Не технические методы взлома
Автор - Demonuga
О таком методе взломе, как социальная инженерия (СИ) писалось много и обширно, но подвести итоги и выделить главное так никто и не удосужился. Попробуем исправить. Стоит начать с того, что взлом этими методом скорее творческий, нежели основан на знаниях политики безопасности системы хакером. Главный инструмент – это воображение, мозги и клавиатура. Остальным можно пренебреч.
Можно использовать несколько методов подкопки к жертве. Все они приведены ниже.
Способ атаки |
Необходимые знания |
Средний % успеха |
E-mail |
HTML, и иногда остальные веб-технологии (типа CSS, PHP, Perl, JavaScript). | 40-70% |
Телефон |
Крайне полезно иметь под рукой прогу для изменения голоса (женский-мужской и обратно). Так же необходимо отлично владеть ситуацией. | 80-100% |
Обычная почта |
Уметь выдерживать стиль письма. Необходимо уметь выдерживать один стиль письма от начала до конца. | 10-35% |
Разговор в реальном времени в Internet |
Уметь расположить к себе собеседника, найти к нему подход, быть услужливым и вмеру напористым. | 30-60% |
Личная встреча |
Уметь выглядеть подобающе образу, вести разговор непринуждённо, не выдавая волнения. | 0-100% |
E-mail
Есть много способов выманивая пароля. Единственно ограничение для придумывания
новых – воображение хакера. Самы распространённые ( и поэтому уже не слишком
результативные) предствавиться админом (тех.поддержкой, провайдером и т.д.)
и сообщить, к примеру, о сбое в базах данных. Типа необходимо переписать базы,
пришлите инфу, вводимую при регистрации. Необходимо уметь правильно копировать
стиль письма человека (организации) от какого имени ты представляешься. Способ
электронного письма наиболее распространён в СИ.
Телефон
Этот способ не расчитан на малоподготовленных хакеров. Необходимо уметь держать
себя в руках, быстро реагировать на ответы собеседника, уметь выдержать тон
во время разговора. Небольшой пример: звонит хакер админу какой-нибудь организации,
представляеться сотрудником этой компании и говорит, что мол не могу войти в
систему. Типа, что и как необходимо вводить. Конечно, это облегчённый вариант
(процентов эдак на 80), на суть остаёться той же.
Обычная почта
Этот способ уже практически вышел из употребления. Она заключаеться в подделке
доверенного письма, договоров и остальных ценных бумаг. Могу с уверенностью
сказать, что года через три этот способ в хакинге превратиться в быль.
Разговор в реальном времени в Internet
Разговор в чате, irc каналах и т.д. Суть в том, что бы расположить собеседника
к себе. Часто жертвой в таком случае выступает обычный пользователь. У них то
и легче всего отмыть пароль с логином. Можно, к примеру, предложить сотрудничество
по продвижению сайта жертвы, представившись крутым веб-дизайнером и сказав,
что именно ты строил Google, Yandex да и вообще весь интернет. Такой способ
требует много сил и времени. Всё зависит от умения хакера убеждать.
Личная встреча
Этот способ очень (повторю – очень) непрост. Его провал ведёт за собой и самые
серьёзные проблемы. Удача полностью зависит от умения хакера выглядеть тем,
за кого он себя выдаёт. Правильно вести разговор, употреблять отдельные слова,
держаться подобающе… всё это только начало. К примеру, залетаешь в кабинет админа
одной компании. Стеснительно говоришь, что ты Новенький, и что тебе ещё не завели
запись и ты не можешь войти в систему. Админ тебя регистрирует. Всё. Естественно,
всё это офигенно упрощено. В реале придётся ещё не так попотеть.
В отдельную подкатегорию можно вывести такой способ, как заманивыние жертвы на сайт. К примеру, пишешь красивый сайтик, где предлагаешь зарегистрироваться. Пароль и логин на 50-90% будет таким же, как пароль от сайта, почты, аськи и всего остального. Дело в том, что среднестатистическому пользователю ЛЕНЬ придумывать себе 1001 пароль на все ресурсы, куда он имеет доступ. Легче, причём намного, придумать один пароль и юзать его ВЕЗДЕ. Такой способ отмытия паролей требует огромных усилий, но и оправдывает себя.
Вот примерно и все итоги по СИ. Надеюсь, что теперь ты во
всём разобрался, дорогой читатель…