Обратная социальная инженерия.




Создаётся ситуация, когда компания или человек нуждается в вашей помощи. Вы приходите и помогаете, параллельно установив в систему бэкдор. Классической схемой студентов было дать красивой девочке флешку с рефератом, при этом упомянув, что вы классный компьютерщик. Через недельку другую компьютер девушки зависал намертво, и она звонила вам, а вы шли к ней в гости на чай, ставя винду, и параллельно копируя на флешку пароли девочки с помощью утилит от Nirsoft.

Игра на желании жертвы что-то получить

Вам говорят, что вы выиграли в лотерею, или сообщают что вы один из тысячи посетителей сайта, которому положен приз по акции. В социальной сети с вами знакомится блондинка, которая бросает вам ссылку на сайт с ее интимными фото. Симпатичный иностранец пишет одинокой женщине о том, что увидел в сети ее профиль, и влюбился без памяти. Все эти, и многие другие сценарии, направлены на то, чтобы вы зашли на страничку с вирусом, способным заразить вашу систему, или того хуже, с помощью обмана выманить у вас деньги, обещая взамен что-то грандиозное.

Чтобы противостоять хакерам – нужно хорошо разбираться в компьютерах, а против социальной инженерии поможет только её всестороннее изучение. Врага надо знать в лицо.

Часть 2 “Методы выживания”

 

Нетсталкинг

 

Случилось так, что большинство людей купили себе компьютеры/смартфоны/планшеты, и подключили безлимитный интернет. Казалось бы, перед ними открылись безграничные знания и возможности. Однако, получив доступ к океану информации, люди так и не научились в нем плавать. Большинство довольствуется тиной, вынесенной на берег прибоем: вроде фейковых новостей, дешевых продуктов киноиндустрии и таргетированной ленты бессмысленных цитат, а также ежедневным общением с другими подобными им индивидуумами в соцсетях. Люди репостят сделанные кем-то мемы, и ставят в статусы чужие мысли, кажущиеся крутыми. Глубина океана информации им недоступна. Они и не подозревают, что находится на дне, какие тайны скрывает неиндексируемая часть интернета.

Однако есть более продвинутые товарищи, которые называют себя нетсталкерами. Их можно сравнить с ныряльщиками, исследующими дно интернета в поисках информационных жемчужин. Мышление нетсталкеров не направленно на получение сиюминутной материальной выгоды. Ценится именно полезное знание, редкие книги, и прочие вещи, ускользающие от внимания обычных пользователей сети.

В чем-то идеология нетсталкинга напоминает принципы ранних хакеров, в те времена, когда они взламывали системы не для получения прибыли, а для удовлетворения собственного любопытства. Нетсталкинг отличается от хакинга, тем, что используются легальные (хотя порой нетривиальные) способы доступа к данным.

Зачастую, малознающие люди ассоциируют нетсталкинг с каналом Web Seeker на ютубе, или, того хуже, с “группами смерти” в социальных сетях. На самом деле, Web Seeker просто решил нажиться на тематике, а то, что он показывает в видео, ориентированно на школьников, с невысоким интеллектом. Так называемые "китовые группы" использовали криппи-легенду про Тихий дом (мистическая конечная цель сетевых поисков), переиначив ее под свои нехорошие цели. Настоящий нетсталкинг не имеет со всем этим ничего общего, и наполнен совершенно другими вещами, нежели доведение подростков до самоубийства с помощью АРГ и шантажа в соцсетях. Периодически возникающие треды о нетсталкинге на имиджбордах полны троллей, и слабо отражают истинную суть движения.

Чем же занимаются нетсталкеры?

- Учатся искать информацию различными методами

- Проверяют достоверность найденных фактов

- Архивируют и хранят полезные и редкие знания

- Изучают тонкости работы сетевых технологий

Можно ли сопоставлять блуждание по интернету с реальным выживанием на местности или в городе? На первый взгляд, ничего общего. Но и в сети нас подстерегают риски. Они менее очевидны, но оттого лишь более коварны! Дезинформация, полуправда, желтуха, заказные статьи, напускной мистицизм и секты - вот немногие представители хищных зарослей поверхностного и глубинного интернета.

Недавно, словом года был признан термин “постправда”. Это серьёзная угроза для тех, кто ленится читать дальше заголовка. В цифровую эру люди куда больше защищены физически, но куда они направляют свою жизнь? Не лишаются ли они свободы мысли под влиянием мощных потоков фейковых новостей и мусорного контента?

Нетсталкеры - те люди, которые стремятся выжить ментально, найти своё пристанище и свою правду за пределами общепринятого “информационного пузыря”.


OSINT


Умение целенаправленно искать нужную информацию – бесценно. Далее, в этой статье я буду упоминать некоторые онлайн-сервисы, которые, скорее всего, скоро устареют. Но есть ключевые слова, которые вы можете забить в поиск, даже через несколько лет после выхода статьи, и найти наиболее актуальные методы. Я приведу список этих простых фраз:

- OSINT
- Open Source Intelligence
- Разведка по открытым источникам
- Конкурентная разведка
- Google dorks

Что же такое OSINT? Это поиск информации в открытых источниках, то есть в сети интернет. Звучит просто, но эта аббревиатура скрывает под собой целый пласт программного обеспечения, онлайн-сервисов и хитрых уловок, для выуживания и просеивания частиц информации об искомом объекте.

Зачем же нужно изучать методы OSINT обычному человеку? Во-первых, вы сможете найти что угодно в сети, в кратчайшие сроки. И это будет действительно полезная информация, а не поверхностные сведения по теме. Во-вторых, когда вы многое знаете о своих друзьях, и бизнес-партнерах, вам проще вести с ними дела. Существуют ситуации, когда мы случайно пересеклись с нужным человеком, и хотим узнать о нём больше. Или хотим проверить компанию, с которой нам предстоит заключить контракт.

По сути, OSINT похож на деятельность частных детективов. Его также можно применять, чтобы понять, достоверен тот или иной факт, для поиска первоисточника новостей. Давайте посмотрим, как работает OSINT на примере поисков информации о человеке в сети.

Выпишите в блокнот все, что вам уже известно об искомой персоне - ФИО, город, дата рождения или примерный возраст, ник, общие знакомые, фото.

Вводите в https://people.yandex.ru и другие поисковые системы известные данные. Иногда достаточно фамилии и города проживания. Найдется много людей, пролистав фото которых, вы обнаружите нужного человека. Узнав из его аккаунта дату рождения, повторите поиск с этим же именем, но без фамилии, или, наоборот, с этой же фамилией, но без имени, либо, просто по точной дате рождения – в общем, в разных комбинациях.

Не забудьте про внутренние поисковые системы соцсетей. Проверьте все известные ники человека с помощью сервисов поиска занятых ников во всех доступных соцсетях (пример подобного сервиса: https://namechk.com).

В интернете существуют бесплатные сервисы для поиска ИИН, по имени и фамилии, дате рождения и другим неполным данным. Благодаря им, можно определить полное ФИО искомого человека, а также узнать его ИИН и точную дату рождения.

Даже если товарищ не пишет в аккаунте свое ФИО, его всё равно можно вычислить благодаря общим знакомым или постоянным контактам, которые он добавляет в друзья. Для этого достаточно узнать круг его общения и поискать человека в друзьях у его возможных знакомых.

Возьмите листочек с выписанными ранее уже известными данными о человеке и, составляя из них различные комбинации, вводите их в поиске Яндекса и Гугла. Как только нашли какие-то новые данные, составляйте новые поисковые запросы и продолжайте поиски.

Если вам известен номер сотового - воспользуйтесь приложением Getcontact, NumBuster, и подобными программами, которые помогут узнать имя человека по номеру его мобильного.

Кроме этого можно добавить номер сотового в свои контакты на смартфон с установленными ВК, Viber, Whatsapp и импортировать в подобные программы искомый номер, чтобы увидеть сидит ли человек в мессенджерах, и извлечь с аккаунтов дополнительную информацию – например, фото из Whatsapp.

Поиск по фото - в настоящее время самым лучшим вариантом является программа Findclone, которая ищет профиль человека Вконтакте по его фотографии.

Любая JPEG фотография, сделанная смартфоном с включенным GPS, содержит EXIF теги, позволяющие определить место съемки по значениям широты и долготы (геометка).

Обратите внимание на то, как в анкетах соцсетей и в собственных записях, человек описывает свое отношение к другим, что его друзья пишут о нем самом.

Некоторые ставят лайки всему, что видят, от кого-то лайка никогда не дождешься, но, в основном, люди довольно избирательны в этом деле и вот тут очень интересно посмотреть, статистику того, кто или что собирает максимум лайков от нашего человека. Хорошо, что появляются сервисы, позволяющие этот интересный процесс анализа автоматизировать, например, такие как searchlikes.ru

Придумайте фейковую личность противоположного пола, и, зарегистрировав фальшивый аккаунт, познакомьтесь с данным человеком в соцсетях. Обратите внимание на сообщества, в которые человек вступил в соцсетях - они во многом отражают его внутреннее я. Зная увлечения человека, сойдитесь с ним в разговорах по его интересам, тогда он откроется, и возможно расскажет о себе больше, чем вы могли самостоятельно найти в интернете.

Стараемся стать сетевым другом/подругой для человека, помогаем ему советами, не забываем рассказывать о своей вымышленной личности, говорим про отношения, про детство, про работу, а также про какие-то вещи, от которых данный индивидуум в восторге - программирование, выращивание кактусов, разведение бультерьеров, любимая рок-группа, любимый сериал.

Узнать домашний адрес человека можно, познакомившись с ним от имени противоположного пола и поинтересовавшись, в каком районе города он живет. Далее, по его фамилии и телефонному справочнику домашних телефонных номеров, вычислить его точный адрес. Телефонные книги большинства населенных пунктов можно найти в сети интернет. Кроме того можно сделать специальный скрипт, который покажет вам местонахождение человека или его точки доступа, при заходе этого человека на web-страничку со скриптом.

Если повезет, под видом соцопроса можно проникнуть в жилище объекта, получить ответы на некоторые вопросы, которые он сам заполнит в анкету. Помните, что подобным образом, случайные визитеры могут установить в вашем доме подслушивающие устройства или видеокамеры.

Накопав достаточно информации, можно составлять досье. Особое внимание уделяют контактным данным, месту проживания и работы, кругу общения, интересам, хобби, привычкам, психологическому портрету, навыкам, доступу к различной информации, надёжности человека. Подобную информацию можно смело использовать в различных целях, при контакте с объектом в сети и реальной жизни.



Поделиться:




Поиск по сайту

©2015-2024 poisk-ru.ru
Все права принадлежать их авторам. Данный сайт не претендует на авторства, а предоставляет бесплатное использование.
Дата создания страницы: 2019-09-09 Нарушение авторских прав и Нарушение персональных данных


Поиск по сайту: