Три метода социальной инженерии.
ВАЖНО!!! Я НИКОГО НЕ ПРИНУЖДАЮ ДЕЛАТЬ ЭТОГО Я ЛИШЬ ЗНАКОМЛЮ ВАС С ТАКИМИ МЕТОДАМИ И СТАРАЮСЬ ОБЕЗОПАСИТЬ ВАС ОТ ЗЛОУМЫШЛЕННИКОВ! ЗНАЯ КАК ЭТО ДЕЛАЕТСЯ ВАМ БУДЕТ ПРОЩЕ УЗНАТЬ АТАКУ!
Всем привет, сегодня мы с вами разберем немного методов социальной инженерии. Для чего? Чтобы показать какую важную роль, социальная инженерия играет в мире хакинга . Чуть чуть поясню, каждый хакер, должен хоть немного знать это искусство. Например , всеми вами любимый фишинг, ведь основные действия основываются на том, чтобы заставить жертву перейти по ссылке и ввести свои данные. Заинтересовал? Тогда приятного прочтения)
В этой статье, я лишь расскажу о этих методах, где-то примерно покажу как работает, но подробное о них будет в других статьях, установка, использование и тд. Это больше разговорная статья, чем практичная )
1.Метод социальной инженерии - это фишинг, ну или рыбалка) как я и сказал, метод фишинга основывается на вынуждении жертвы ввести свой логин и пароль, которые впоследствии будут переданы вам.
К примеру, запустим наш любимый weeman, теперь сделаем фейк страницу вк, делается это с помощью простых команд :
https://vk.com/ - этой командой мы обозначаем, что фейк страницей у нас будет служить вк.
set port 8080 – ну тут мы ставим порт с помощью которого будет работать непосредственно сам сайт.
set action_url https://vk.com -этой командой мы указываем, куда будет перенаправлена жертва после ввода информации, давайте укажем ссылку на фотку например конкурса.
Командой run мы запустим скрипт, теперь мы с помощью ssh соединения, либо же через ngrok выпустим наш сайт в глобальную сеть. Пользуюсь ssh, вот команда :
ssh -R 80:localhost:8080
Так подготовка почти закончена, теперь нам надо немного преобразовать нашу ссылочку, чтобы не так палевно было. Что значит преобразовать? У нас сгенерировалась ссылка http://xxxx.ngrok.io/ С виду я думаю никто бы не перешел по такой ссылке, а вот если ее немного преобразовать, например воспользоваться сервисом vk.cc , то итог мы получим такой : https://vk.cc/a1Ykok
Теперь нам нужно заставить жертву перейти по данной ссылке, помню раньше была такая тема:
Заходили в разные группы CS:GO и Dota, и искали активные конкурсы, делали фейк страницу под администратора и накручивали необходимое количество друзей, далее в день объявления победителей за минут 15 присылали данное сообщение :
Привет поздравляем с победой в н-конкурсе, вы выиграли н-предмет, вам необходимо заполнить анкету и дождаться приза, ничего платить не надо, по ссылке вы сможете заполнить анкету, и через 1 день вам вышлют ваш приз на указанный адрес, есть только одно условие это ваш отзыв, честный и субъективный.
Ну жертва в как говорится в “попыхах” радости побежит переходить по данной ссылке и заполнять анкету, а мы получим данные для входа. Как говорится комплит)
2.Следующий метод социальной инженерии - троянский конь, обычно этим методом социальные инженеры заставляют установить какое-либо ПО в виде электронного письма с вложением, отсюда и такое название) Разберем на примере:
Мы меняем адрес отправителя на : касперский, и присылаем жертве такое письмо :
Здравствуйте дорогой пользователь антивируса касперский, вы пользуетесь уже нашим антивирусом долгое время, и мы решили вам в подарок дать PRO версию на один год, в данном архиве будет содержаться антивирус и ключ к нему.
Жертва скачивает архив, а в нем например был RMS, вирус удалённого доступа, и вот у нас есть доступ к чужому компьютеру.
3.Ну и третий метод социальной инженерии называется - дорожное яблоко. Кто видел сериал Mr.robot, тот меня поймёт. Это когда злоумышленник подбрасывает флешку на какое либо общественное место, человек такая натура что ему всегда будет интересно что содержится на данной флешке. Таким образом злоумышленники могут получить доступ к компьютеру. Обычно в роли флешки выступают BadUsb,
BadUsb - это если простым языком говорить, флешка которая будет выполнять то что ты ей скажешь, будь то открыть командную строку, будь то украсть все данные и прислать тебе их на почту) Если заинтересовала данная тема, то скоро надеюсь выйдет статья об этой волшебной флешке, но та которая у андера она стоит в районе 300 рублей с доставкой в Россию, а что у меня - 70 рублей.
Ну что-же теперь мы поговорим об очень важной фигуре в социальной инженерии как Кевин Митник.
Кевин Митник- это специалист/консультант по информационной безопасности, а точнее человек, который занимался мобильным фрикингом, в 12 лет изобрёл способ бесплатно кататься на автобусах, в 16 лет взломал компьютерную сеть и мог исправлять себе школьные оценки.
Кто не понял, что такое мобильный фрикинг - это когда злоумышленник получает нужные ему данные по телефону, например злоумышленнику даётся номер и основная информация, далее он делает вызов и методами обмана получает нужную ему информацию. Теперь вернёмся обратно к нашей фигуре - после многочисленных хакерских операции, Кевин Митник был осуждён, и ему дали запрет на работу с какой либо техникой. Но его это сильно не остановило. Пока Кевин Митник, отсиживал свое заключение он написал множество книг, одна из них это его популярная книга - Искусство обмана, это та книга которую я советую всем прочитать. В ней описываются все методы социальной инженерии и показываются на реальных примерах ссылка на книгу будет в описании.
Ну а на этом все, как сказал Кевин Митник - для человеческой глупости нет патча.