Соціальна інженерія і довіру, як людський фактор

Причини, за якими «ведуть» електронні адреси або облікові записи соціальних мереж, абсолютно різні. Але, коли близькі люди дізналися мою причину, я отримав засудження. В якійсь мірі завжди розумів, що мета отримання доступу до соціальних мереж жертви для отримання певної листування дуже аморальна. З іншого боку, я втішав себе думкою, що якщо вже товариші попалися на такий гачок — значить, так їм і треба.

Це були дві жертви, які мали потрібної мені інформації. Обидва — чоловіки. Дізнатися цю інформацію я міг тільки від них, але з одним я майже не знайомий, а другий був моїм заклятим ворогом. Їх часта активність в соціальних мережах давала надії, що з ким-то в листуванні вони обговорювали те, що мені було потрібно.

Мені настільки це було важливо, що на пару днів я тільки й думав, як отримати інформацію. Прийшла думка про «злом». Але як? Тим більше останнім часом всі стали більш або менш грамотні (паролі хороші ставити). Крім того, сьогоднішні додатки досягли високого рівня захисту. Тому технічний злом відпав майже відразу в думках. Я прийняв рішення використовувати соціальну інженерію. При цьому метод не повинен бути занадто складним.

У голову приходили різні ідеї і думки. Я перебирав у голові різні слабкості кожного з них. І раптом осінило — це жінки. Тут же написав знайомої, запитавши, чи вона хоче взяти участь в одному екстравагантному справі. Обмірковували різні сценарії, але в підсумку відмовився від цієї ідеї, так як занадто складно все виходило.

У результаті прийшла інша ідея.

Я зареєстрував фековый аккаунт. У тих же соціальних мережах знайшов у якомусь невеликому українському місті дуже миловидну дівчину. Головне, щоб вона ніяк не перетнулася з фейком. Після чого став заповнювати анкету на facebook, завантажив кілька фотографій. Для правдопободности мені потрібні були «друзі». Прошерстил різних людей, які дуже активні (ті, як правило, додають друзів без розбору), наповнив базу людина з 10-ти, а далі багато самі стали проситися в друзі. Так як моя фейковая дівчина виявилася ну дуже симпотичной, за вечір у мене вже було більше 50-ти друзів.

На наступний день мене чекало фіаско. Facebook щось запідозрив і запропонував кілька фотографій моїх друзів, де просив підписати ці фотографії з питанням «Хто на фотографії». Звичайно, жодної особистості я не знав і відновити обліковий запис уже не зміг. І все пішло заново, але вже поступово.

Друзі вже додавалися вибірково. Часто це були ті, кого я знав хоча б на пам'ять і міг обійти цю перевірку. Вступив у ті ж групи, в яких брали участь ті самі жертви. Знайшов якісь статті, тематично підходили під ці групи, став публікувати. На все це пішло приблизно п'ять днів. У мене була брехня, яку, якщо відкрити одного разу, вже не повторити, тому діяв дуже акуратно і не поспішаючи.

В якийсь день дочекався і став отримувати коментарі до публікацій в групі від жертви. Я навмисно публікував найцікавіші теми для конкретної людини. Дізнатися його інтереси не становило труднощів, досить було подивитися, на які публікації він активно рефлексує. Спочатку просто були якісь відписки, але я чекав інтерактиву і він стався, зав'язалася розмова. З звичайних коментарів під публікацій ми поступово перейшли в особисту переписку. Після чого спостерігав його «лайки» на «своїх» фотографіях. Через якийсь час їм була запропонована довгоочікувана дружба, яка перейшла в знайомство.

— Дівчина Настя. Дуже приємно. Працюю в IT-компанії самим рядовим співробітником і намагаюся стати програмістом. Якщо я зможу впоратися з одним завданням, то мене обов'язково піднімуть по кар'єрних сходах і зроблять хорошу зарплату.

Інформація сама проста і звичайна, ні до чого не зобов'язує, не викликає підозр. Поки в листуванні я відповідаю на питання, вигадую історії цілого життя, обіцяю побачення в якомусь майбутньому. А паралельно реєструю аккаунт на безкоштовному хостера. Швидко оформляю пару статичних сторінок «Lorem ipsum», створюю там коментарі, нібито залишені вже кимось і кнопку авторизації, ведучу на форму, один в один нагадує форму входу facebook.

Так, примітивно, але цей товариш не мав відношення до IT, тому я це врахував і просто попросив для тіста залишити коментар на моєму «тестовому проекті».

— Моє завдання через соціальну мережу залишити коментар, — пишу йому.

Він у запалі почуттів біжить на сайт, намагається залогуватися і пише у відповідь, що не може залишити коментар, так як після авторизації знову з'являється попередня сторінка і немає форми введення коментаря.

— Ой, знайшла помилку, треба лагодити, — відповідає йому Анастасія.

Звичайно, далі Настя стала менш активна, а потім і зовсім перестала виходити онлайн. Те, що він намагався з нею якось зв'язатися, просити телефон і т.д, я читав вже з його аккаунта. Крім того, пощастило. Він скрізь використовував один пароль, що без праці дозволило мені потрапити і в ВК, і в пошту Mail.ru.

Для другої жертви довелося потрудитися створити форми входу до інших соціальних мереж і пошти, оскільки він скрізь використовував різні паролі. Але з радістю, заради красивої дами, він випробував всі методи, фактично, люб'язно надавши мені вхід.

Післямова

Все просто до безумства і навіть не схоже на якийсь посібник. Але все ж це не допомога, а мораль: вірити нікому не можна, тим більше незнайомим в інтернеті, особливо красивим незнайомкам. Ну і подвійна авторизація, яка вже є практично скрізь, врятувала б обох.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.