Приветствую вас дорогие VLMi-пользователи.
Социальная инженерия – это совокупность методов благодаря которым, обладатель данного навыка получает необходимый доступ к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Собственно термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии. Если вкратце - СИ помогает уверенно и выгодно ( для обладателя СИ) разпетлять любую ситуацию . :cool:
1. Первое с чем-бы я вас познакомил будет - "Претекстинг" - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва / мамонт может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный метод атаки предполагает использование аудиосообщений, голосовых средств, таких как Skype, Viber, телефон и т.п.
Для использования этой техники обладателю прокаченного СИ, необходимо изначально иметь некоторые данные о жертве (имя ; фамилия; друзья , город проживания; дату рождения, а в некоторых случаях и карту банка). Аферист имея такие данные может обратиться в банк с просьбой о выдаче кредита, после того как войдет в доверие сотруднику банка, получает без особого труда необходимую ему информацию, а иногда и кредит, который оформлен на карту жертвы
2. Старый добрый "Фишинг" никуда не делся :imp: , а кто не в курсе – это техника направленная на получение конфиденциальной информации пользователей - авторизационных данных различных сервисов, соц. ситей и систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу якобы "социальной сети", где располагается форма авторизации. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее. Правда вряд-ли уже кто-то ведётся на такую дичь, но тем не менее, прогресс не стоит на месте :rolleyes:
3. Троянский конь ( не я придумал ) – это техника основывается на любопытстве, страхе или других эмоциях юзеров. Мошонник отправляет письмо жертве посредством электронной почты, или он отправляет письма в социальных сетях, во вложении которых находятся «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле там нихуя нет, кроме стиллера, которого после того, как пользователь скачает и запустит на своем PC, будет использоваться для сбора, изменение информации Аферистом, в некоторых случаях после запуска подобного сюрприза, компуктеру торба:skull:
4. Quid pro quo (услуга за услугу) – данный метод предполагает обращение Афериста к пользователю по электронной почте или телефону. Аферист может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на PC ничего не подозревающего мамонта.
5. Следующим деликатесом будет "Дорожное яблоко" – этот метод представляет собой современную адаптацию знаменитого троянского коня и состоит в использовании физических носителей флэшки и т.д. Аферист обычно подбрасывает флэху в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, Аферист может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и т.д.
6. Обратная социальная инженерия - данный метод атаки направлен на создание такой ситуации, при которой мамонт вынужден будет сам обратится к Аферисту за «помощью». Например, Аферист может написать письмо с телефонами и контактами «службы поддержки» и через некоторое время набакопорить в PC юзера. Мамонт в таком случае позвонит или свяжется по электронной почте с Аферистом сам, и в процессе якобы «исправления» проблемы счастливчик сможет получить необходимые ему данные, закинуть стиллер, и подобного рода прелестей:imp:
А на этом пожалуй я закончю, надеюсь что информация для новорегов была полезной, а сторожили освежили свою память :bomb:
С вами снова @TrueТень - в прошлой статье я рассказал вам об анонимности в сети , а что вы скажите о "Социальной инженерии" - интересно?:imp:
Как и говорил вам друзья, спектр моих навыков шире чем ваш батя, по этому заваривайте кафийок/ чайок и приготовьтесь к порции годного контента:idea:
Одной из моих любимых :heart: навыков - это Социальная инженерия, именно о ней сегодня и пойдёт речь.
Итак.... Поехали:cool:
Как и говорил вам друзья, спектр моих навыков шире чем ваш батя, по этому заваривайте кафийок/ чайок и приготовьтесь к порции годного контента:idea:
Одной из моих любимых :heart: навыков - это Социальная инженерия, именно о ней сегодня и пойдёт речь.
Итак.... Поехали:cool:
Социальная инженерия – это совокупность методов благодаря которым, обладатель данного навыка получает необходимый доступ к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Собственно термин социальной инженерии появился не так давно, сам метод получения информации таким способом используется довольно долго. Сотрудники ЦРУ и КГБ, которые хотят заполучить некоторую государственную тайну, политики и кандидаты в депутаты, да и мы сами, при желании получить что-либо, часто даже не понимая этого, используем методы социальной инженерии. Если вкратце - СИ помогает уверенно и выгодно ( для обладателя СИ) разпетлять любую ситуацию . :cool:
Для того, чтобы орудовать СИ как шпагой фехтовальщик, необходимо знать разновидности методов и понять как они работают.
Рассмотрим основные типы социальной инженерии.
Рассмотрим основные типы социальной инженерии.
1. Первое с чем-бы я вас познакомил будет - "Претекстинг" - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва / мамонт может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный метод атаки предполагает использование аудиосообщений, голосовых средств, таких как Skype, Viber, телефон и т.п.
Для использования этой техники обладателю прокаченного СИ, необходимо изначально иметь некоторые данные о жертве (имя ; фамилия; друзья , город проживания; дату рождения, а в некоторых случаях и карту банка). Аферист имея такие данные может обратиться в банк с просьбой о выдаче кредита, после того как войдет в доверие сотруднику банка, получает без особого труда необходимую ему информацию, а иногда и кредит, который оформлен на карту жертвы
2. Старый добрый "Фишинг" никуда не делся :imp: , а кто не в курсе – это техника направленная на получение конфиденциальной информации пользователей - авторизационных данных различных сервисов, соц. ситей и систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу якобы "социальной сети", где располагается форма авторизации. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее. Правда вряд-ли уже кто-то ведётся на такую дичь, но тем не менее, прогресс не стоит на месте :rolleyes:
3. Троянский конь ( не я придумал ) – это техника основывается на любопытстве, страхе или других эмоциях юзеров. Мошонник отправляет письмо жертве посредством электронной почты, или он отправляет письма в социальных сетях, во вложении которых находятся «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле там нихуя нет, кроме стиллера, которого после того, как пользователь скачает и запустит на своем PC, будет использоваться для сбора, изменение информации Аферистом, в некоторых случаях после запуска подобного сюрприза, компуктеру торба:skull:
4. Quid pro quo (услуга за услугу) – данный метод предполагает обращение Афериста к пользователю по электронной почте или телефону. Аферист может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на PC ничего не подозревающего мамонта.
5. Следующим деликатесом будет "Дорожное яблоко" – этот метод представляет собой современную адаптацию знаменитого троянского коня и состоит в использовании физических носителей флэшки и т.д. Аферист обычно подбрасывает флэху в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, Аферист может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и т.д.
6. Обратная социальная инженерия - данный метод атаки направлен на создание такой ситуации, при которой мамонт вынужден будет сам обратится к Аферисту за «помощью». Например, Аферист может написать письмо с телефонами и контактами «службы поддержки» и через некоторое время набакопорить в PC юзера. Мамонт в таком случае позвонит или свяжется по электронной почте с Аферистом сам, и в процессе якобы «исправления» проблемы счастливчик сможет получить необходимые ему данные, закинуть стиллер, и подобного рода прелестей:imp:
А на этом пожалуй я закончю, надеюсь что информация для новорегов была полезной, а сторожили освежили свою память :bomb:
