Сейчас такое понятие, как “социальная инженерия” приобретает всё большую узнаваемость. В этом посте я попробую рассказать о социальной инженерии в целом и моём личном опыте в этом русле.
Говоря простым языком, социальная инженерия – это хакинг без взлома. Т.е. цель социальной инженерии – получить доступ к запретной информации или выполнить какие-либо запрещённые действия в системе не прибегая к техническим уловкам, тонкостям, в общем, всяческим специализированным знаниям.
Я бы разделил социальную инженерию на два вида:
1. Работа с людьми
Этот вид социальной инженерии появился очень давно и всем известен. Это, в принципе, мошенничество, у которого раньше не было отдельного названия.
Так, человек получает информацию, например, путём сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путём проникновения в организацию под видом ее служащего.
Ещё один распространённый пример: рассылка писем якобы от администрации какого-либо сайта. Часто можно видеть письма о том, что была утеряна или повреждена база данных клиентов или пользователей, поэтому срочно необходимо, чтобы Вы выслали свой логин и пароль администратору. На самом же деле это простой обман, а обратный адрес – адрес злоумышленника.
Т.е. социальная инженерия при работе с людьми – это чистая психология. Нам же пока более интересен второй вариант.
2. Работа с ПО (человеческий фактор)
Социальная инженерия при работе с программным обеспечением – это поиск ошибки программистов. Они же тоже люди?! А просчитать всё возможно очень редко. Конечно, существуют бета-тестеры для поиска всевозможных социальных дыр и недоработок, но и они находят не всё.
Наглядный пример – ВКонтакте.ру. Ещё пару месяцев назад “в Контакте” можно было без особых проблем удалить своего друга хоть со всех фотографий, на которых он помечен. Достаточно было иметь в друзьях того, кого собираетесь удалять с фото, и того, кто это фото опубликовал.
Нужно было просто зайти на фотографию, отметить человека, которого хотели с этой фотографии удалить (т.е. отметить его второй раз, при этом метка переносилась со старого места – в новое), а затем удалить уже вашу метку. Всё это занимало пару секунд.
Конечно, это всё баловство, но бывают и такие случаи, когда найденную “дыру” можно очень хорошо монетизировать. Так, в одном из следующих постов я расскажу, как раньше поднимал тысячи и десятки тысяч хостов в сутки с того же VKontakte.ru. Опять же за счёт плохой продуманности интерфейса и безопасности.
Подводя итог. Социальная инженерия – очень интересная штука. С развитием технологий и интернетизацией общества она принимает всё большие масштабы. Без бета-тестирования уже не обходится ни один приличный Интернет-проект. А в таких областях, как спам – это новое решение новых проблем.
Новое на проектах:
Постовой?!
-
-
—-
Реклама: ; ; Охранная ; ; .
Реклама в этом блоге доступна и Вам!
Разместить у себя на ресурсе или в ЖЖ:
На любом форуме в своем сообщении:
Popularity: 15% []
33 комментов уже оставлено
о_О жду тему с контактом. Сам нашёл?
Естественно.)
мои немного мозгов в прямом действии :)
интересно будет услышать поподробнее о дырах в соц сетях. буду очень благодарен!
Да уж, про вконтакт жутко интересно, ждемс)
Интересно про в контакт статью. Спасибо за инфу)
Социальная инженерия рассчитана на определённую группу или слой общества. Причём, для воздействия, используются самые “слабые” места, что по-моему несколько аморально. ИМХО конечно :)
Да, мне доводилось такое делать, собственно – пару раз даже очень успешно – просто общался с людьми и что-то тайное узнавал. :)
Спецслужбисты давно применяют эти методы. Это их работа.
Мда все это очень неприятно особенно учитывая рост популярности социальных сетей. Я вот слышал что уже и “одноклассники” используются спецслужбами. Интересно, правда ли это?
Интересен тот факт как можно найти дыру в таком сервисе как Вконтакт, это же десятки полюбому не худших программистов над ним трудились. Но вобще говоря на кахдого умного человека найдётся ещё более умный :)Так что не мудрено:) Вобще конешно ждём вашего следующего поста про вконтакт.
Прикольный пост, кстати “выуживание” нужной тебе информации путем забалтывания (в основном по телефону) называется фрикинг!
Не верится что люди так просто покупаются на такое O_o. Хотя всеравно спасибо за пост, будем пробывать – авось сработает :)
полезная статейка))
попахивает методами спецслужб по типу КГБ и ЦРУ
Ждем статью про дыру во VKontakte.ru…
Да в VKontakte.ru уже давно нашли дири я так понял лично у меня уже два рази полностю удаляли стену сам не погу понять как :(
А что уже с “вконтакте” траф не идет?
Да о чём говорить, если множество сайтов/блогов можно открыть поставив в логин/пароль его домен или перебрав частые сочетания цифр типа 123? А у секретарш вообще всё на лисчтоках на мониторах. :)
Вообще, соц.инженерия уже давно описывалась в том же ][акере. Так сказать акардеон :))
to машины так это просто шутка) там в сообщение ставят большое количество отступов, вот и всё :) А про дыры Вконтакте ждём с нетерпеньем :)
Многие работодатели сейчас спрашивают адрес страницы вконтакте!
Все это мошенничество, спрятанное за красивыми словечками
Возможно,
как точка зрения – не отрицается.
Почитал статейки, многие впечатлили!
единственное, хотелось бы пообщаться с автором..
Людь, если не против, дай мне о себе знать ; )
п.с. аську,видимо как и многие пробовал не находит..
icq 976176
С вконтакта и сейчас и всегда будет идти хороший траф, стоит лишь воспользоваться именно “социальной” составляющей. И никакой зависимости от “дырок”.
Ну так всегда было так что народ пользуется не доделками в чем либо в свою выгоду :) а про В контакте и правда ждемс ..хотелось бы найти дуру тк что бы можно было просмаривать тех кто не является твои другом :))
Ну где же тема о вконтакте? Все с нетерпением ждем!
Народ помогите!Как узнать пароль от одного мыла?
Хакери умные люди-отних даже есть в кокой-то мере даже идейние мисли,креативность-желание что-то творить!Заставляют увидеть дыры!
Согласен с seolamo :) – при использовании социалок можно неплохой траф получать без дыр. Впрочем так повсюду. ИМХО, конечно :-)
SMO это будущее маркетинга :) Сам сейчас изучаю социальные сети – просто в восторге от возможностей привлечения аудитории. И с людьми общение идет, что тоже морально приятно
>1. Работа с людьми
Есть еще более кричащие дыры, когда не требуется даже прямое взаимодействие с атакуемым субъектом. Простые примеры: корпоративные пароли в записных книжках (включая данные авторизации в системах электронного банкинга!!!). Сами блокноты находятся на столах сотрудников в свободном доступе. Апогей – наклейка записки с паролем на монитор или системный блок.
Данные авторизации по умолчанию. Часто игнорируют смену паролей в сетевом оборудовании или после инсталляции Windows. Так и остается висеть admin/admin или “Администратор” с пустым паролем.
Письма счастья. Мол, здрасте, ждал мои фотки? Запускай приложенный файл! И таки запускают и весь букет логинов/паролей – аськи, ftp, сохраненные доменные пароли – все улетает в известном направлении. Особенно опасны такие ссылки или вложения от известных адресатов(поддельных или взломанных эккаунтов), чья кристальность не вызывает сомнений.
Добавить своё