התקפות הנדסה חברתית (מנקודת המבט של פריצה) די דומה לביצוע מופע קסמים. ההבדל הוא, בהתקפות הנדסה חברתית, זה טריק קסם שבו התוצאה היא חשבון בנקאי, מדיה חברתית, דוא'ל, ואפילו גישה למחשב מטרה. מי יצר את המערכת? בן אדם. לבצע התקפת הנדסה חברתית קל, תאמין לי, זה ממש קל. אף מערכת לא בטוחה. בני אדם הם המשאב הטוב ביותר ונקודת הסיום של פגיעויות האבטחה אי פעם.
במאמר האחרון ערכתי הדגמה של מיקוד בחשבון Google, Kali Linux: ערכת כלים להנדסה חברתית , זהו שיעור נוסף עבורך.
האם אנו זקוקים למערכת הפעלה מסוימת לבדיקת חדירה בכדי לבצע התקפת הנדסה חברתית? למעשה לא, מתקפת ההנדסה החברתית היא גמישה, הכלים, כמו קאלי לינוקס הם רק כלים. הנקודה העיקרית של התקפת הנדסה חברתית היא בעיצוב זרימת ההתקפה.
במאמר ההתקפה האחרונה של הנדסה חברתית למדנו את מתקפת ההנדסה החברתית באמצעות TRUST. ובמאמר זה נלמד אודות תשומת לב. קיבלתי את השיעור הזה ממלך גנבים אפולו רובינס . הרקע שלו הוא קוסם מיומן, קוסם רחוב. אפשר היה לראות את ההופעה שלו ביוטיוב. הוא הסביר פעם בשיחת TED על איך לגנוב דברים. היכולת שלו היא בעיקר לשחק עם תשומת הלב של הקורבן לכייס את הדברים שלהם, שעונים, ארנק, כסף, כרטיס, כל דבר בכיס הקורבנות, ללא הכרה. אני אראה לך כיצד לבצע התקפת הנדסה חברתית כדי לפרוץ לחשבון פייסבוק של מישהו באמצעות אמון ותשומת לב. המפתח עם תשומת לב הוא להמשיך לדבר מהר ולשאול שאלות. אתה הטייס של השיחה.
תרחיש ההתקפה של הנדסה חברתית
תרחיש זה כולל 2 שחקנים, ג'ון כתוקף ובימה כקורבן. ג'ון יציב את בימה כיעד. מטרת ההתקפה להנדסה חברתית כאן היא לקבל גישה לחשבון הפייסבוק של הקורבן. זרימת ההתקפה תשתמש בגישה ושיטה אחרת. ג'ון ובימה הם חברים, לעתים קרובות הם נפגשים במזנון בזמן ארוחת הצהריים בזמן מנוחה במשרד שלהם. ג'ון ובימה עובדים במחלקות שונות, ההזדמנות היחידה שהם נפגשים היא כאשר הם אוכלים ארוחת צהריים במזנון. לעתים קרובות הם נפגשים ומדברים ביניהם עד עכשיו הם בני זוג.
יום אחד, ג'ון הרשע, נחוש בדעתו לתרגל התקף הנדסה חברתית באמצעות משחק ATTENTION, שהזכרתי קודם לכן, הוא קיבל השראה ממלך הגנבים אפולו רובינס. באחת המצגות שלו אמר רובינס כי יש לנו שתי עיניים, אבל המוח שלנו יכול להתמקד רק בדבר אחד. אנו יכולים לבצע ריבוי משימות, אך היא לא מבצעת את המשימות השונות יחד במקביל, במקום זאת אנו פשוט מעבירים את תשומת ליבנו לכל משימה במהירות.
בתחילת היום, ביום שני, במשרד, כרגיל ג'ון נמצא בחדר שלו יושב ליד שולחנו. הוא מתכנן לקבל את האסטרטגיה לפרוץ את חשבון הפייסבוק של חברו. הוא צריך להיות מוכן לפני ארוחת הצהריים. הוא חושב ותוהה כשהוא יושב ליד שולחנו.
ואז הוא לוקח דף נייר, מתיישב על כיסאו, שפונה למחשב שלו. הוא מבקר בדף הפייסבוק כדי למצוא דרך לפרוץ לחשבון של מישהו.
שלב 1: מצא חלונות מתחילים a.k.a חור
בכניסה למסך הוא מבחין בקישור בשם חשבון נשכח, כאן ג'ון ישתמש בתועלת של חשבון שנשכח ( תכונת שחזור סיסמה). פייסבוק כבר הגישה את חלון ההתחלה שלנו בכתובת: https://www.facebook.com/login/identify?ctx=recover.
הדף אמור להיראות כך:
בתחום מצא את חשבונך סעיף, יש משפט שאומר, אנא הזן את כתובת הדוא'ל או מספר הטלפון שלך כדי לחפש את חשבונך . מכאן נקבל קבוצה נוספת של חלונות: כתובת הדוא'ל מתייחסת חשבון אימייל ומספר הטלפון מתייחס לנייד מכשיר טלפון . לכן, לג'ון יש השערה שאם היה לו חשבון הדוא'ל או הטלפון הנייד של הקורבן, תהיה לו גישה לחשבון הפייסבוק של הקורבן.
שלב 2: מילוי הטופס לזיהוי החשבון
בסדר, מכאן ג'ון מתחיל לחשוב לעומק. הוא אינו יודע מהי כתובת הדואר האלקטרוני של בימה, אך שמר את מספר הטלפון של בימה בטלפון הנייד שלו. לאחר מכן הוא תופס את הטלפון שלו ומחפש את מספר הטלפון של בימה. והנה הוא הולך, הוא מצא את זה. הוא מתחיל להקליד את מספר הטלפון של בימה בשדה זה. לאחר מכן הוא לוחץ על כפתור החיפוש. התמונה אמורה להיראות כך:
הוא קיבל את זה, הוא מצא שמספר הטלפון של בימה מחובר לחשבון הפייסבוק שלו. מכאן, הוא פשוט מחזיק, ואינו לוחץ על לְהַמשִׁיך לַחְצָן. לעת עתה, הוא רק ודא שמספר הטלפון הזה מחובר לחשבון הפייסבוק של הקורבן, כך שזה מתקרב להשערה שלו.
מה שג'ון בעצם עשה הוא סיור או איסוף מידע על הקורבן. מכאן יש לג'ון מספיק מידע והוא מוכן לביצוע. אבל, ג'ון יפגוש את בימה במזנון, אי אפשר שג'ון יביא את המחשב שלו, נכון? אין בעיה, יש לו פתרון שימושי, שהוא הטלפון הנייד שלו. אז, לפני שהוא פוגש את בימה, הוא חוזר על שלב 1 ו 2 בדפדפן כרום בטלפון הנייד אנדרואיד שלו. זה יראה כך:
שלב 3: פגוש את הויקטים
בסדר, עכשיו הכל מסודר ומוכן. כל מה שג'ון צריך לעשות הוא לתפוס את הטלפון של בימה, ללחוץ על לְהַמשִׁיך כפתור בטלפון שלו, קרא את הודעת תיבת הדואר הנכנס שנשלחה על ידי פייסבוק (קוד האיפוס) בטלפון של בימה, זכור אותה ומחק את ההודעה תוך שבריר של זמן, במהירות.
תוכנית זו נדבקת לראשו בזמן שהוא הולך עכשיו למזנון. ג'ון הכניס את הטלפון לכיסו. הוא נכנס לאזור המזנון וחיפש את בימה. הוא סובב את ראשו משמאל לימין כדי להבין היכן לעזאזל בימה. כרגיל הוא במושב הפינתי, מנופף בידו לג'ון, הוא היה מוכן לארוחתו.
מיד ג'ון אוכל חלק קטן מהארוחה בצהריים, ומתקרב לשולחן עם בימה. הוא אומר שלום לבימה, ואז הם אוכלים ביחד. בזמן האוכל, ג'ון מביט סביבו, הוא מבחין שהטלפון של בימה מונח על השולחן.
אחרי שהם מסיימים ארוחת צהריים, הם מדברים זה על זה. כרגיל, עד שבשלב מסוים ג'ון פתח נושא חדש בנושא טלפונים. ג'ון אומר לו שג'ון צריך טלפון חדש, וג'ון צריך את עצתו לגבי איזה טלפון מתאים לג'ון. אחר כך שאל על הטלפון של בימה, הוא שאל הכל, הדגם, המפרט, הכל. ואז ג'ון מבקש ממנו לנסות את הטלפון שלו, ג'ון מתנהג כאילו הוא באמת לקוח שמחפש טלפון. ידו השמאלית של ג'ון תופסת את הטלפון שלו באישורו, בעוד ידו הימנית נמצאת מתחת לשולחן, ומתכוננת לפתוח טלפון משלו. ג'ון מפנה את תשומת לבו לידו השמאלית, הטלפון שלו, ג'ון דיבר כל כך הרבה על הטלפון שלו, המשקל שלו, המהירות שלו וכן הלאה.
כעת, ג'ון מתחיל את ההתקפה עם כיבוי עוצמת צלצול הטלפון של בימה לאפס, כדי למנוע ממנו לזהות אם נכנסת הודעה חדשה. ידו השמאלית של ג'ון עדיין שמה את תשומת לבו, בעוד שידו הימנית למעשה לוחצת על לְהַמשִׁיך לַחְצָן. ברגע שג'ון לחץ על הכפתור, ההודעה נכנסת.
דינג .. אין צלילים. בימה לא זיהתה את ההודעה הנכנסת מכיוון שהצג פונה לג'ון. ג'ון פותח מיד את ההודעה, קורא וזוכר את פין 6 ספרות ב- SMS ולאחר מכן מוחק אותו בקרוב. עכשיו הוא מסיים עם הטלפון של בימה, ג'ון מחזיר לו את הטלפון של בימה בעוד ידו הימנית של ג'ון מוציאה את הטלפון שלו ומתחילה להקליד מיד את פין 6 ספרות הוא רק זכר.
ואז ג'ון לוחץ לְהַמשִׁיך. הדף החדש מופיע, הוא שאל אם הוא רוצה ליצור סיסמה חדשה או לא.
ג'ון לא ישנה את הסיסמה כי הוא לא רשע. אבל, כעת יש לו את חשבון הפייסבוק של בימה. והוא הצליח במשימתו.
כפי שאתה יכול לראות, התרחיש נראה כל כך פשוט, אבל היי, באיזו קלות תוכל לתפוס וללוות את הטלפון של החברים שלך? אם אתה מתאם את ההשערה על ידי הטלפון של החברים שלך אתה יכול להשיג מה שאתה רוצה, רע.