Sotsiaaltehnoloogia rünnakud (häkkimise vaatenurgast) on üsna sarnane võlusaate esitamisega. Erinevus seisneb selles, et sotsiaaltehnoloogia rünnakutes on see võluvõte, mille tulemuseks on pangakonto, sotsiaalmeedia, e -post ja isegi juurdepääs sihtarvutile. Kes lõi süsteemi? INIMENE. Sotsiaaltehnoloogia rünnaku tegemine on lihtne, uskuge mind, see on tõesti lihtne. Ükski süsteem pole ohutu. Inimene on kõigi aegade parim ressurss ja turvaaukude lõpp-punkt.
Viimases artiklis tegin Google'i konto sihtimise demo, Kali Linux: sotsiaalse inseneri tööriistakomplekt , see on teile veel üks õppetund.
Kas me vajame sotsiaalse insenerirünnaku tegemiseks teatud sissetungimise testimise operatsioonisüsteemi? Tegelikult mitte, Social Engineering Attack on paindlik, tööriistad, näiteks Kali Linux, on lihtsalt tööriistad. Social Engineering Attacki põhipunkt on rünnakuvoo kavandamine.
Viimasest sotsiaaltehnoloogia rünnaku artiklist õppisime sotsiaaltehnoloogia rünnakut TRUST abil. Ja selles artiklis õpime TÄHELEPANU. Selle õppetunni sain varaste kuningalt Apollo Robbins . Tema taust on osav mustkunstnik, tänavamaag. Tema saadet võis YouTube'is näha. Kunagi selgitas ta TED -vestluses, kuidas asju varastada. Tema oskus on peamiselt ohvri tähelepanuga mängimine oma asjade, näiteks kellade, rahakoti, raha, kaardi ja kõik ohvrite taskus oleva taskuvarga taskuvõtmise eest. Näitan teile, kuidas läbi viia sotsiaalse insenerirünnaku, et häkkida kellegi Facebooki kontot, kasutades selleks USALDUST ja TÄHELEPANU. TÄHELEPANU võtmeks on kiiresti rääkida ja küsimusi esitada. Olete vestluse piloot.
Sotsiaaltehnoloogia rünnaku stsenaarium
See stsenaarium hõlmab kahte näitlejat, John ründajana ja Bima ohvrina. John seab sihtmärgiks Bima. Sotsiaaltehnoloogia rünnaku eesmärk on pääseda ohvri Facebooki kontole. Rünnakuvool kasutab erinevat lähenemisviisi ja meetodit. John ja Bima on sõbrad, nad kohtuvad sageli sööklas lõuna ajal kontoris puhkeajal. John ja Bima töötavad erinevates osakondades, ainus kord, kui nad kohtuvad, on sööklas lõuna. Nad kohtuvad ja räägivad üksteisega sageli, kuni nad on paarilised.
Ühel päeval, John paha poiss, on otsustanud harjutada sotsiaaltehnoloogilist rünnakut, kasutades mängu TÄHELEPANU, mida ma varem mainisin, ta sai inspiratsiooni varaste kuningast Apollo Robbinsist. Ühes oma ettekandes ütles Robbins, et meil on kaks silma, kuid meie aju saab keskenduda ainult ühele asjale. Me võime teha multitegumtöötlust, kuid see ei tee erinevaid ülesandeid korraga, vaid lihtsalt suuname tähelepanu igale ülesandele kiiresti.
Päeva alguses, esmaspäeval, on kontor, nagu tavaliselt, John oma toas laua taga. Ta kavatseb saada strateegia oma sõbra Facebooki konto häkkimiseks. Ta peaks enne lõunat valmis olema. Ta mõtleb ja imestab oma laua taga istudes.
Siis võtab ta paberilehe, istub oma toolile, mis on arvuti poole. Ta külastab Facebooki lehte, et leida viis kellegi konto häkkimiseks.
1. SAMM: OTSIGE STARTAKNA, ka AUK
Sisselogimisekraanil märkab ta linki nimega Unustatud konto. Siin kasutab John eeliseid unustatud konto ( parooli taastamise) funktsioon. Facebook on juba meie algusakent teenindanud aadressil: https://www.facebook.com/login/identify?ctx=recover.
Leht peaks välja nägema selline:
Valdkonnas Leia oma kasutaja jaos on lause, mis ütleb: Sisestage oma konto otsimiseks oma e -posti aadress või telefoninumber . Siit saame teise akende komplekti: e -posti aadress viitab E-maili konto ja telefoninumber viitab mobiilile Telefon . Niisiis, Johnil on hüpotees, et kui tal oleks ohvri e -posti konto või mobiiltelefon, on tal juurdepääs ohvri Facebooki kontole.
2. ETAPP: TÄITKE KONTO IDENTIFITSEERIMISE VORM
Olgu, siit hakkab John sügavalt mõtlema. Ta ei tea, mis on Bima e-posti aadress, kuid ta salvestas Bima telefoninumbri oma mobiiltelefonile. Seejärel haarab ta oma telefoni ja otsib Bima telefoninumbrit. Ja sealt ta läks, ta leidis selle. Ta hakkab sellel väljal Bima telefoninumbrit tippima. Pärast seda vajutab ta nuppu Otsi. Pilt peaks välja nägema selline:
Ta sai selle, ta leidis, et Bima telefoninumber on seotud tema Facebooki kontoga. Siit ta lihtsalt hoiab ja ei vajuta Jätka nuppu. Praegu veendus ta lihtsalt, et see telefoninumber on ühendatud ohvri Facebooki kontoga, nii et see läheneb tema hüpoteesile.
See, mida John tegelikult tegi, on luure tegemine või ohvri kohta teabe kogumine. Siit on Johnil piisavalt teavet ja ta on valmis täitma. Aga John kohtub Bimaga sööklas, Johnil on võimatu oma arvutit tuua, eks? Pole probleemi, tal on käepärane lahendus, milleks on tema enda mobiiltelefon. Niisiis kordab ta enne Bimaga kohtumist SAMM 1 ja 2 oma Android -mobiiltelefoni Chrome'i brauseris. See näeks välja selline:
ETAPP 3: KOHTUDA Ohvriga
Olgu, nüüd on kõik seadistatud ja valmis. Kõik, mida John peab tegema, on haarata Bima telefon, klõpsata Jätka nuppu oma telefonis, lugege Bima telefonis Facebooki saadetud SMS -sõnumeid (lähtestamiskood), pidage seda meeles ja kustutage sõnum kiiresti.
See plaan jääb talle pähe, kui ta nüüd sööklasse kõnnib. John pani telefoni taskusse. Ta sisenes söökla piirkonda, otsides Bimat. Ta pööras pead vasakult paremale, et teada saada, kus Bima on. Nagu tavaliselt, on ta nurgaistmel, Johnile käega lehvitades, oli ta oma söögiga valmis.
Kohe võtab John keskpäeval väikese portsjoni sööki ja tuleb koos Bimaga laua lähedale. Ta ütleb Bimale tere ja siis nad söövad koos. Söömise ajal vaatab John ringi, märkab, et Bima telefon on laual.
Pärast lõunasöögi lõpetamist räägivad nad üksteise päevast. Nagu tavaliselt, avas John ühel hetkel uue teema telefonide kohta. John ütleb talle, et John vajab uut telefoni ja John vajab tema nõuandeid selle kohta, milline telefon Johnile sobib. Siis küsis ta Bima telefoni kohta, ta küsis kõike, mudelit, spetsifikatsioone, kõike. Ja siis palub John tal oma telefoni proovida, John käitub nagu ta oleks tõesti klient, kes telefoni otsib. Johni vasak käsi haarab tema loal telefoni, parem käsi aga laua all, valmistudes oma telefoni avama. John pöörab tähelepanu vasakule käele, telefonile, John rääkis nii palju oma telefonist, selle kaalust, kiirusest ja muust.
Nüüd alustab John rünnakut, lülitades Bima telefonihelina helitugevuse nullini, et takistada teda tuvastamast, kas uus märguanne tuleb. Johni vasak käsi hoiab endiselt tähelepanu, samal ajal kui parem käsi vajutab Jätka nuppu. Niipea kui John nuppu vajutas, tuli teade.
Ding .. Helid puuduvad. Bima pole sissetulevat teadet ära tundnud, kuna monitor on Johniga silmitsi. John avab kohe sõnumi, loeb ja jätab selle meelde 6 -kohaline tihvt SMS -is ja kustutab selle peagi. Nüüd on ta Bima telefoniga lõpetanud, John annab Bima telefoni talle tagasi, samal ajal kui Johni parem käsi võtab oma telefoni välja ja hakkab kohe kirjutama 6 -kohaline tihvt ta lihtsalt mäletas.
Siis vajutab John Jätka. Ilmub uus leht, kus küsiti, kas ta soovib uue parooli teha või mitte.
John ei muuda parooli, sest ta pole kuri. Kuid nüüd on tal Bima Facebooki konto. Ja ta on oma ülesandega hakkama saanud.
Nagu näete, tundub stsenaarium nii lihtne, kuid kuule, kui lihtsalt saaksite oma sõprade telefoni haarata ja laenata? Kui seostate oma hüpoteesiga oma sõprade telefoni, saate halvasti kõike, mida soovite.