Основные типы СИ и личные примеры

Тема в разделе "Уязвимости и взлом", создана пользователем Apofis, 24 окт 2017.

  1. Apofis

    Apofis

    Сообщения:
    96
    Баллы:
    6
    Привожу только основные типы СИ

    Претекстинг - это набор действий, отработанных по определенному, заранее составленному сценарию, в результате которого жертва может выдать какую-либо информацию или совершить определенное действие. Чаще всего данный вид атаки предполагает использование голосовых средств, таких как Skype, телефон и т.п.

    Для использования этой техники злоумышленнику необходимо изначально иметь некоторые данные о жертве (имя сотрудника; должность; название проектов, с которыми он работает; дату рождения). Злоумышленник изначально использует реальные запросы с именем сотрудников компании и, после того как войдет в доверие, получает необходимую ему информацию.

    Фишинг – техника интернет-мошенничества, направленная на получение конфиденциальной информации пользователей - авторизационных данных различных систем. Основным видом фишинговых атак является поддельное письмо, отправленное жертве по электронной почте, которое выглядит как официальное письмо от платежной системы или банка. В письме содержится форма для ввода персональных данных (пин-кодов, логина и пароля и т.п) или ссылка на web-страницу, где располагается такая форма. Причины доверия жертвы подобным страницам могут быть разные: блокировка аккаунта, поломка в системе, утеря данных и прочее.

    Троянский конь – это техника основывается на любопытстве, страхе или других эмоциях пользователей. Злоумышленник отправляет письмо жертве посредством электронной почты, во вложении которого находится «обновление» антивируса, ключ к денежному выигрышу или компромат на сотрудника. На самом же деле во вложении находится вредоносная программа, которая после того, как пользователь запустит ее на своем компьютере, будет использоваться для сбора или изменение информации злоумышленником.

    Кви про кво (услуга за услугу) – данная техника предполагает обращение злоумышленника к пользователю по электронной почте или корпоративному телефону. Злоумышленник может представиться, например, сотрудником технической поддержки и информировать о возникновении технических проблем на рабочем месте. Далее он сообщает о необходимости их устранения. В процессе «решения» такой проблемы, злоумышленник подталкивает жертву на совершение действий, позволяющих атакующему выполнить определенные команды или установить необходимое программное обеспечение на компьютере жертвы.

    Дорожное яблоко – этот метод представляет собой адаптацию троянского коня и состоит в использовании физических носителей (CD, флэш-накопителей). Злоумышленник обычно подбрасывает такой носитель в общедоступных местах на территории компании (парковки, столовые, рабочие места сотрудников, туалеты). Для того, чтобы у сотрудника возник интерес к данному носителю, злоумышленник может нанести на носитель логотип компании и какую-нибудь подпись. Например, «данные о продажах», «зарплата сотрудников», «отчет в налоговую» и другое.

    Обратная социальная инженерия - данный вид атаки направлен на создание такой ситуации, при которой жертва вынуждена будет сама обратится к злоумышленнику за «помощью». Например, злоумышленник может выслать письмо с телефонами и контактами «службы поддержки» и через некоторое время создать обратимые неполадки в компьютере жертвы. Пользователь в таком случае позвонит или свяжется по электронной почте с злоумышленником сам, и в процессе «исправления» проблемы злоумышленник сможет получить необходимые ему данные.
    _________________________________________

    Претекстинг пример: Как это делал лично я. Ко мне на работу зашла знакомая которую мне нужно было ломануть и мне нужно было узнать пользуется она ПК или нет. В лоб такой вопрос был бы подозрительным, и я ей задаю короткий специальный вопрос через который я получу ответ. "Слушай в ты как считаешь, кто нибудь сидит через компьютер в вк?=)" на что она мне дала ответ. "Я считаю что это уже устарело, я сижу только через телефон" тут я сразу смекнул что нужен мне для начала воцап. И мне было его достаточно. Что нужно я узнал и она уволилась по моей вине, и конечно она не очем не догадалась.

    Фишинг пример: Очень много способов в этом типе. Тут вам нужна СИ т.к. в этом разделе по любому нужны знания СО.

    И так как начинал это делать лично опять же я. Начинал я с того что делал фейковую программу для взлома на голду в игре варфейс, самп, вролд оф тенкс ( простите за мой супер английский ) и т.д. и делал обзор в ютубе на эти проги, говорил что все ахуенно, качай и взламывай. По факту же после ввода пароля и логина и нажатия на кнопку окей, шла загрузка на и после как мы поняли нихуя, а логин и пароль у меня. Школоте привет. На тот момент мне было 16 лет. Сейчас же я делаю тоже самое только с вк и не так банально, сейчас уже на такое не кто не клюёт. Подскажу что можно переписываться с жертвой в вк и предложить бесплатные стикеры, но для этого жертве нужно будет зайти на почту и ввести логин и пароль для получения подарка вот вам схема. А как ты оформишь фишинг на почту жертве это полностью твоя фантазия. Но делай похожий что типа реально от вк ( думаю ты понял )

    Троняский конь пример: Ну это наверное самое интересное)) Для этого приемчика тебе будут нужны знания причем много) Когда я начинал углубляться в сферу взлома я не знал про то что можно сделать такую флешку, которую я вствлю в пк и у меня будут все пароли и логины. Ведь это была мечта каждого школьника ломануть вк)) Ну я не смогу тут расписать обучалку как это делать, я ее напишу но не в этой теме т.к. я это хуярю с телефона и расписывать это все пиздец. Расскажу как это работает и как я это делал. Берем вирус для сбора паролей, вирус уже должен обладать защитными функциями от распознавания антивирусом, далее нужно сделать склейку вируса с тем файлом или фотографией который мы будем отправлять жертве, но для того что б было все удачно, тебе нужно все очень хорошо продумать, не поленись и проработай всю ситуацию, все возможные вопросы со стороны жертвы, полностью все, а если жертва еще и тупая или тупой то можно убедить его в том что антивирус нужно отключить.

    Кви про кво. Никода не применял на практике. В принципе можете представиться провайдером и сказать что есть подозрительная активность на вашем IP адресе, спросить лишнию информацию и в конце допустим номер телефона и почту, и пароль от нее, и возможно что с этой информацией у тебя получится зайти на страничку от вк. P.S. Пример тупой но что то в таком духе.

    Дорожное яблоко. Тоже никода не использовал такой метод взлома человека. Но через такой метод в принципе реально залесть в чужой пк и сливать себе всю инфу удаленно. Это тот же троян только жертва его получает физически а не удаленно через почту и т.д.

    Обратная социальная инженерия. Оооо это на мой взгляд очень крутой метод взлома)) но и в какой то степени не простой. Был случай у меня лично. У жертвы я выманил телефон и нарушил там работу интернет. Под предлогом что мне нужно зайти в вк. Я уверен что он подумал что я забуду выйти из вк и у него будет мой доступ. Но не тут то было. Он ко мне подходит, ну это логично после меня у него интернет не работает. Я до этого всего, изучал что он за человек и понял что если где то ему накосячить он будет просить что б ты же это исправлял. Ну вот он ко мне подходит и говорит "Интернет не робит после тебя, что бы через 5 мин он работал" Ну я захожу в его вк и пересылаю себе нужные переписки. И я это делал понятно больше чем 5 мин, говоря ему "Сейчас исправлю подожди". 15 мин мне хватило, и я замел следы. Он был тупым с легка поэтому так легко.

    Всем удачи ребята. Спасибо что прочитали до конца.
  2. AlkaSeltzer

    AlkaSeltzer

    Сообщения:
    335
    Баллы:
    16
    Весьма недурственно. Одно только меня просто убило (хотя это мало кто знает, поэтому такая ошибка) : кви про кво (quiproquo, в данном случае на французском), это (по сути и в не дословном переводе) когда один человек заблуждается насчёт личности другого (м.б. ошибочно, м.б. нет). Здесь - именно этот смысл.
    А так весьма неплохая тема) спасибо.
  3. Apofis

    Apofis

    Сообщения:
    96
    Баллы:
    6
    Я думал на счет этого, но изменять не стал, т.к. формулировок на этот счет прилично)

Поделиться этой страницей

Top