Oтзывы и предложения для stranichko.org.ua

Социальная инженерия

Социальная инженерия, как гласит педивикия — метод несанкционированного доступа к информационным ресурсам основанный на особенностях психологии человека.

Основным отличием от стандартной кибер-атаки является то, что в данном случае в роли объекта атаки выбирается не машина, а ее оператор.

Если вы до сих пор еще думаете, что злоумышленники с целью заполучения информации, в лучших традициях кинематографа, сидят в темной комнате перед пятью мониторами (никогда не понимал зачем так много, ведь если перед тобой стоит более двух мониторов — приходится неистово крутить головой во все стороны, что не лучшим образом скажется на продолжительности эффективной работы за компом), курят сигареты, набирают код на языке ассемблера в блокноте со скоростью over 500 зн/мин и тем самым взламывают сразу все сервера Пентагона, то вы глубоко ошибаетесь. Как правило в жизни все делается намного проще и быстрее. Памятуя, что человек тоже вполне себе программируемое существо, можно сперва попытаться применить в действии простейшую программку сначала на этом существе, прежде чем писать тонны payload’ов в Metasploit Framework. Программка, как правило, состоит из небольшого количества операторов, а именно, назвать (желательно пару раз) имя программируемого существа, то бишь собеседника, поинтересоваться, может ли собеседник выделить пару минут для нашей хакерской персоны, попытаться сделать комплимент без палева, или пустить серьезно пыль в глаза, такую пыль, которая может показаться неопровержимым доказательством того, что с нами можно беседовать как с доверенной особой. Ну, и в конце обязательно поблагодарить и пожелать хорошего дня / обеда / стула / секса. :troll: Вот эти простые приемы как раз и являются частью социальной инженерии.

Итак, на днях мне удалось вот так просто заполучить учетные данные для партнерского входа на площадку прайс-агрегатора рrісе.uа. На самом деле я действовал с согласия заказчика и эти учетные данные знал и так. Ну, а если бы я был злобным конкурентом? В течении пятиминутного разговора я выполнил объявление вышеперечисленных операторов, а именно, удосужился обратиться по имени к менеджеру, с которым вел диалог, учтиво поинтересовался про то, может ли собеседник выделить на меня свое столь драгоценное время и перешел к техническим вопросам, касающимся, в принципе, всех интернет-магазинов и не являющих собой какую-либо коммерческую тайну. После обсуждения данных вопросов я пожаловался что не могу зайти под известными мне логином/паролем, а только по ссылке для восстановления пароля. На самом деле эта проблема действительно имела место быть, но теперь я понимаю, что такое можно ляпнуть применительно к совершенно стороннему ресурсу. Еще я добавил, что переписку со мной следует вести на мой личный почтовый ящик, т.к. доступа к почтовому ящика руководителя у меня нет, а дергать всякий раз МегаБОССа из-за каждого письма не следует (многозначительно так: нувыжпонимаааааете…..), что вполне логично. Далее я привожу скриншот переписки, где в итоге менеджер, в праведном порыве помочь столь учтивому молодому парню с приятным голосом, скинула напрямую мне учетные данные для входа, что уже является нехилой такой коммерческой тайной, т.к. конкурент, имея в руках этот логин и пароль мог, если был бы умен, делать пакости, но не столь явно, как вообще порушить все настройки, а исподтишка, периодически меняя аукционные ставки, на примере данной ситуации с прайс-агрегатором. Но самое важное в разговоре было то, что я назвал только название компании, интересы которой я представляю и свое имя. Все! Здесь, той пылью в глаза, которая дала повод думать о том, будто я в действительности являюсь представителем компании партнера стал тот разговор о технических сложностях. С чего бы злоумышленнику звонить с настойчивым желанием решить свою проблему и расспрашивать о технических сложностях, о которых данный менеджер итак рассказывает по 10 раз на дню?

Соглашусь, что данная проблема выглядит совершенно «притянутой за уши», но соль состоит в том, что вместо прайс-площадки мог быть ресурс посерьезнее. Вот так вот оно и бывает в компаниях — системы криптографии, комплексы мер по ограничению доступа, а информация вытекает как сквозь пальцы, а именно через самое слабое звено данной системы безопасности — человека, предварительно обработанного. И не обязательно этот человек должен быть наивен и доверчив как ребенок. Отнюдь. Просто, все мы люди, и все наши модели поведения в принципе предсказуемы.

Далее приведу несколько собственноручно сделанных мною нарезок из фильмов с похожими ситуациями. Осторожно, возможны спойлеры!

Декстер. Сезон 6, серия 10


Декстер. Сезон 8, серия 7

Иллюзия обмана (2013)

VN:F [1.8.8_1072]
Rating: 5.0/5 (3 votes cast)
Социальная инженерия5.053
2 598 просмотров

Один комментарий на “Социальная инженерия”

  • BessieNucky:

    Не ломай себе голову над этим!

    ——
    [url=https://xn--58-6kc6ajr0ai.xn--p1ai/%D0%BA%D0%B0%D1%82%D0%B0%D0%BB%D0%BE%D0%B3/%D1%82%D0%B5%D1%85%D0%BD%D0%BE%D0%BB%D0%BE%D0%B3%D0%B8%D1%87%D0%B5%D1%81%D0%BA%D0%BE%D0%B5-%D0%BE%D0%B1%D0%BE%D1%80%D1%83%D0%B4%D0%BE%D0%B2%D0%B0%D0%BD%D0%B8%D0%B5/]технологическое оборудование цена[/url]

    Великая страсть — единственное, на что способны нетрудящиеся классы.

    ——
    [url=https://fmg58.ru/fusing/]печь для фьюзинга стекла купить в интернет магазине[/url]

    Хорошая вешь

    ——
    [url=https://chess-bot.com/]chess calculator[/url]

    Хорошие манеры — лучшая защита от дурных манер другого

    ——
    [url=https://kino.fm/ru/films/beach-cougar-gigolo]https://kino.fm/ru/films/beach-cougar-gigolo[/url]

    Великие вещи человечества делаются не по логике, а от безумия людей.

    ——
    [url=https://kinomax.pro/filmy/fjentezi-smotret-onlajn/]смотреть фэнтези в хорошем качестве[/url]

    In it something is. Many thanks for the help in this question, now I will know.

    ——
    [url=https://pinupkasino.ru/]пин ап казино вход[/url]

    Подскажите, где я могу об этом прочитать?

    ——
    [url=https://kazinoreiting.ru/mobilnye-onlajn-kazino/]официальный сайт мобильных онлайн казино[/url]

    Не нравится — не читай!

    ——
    [url=https://semenslots.com/]бездепозитный бонус рублей[/url]

    It is not meaningful.

    ——
    [url=https://smm4top.com/]smm4top[/url]

    Я думаю, что Вы ошибаетесь. Давайте обсудим это.

    ——
    [url=https://propusknamkad.ru/]пропуск на мкад официально[/url]

Оставить комментарий

(обязательно)