1. Здраво и добредојдовте на форумот на IT.mk.

    Доколку сеуште не сте дел од најголемата заедница на ИТ професионалци и ентузијасти во Македонија, можете бесплатно да се - процесот нема да ви одземе повеќе од 2-3 минути, а за полесна регистрација овозможивме и регистрирање со Facebook и Steam.
    Сокриј

Социјално Шпиунирање

Дискусија во форумот 'Социјален Инженеринг // Физичка безбедност' започната од Ata, 22 Мај 2007.

  1. Ata

    Ata
    Intern

    403
    1
    21 Април 2007
    Уште една тема која е тесно поврзана со социјалното инзинерство, и на која може да се прави муабет.

    Социјалното инжинерство е една од најупотребуваните вештини со и покрај незината широкоопфатност , за одредени ситуации е немоќна или некорисна. Многу тешко (но во секој случај не и невозможно) е да се изведат гореспоменатите напади кога се работи за мала комапнија во која сите вработени се знаат многу добро помеќу себе. За такви ситуации многу повеќе се користи социјалното шпиунирање.
    Главниот адут на социјалното шпиунирање е користењето на техниката на набљудивање за добивање на информации. Како што кажува и самото име се користи „невиното“ набљудување т.е многу често напаќачите се преправаат дека се некој друг, некој кој нема многу познавања од ИТ светот, или пак се преправаат во одредена личност која никој нема да и обрни внимание, а цело време ги забелуваат движењата и реакциите на вработиените. Овие личности се карактеризираат пред се со многу јака меморија , при што доволен име е само еден поглед во нечија канцеларија, за да дојдат до податоци. Обично кога тие делуваат, тие изгледаат дека се само некои наивни и незаинтересира минувачи или потенцијални клиенти.
    Еден таков пример е кога чекате на ред во банка. Многу често луѓето ги оставаат отворени своите лични карти доволно долго пред да им ги предадат на службеничките. Доколку се најдат во близина на некој социјален шпиун, тој многу лесно може да го дознае нивното име и презиме, улицата на живеење, датумот на раќање, матичниот број и многу други информации само со еден поглед. Сите овие информации се повеќе од доволни за крадење на нечиј идентитет. Крадењето на идентитет е многу полезно и потребно за хакерите при нивните напади. Имено само како показател, минатата година најмногу заработка се смета дека хакерите во америка добиле со продажбата на туѓи идентитети. Туѓите идентитети можат многу лесно и за добри пари да се продат на маркетиншки компании кои потоа ќе ве спамираат со реклами.

    Друг многу сличен пример е кога чекате во ред пред банкомат. Многу често луќето не внимаваат кога го запишуваат својот PIN код, а особено поради фактот што овие броеви многу често се само четири цифрени многу лесно е да се запамтат а пота со лажно изработена картичка да се дојде до парите на некој невин корисник.
    Слично на ова многу често се користи оваа техника за запамтување на лозинките кога некој вработен ги внесува. Многу често напаќачите се преправаат дека се чистачи или дека собираат ѓубре, а усвари се мотаат околу некоја осигурана соба и се обидуваат да ги забележат лозинките кои вработените ги внесуваат. Уште полесно, некогаш доволно е само да имате двоглед, и да се качите на истиот спарт на кој се наоѓа вашата жртва, но на спротивната зграда и слободно да ја посматрате како го вклучува компјутерот а потоа ја внесува лозинката на тастатурата, ова особено лесно се изведува во западниот свет и САД каде обично канцелариите кои се сместени високо во големите облакодери припаѓаат на некои CEO-а и се без завеси, едно заради убавиот поглед, друго за да ги имресионирааат гостите и гостинките со прекрасниот поглед.
    Вакви примери има многу , но едни од најреалните и најчестите се тие во гоелмите банки , каде што обично има посебна соба во која се прават големи трансакции. Заради задоволување на сигурност лозинките се менуваат секои неколку часа, и никој од вработените не ја знае истата пред да дојде на работното место. Обично секое утро им се кажува нова лозинка која трае до пладне а потоа таа се менува. И сето ова изгледа како многу добра сигурносна мерка, ако не се земе во предвид дека обично се работи за големи лозинки (заради поголема сигурност) и бидејќи на вработените многу полесно им е кога ќе ја чујат лозинката да ја напишат на парче хартија и да ја залепат на некој ѕид во канцераијата, отколку да памтат лозинка долга дваесет карактери а која ќе треба да ја користат секои неколку минути. Значи доволно е напаќачот да се претставиде дека е посетител или некој истражувач или писател на роман кој сака да види како изгледа еден работен ден во банка , за со еден поглед ја забележи лозинката по што ќе има неколку часа време да си префрли голема сума на пари во некоја банка во никарагва. Обично напаќачите се претставуваат дека се од некоја техничка служба или некоја консултантска фирма која ја најмила банката за да ја испита сигурноста на истата, и тогаш по дифолт вработените им ги оставаат вратите ширум отворени на напаќачите.
    Ова се само мал број на примери кои секојдневно се применуваат. Битно е да се знае дека сите вакви техники се тесноповрзани меќу себе и напаќачот користи голем број на разни техники за време на својот напад. Ниеден напад не се изведува само со социјано инжинерство или само со осцијано шпиунирање. Нивното комбинирање го прави нападот опасен и тешко приметлив.
     

Сподели

Вчитување...