V-zlom.ru » Статьи » Не технические методы взлома

Не технические методы взлома

Не технические методы взлома Не технические методы взлома О таком методе взломе, как социальная инженерия (СИ) писалось много и обширно, но подвести итоги и выделить главное так никто и не удосужился. Попробуем исправить. Стоит начать с того, что взлом этими методом скорее творческий, нежели основан на знаниях политики безопасности системы хакером. Главный инструмент – это воображение, мозги и клавиатура. Остальным можно принебреч. Можно использовать несколько методов подкопки к жертве. Все они приведены ниже. Способ атаки Необходимые знания Средний процент успеха атаки E-mail письмом HTML, и иногда остальные веб-технологии (типа CSS, PHP, Perl, javascript). 40-70% Телефон Крайне полезно иметь под рукой прогу для изменения голоса (женский-мужской и обратно). Так же необходимо отлично владеть ситуацией. 80-100% Обычная почта Уметь выдерживать стиль письма. Необходимо уметь выдерживать один стиль писама от начала до конца. 10-35% Разговор в реальном времени в Internet Уметь расположить к себе собиседника, найти к нему подход, быть услужливым и вмеру напористым. 30-60% Личная встреча Уметь выглядеть подобающе образу, вести разговор непринуждённо, не выдавая волнения. 0-100% E-mail Есть много способов выманивая пароля. Единственно ограничение для придумывания новых – воображение хакера. Самы распространённые ( и поэтому уже не слишком результативные) предствавиться админом (тех.поддержкой, провайдером и т.д.) и сообщить, к примеру, о сбое в базах данных. Типо необходимо переписать базы, пришлите инфу, вводимую при регистрации. Необходимо уметь правильно копировать стиль письма человека (организации) от какого имени ты представляешься. Способ электронного письма наиболее распространён в СИ. Телефон Этот способ не расчитан на малоподготовленных хакеров. Необходимо уметь держать себя в руках, быстро реагировать на ответы собеседника, уметь выдержать тон во время разговора. Небольшой пример: свонит хакер админу какой-нибудь организации, представляеться сотрудником этой компании и говорит, что мол не могу войти в систему. Типа, что и как необходимо вводить. Конечно, это облегчённый вариант (процентов эдак на 80), на суть остаёться тойже. Обычная почта Этот способ уже практически вышел из употребления. Она заключаеться в подделки доверенного письма, договоров и остальных ценных бумаг. Могу с уверенностью сказать, что года через три этот способ в хакинге превратиться в быль. Разговор в реальном времени в Internet Разговор в чате, ir каналах и т.д. Суть в том, что бы расположить собиседника к себе. Часто жертвой в таком случае выступает обычный пользователь. У них то и легче всего отмыть пароль с логином. Можно, к примеру, предложить сотрудничество по продвижению сайта жертвы, представившись крутым веб-дизайнером и сказав, что именно ты строил Google, Yandex да и вообще весь интернет. Такой способ требует много сил и времени. Всё зависит от умения хакера убеждать. Личная встреча Этот способ очень (повторю – очень) непрост. Его провал ведёт за собой и самые серьёзные проблемы. Удача полностью зависит от умения хакера выглядеть тем, за кого он себя выдаёт. Правильно вести разговор, употреблять отдельные слова, держаться подобающе… всё это только начало. К примеру, залетаешь в кабинет админа одной компании. Стиснительно говоришь, что ты Новенький, и что тебе ещё не завели запись и ты не можешь войти в систему. Админ тебя регистрирует. Всё. Естественно, всё это офигенно упрощено. В реале предёться ещё не так попотеть. В отдельную подкатегорию можно вывести такой способ, как заманивыние жертвы на сайт. К примеру, пишешь красивый сайтик, где предлагаешь зарегистрироваться. Пароль и логин на 50-90% будет таким же, как пароль от сайта, почты, аськи и всего остального. Дело в том, что среднестатистическому пользователю ЛЕНЬ придумывать себе 1001 пароль на все ресурсы, куда он имеет доступ. Легче, причём намного, придумать один пароль и юзать его ВЕЗДЕ. Такой способ отмытия паролей требует огромных усилий, но и оправдывает себя. При использовании Социальной Инжинерии так же крайне важно обращение к жертве. Его можно выделить в следующие группы:

Официальный
Товарищеский
Дружеский
Первый тип встречается чаще всего в электронных документах (сообщения) от отдельной организации т.д. к примеру, зарегистрировав новый почтовый ящик, на нём появляется “Приветственное письмо” от сервера. Как раз в таких письмах и используеться официальный тон. Дружеский тон даёться не так просто. Необходимо провести огромное исследование жертвы, выявиться его любимые темы для разговора, понять чем и как он думает. При таком обращении предпологаеться, что хакер хорошо знаком с жертвой. Товорищеский тон – нечто среднее между двумя остальными. Его особенно легко использовать. Так же успех проведения операции зависит от того, к кому атака применяеться. А именно, степень доступа жертвы к системе:
администратор - высокая;
начальник - средняя;
пользователь - низкая;
знакомый администратора, начальника или пользователя - отсутствие доступа.
Ниже приведена таблицавероятности успеха атаки в зависимости от навыков выполняющего и от типа операции. (низкая - 1, средняя - 2, высокая - 3) Класс атаки --- подготовленность злоумышленника Новичок Любитель Профессионал СРЕДСТВА ПРИМЕНЕНИЯ Телефон 2 3 3 Электронная почта 1 2 3 Обыкновенная почта 2 2 3 Разговор по Internet 1 1 3 Личная встреча 1 2 3 ТИП ОБЩЕНИЯ Официальный 2 3 3 Товарищеский 3 3 3 Дружеский 1 2 3 СТЕПЕНЬ ДОСТУПА Администратор 1 2 3 Наальник 1 2 3 Пользователь 1 2 3 Знакомый 2 3 3 Вот примерно и все итоги по СИ. Надеюсь, что теперь ты во всём разобрался, дорогой читатель…

  • Автор: makar
  • Комментарии: 0
  • Просмотры: 1320
0

Добавить комментарий

Вы не авторизованы и вам запрещено писать комментарии. Для расширенных возможностей зарегистрируйтесь!