multumesc!x: Cu placere, va dorim o zi cat mai buna. La revedere!Y: La revedere!Acum avem nume, prenume, cod client, numar de telefon si CNP... restul va las pe voi sa-l "ghiciti".PS= din punct de vedere al securitatii, ce pot face administartorii siteului in cauza pentru a evita acest lucru? (eu am cateva ideei, dar va las pe voi sa va ganditi) Edited January 16, 2009 by Acidripp Quote
noidee Posted January 15, 2009 Report Posted January 15, 2009 Nu stiu daca s-a mai gandit cineva la asta pana acuma, dar eu... pardon, unii oameni au folosit aceasta metoda si inca o mai folosesc cu succes.Ma refer bineinteles la obtinerea de domenii .ro .com .net si .org.Problema se pune in felul urmator:Puneti mana pe o factura de Vodafone, optional una care apartine unei persoane care v-a suparat tare de tot, nu va spun cum ca atata va duce mintea plus ca furtul de corespondenta este o infractiune si este pedepsita ca atare Bun, sa zicem ca aveti factura in mana, ia sa vedem ce informatii va ofera aceasta:NumePrenumeAdresaSeria facturiiCod clientNumar de telefonAcum urmeaza partea de inginerie sociala:Cumparati din piata un telefon mobil, cel mai ieftin posibil, mergeti la un magazin de cartier si cumparati o cartela de Vodafone cu numar (alegeti un numar care sa semene cat mai mult cu 0720222222 intelegeti ideea - cat mai multi de 2).Acum in functie de datele de pe factura gasiti o fata cu o voce cat mai sexy (nu glumesc) sau un baiat cu o voce autoritara si pe care sa nu-i pufneasca rasul din senin (am mai vazut cazuri) care va suna la numarul de pe factura.Conversatia ar trebui sa decurga in felul urmator:Acum avem nume, prenume, cod client, numar de telefon si CNP... restul va las pe voi sa-l "ghiciti".PS= din punct de vedere al securitatii, ce pot face administartorii siteului in cauza pentru a evita acest lucru? (eu am cateva ideei, dar va las pe voi sa va ganditi)Mai sunt doua impedimente mici. Nu ai emailul persoanei respective si nici parola Quote
Acidripp Posted January 15, 2009 Author Report Posted January 15, 2009 iar motivul pentru care mi-ar trebui astea este...? Quote
noidee Posted January 16, 2009 Report Posted January 16, 2009 iar motivul pentru care mi-ar trebui astea este...?Ai datele de mai sus ce faci cu ele unde le introduci? Quote
Acidripp Posted January 16, 2009 Author Report Posted January 16, 2009 ok, greseala mea, am presupus ca va prindeti singuri ...Ati auzit de mydomain.myx.net ? Stiti cu ce se mananca ? Quote
Sharcky Posted January 16, 2009 Report Posted January 16, 2009 tring!!..Acidripp,baiat destept,nu gluma!! Quote
noidee Posted January 16, 2009 Report Posted January 16, 2009 ok, greseala mea, am presupus ca va prindeti singuri ...Ati auzit de mydomain.myx.net ? Stiti cu ce se mananca ? Greseala ta a fost folosirea cuvantului "obtinerea" Corect era "inregistrarea in mod gratuit".Cand ai spus obtinerea, credeam ca te referi la preluarea unui domeniu nu inregistrarea lui. Totusi cei de la vodafone nu trimit nici un "cod secret" prin sms? Adica sa te puna sa introduci ce vezi in sms? Quote
Acidripp Posted January 16, 2009 Author Report Posted January 16, 2009 PS= din punct de vedere al securitatii, ce pot face administartorii siteului in cauza pentru a evita acest lucru? (eu am cateva ideei, dar va las pe voi sa va ganditi)Totusi cei de la vodafone nu trimit nici un "cod secret" prin sms? Adica sa te puna sa introduci ce vezi in sms?NU! asta ar fi una dintre variantele de securitate la care m-am gandit, desi nu-i 100% sigura deoarece si pentru obtinerea acestei informatii se poate folosi social engineering (ceva de genul Y: veti primi un cod prin sms, dupa ce il veti primi va voi ruga sa-l trimiteti la numarul acesta pentru a confirma ....)Greseala ta a fost folosirea cuvantului "obtinerea" Corect era "inregistrarea in mod gratuit".mda, aici ai dreptate Quote
noidee Posted January 16, 2009 Report Posted January 16, 2009 Social engineering este mult prea greu de evitat. Nici macar cu mii de anunturi de avertizare nu se calmeaza userul. Una din variante ar fi ca inregistrarea domeniului sa se faca dintr-un meniu gen "self care". Atunci s-ar pune problema daca telefonul respectiv e uitat prin casa si vine x si isi face domenii. Dar daca ne intoarcem la social engineering, "stiti dumneavoastra trebuie sa va activati domeniul minute.ro pentru a primi minutele gratuite despre care v-am vorbit". Nu vor crede toti, dar cineva cu experienta sunt convins ca ii va pacali pe cel putin 40% din subiecti. Cazul cel mai sigur din punctul meu de vedere este, ca atunci cand iti iei domeniul sa primesti un telefon de la vodafone in care sa iti explice ce ai facut si sa te puna sa confirmi. Quote
Acidripp Posted January 17, 2009 Author Report Posted January 17, 2009 Social engineering este mult prea greu de evitat. Nici macar cu mii de anunturi de avertizare nu se calmeaza userul. Una din variante ar fi ca inregistrarea domeniului sa se faca dintr-un meniu gen "self care". Atunci s-ar pune problema daca telefonul respectiv e uitat prin casa si vine x si isi face domenii. Dar daca ne intoarcem la social engineering, "stiti dumneavoastra trebuie sa va activati domeniul minute.ro pentru a primi minutele gratuite despre care v-am vorbit". Nu vor crede toti, dar cineva cu experienta sunt convins ca ii va pacali pe cel putin 40% din subiecti. Cazul cel mai sigur din punctul meu de vedere este, ca atunci cand iti iei domeniul sa primesti un telefon de la vodafone in care sa iti explice ce ai facut si sa te puna sa confirmi.ai dreptate, dar nu in totalitate, din punct de vedere strict al ingineriei sociale, pica treaba cu "vine x si isi face domenii" deoarece aia nu este inginerie sociala, eu vorbeam de faptul ca daca o astfel de masura este implementata, se pot obtine datele in acelasi mod, iar chestia cu operatorul care te suna sa iti explice poti s-o uiti din start pentru ca i-ar costa mai mult pe aia de a vodafone decat sa iti dea banii inapoi;)Din punctul meu de vedere, solutia cea mai ok pana acum mi se pare sa primeasca un sms pe numarul respectiv in care sa explice ca a ales sa-si faca un domeniu care costa x lei/luna, si daca este de accord sa trimita inapoi sms cu textul "da".... dar mai sunt varinte Quote
noidee Posted January 17, 2009 Report Posted January 17, 2009 ai dreptate, dar nu in totalitate, din punct de vedere strict al ingineriei sociale, pica treaba cu "vine x si isi face domenii" deoarece aia nu este inginerie sociala, eu vorbeam de faptul ca daca o astfel de masura este implementata, se pot obtine datele in acelasi mod, iar chestia cu operatorul care te suna sa iti explice poti s-o uiti din start pentru ca i-ar costa mai mult pe aia de a vodafone decat sa iti dea banii inapoi;)Din punctul meu de vedere, solutia cea mai ok pana acum mi se pare sa primeasca un sms pe numarul respectiv in care sa explice ca a ales sa-si faca un domeniu care costa x lei/luna, si daca este de accord sa trimita inapoi sms cu textul "da".... dar mai sunt varinte Nu ii costa decat omul care suna pentru ca pentru un operator de telefonie un telefon in interiorul retelei = 0 leiOricum in alta ordine de idei metoda e faina Quote
