Hi.
Jestem tu nowy ;)

ale od razu mam pytanie:
trafilem ostatnio na stronie hacking.pl na pewien text dotyczacy
``socjalnej inzynierii''. Jako ze zawsze interesowala mnie ludzka
psychika i ewentualna mozliwosc oddzialywania na nia, prosze was
o skomentowanie ponizszego textu.. ile w nim prawdy a na ile to bajka..
Moze kogos z was zainteresuje ten temat, a moze jest tu
ktos kto stosuje SE w zyciu codziennym :)

Zapraszam do lektury...


"SOCIAL ENGENEERING

1. Wstęp

Social Engeneering czyli po polsku Inżynieria Socialna to oparta głównie na
psychologii, logice i aktorstwie metoda wydobywania od ludzi poufnych
informacji, polegająca na przemyślnej manipulacji.

Jak wiadomo systemy zabezpieczeń sieciowych stają się coraz bardziej
skomplikowane i wielokrotnie zachodzi sytuacja, w której tzw. "czynnik
ludzki" stanowi najsłabsze ogniwo systemu. To właśnie sprawia, że inżynieria
socialna staje się coraz poważniejszym narzędziem w ręku hackera. Nie jest
to bynajmniej metoda lamerska, przeznaczona dla osób nie potrafiących włamać
się w inny sposób. Nic bardziej błędnego! Jest to narzędzie o wiele bardziej
wymyślne od przeciętnego konia trojańskiego. Wymaga nieco wiedzy z zakresu
psychologii, umiejętności obserwowania ludzi i nawiązywania kontaktów.
Potrzebna jest także wiedza z zakresu logiki i - jak do wszystkiego, co
związane z hackingiem - inteligencji. Mówiąc prościej - trzeba mieć po
prostu "gadane".

Social Engeneering nie odnosi się tylko do komputerów, chociaż te są w tym
przypadku głównym źródłem zainteresowania. Można ją z powodzeniem stosować
IRL (kto nie wie: "in real life").

Oprócz wyżej wymienionych umiejętności osoba pragnąca posługiwać się
inżynierią powinna także posiadać zestaw odpowiednich narzędzi typu konie
trojańskie, rootkity etc. niezbędne do szybkiego wyciągnięcia z komputera
ofiary informacji oraz do błyskawicznego zainstalowania tylnich drzwi na
koncie ofiary.



2. Dobór ofiary i wywiad

Etap doboru ofiary i jej klasyfikacja do określonego wzorca jest bardzo
ważna przy wyborze strategii postępowania wobec danej osoby (która jest
celem). Aby poprawnie sklasyfikować ofiarę należy najpierw zebrać o niej
odpowiednie informacje. I w tym momencie trafiamy na podział. Dalsze
działanie zależeć będzie w największej części od medium, przy użyciu którego
Inżynier socialny komunikuje się ze swą ofiarą. Możemy tu rozróżnić
IRCsocial (w tym zagadnieniu zamykają się jakiekolwiek formy komunikacji
przez Internet), TeleSocial (komunikacja z ofiarą odbywa się przez telefon),
IRLsocial (komunikacja z ofiarą odbywa się face to face).

W przypadku komunikacji internetowej mamy ogromne pole do popisu, ponieważ
s-inżynier może stać się kim tylko zechce. Poza tym w Internecie dysponujemy
mnóstwem anonimowych sposobów zdobywania informacji (typu ping, whois, lub
choćby odwiedzenie strony www, na której są udostępnione jakieś dane o
ofierze). Nigdy nie należy wysyłać do ofiary anonimowych maili ani
komunikować się z nią w sposób anonimowy. To powoduje spadek zaufania, a
przecież chodzi o coś zupełnie odwrotnego. W przypadku komunikacji
telefonicznej ważny jest przede wszystkim (co nikogo nie dziwi) głos. Należy
stosować odpowiednią intonację głosu. Jeżeli dzwonisz jako osoba prywatna
staraj się być miły i przyjacielski. Jeśli podajesz się za firme, instytucje
lub jakiś urząd, to najlepiej albo zgrywać ważniaka (tylko wtedy gdy ofiara
jest uległa bądź obawia się z jakiś powodów tej instytucji) albo dzwoniąc
krótko przed zamknięciem danej instytucji udawaj że się bardzo śpieszysz.
Komunikacja "na żywo" jest już trudniejsza. Liczy się tutaj nie tylko głos i
podejście, ale także wygląd (prezencja). Trzeba się tutaj wykazać typowym
talentem aktorskim.

Kiedy zbierzesz już na temat ofiary odpowiednie informacje musisz ją
sklazyfikować. Każdy typ ofiary wykazuje się odpowiednim stopniem i rodzajem
podatności na manipulację. Osobami podatnymi są ludzie, którzy:

- ufają Ci
- chcą czegoś co Ty możesz im dać
- ignorują bezpieczeństwo komputerów (nic na ten temat nie wiedzą)
- są początkującymi użytkownikami komputerów
- zaczynają nową pracę lub zaczynają pracę z komputerem i nie radzą sobie
jeszcze z tym dość dobrze
- osoby które mają większą wiedzę od Ciebie, albo tak im się przynajmniej
wydaje

3. Strategia postępowania

Istnieje kilka podstawowych zasad, które razem składają się na strategię
postępowania wobec ofiary (oczywiście w zależności od jej klasyfikacji).

Przede wszystkim należy wzbudzać w ludziach zaufanie. W tym celu należy
przyszłej ofierze bezinteresownie pomóc. Jeśli twoja ofiara nie potrzebuje
pomocy to spraw żeby jej potrzebowała. Nigdy nie naciskaj. Poczekaj aż
ofiara sama poprosi o pomoc. Ta zasada dotyczy również dalszego kontaktu z
ofiarą. Najpierw należy się zaprzyjaźnić, zawrzeć znajomość. Okres
zdobywania zaufania powinien trwać nie krócej niż jedną dobę (to jest
absolutne minimum i dotyczy drobnych spraw). Dobrze jest przejść na tematy
osobiste (powywnętrzniać się przed swoją ofiarą) - to wzbudza zaufanie. I tu
bardzo ważny szczegół. Mianowicie konto i domena, z której kontaktujesz się
z ofiarą. Zdecydowanie nie wzbudza zaufania ktoś, kto kontaktuje się z konta
a...@a...org lub [Yb3r73rR0r|5...@b...hackers.net. Za to właściwym
nickiem jest np. Rafał@poczta.onet.pl lub coś w tym stylu. Zawsze podpisuj
maile imieniem - to wszystko wygląda poważniej. Nacisk nie jest wskazany w
żadnej sytuacji. Sztuka polega na tym, aby tak pokierować konwersacją, żeby
nakierować ofiarę na to, co od niej chcemy. Jeżeli podajesz się za
pracownika jakiejś instytucji to dobrze jest udawać kogoś zapracowanego i
spieszącego się (wtedy dla ofiary jest naturalne że jesteś w takiej sytuacji
bardziej zasadniczy). Kiedy już dostaniesz to czego chciałeś, nie zrywaj
kontaktu ze swoją ofiarą. Wyślij do niej od czasu do czasu jakiegoś maila,
podeślij coś użytecznego. Nigdy nie możesz być pewien, że w późniejszym
okresie czasu znów nie będziesz czegoś potrzebował. Dlatego nigdy nie należy
palić za sobą mostów. Kolejną złotą zasadą jest wykorzystywanie psychiki
ofiary do maksimum. Jeżeli dana osoba coś od Ciebie chce lub masz coś co
możesz jej dać (np. sprzedawca w sklepie), to ofiara taka jest w naturalny
sposób uległa i ugnie się pod drobnym (drobnym!) naciskiem (o ile będzie
przekonana, że dostanie to, co Ty możesz jej dać). Ostatecznie, jeżeli masz
do czynienia z osobą o większej wiedzy (lub kogoś z manią wielkości) to
można to również wykorzystać do własnych celów. Do tej kategorii zaliczają
się często administratorzy. Należy w takim przypadku zgrywać lusera
zafascynowanego naszym "ekspertem" i uważającego go za guru. Taki "mastah"
chętnie sprawdzi twój "prymitywny program początkującego programisty Visual
Basica" (który, w zależności od inwencji twórczej, może okazać się np.
koniem trojańskim :-) "

sorry ze takie dlugie

pozdrawiam
nes.