Часть 2 (Как и обещал!)
Как впарить троян
Всеми нами любимые программы-«лошадки», они так просты в создании и так результативны при получении доступа к чужому компьютеру. Минус в том, что сами они не распространяются. Их нужно «впаривать». Именно в этот момент многие хакеры начинают осознавать пользу социальной инженерии. Давай рассмотрим некоторые наиболее популярные способы.
1. Полезный софт.
Отлично идут письма с предложениями полезных программ, например, ускоритель браузера, позволяющий увеличить скорость в несколько раз, или крякер паролей («Просто введите адрес сайта, и через несколько минут Вы получите все пароли!»), или программа-перехватчик чужих SMS. Удобнее всего отправить письмо со ссылкой на скачивание, можно от имени друга жертвы (узнай предварительно его почту и воспользуйся формой для анонимной отправки). Чтобы повысить уровень доверия, можно сопровождать письмо скриншотами программы.
- Играем на любопытность + жадность.
2. Сайты знакомств.
Идеальное место для создания ботнетов, очень многие сейчас имеют аккаунты на подобных сайтах. Ты тоже обязательно заведи там профайл, знакомься, флиртуй (как показывает практика, на женские аккаунты клюют чаще). Рано или поздно жертва сама попросит тебя выслать фотографию, и тут ты, добрая душа, предложишь не одну, а целый самораспаковывающийся архив фотографий с расширением .exe или даже презентацию себя в 3D. Предварительно заинтригуй настолько, чтобы ему не терпелось поскорее открыть архив, не отвлекаясь на ненужные подозрения. Например: после того, как он попросит твое фото, напиши что-то типа «Только не удивляйся сильно, я достаточно нестандартно выгляжу. У меня есть одна деталь, которая очень нравится парням». Что конкретно ты «имела» в виду, пусть думает уже после того, как троянский конь вырвался на волю и пасется в его системе. Обязательно попроси фото взамен, чтобы у него не возникло сомнений (или ощущения невостребованности
).
- Играем на интерес + сексуальное желание.
3. Красимся в блондинку.
Под видом симпатичной девушки-ламера идем в чат или на форум, и жалуемся, что ну никак не получается разобраться в новой программе, которую недавно скачал старший брат. Беда в том, что брат уехал в свадебное путешествие, а тебе так не хочется отвлекать его. Программа обязательно должна быть малоизвестной и интригующей. Пусть это будет генератор кодов пополнения мобильного или интернет-счета, например. Обязательно найдется куча умников, желающих помочь красивой и глупой девушке. После того, как архив скачан, распакован и обнаружено, что генератор кодов пополнения каким-то чудом оказался генератором паролей для брута аськи, извинись и поблагодари ребят. Ведь они тебе помогли намного больше, чем сами того хотели
.
- Играем на желание быть значимым и произвести впечатление.
4. Дорожное яблоко.
Подкидывание накопителей (флеш-карты, диски) работает почти безотказно, если сыграть на интересе. В зависимости от целевой аудитории, мотивировать к запуску на компьютере можно интригующими названиями: «Зарплата штата сотрудников (название конкурирующей компании)», «Мой первый лесби-опыт. Видео», «Узнай правду о своей жене/девушке» (подкинуть в почтовый ящик), «Мой дневник», «Секретная информация», «Для Лены. Остальным смотреть запрещается!»
5. Тестирование бета-версии новой программы.
На джоб-сайтах вешаем объявление: «Набираются люди для тестирования новой программы (суть программы). За каждую найденную ошибку – оплата (сумма). Архив с программой (12 Мб) и инструкции по почте. О желании участвовать в тестировании пишите на e-mail: beta-testing@***.com». Желательно, чтобы ящик размещался не на бесплатном сервере – так солиднее.
Взлом сайта
Для получения доступа к админке сайта необязательно быть хакером и искать уязвимости в коде. Уязвимостей достаточно в головах администраторов ресурса и работников хостинга. Их мы сейчас попробуем проэксплуатировать. Давай рассмотрим взлом сайта с помощью СИ на примере двух реальных случаев, разработанных и реализованных ведущим проекта по социальной инженерии socialware.ru.
Взлом сайта shkolnik.ru
Заходим на whois-сервис и смотрим имя хостинга и e-mail, на который зарегистрирован данный сайт. После получения e-mail’а идем на yandex.ru, так как именно на этом почтовом сервере находится почтовый ящик жертвы. И дальше через восстановление пароля путем ввода ответа на секретный вопрос получаем доступ к ящику. В нашем случае секретный вопрос оказался стандартным – «Любимое блюдо». Подключаем фантазию и интуицию, перебираем варианты. На шестой раз секретный вопрос «сдался» (ответ – дабл чизбургер), и e-mail, к которому привязан сайт, у нас в руках. Теперь идем на сайт компании, предоставляющей хостинг сайту, и делаем восстановление пароля на почту. Вместе с присланным письмом обретаем доступ к админке сайта.
Взлом форума hackersoft.ru
Этот случай посложнее, здесь придется использовать талант убеждения. Убеждать будем службу поддержки хостера. Итак, выбираем сайт-жертву. Идем на сервис whois, чтобы узнать там имя хостера (mchost.ru) и e-mail, который указан при регистрации. Регистрируем e-mail, сходный с названием сайта:
[email protected], и просим службу поддержки хостера добавить его в регистрационные данные как альтернативный, мотивируя это тем, что с проектом неурядицы, и дополнительный e-mail просто необходим. Естественно, для такого действия нужно подтверждение с основного ящика, что и попросил нас сделать саппорт. Никаких проблем! Используем для этого форму отправки анонимных сообщений: либо онлайн, либо качаем программу и заливаем ее на платный хостинг. Итак, письмо-подтверждение с фейка ящика, указанного при регистрации, отправлено. Но тут оказывается, что этот e-mail не является контактным для данного аккаунта. При этом СП указывает, что контактный e-mail находится в зоне gmail.com. Мысленно благодарим человека из саппорта за такую неосмотрительность и идем отправлять очередное фейк-письмо уже с нужного ящика –
[email protected]. Все, ящик добавлен в качестве альтернативного. На него дублируются все регистрационные данные. Вуаля, доступ к сайту есть. Весь процесс занял около часа времени.
Утечка информации через рабочий стол
Метод, скорее, прикладного характера. Атакой его считать нельзя – только методом подготовки к атаке.
Часто на форумах можно найти темы, где юзеры меряются своими десктопами, забывая при этом, что рабочий стол – это хранилище ценной информации о своем хозяине. Если у нас есть конкретная жертва, информацию о которой нам нужно достать – мы просто идем на форумы, где этот человек часто бывает и, создав несколько аккаунтов, начинаем тему типа «Хвастаемся десктопами». Предварительно готовим несколько вариантов рабочих столов: разные обои, наборы программ, браузеры. Желательно акцентировать внимание (и продемонстрировать) ту информацию, которую ты хочешь получить от жертвы: например, если это номер электронного кошелька, то пусть на снимке экрана будет показано окно WebMoney; если антивирус – скриншот должен хорошо высвечивать твой антивирус. Это повышает шансы, так как часто срабатывает принцип наследования: если ты показываешь предпочитаемую прогу (или девайс), обязательно найдутся люди, которые захотят похвастаться своим фаворитом. Скриншоты можно скачать в интернете или создать в графическом редакторе из заготовок самостоятельно.
Что можно узнать по рабочему столу? Как минимум – ОС, браузер, антивирус (что может пригодиться для дальнейшей атаки), мессенджеры, тип подключения к интернету. Очень часто на рабочих столах находится информация об имени и фамилии человека, его увлечениях, психологическом состоянии на данный момент, характере (особенно ярко это демонстрируют обои), марку и модель мобильного телефона, игры, в которые он играет, и тому подобное.
Рассмотрим рабочий стол на рисунке «Обычный рабочий стол дает очень много информации о жертве». Что можно сказать о человеке и его компьютере:
- Скорее всего, он имеет отношение к сфере IT, программированию (программа Free Pascal IDE); файл ФАПП-108 (Факультет автоматизации производственных процессов);
- Он интроверт, мотивирован в своей деятельности познанием, а не общением: в дневное время не запущен ни один мессенджер (QIP, VTalking), зато открыт ICE Book Reader;
- Не гонится за новыми веяниями, для него важна суть, а не внешняя оболочка: система Windows ХР (а сейчас конец весны 2010 года), обои дефолтные;
- Множество программ по работе с записью на диски (Alcohol, DVD Decrypter, Clone DVD, Nero) + Media Coder для конвертирования видео;
- Путешествия занимают не последнее место в его жизни (файлы: дорога.doc, менгон.doc, программа «Редактор маршрутов»);
- Провайдер WebStream, сотрудничающий со справочной системой ДубльГИС. Поскольку WebStream работает всего с 11 областями, то можно сузить круг поиска географического нахождения человека;
- Браузеры: по дефолту – Opera, дополнительные – IE, FF; антивирус – COMODO Internet Security; телефон Nokia.
Обратная социальная инженерия (ОСИ)
В отличие от прямой СИ, обратная является более эффективной, целенаправленной, но при этом требует большей подготовки и продумывания. Бесспорным плюсом этого вида атаки является то, что человек сам обращается к взломщику за помощью. Он сам звонит, сам приглашает, сам вручает свои логины и пароли, оказывая при этом кредит доверия «специалисту». Ведь именно как специалиста должна воспринимать тебя потенциальная жертва.
Как правило, стандартная ОСИ-атака проводится по такой шаблонной схеме (делаю акцент на слове «шаблонной», поскольку каждый случай индивидуален, и в схеме могут быть отклонения в пользу успешности дела):
- Диверсия;
- Реклама;
- «Помощь».
То есть, ты каким-либо образом создаешь обратимую проблему на компьютере потенциальной жертвы (диверсия). Она в отчаянии не знает, что делать, и куда можно обратиться за помощью. И тут невзначай появляешься ты, демонстрируя свои знания в решении этой проблемы (реклама). Жертва слезно умоляет тебя помочь ей в починке любимого компа, и в этот момент ей даже в голову не придет мысль, что ее могут обманывать или получать доступ к личным данным. Этот факт дает относительную свободу действий социнженеру. Итак, ты приходишь к жертве (или она сама к тебе приходит со своим ноутбуком), а дальше под видом устранения проблемы действуешь в зависимости от целей: кейлоггеры, бэкдоры, batch/VBScript/JScript-сценарии – что угодно. И сделать это не так сложно, поскольку что конкретно ты переписываешь с флешки или на флешку, ламер вряд ли поймет.
Например, ты якобы случайно знакомишься с будущей жертвой в ICQ, в процессе разговора упомянув о том, что у тебя есть друг, отличный спец в компьютерных технологиях. Дальше под видом какой-нибудь фишки для «Вконтакте» или архива фотографий впариваешь ему программу, которая сильно загружает память и тормозит работу компьютера. Где искать корни проблемы, юзер-жертва не знает. Будет логично, если он обратится к тебе за контактами друга-IT’шника. Если он не вспомнит о нем – твоя задача аккуратно напомнить, обещая договориться о бесплатной помощи. Дальше жертва звонит или пишет другу (то есть, опять тебе). Ты приходишь, приносишь с собой много разных дисков, флешек, с умным видом садишься за компьютер. Если хозяин сам не догадается угостить тебя чаем/пивом, твоя задача намекнуть ему
. Пока владельца компьютера не будет в комнате – займись самыми палевными моментами. В общем, дальнейшие действия понятны и зависят от конечных целей: либо нахождение конфиденциальных данных, либо установка кейлоггера и просьба ввести логин-пароль с целью проверки работы сайта и т.п.
Одним из сложных моментов ОСИ является тщательная подготовка к атаке. Тебе нужно собрать и проанализировать как можно больше данных о будущей жертве: ее операционную систему, браузер (см. раздел «Анализ рабочего стола»), интересы, приблизительный уровень компьютерных знаний и т.п.
Как я уже говорила, схему атаки ОСИ можно разнообразить, например, рекламу провести до диверсии, тогда все будет выглядеть еще более непринужденно и спонтанно. Также можно форсировать обращение за помощью. Пример: ты звонишь жертве домой, представившись техспециалистом компании-провайдера (заблаговременно узнаешь ее название, возможные характеристики оказываемых услуг, настройки сети). Сообщаешь о том, что в связи с некоторыми изменениями необходимо сменить настройки сети, просишь открыть нужный раздел, диктуешь новые настройки (тем самым сбивая их). После введения новых параметров интернет, естественно, перестает работать. Для проформы перебираешь еще несколько вариантов настроек, и ни одна из них не должна спасти возникшую ситуацию. Тогда ты говоришь: «Будете ли Вы дома еще в течение 10-15 минут?
Сейчас подойдет специалист». И тут главное сработать оперативно, чтобы жертва, изнывая от нетерпения, не позвонила действующему провайдеру. Ты приходишь, копаешься в системе, устанавливаешь правильные рабочие настройки, заодно устанавливая какую-нибудь программу для перехвата вводимых данных или организации удаленного доступа. После этого просишь проверить почту, какой-нибудь сайт… В общем, действуешь согласно своим целям. Очень удобно то, что даже если жертва умна и относительно не ламер, в момент поломки ее голова будет занята решением проблемы, а не поиском несоответствий в твоем неожиданном появлении. Именно поэтому нужно хорошо подготовиться, чтобы провести беспроигрышную диверсию.
Итак, говоря об обратной социальной инженерии, следует учитывать то, что подготовка к атаке более сложная, требует продумывания и множества запасных вариантов. Но в итоге она обеспечивает более высокую результативность, и самое главное – жертва в конце останется тебе благодарна. А это дает высокий процент повторного обращения за «помощью». Особенно выгодно иметь такого друга на предприятии: в любой момент ты можешь позвонить и поинтересоваться, не возникает ли технических проблем, не пытались ли злоумышленники проникнуть в систему. Другими словами, ты контролируешь ситуацию на всех этапах.
Заключение
В целом, глядя на вышеописанные методы работы, можно сказать, что четкой схемы все-таки нет. Социальная инженерия – это стиль мышления, а не наука. Если выработаешь в себе нужные механизмы подхода к ситуации, жертве, обстоятельствам, то сможешь эффективно использовать для своей выгоды. Все это постигается не сразу, а с опытом. Наблюдай, пробуй, повторяй уже совершенные «подвиги» – и со временем увидишь, что уже готовые схемы начнут получаться легче, появятся свои собственные уникальные идеи.
Под конец хочу сказать о некоторых установках, которые определяют успешность социального инженера:
- Человеческий фактор таки работает. Если программа ограничена рамками допустимых значений, то эксперименты с человеческой психикой ограничены только нашим незнанием ее процессов.
- Избавляйся от комплексов, шаблонов и стереотипов мышления. Это поможет эффективно использовать и манипулировать чужими стереотипами.
- Учись общаться свободно и уверенно. Ты не сможешь убедить человека, если сам не будешь уверен в том, что делаешь и говоришь. Также неплохо будет научиться речевым амортизациям (почитай по этой теме книгу «Психологическое айкидо» Михаила Литвака).
- Не бойся экспериментировать. Не всегда все получается с первого раза. Опыт приходит с ошибками и количеством практики. В этом плане неудачный опыт ценится даже больше, чем успешный. Главное – научись анализировать свои ошибки с учетом человеческого фактора.
Фишинг и фарминг
- Фишинг (phishing, от англ. fishing – рыбалка, выуживание) – это попытка заманить жертву на фейк-сайт, в точности повторяющий оригинальный, где она вводит свои логин и пароль. Эти данные получают мошенники, пользуясь ими на свое усмотрение.
- Фарминг (farming – занятие сельским хозяйством. Не ищи логику в названии. Социнженеры – ребята с юмором, назвали этот вид мошенничества по аналогии с фишингом) – с помощью подложного DNS-сервера или модифицированного файла HOSTS происходит перенаправление жертвы по ложному адресу.