Ingineria Sociala

[vladiii]

M-am hotarat sa scriu aceste randuri deoarece Ingineria Sociala mi se pare, si nu numai mie, un subiect tabu, despre care mai nimeni nu pomeneste nimic; rari sunt oamenii care afirma: "am spart un site/ o casuta de e-mail, folosind social engeneering", si aeste persoane au sincer, tot respectul meu, si nu numai (cred ).

Care este scopul acestui tutorial ? Acela de a va aminti ca, pe langa metodele de hacking obisnuite si intalnite in viata de zi cu zi a "hackerilor" amatori sau profesionisti, mai exista si "altceva", un "altceva" uitat, care nu mai preocupa pe absolut nimeni (poate cu exceptia lui Nemessis ): Social Engeneering a.k.a. Ingineria Sociala.

Mintea unui om functioneaza dupa anumite tipare, unei persoane nu-i place sa se simta inferioara fata de altcineva(chiar daca poate sa depaseasca aceasta situatie de "prostie", dar nu se vrea sau ce stiu eu ce alte cauze ar mai avea); aproape orice om incearca sa raspunda la o provocare adresata lui (fie ca poate sa duca pana la bun sfarsit, fie ca nu); se considera cel mai bun , desi nu este (chiar daca este un prostalau, tot ingamfat va fi si se va considera geniu); un om este un robot care gandeste, care respira, care traieste, etc.

Poate va intrebati de ce am inceput acest mic tutorial despre o scurta caracterizare a omului (aceasta este parerea mea personala, voi considerati daca este corecta sau nu)? Pentru ca in Ingineria Sociala se pune accentul in special pe victima si apoi pe abilitatile dumneavoastra de a extrage informatiile de la aceasta. Sa continuam...

Un om nu poate sa tina un secret mult timp numai pentru el, curiozitatea il mananca si orice informatie pe care el o detine poate fi extrasa mai greu sau mai usor, depinde de firea si personalitatea acestuia.

Pentru ca un om sa divulge un secret de al sau, cum ar fi o parola, date personale&stuff, trebuie "tras de limba" un pic. Nu va recomand sa intrati in discutie cu el, va salutati si la a 5-a replica il intrebati: "Care e ba parola ta? ". Acest lucru este exclus, deoarece victima nu va mai avea incredere in dumneavoastra si adio parole >. Scopul meu in acest tutorial este acela de a va deschide oarecum ochii, sa invatati cum sa sustrageti o informatie de la o persoana, folosind doar "vorba".

Pentru aceasta, ar trebui sa utilizati cateva legi (sper sa nu va deranjeze limbajul iesit oarecum din comun ):

1) Legea de a face pe prostul. Puteti sa faceti pe "prostul", victima sa va creada inferior ei, dar defapt ea va fi cea care "va lua teapa" la final. De obicei, omul se comporta diferit fata de un om care pare prost decat fata de unul care pare destept, el nu o sa isi imagineze niciodata ca dumneavoastra (in contextul de fata, "un prost") o sa ii puteti fura parola si sa extrageti bani din conturile lui din banca.

2) Legea simpatiei. Puteti sa fiti simpatic cu acea persoana, sa ii castigati usor, usor increderea, incat la final sa va considere unul dintre cei mai buni prieteni pentru care ar face orice, inclusiv sa va dea parola, conturi in banca sau multe altele.

3) Legea fricii. Am intalnit de curand un caz (desi nu cred ca o sa mearga si pe un user mai experimentat) in care am primit un mass, in care scria: "Cine nu imi da parola lui de la messenger o sa ia flood pe ip pana cand isi schimba ISPul". Apoi, curios, l-am intrebat pe cel care a trimis acest mass: "A picat cineva in plasa", si el mi-a raspuns senin: "Da, foarte multi". In concluzie, cineva care ii este frica de dumneavoastra va face aproape orice pentru ca sa nu pateasca vreun rau (ca o mica completare, omul se bazeaza in general pe memorie, si daca o data in viata sa s-a ars cu apa fiarta (asta e doar un exemplu) o sa stie, instinctiv, sa nu mai atinga apa fiarta ca se opareste... un exemplu personal, eu am mancat odata ciuperci (ca imi placeau tare, mai ales ciulamaua ) si mi-a venit rau, acum, instinctiv, cand vad ciulama imi vine sa vomit ... ce am vrut sa zic cu asta? Cu cat victima o pateste de mai multe ori, cu atat va fi mai precaut data viitoare ,deci alegeti-va victima cu foarte mare atentie). O sa obtineti ceea ce doriti, doar daca aveti un motiv bun de amenintare, motive de care victima sa se teama, nu amenintari gen: "o sa iti omor pisica"&stuff.

4) Legea insuficientei. Puteti pacali victima sa va ofere informatii in schimbul altor informatii (principiul peer-to-peer) si apoi sa apelati la celebra vorba: "Mai intati tu". Puteti profita folosind aceasta "lege" in special de naivitiatea omului, de prostia acestuia si nu merge sa o aplicatii pentru orice tip de utilizator al WWWului.

Ar mai fi cateva legi de explicat, dar am precizat ca acest tutorial este scurt si la obiect si nu voi intra in amanunte, doar voi preciza cateva sfaturi generale pe care puteti sa le utilizati, dar daca nu o faceti, macar acest text sa va ofere o lectura placuta si o lectie de viata oarecum.

Pentru a pacali o persoana trebuie ca aceasta sa aiba inceredere in dumneavoastra, de aceea scopul dumneavoastra cand vreti sa obtineti o informatie de la o persoana sa fie acela de a a-i castiga increderea, nu de a-i fura parolele.

Atentie! Nu e nevoie neaparat sa ii aflati parola, ci doar date personale, sa nu uitam ca Serverele de Mail de la Yahoo, Hotmail si toate celelate su functia de PassWord Recovery (sau Forgot Password), in care se utilizeaza datele personale ale victimei pentru a recupera parola.

Si inca ceva, nu faceti toate acestea intr-o singura zi, altfel persoana respectiva va intra la banuieli; ingineria sociala este un proces lung, nu prea dificil, dar care da 90% din cazuri, roade.

Acesta a fost tutorialul. Sper sa va foloseasca cat de cat si astept comentarii despre el si sfaturi despre ce as putea sa scriu in Tutorialele urmatoare.

Si acum, la final, un mic sfat: mai lasati sa porneasca si screen-saverul pe monitor si iesiti afara pentru a va bucura de minunile non-binare ale Naturii.

Urmatorul tutorial: Retele fara Fir (aka Retele Wireless).

@vladiii 2007

Astept pareri

[fl0 fl0w]

Nice one ! keep it up.

Pentru cine e interesat de acest subiect(destul de important) am pus colectia mea de carti.

Social engineering

Tutoriale si carti aici:

http://www.ameritech.com/content/0,3086,92,00.html

[url]http://www.natlconsumersleague.org/top10net.htm[/url]

[url]http://usatoday.com/life/cyber/tech/cte414.htm[/url]

[url]http://www.it.com.au/jargon/social_engineering.html[/url]

[url]http://www.ifi.uio.no/iris20/proceedings/9.htm[/url]

[url]http://www.newscientist.com/ns/981031/nspam.html[/url]

[vladiii]

si o alta carte pentru voi: Kevin Mitnick-The Art Of Deception.

link: http://mihd.net/e2v9zr

Mai astept comentarii despre tutorial. 10x flo_flow