Социальная инженерия—один из самых эффективных способов получения доступа к конфиденциальной информации. Воспользоваться подобными приёмами способен подготовленный человек. Важно уметь импровизировать на ходу. Проявлять выдержку, а также изобретательность. Надо завоевать доверие жертвы. Расположить её к себе, а потом получить всю необходимую информацию.
Профессионалы применяют социальную инженерию для проведения саботажа работы компании или организации. Проведения промышленного шпионажа. Кражи финансовых средств. Правильная организация даёт возможность взломать самые современные системы защиты. За последние несколько лет социальная инженерия стала одним из самых разрушительных инструментов хакера.
Атака ведётся точечно или массово. Всё зависит от поставленных задач, а также способов их реализации. Каждая жертва организация или конкретная личность изучается самым тщательным образом. Важно получить максимальное количество информации. В последующем она применяется для проведения атаки. Грамотная подготовка 50% успешной операции.
Эффективные примеры социальной инженерии
Существует немалое количество успешных примеров реализации технологии социальной инженерии на практике. Мы решили остановиться на 7 самых интересных примерах, а также доступных с точки зрения реализации.
1.Проверенный отправитель. Отдельные администраторы сайтов забывают включить фильтрацию поля «Имя» в форме регистрации. Вместо имени появляется возможность вставить текст и ссылки. В поле емайл вставляем адрес жертвы. После проведения регистрации письмо придёт на электронный адрес жертвы. В верхней части будет наш текст и ссылка, а сообщение сервиса размещено в нижней части. Проверенный отправитель даёт возможность размещать любые ссылки в письмах с настоящего адреса технической поддержки конкретного сайта. Согласно проведённых тестов по ссылке переходит до 15% пользователей получивших подобные письма.
2.Письма от Google Analytics. Нужно подготовить небольшой текст. Вроде: Добрый день. Благодарим за использование сервиса. Ваш сайт попал в программу тестирования нового сервиса Google Analytics. Переход к новым возможностям в соответствующих настройках аккаунта по следующей ссылке. Перейти в настройки. При переходе по ссылке пользователь попадает на фальшивый сайт, где требуется подтверждение его пароля для подключения к новым возможностям аккаунта.
3.Любопытство. Нужно спровоцировать переход человека по конкретной ссылке. Надо создать сайт фейковой компании. После пройти индексацию в поисковых системах. Подобрать повод для рассылки различным пользователям поздравления. Они сразу начнут поиск компании в поисковых системах. Можно использовать реальные сайты. За 20 минут гарантировано порядка 1000 переходов на любой сайт.
4.Массовый майнинг емайл. Составить собственную базу имейлов не составляет труда. Не нужно даже использовать краулер. Можно воспользоваться списком русскоязычных доменов. Надо к доменному имени дописать Выполняем проверку и отбираем рабочие адреса. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и прочие. Под каждый готовится письмо. Выполняется его рассылка. Получаем ответы от сотрудников компаний, занимающихся различной деятельностью.
5.Что там написано? Способ позволяет заставить жертву перейти на необходимый сайт с форума или сайта с открытой формой комментирования. Подбирается любой мем. Его размер сильно ужимается. Текст становится плохо читабельным. Любопытные
пользователи кликают по картинке. Подобный способ на посещаемых форумах позволяет получить до 10 тысяч переходов в течение нескольких часов.
6.Ваше имя? Способ позволяет узнать имя пользователя, что даёт возможность заставить жертву открыть необходимый файл или перейти по ссылке. На полученные электронные адреса выполняется массовая рассылка. Например: напишете адрес вашего сайта? Ваш сайт уже работает? и прочее. Порядка 10% пользователей отвечают. В 90% случаях внизу есть имя отправителя. Спустя время можно отправить письмо с конкретным обращением к человеку. Имя ведь известно. Например: у вас проблемы с отображением текста на сайте. Фото прилагаю или архив. Персонализированные сообщения открываются в 2-3 раза чаще.
7.Жалоба. Способ позволяет получить доступ к сотрудникам интернет-магазинов. Создаётся письмо в виде жалобы и отправляется на мыло интернет-магазина. Нужно грозить судебными разбирательствами. В конце написать: что вы мне такое прислали? Архив с фото поврежденного товара прилагаю.
Профессионалы применяют социальную инженерию для проведения саботажа работы компании или организации. Проведения промышленного шпионажа. Кражи финансовых средств. Правильная организация даёт возможность взломать самые современные системы защиты. За последние несколько лет социальная инженерия стала одним из самых разрушительных инструментов хакера.
Атака ведётся точечно или массово. Всё зависит от поставленных задач, а также способов их реализации. Каждая жертва организация или конкретная личность изучается самым тщательным образом. Важно получить максимальное количество информации. В последующем она применяется для проведения атаки. Грамотная подготовка 50% успешной операции.
Эффективные примеры социальной инженерии
Существует немалое количество успешных примеров реализации технологии социальной инженерии на практике. Мы решили остановиться на 7 самых интересных примерах, а также доступных с точки зрения реализации.
1.Проверенный отправитель. Отдельные администраторы сайтов забывают включить фильтрацию поля «Имя» в форме регистрации. Вместо имени появляется возможность вставить текст и ссылки. В поле емайл вставляем адрес жертвы. После проведения регистрации письмо придёт на электронный адрес жертвы. В верхней части будет наш текст и ссылка, а сообщение сервиса размещено в нижней части. Проверенный отправитель даёт возможность размещать любые ссылки в письмах с настоящего адреса технической поддержки конкретного сайта. Согласно проведённых тестов по ссылке переходит до 15% пользователей получивших подобные письма.
2.Письма от Google Analytics. Нужно подготовить небольшой текст. Вроде: Добрый день. Благодарим за использование сервиса. Ваш сайт попал в программу тестирования нового сервиса Google Analytics. Переход к новым возможностям в соответствующих настройках аккаунта по следующей ссылке. Перейти в настройки. При переходе по ссылке пользователь попадает на фальшивый сайт, где требуется подтверждение его пароля для подключения к новым возможностям аккаунта.
3.Любопытство. Нужно спровоцировать переход человека по конкретной ссылке. Надо создать сайт фейковой компании. После пройти индексацию в поисковых системах. Подобрать повод для рассылки различным пользователям поздравления. Они сразу начнут поиск компании в поисковых системах. Можно использовать реальные сайты. За 20 минут гарантировано порядка 1000 переходов на любой сайт.
4.Массовый майнинг емайл. Составить собственную базу имейлов не составляет труда. Не нужно даже использовать краулер. Можно воспользоваться списком русскоязычных доменов. Надо к доменному имени дописать Выполняем проверку и отбираем рабочие адреса. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и прочие. Под каждый готовится письмо. Выполняется его рассылка. Получаем ответы от сотрудников компаний, занимающихся различной деятельностью.
5.Что там написано? Способ позволяет заставить жертву перейти на необходимый сайт с форума или сайта с открытой формой комментирования. Подбирается любой мем. Его размер сильно ужимается. Текст становится плохо читабельным. Любопытные
пользователи кликают по картинке. Подобный способ на посещаемых форумах позволяет получить до 10 тысяч переходов в течение нескольких часов.
6.Ваше имя? Способ позволяет узнать имя пользователя, что даёт возможность заставить жертву открыть необходимый файл или перейти по ссылке. На полученные электронные адреса выполняется массовая рассылка. Например: напишете адрес вашего сайта? Ваш сайт уже работает? и прочее. Порядка 10% пользователей отвечают. В 90% случаях внизу есть имя отправителя. Спустя время можно отправить письмо с конкретным обращением к человеку. Имя ведь известно. Например: у вас проблемы с отображением текста на сайте. Фото прилагаю или архив. Персонализированные сообщения открываются в 2-3 раза чаще.
7.Жалоба. Способ позволяет получить доступ к сотрудникам интернет-магазинов. Создаётся письмо в виде жалобы и отправляется на мыло интернет-магазина. Нужно грозить судебными разбирательствами. В конце написать: что вы мне такое прислали? Архив с фото поврежденного товара прилагаю.
