Jump to content
moubik

very basic social engineering tutorial

Recommended Posts

intro:

Am evitat sa invat, sa fac social engineering. Pana cand mi-am dat seama ca acest skill mi-ar usura munca

si de mai multe ori nu as putea sa obtin ceea ce doresc fara el.

De cand l-am auzit pe Nemessis cum a facut pentru bf.ro m-am gandit ca poate am nevoie sa imi completez acest gol.

Incerc sa fac un mic tutorial despre cum fac eu, cum gandesc eu.

Ce inseamna social engineering?

In principiu inseamna manipulare, dar este mult mai mult. Trebuie sa iti inseli victima sa faca ceva ce doresti tu (sa dea click pe un link,

sa se conecteze undeva) sau sa aflii o anumita informatie.

Oamenii in ziua de azi sunt foarte circumspecti in legatura cu datele confidentiale. Pentru ca vor sa se simta importanti, parerea mea :).

In orice caz, 99% dintre oameni nu-ti vor da "parole".

Inainte de a face orice

Afla cat se poate de mult despre tinta. Orice informatie este binevenita.

Nume, adresa, varsta, ce mai face pe net, interese, daca ii plac pisicile.. orice este bun si cel mai probabil folositor.

Cauta pe net nick-ul persoanei.

Multi oameni nu au nick unic. Asta este o foarte mare problema pentru ca nu stii care dintre rezultate sunt valide si care nu.

Daca stii ca este din romania, de exemplu, cauta pe google


nick site:.ro

Obtii toate site-urile din romania.

Citeste ce a scris, citeste tot ce a postat, date personale de pe forumuri. Sa devii un mare leecher. Invata slang-ul persoanei.

Invata modul in care vorbeste. Daca vorbeste autoritar, respectuos, noteaza-ti. Noteaza-ti TOT ce gasesti.

Daca vorbeste gen cartier tine minte asta.

De sa faci asa?

Pentru ca va fi nevoie sa intri intr-un rol. Si nu intrii in pielea acelei persoane. Incerci sa devii un om din aceeasi categorie, din acelasi grup.

One bullet, one shot

Gandeste-te ca ai o singura sansa. Gandeste-te ca poti face chestia asta o singura data in viata.

Nu este neaparat adevarat, dar daca nu-ti iese totul perfect din prima, persoana poate deveni suspicioasa, isi poate pierde interesul.

Verifica si reverifica tot, daca trebuie sa dea click pe un site verifica cu mai multe browsere daca merge, daca informatia este corecta.

Intra in rol. Gandeste-te la cum vorbeste, asa va fi nevoie sa te exprimi si tu. Gandeste-te la interese astea sunt interesele tale.

Nu trebuie sa devii nu trebuie sa lingusesti persoana, de cele mai multe ori oamenilor le place sa aiba o discutie in contradictoriu,

dar cu o persoana RATIONALA, nu cu un incapatanat frustrat :)

Daca ai un prieten care te poate ajuta, roaga-l sa verifice cu tine.

Trimite-i lui mailul, daca asta trebuie sa faci.

Recreaza tot scenariul cu el. E posibil sa iti mai dea si el anumite indicatii.

Dupa ce reusiti sa verificati si sa reverificati tot,sa nu faci nici un fel de modificari pe sistemul construit.

Orice modificare necesita retestare! Poate pierzi din vedere un anumit amanunt.

Obtinerea accesului nu termina misiunea

De ce?

Am acces sunt zeu! haha!

Gresit!

Exemplu:

Ai facut tot sistemul si victima da click pe un cookiegrabber. I-ai luat cookie-ul deci ai acces.

Daca observa ceva suspect poate sa-si schimbe parola si ai ramas cu o prajiturica stricata.

Deci nu pierde din vedere ce se intampla dupa.

Sper ca poate fi de folos.

Link to comment
Share on other sites

Nu prea trebuie sa stii nimic.

De exemplu, uita-ti cum am plantat un trojan undetectabil la f. multe persoane prin mess:

Am redenumit fisierul ca Yahoo! AntiHack Edition.exe ...... imi aleg victima din lista, si ii spun... Vrei ceva ca Yahoo! ID-ul tau sa nu mai poata fi hackerit niciodata?

Cel mai probabil raspunsul e da.

Trojanul meu dadea o eroare la victima cand il pornea...

M-a intrebat ce se intampla.. I-am zis ca i-am dat un program gresit, scuze... Am luat o aplicatie... Care apare si dispare instant.. I-am zis ca daca dispare e protejat... M-a crezut...

Bun, dar imi trebuia IP-ul acum... Astept 5 min... Ii cer un album... Start, run, cmd, netstat -n .. aflu IP-ul... Nu mai astept sa mi se incarce niciun album nimic, bag IP-ul in trojan: Victim Online...

Keep on rollin' baby

Link to comment
Share on other sites

Mersi . Interesant dar nu sunt de acord cu ceva :

"Citeste ce a scris, citeste tot ce a postat" . Wtf dude , sa stau sa citesc pana maine la posturile lui :P , pe mine unu ma intereseaza : cateva date despre acea persoana , adresa de mail , cum il cheama etc. Am vazut pe un site unde adminu folosea numesiprenumele ca parola :).

Link to comment
Share on other sites

Ai ramane uimit daca ai vedea cati folosesc urmatoarele date:

- numele echipei favorite

- si mai ales numele orasului :)

- nr de la masina

- data nasterii

- nr. de telefon

- chiar si o parte din CNP am vazut loool

-- astept inca sa vad o parola formata din seria si nr. cartii de identitate :)

Social Engineering este una din cele mai de succes metode in accesarea conturilor. Daca nu ma insel kewin mitnik are chiar o carte interesanta in care abordeaza si acest aspect: The Art of Deception: Controlling the Human Element of Security (Hardcover)

Link to comment
Share on other sites

cam pierdere de timp,nu suntem in filme cu razboiul rece.

doar parerea mea.

Nu e razboiul rece, e social engineering.

Ingineria sociala nu este folosita doar pentru hack si nu e o pierdere de vreme, fiecare dintre noi o foloseste pentru a obtine ceva anume, o parola, bani (imprumut), etc...

Link to comment
Share on other sites

Aveti cumva vreun link catre cartile lui Mitnick?

Am cautat pe torrente, dar n-am gasit niciun torrent cu seederi.

Mitnick ? sincer mi se face scarba cand aud numele acestui tip.

Multi il/l-au considera(t) cel mai bun expert in securitate din lume insa total gresit.Nu stiu cum anume dar stiu ca toate cele 3 site-uri ale lui/firmei sale au fost sparte de Cyber-Terrorist care a facut pana si deface .. bleh bleh bleh si mai ii expert in securitate ?

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...