Впервые услышав о социальной инженерий,большинство людей бывают слегка шокированы. И отношение ко мне сразу менялось в худшую сторону.... Социальная инженерия-это попытка выведать у легального пользователя системы информацию необходимую для прохождения защитного барьера данной системы. Вот официальное определение этого термина из интернета. А короче сказать это попытка выведать пароль у пользователя любыми методами. Социальная инженерия (СИ) может принимать различные формы и обличия. Здесь я приведу некоторые из них.
БЛАГОРОДНЫЙ МЕТОД-я знаю хакеров которым совесть не позволяет вызнавать пароли с помощью хитростей. Они используют один из методов социальной инженерий,это вежливо попросить "Ну пожалуйста...",лично до меня не разу не доходила достоверная информация о том что этот метод сработал. Но по слухам некоторые другие хакеры узнавали пароль просто попросив об этом системных администраторов с помощью этого сообщения: Я хакер,дайте мне пароль для нижнего уровня доступа и я постараюсь использовать все свое мастерство,чтобы указать вам на существующие недостатки вашей системы. Вы сможете их исправить и не бояться злоумышленников. Вот так просто,также можно просто позвонить в офис и спросить номер например у секретарши "Ой,а что вы набираете по утрам на компьютере перед тем как начать работу?". Сработает ли этот прием,зависит от определенной доли везения. Сможете ли вы напасть на такого человека,который сыт по горло своей работой и не особо усведомлен насчет правил безопасности? Лучше использовать свой актерский талант и попробовать сыграть на дурака.
ХАКЕР В РОЛИ НЕОФИТА-в этом случае вы играете роль нового пользователя (сразу мне вспомнились слова Ф.Ларашфуко:-Величавость-это свойство тела,изобретенное для того чтобы скрывать недостаток ума. Не знаю почему,но решил написать...). Давайте с вами предположим что вы решили проникнуть в компьютерную систему какой-нибудь крутой компаний. На часах 8:55. Вы звоните в их компьютерный отдел и представившись сотрудником другого отдела этой же компаний беседуйте с неким сотрудником. Человек на другом конце провода:-Компьютерный отдел,Семен слушает. Вы:-Доброе утро! Это Владимир из отдела по продажам. У меня возникла одна проблема. Вы не могли бы мне помочь? Семен:-А в чем дело? Вы:-Ну я здесь пока один. Никого еще нет и мне никак не начать работу. Вы не подскажите что мне надо сделать? Семен:-Хорошо. Компьютер перед вами? Включите его. Вы:-Хорошо. Семен:-Подождите пару минут пока компьютер загрузится. Вы:-Хорошо (проходит минута) Но он перестал дальше работать! Семен:-Что вы видите? Вы:-То же что и всегда. Он и раньше доходил до этого места и переставал работать. Только голубой экран и надписи. Семен:-Нажмите кнопку Enter,это самая большая кнопка на клавиатуре. Вы:-Сейчас...нажал! Семен:-Вы что раньше вводили? Вы:-Нет,я здесь первый день работаю и ничего не знаю,мне сказали кто-нибудь все обьяснит. Семен:-Хорошо! Теперь набирите в появившемся на экране окошке слово "бублик",набрали? Вы:-Да. Семен:-Заработало? Вы:-Да,работает,спасибо,вам большое Семен,и почему это у меня раньше не выходило!
Теперь хочу вам от себя дать несколько советов,от себя лично:-Привествуйте вашего собеседника в тех же выражениях,что он употребил он сам. Это надо для того чтобы компьютерщику было удобнее с вами разговаривать,а также чтобы он понял что вы не боитесь сказать ему открыто как вас зовут и какую работу вы выполняете в этой компаний,тогда вопросов будет меньше с его стороны. Собеседник сообщил вам что он из компьютерного отдела,значит вы должны сказать что вы из отдела по продажам,даже если слово "подразделение" употребляется вами чаще. Тот факт,что вы говорите на языке компаний заставит вашего собеседника отнестиь к вам как к себе подобному. Просьба о помощи в том что касается компьютеров пробуждает в техниках чувство компьютерного благодушия,это уж по себе знаю. Выражение "не могли бы вы" вызовет в нем раздражение (все пишу по себе и по наблюдениям за другими программистами)-неужели вам не известно как круто он умеет обращатся с компьютерами!!!! Да он просто на изнанку вывернится только бы показать на что он способен. Не забудьте употребить слово проблема. Компьютерщики обожают решать проблемы,уж я подавно!
ХАКЕР В РОЛИ ПОМОЩНИКА-представим себе ситуацию что вы пытаетесь проникнуть в компьютеры которые стоят в офисе мэрий. Вы:-Здраствуйте,это Василий из отдела компьютерного обслуживания. Мы хотели бы узнать все ли у вас в порядке с компьютерной системой? (Можно даже самому сделать типа поломку или глюк!) Секретарша:-Ну да,сначала случилось вот так,а потом вот так... Вы:-Именно оно самое и есть! Вашей вины здесь нет,тут что-то произошло с компьютерами. И сейчас мы попытаемся в этом разобратся. Когда вы включаете компьютер,что вы набираете на клавиатуре перед тем как начать работу? Вчера наш сторудник уже пытался исправить вашу проблему и сказал что проблема именно в этом. Скорее всего последует имя\пароль.
ЧАС ПИК-не используйте этот план ранним утром или в околообеденное время-в эти часы он сможет не сработать. Надо вам дождатся когда рабочий день достигнет точки кипения и действовать. Попробуйте попасть туда где установленны компьютеры с интересующей вас компьютерной системой-это может быть библиотека,ШКОЛА или даже банк. Проведите там несколько часов в разные дни.
А теперь дам последние советы по СИ,к сожалению я тоже всего пока не знаю:
Если это возможно,попытайтесь провести некоторые исследования как я это делаю. Постарайтесь узнать как можно больше:
-о часах пик.
-о проблемах возникающих при использований данной системой.
-о том кто из сотрудников не разбирается в компьютерах.