Статьи Не технические методы взлома

Discussion in 'Статьи' started by foreva, 6 Feb 2005.

  1. foreva

    foreva HACKFORUM.RU

    Joined:
    5 Feb 2005
    Messages:
    48
    Likes Received:
    10
    Reputations:
    -2
    Не технические методы взлома
    Автор: Demonuga

    О таком методе взломе, как социальная инженерия (СИ) писалось много и обширно, но подвести итоги и выделить главное так никто и не удосужился. Попробуем исправить. Стоит начать с того, что взлом этими методом скорее творческий, нежели основан на знаниях политики безопасности системы хакером. Главный инструмент - это воображение, мозги и клавиатура. Остальным можно пренебреч.

    Можно использовать несколько методов подкопки к жертве. Все они приведены ниже.
    Способ атаки
    Необходимые знания
    Средний % успеха
    E-mail
    HTML, и иногда остальные веб-технологии (типа CSS, PHP, Perl, JavaScript).
    40-70%
    Телефон
    Крайне полезно иметь под рукой прогу для изменения голоса (женский-мужской и обратно). Так же необходимо отлично владеть ситуацией.
    80-100%
    Обычная почта
    Уметь выдерживать стиль письма. Необходимо уметь выдерживать один стиль письма от начала до конца.
    10-35%
    Разговор в реальном времени в Internet
    Уметь расположить к себе собеседника, найти к нему подход, быть услужливым и вмеру напористым.
    30-60%
    Личная встреча
    Уметь выглядеть подобающе образу, вести разговор непринуждённо, не выдавая волнения.
    0-100%

    E-mail
    Есть много способов выманивая пароля. Единственно ограничение для придумывания новых - воображение хакера. Самы распространённые ( и поэтому уже не слишком результативные) предствавиться админом (тех.поддержкой, провайдером и т.д.) и сообщить, к примеру, о сбое в базах данных. Типа необходимо переписать базы, пришлите инфу, вводимую при регистрации. Необходимо уметь правильно копировать стиль письма человека (организации) от какого имени ты представляешься. Способ электронного письма наиболее распространён в СИ.

    Телефон
    Этот способ не расчитан на малоподготовленных хакеров. Необходимо уметь держать себя в руках, быстро реагировать на ответы собеседника, уметь выдержать тон во время разговора. Небольшой пример: звонит хакер админу какой-нибудь организации, представляеться сотрудником этой компании и говорит, что мол не могу войти в систему. Типа, что и как необходимо вводить. Конечно, это облегчённый вариант (процентов эдак на 80), на суть остаёться той же.

    Обычная почта
    Этот способ уже практически вышел из употребления. Она заключаеться в подделке доверенного письма, договоров и остальных ценных бумаг. Могу с уверенностью сказать, что года через три этот способ в хакинге превратиться в быль.

    Разговор в реальном времени в Internet
    Разговор в чате, irc каналах и т.д. Суть в том, что бы расположить собеседника к себе. Часто жертвой в таком случае выступает обычный пользователь. У них то и легче всего отмыть пароль с логином. Можно, к примеру, предложить сотрудничество по продвижению сайта жертвы, представившись крутым веб-дизайнером и сказав, что именно ты строил Google, Yandex да и вообще весь интернет. Такой способ требует много сил и времени. Всё зависит от умения хакера убеждать.

    Личная встреча
    Этот способ очень (повторю - очень) непрост. Его провал ведёт за собой и самые серьёзные проблемы. Удача полностью зависит от умения хакера выглядеть тем, за кого он себя выдаёт. Правильно вести разговор, употреблять отдельные слова, держаться подобающе… всё это только начало. К примеру, залетаешь в кабинет админа одной компании. Стеснительно говоришь, что ты Новенький, и что тебе ещё не завели запись и ты не можешь войти в систему. Админ тебя регистрирует. Всё. Естественно, всё это офигенно упрощено. В реале придётся ещё не так попотеть.

    В отдельную подкатегорию можно вывести такой способ, как заманивыние жертвы на сайт. К примеру, пишешь красивый сайтик, где предлагаешь зарегистрироваться. Пароль и логин на 50-90% будет таким же, как пароль от сайта, почты, аськи и всего остального. Дело в том, что среднестатистическому пользователю ЛЕНЬ придумывать себе 1001 пароль на все ресурсы, куда он имеет доступ. Легче, причём намного, придумать один пароль и юзать его ВЕЗДЕ. Такой способ отмытия паролей требует огромных усилий, но и оправдывает себя.

    Вот примерно и все итоги по СИ. Надеюсь, что теперь ты во всём разобрался, дорогой читатель…
     
Loading...