Reverse social engineering: Dia perlu bantuan Anda bersyarat.
Social Engineering: korban Anda biasanya tetap ragu-ragu.
Reverse social engineering: semua masalah yang dihilangkan, pertanyaan yang tersisa.
Social Engineering: Anda hampir tidak memiliki kontrol atas situasi.
Reverse social engineering: Anda memiliki kontrol penuh atas arah dan subjek pembicaraan.
Social engineering: pekerjaan persiapan hampir tidak diperlukan.
Reverse social engineering: pra-perencanaan hati-hati, membutuhkan sebelum akses ke lokasi aksi.
Social engineering: dapat digunakan di mana saja.
Reverse social engineering: hanya berlaku dalam keadaan tertentu.
Social engineering terutama didasarkan pada asumsi bahwa Anda - berdosa, berpura-pura bahwa Anda mengalami masalah dan Anda memerlukan bantuan operator kondisional lain. Tapi situasi sebaliknya: masalah timbul dari pengguna sistem hukum, dan dia (atau dia) meminta Anda, hacker, bantuan. Membantu pengguna untuk mengidentifikasi masalah, penyerang tanpa upaya khusus dapat menemukan nama pekerja 'dan password. Attack oleh BID terdiri dari tiga bagian:
• pengalihan;
• iklan;
• bantuan bersyarat.
Diversi - kontak pertama singkat dengan komputer, di mana penyerang menciptakan masalah yang mungkin memerlukan penghapusan.
Periklanan - menginformasikan pengguna bahwa Anda memahami masalah dari bidang komputer.
Bantuan - komunikasi dengan pengguna, di mana Anda mengatasi masalah pengguna, dan dia sendiri tanpa menyadarinya, memutuskan sendiri.
Sebelum saya mulai menjelaskan bagaimana menerapkan metode ini dan bahwa ia dapat memberikan, Anda harus memahami sendiri mengapa lebih baik bila pengguna berubah kepada Anda untuk membantu, bukan sebaliknya. Mari kita lihat pada titik-titik dari daftar kekurangan dari rekayasa sosial dalam bab sebelumnya, untuk menunjukkan bagaimana untuk membalikkan rekayasa sosial mengatasi kendala tersebut.
mengatasi kekurangan rekayasa sosial
Pengguna dapat diberikan peringatan tentang kebocoran informasi atau mengetahui tentang taktik SI
Mencoba untuk mengekspos seseorang rekayasa sosial yang tahu tentang itu, terutama programmer terampil dan hacker lainnya, Anda tidak mungkin untuk mencapai banyak. Bahkan jika orang tersebut tidak tahu tentang SI, karena itu, ia (atau dia) bisa cukup serius tentang peringatan "Jaga rahasia password Anda, bukan untuk kupitsya ke obrolan Anda. Social engineering dirancang untuk pengguna naif. Tapi tidak semua tidak.
Dalam kasus akses pengguna yang sah BID saran Anda. Akibatnya, ia berpikir Anda
orang kepada siapa Anda bisa mempercayai - anggota dari perusahaan atau agennya, yaitu orang yang memiliki dan mengetahui semua password dan protokol. Jadi dia punya alasan untuk tidak memberikan informasi ini. Dia bahkan berpikir ini tidak akan terjadi - karena ia entah bagaimana telah berubah untuk bantuan, lay out semua seluk beluk.
Perlu dicatat bahwa reverse social engineering ini bukan rekayasa sosial. Ini pendekatan masalah percakapan dengan pengguna di sisi lain, dan pengguna menjadi terbiasa dengan karakteristik biasa trik kerskimi nyaris tidak bisa melihat melalui itu. Selain itu, bahkan jika korban Anda cukup pintar untuk mengenali BID, orang ini akan sangat berkepentingan dari / menyelesaikan masalah, yang tidak memperhatikan apa yang terjadi. Dia (atau dia) membutuhkan bantuan Anda untuk memecahkan masalah, dia menyadari bahwa jika dia tidak setuju dengan Anda, Anda bisa membantunya.
Pengguna tidak dapat percaya atau mengetahui bahwa Anda tidak siapa dia berpura-pura menjadi
Kerentanan rekayasa sosial bahwa Anda adalah seorang pendamping untuk kuda hitam karena ia tidak tahu Anda secara pribadi. Selain itu, jika orang di ujung lain tahu bahwa Anda tidak siapa dia berpura-pura menjadi, mungkin berikut ID, atau telepon dengan ID pemanggil, dalam hal ini, password tidak akan muncul seperti disulap, sebelum "misterius teknik" dan "pengguna bingung" menjadi "manja" modem. TAPI! Di bagian belakang SR dari mereka yang mengetahui kata-kata ajaib, tidak ada alasan untuk mencurigai atau menipu Anda - itu mereka melihat ke Anda untuk meminta nasihat. Bahwa Anda membantu mereka dalam kesengsaraan mereka. Bahkan, ketika mereka memanggil Anda, Anda berhak untuk bertanya siapa mereka sebenarnya. Keselamatan - pertama dan terutama.
Pengguna tidak memiliki alasan untuk membantu Anda, atau dapat memberikan yang tidak benar, informasi menyesatkan
Apa yang terutama berkaitan dengan orang yang Anda dikenakan rekayasa sosial, terlepas dari apakah itu membantu Anda atau tidak?
Jika saya, tanpa lelah bekerja di kantor manapun, atau sekretaris, aku hanya akan datang menjadi marah jika merepotkan di tengah hari idiot beberapa menelepon saya di telepon dan memintanya untuk memberikan beberapa menit waktu berharga saya dan memberitahu informasi bahwa ia mungkin tidak tahu! Aku hanya bisa bryaknut ke dalam tabung yang pikiran vzbredet, jika hanya untuk melarikan diri. Ketika reverse engineering sebagai Anda tahu bahwa lawan bicara Anda membutuhkan bantuan Anda. Bahkan guru besar di antara pengguna paling tahu akan menarik bagi Anda, mengetahui bahwa Anda dapat dengan cepat dan efektif mengidentifikasi dan memecahkan masalah tanpa membuang-buang waktu dengan sia-sia. Pengguna ini tahu bahwa kunci untuk memecahkan masalah adalah dengan Anda, dan jika dia menerima itu, waktu berikutnya akan dapat mengatasi masalah ini sendirian.
Pengguna dapat melaporkan manajer panggilan Anda untuk Keamanan
Berpengalaman pengguna langsung menebak jika Anda mencoba untuk mengekspos rekayasa sosial mereka. Dia bisa pergi dan memberitahu orang lain apa yang Anda mencoba untuk mencuri password. "Lainnya" - rekan, bos, manajer, komputer, seseorang yang perannya Anda mencoba untuk bermain, penjaga keamanan atau petugas keamanan. Tak satu pun dari mereka tidak akan membantu Anda di masa depan, bahkan jika Anda tidak terjebak sekaligus, atau tidak mengurangi ke nol, peluang Anda untuk hacking. Pengungkapan, tentu saja, bukan hadiah. Tetapi dalam reverse engineering Anda selalu mendapatkan teman-teman. Ketika Anda membantu orang untuk mengatasi kesulitan, mereka gembira memulai sebuah gosip tentang sopan santun dan respon - dan itu berarti panggilan lebih dan password.
Penjelasan atas memiliki tiga tujuan. Aku ingin kau mengerti mengapa seperti alat yang ampuh, sebagai ND klasik mungkin sengaja menelan, dan bagaimana BID dapat menghindari kesalahan-kesalahan ini. Saya menegaskan sebagai berikut: rekayasa sosial tidak bisa lagi menjadi senjata utama dalam gudang hacker modern tanpa peringatan pengguna. Pengguna biasa semakin berhati-hati dan bijaksana ketika datang ke hal-hal intim seperti seperti password dan keamanan komputer. Pengguna biasa telah membaca lebih lanjut tentang cara hacker masuk ke sistem. Mereka hadir kuliah pada keamanan komputer, yang mengatur perusahaan mereka, perguruan tinggi dan unit polisi setempat. Dalam sistem mulai memasukkan peringatan tentang non-pengungkapan informasi ini padat oleh majikan mereka dan kewarasan mereka sendiri. Dan saya sendiri - tidak bahkan aku! - Katakan kepada mereka bahwa ada penjahat yang bermimpi merusak file mereka. Saya sangat meragukan bahwa akan ada saatnya ketika semua pengguna komputer akan cukup informasi untuk menutup mulut. Mungkin dalam beberapa berbaring perusahaan memakai ponsel mereka pada waktu tunda dan menghubungkan mereka ke monitor vokal. Kemudian melarang ucapan pidato akan terdeteksi dan dihancurkan sebelum elektron yang membentuk sinyal untuk meninggalkan bagian dalam kabel gedung. Bahkan jika hal semacam itu menjadi biasa, atau jika 95% dari orang yang berkomunikasi dengan komputer, ingin melakukan jauh dengan rekayasa sosial, namun tetap lima persen, akan ratusan trik hacking lainnya, baru dan lama, akan tetap Reverse Social Engineering, membantu hacker dalam yang sulit kasus.
teknik pengalihan reverse social engineering
Langkah pertama dari BID - masalah di komputer Anda pilih atau membuatnya sehingga pengguna tidak dapat bekerja di atasnya. Biasanya, ini berarti membuat masalah pada sebuah terminal, workstation atau komputer, user tidak bisa login seperti yang diharapkan. Masalah harus sulit untuk mendeteksi, tapi mudah untuk memperbaikinya. Berikut ini adalah daftar lima ide umum, disusun dalam urutan waktu yang dihabiskan pada mereka dan sejauh mana kenalan Anda dengan sistem:
• Mengubah setiap parameter pendatang baru yang tidak diketahui, atau seperti, yang mereka tidak berpikir. Sebagai contoh: mengatur port printer default, layar warna, macro, kode tersembunyi dari printer, peripheral, instalasi teknis. Instal file dalam "read only", atau mengganti nama mereka, atau membuat mereka tidak terlihat dalam direktori. Contoh: jika file kerja word processor yang disebut WP.EXE, ganti namanya menjadi WP $ A $..
• Interferensi dengan perangkat keras. Sebagai contoh: switch monitor warna dalam mode monokrom, drive berubah, menonaktifkan keyboard dari sekering vytashit komputer.
• Menginstal program penduduk besar, yang menempati banyak memori. Pengguna ini tidak mengerti mengapa ia tidak dapat menjalankan program tersebut.
• Jalankan model program, mirip dengan model dari sistem operasi, yang akan memberikan banyak pesan kesalahan yang mengerikan.
PERINGATAN! Pengalihan seharusnya tidak menyebabkan kerusakan fatal bagi komputer Anda atau pengguna! Jangan buang file dan direktori: ada kemungkinan bahwa mereka tidak akan dikembalikan kemudian. TIDAK menginstal virus: mereka mudah untuk keluar dari kontrol. Jangan membuat perubahan yang membuat sistem operasi menolak untuk boot: ketika pengguna memanggil Anda untuk menyelamatkan, ia tidak mungkin ada di tangan sebuah floppy disk untuk me-load DOS!
izin pengalihan
Katakanlah, trik bekerja dan memanggil Anda. Setelah boot sistem dan Anda akan menemukan bahwa masalah tersebut tidak akan pergi, Anda harus memberitahu pengguna apa yang dia (atau dia) harus lakukan untuk memperbaiki masalah. Tentu saja, Anda hanya bisa memberinya petunjuk eksplisit seperti:
"Ketik perintah" mengubah nama WP. $ A $ kepada WP.EXE "..." Tetapi jika pengguna cukup berpengalaman, dia pasti akan melihat trik. Bagaimana bisa mendapatkan sekitar rintangan ini? Anda harus memberikan pengguna gelisah rekomendasi tersebut, yang tenang dia.
Jika pengalihan dikaitkan dengan perangkat keras, menempatkan solusi perangkat lunak disk. Sebagai contoh:
"Masukkan direktori dari pengolah kata, ketik" SETUP Kembali "dan tekan. Sekarang coba untuk menjalankan program lagi. " Dalam hal ini, SETUP-file yang Anda ditempatkan pada disk, dan berisi instruksi untuk mengubah nama, dan juga sebagai tim untuk menghancurkan diri setelah eksekusi.
Masalah yang terkait dengan hardware, sulit untuk mendefinisikan atau menjelaskan melalui telepon, tetapi sesuatu voobshe di BID jarang digunakan perangkat keras. Jika situs Anda akan cukup waktu untuk membuat masalah fisik pada komputer yang tidak dikenal, Anda harus memiliki cukup waktu dan kemudian untuk memilih informasi yang Anda butuhkan.
iklan teknik sumbu
Ada lima teknik periklanan utama yang dapat membuat pengguna Anda untuk meminta bantuan Anda:
• Penggantian catatan. Jika Anda melihat ditempel di samping komputer atau langsung pada selembar kertas dengan nomor telepon dari departemen komputer, keluarkan dan tongkat bukan catatan dengan nomor Anda sendiri (atau nomor dari telepon lain, di mana Anda bisa duduk di panggilan tunggu).
• Menempatkan iklan. Letakkan di papan buletin (biasanya, tapi tidak elektronik!) A, besar dan terang, iklan yang solid dengan tipe konten:
Helpdesk
Apakah Anda memiliki masalah dengan komputer Anda? CALL U. S. GRATIS NOMOR BARU KAMI:
(123) ABC-WXYZ
Helpdesk
Jangan lupa untuk menempatkan nama dan alamat perusahaan di mana Anda ingin mendapatkan suatu tempat di sudut iklan - untuk berpikir bahwa pengumuman ada hubungannya dengan itu. TATA LETAK iklan seperti mana-mana, atau hanya tersebar di desktop, terutama di sebelah komputer di mana Anda membuat pengalihan Anda.
• Sosial rekayasa. Panggilan untuk hari, atau bahkan beberapa jam sebelum sabotase dan biarkan dia yang akan datang ke telepon, nomor baru ke panggilan bantuan dari departemen komputer (misalnya kamar Anda). Mintalah untuk tetap berguna, bukan untuk mencari, jika perlu. Tanyakan apakah pasangan Anda satu-satunya pengguna terminal, dan jika jawabannya tidak, mintalah untuk melaporkan masalah baru untuk pengguna lain.
• Recuttings direktori. Menghapus direktori telepon eksternal perusahaan dan menambahkan nomor Anda ke dalam daftar, atau dipotong jumlah bantuan teknis yang ada kondisional, memasukkan bukannya Anda sendiri, atau terbaca mencetak nomor Anda di katalog.
• Interaktif iklan. Langsung dalam proses mencoba untuk sabotase tempat lain catatan di papan buletin (kali ini - E!) Dengan bantuan komputer nomor Anda. Isu nomor mungkin salah satu dari prosedur dan program pengalih perhatian anda. Sebagai contoh, Anda dapat mengubah nama WP.EXE, kemudian membuat model dari sebuah pengolah kata, yang akan masuk ke sistem operasi setelah beberapa penekanan tombol, meninggalkan warna kacau di layar, simbol, dan pesan berikut:
XERROR 3 - 90v.32a fdox Konsultasikan atau hubungi Jim di dukungan teknis @ (123) ABC-WXYZ
Bila iklan menciptakan, pastikan pengguna mengetahui bahwa ia memanggil nomor eksternal (sehingga ia tahu bahwa ia pertama kali harus menarik diri dari PBX perusahaan). Lakukan ini sampai Anda dapat memperoleh kantor sendiri atau nomor telepon domestik (misalnya, memasuki ruangan, sementara bosnya sedang berlibur).
Buang waktu?
Tentu saja, pra-perencanaan dan sangat subversif dan sangat ulekatelny lucu. Tetapi jika mereka layak usaha? Mengapa tidak puas dengan social engineering sederhana dan tidak khawatir tentang bagaimana Anda bereaksi terhadap orang di ujung lain?
Yah, pertama-tama, ini adalah bodoh. Apalagi mengingat fakta bahwa kebanyakan orang di lembaga-lembaga yang Anda akan retak, akan
cukup baik tentang keselamatan. Anda akan harus mengakui, karena berbagai alasan, bahwa mereka tahu siapa Anda, bahkan sebelum Anda membuka mulut Anda. Dan jika mereka tahu siapa Anda, mereka tidak akan membantu Anda.
Berikut ini adalah faktor yang relevan di atas: melakukan reverse engineering, Anda mendapatkan teman di sebuah perusahaan yang tidak diketahui. Nyaris melanggar, Anda tidak tahu, jangan duduk di sana seseorang ekor Anda sampai Anda mendengar dari orang-orang yang "dalam". Jika Anda telah membuktikan diri untuk beberapa pengguna, Anda dapat memanggil dia sedikit setelah istirahat dan bertanya: "Halo, kau ingat saya? Saya telah membantu Anda mengatasi masalah ... Ingin bertanya, tidak bisa mendengar apakah Anda miliki tentang sesuatu yang mirip, atau bahkan tentang beberapa keanehan dengan sistem? ". Jika bicaranya Anda telah mendengar tentang upaya untuk masuk ke sistem atau kegagalan dalam pekerjaannya, ia pertama kali memberitahu Anda tentang hal itu. Anda bisa memintanya untuk mengirimkan semua rumor tentang "hacker", dll Dan jika hacking Anda dan menemukan, misalnya, pengiriman pesan kepada seluruh karyawan dengan permintaan untuk mengubah password, karena sistem memasuki hacker, teman tidak curiga Anda lagi untuk menelepon Anda dan bicara tentang apa yang terjadi. Mendukung seorang anggota staf dipilih oleh Anda objek, benar-benar, layak kesulitan awal yang mungkin timbul dalam pelaksanaan sabotase.
Social Engineering: korban Anda biasanya tetap ragu-ragu.
Reverse social engineering: semua masalah yang dihilangkan, pertanyaan yang tersisa.
Social Engineering: Anda hampir tidak memiliki kontrol atas situasi.
Reverse social engineering: Anda memiliki kontrol penuh atas arah dan subjek pembicaraan.
Social engineering: pekerjaan persiapan hampir tidak diperlukan.
Reverse social engineering: pra-perencanaan hati-hati, membutuhkan sebelum akses ke lokasi aksi.
Social engineering: dapat digunakan di mana saja.
Reverse social engineering: hanya berlaku dalam keadaan tertentu.
Social engineering terutama didasarkan pada asumsi bahwa Anda - berdosa, berpura-pura bahwa Anda mengalami masalah dan Anda memerlukan bantuan operator kondisional lain. Tapi situasi sebaliknya: masalah timbul dari pengguna sistem hukum, dan dia (atau dia) meminta Anda, hacker, bantuan. Membantu pengguna untuk mengidentifikasi masalah, penyerang tanpa upaya khusus dapat menemukan nama pekerja 'dan password. Attack oleh BID terdiri dari tiga bagian:
• pengalihan;
• iklan;
• bantuan bersyarat.
Diversi - kontak pertama singkat dengan komputer, di mana penyerang menciptakan masalah yang mungkin memerlukan penghapusan.
Periklanan - menginformasikan pengguna bahwa Anda memahami masalah dari bidang komputer.
Bantuan - komunikasi dengan pengguna, di mana Anda mengatasi masalah pengguna, dan dia sendiri tanpa menyadarinya, memutuskan sendiri.
Sebelum saya mulai menjelaskan bagaimana menerapkan metode ini dan bahwa ia dapat memberikan, Anda harus memahami sendiri mengapa lebih baik bila pengguna berubah kepada Anda untuk membantu, bukan sebaliknya. Mari kita lihat pada titik-titik dari daftar kekurangan dari rekayasa sosial dalam bab sebelumnya, untuk menunjukkan bagaimana untuk membalikkan rekayasa sosial mengatasi kendala tersebut.
mengatasi kekurangan rekayasa sosial
Pengguna dapat diberikan peringatan tentang kebocoran informasi atau mengetahui tentang taktik SI
Mencoba untuk mengekspos seseorang rekayasa sosial yang tahu tentang itu, terutama programmer terampil dan hacker lainnya, Anda tidak mungkin untuk mencapai banyak. Bahkan jika orang tersebut tidak tahu tentang SI, karena itu, ia (atau dia) bisa cukup serius tentang peringatan "Jaga rahasia password Anda, bukan untuk kupitsya ke obrolan Anda. Social engineering dirancang untuk pengguna naif. Tapi tidak semua tidak.
Dalam kasus akses pengguna yang sah BID saran Anda. Akibatnya, ia berpikir Anda
orang kepada siapa Anda bisa mempercayai - anggota dari perusahaan atau agennya, yaitu orang yang memiliki dan mengetahui semua password dan protokol. Jadi dia punya alasan untuk tidak memberikan informasi ini. Dia bahkan berpikir ini tidak akan terjadi - karena ia entah bagaimana telah berubah untuk bantuan, lay out semua seluk beluk.
Perlu dicatat bahwa reverse social engineering ini bukan rekayasa sosial. Ini pendekatan masalah percakapan dengan pengguna di sisi lain, dan pengguna menjadi terbiasa dengan karakteristik biasa trik kerskimi nyaris tidak bisa melihat melalui itu. Selain itu, bahkan jika korban Anda cukup pintar untuk mengenali BID, orang ini akan sangat berkepentingan dari / menyelesaikan masalah, yang tidak memperhatikan apa yang terjadi. Dia (atau dia) membutuhkan bantuan Anda untuk memecahkan masalah, dia menyadari bahwa jika dia tidak setuju dengan Anda, Anda bisa membantunya.
Pengguna tidak dapat percaya atau mengetahui bahwa Anda tidak siapa dia berpura-pura menjadi
Kerentanan rekayasa sosial bahwa Anda adalah seorang pendamping untuk kuda hitam karena ia tidak tahu Anda secara pribadi. Selain itu, jika orang di ujung lain tahu bahwa Anda tidak siapa dia berpura-pura menjadi, mungkin berikut ID, atau telepon dengan ID pemanggil, dalam hal ini, password tidak akan muncul seperti disulap, sebelum "misterius teknik" dan "pengguna bingung" menjadi "manja" modem. TAPI! Di bagian belakang SR dari mereka yang mengetahui kata-kata ajaib, tidak ada alasan untuk mencurigai atau menipu Anda - itu mereka melihat ke Anda untuk meminta nasihat. Bahwa Anda membantu mereka dalam kesengsaraan mereka. Bahkan, ketika mereka memanggil Anda, Anda berhak untuk bertanya siapa mereka sebenarnya. Keselamatan - pertama dan terutama.
Pengguna tidak memiliki alasan untuk membantu Anda, atau dapat memberikan yang tidak benar, informasi menyesatkan
Apa yang terutama berkaitan dengan orang yang Anda dikenakan rekayasa sosial, terlepas dari apakah itu membantu Anda atau tidak?
Jika saya, tanpa lelah bekerja di kantor manapun, atau sekretaris, aku hanya akan datang menjadi marah jika merepotkan di tengah hari idiot beberapa menelepon saya di telepon dan memintanya untuk memberikan beberapa menit waktu berharga saya dan memberitahu informasi bahwa ia mungkin tidak tahu! Aku hanya bisa bryaknut ke dalam tabung yang pikiran vzbredet, jika hanya untuk melarikan diri. Ketika reverse engineering sebagai Anda tahu bahwa lawan bicara Anda membutuhkan bantuan Anda. Bahkan guru besar di antara pengguna paling tahu akan menarik bagi Anda, mengetahui bahwa Anda dapat dengan cepat dan efektif mengidentifikasi dan memecahkan masalah tanpa membuang-buang waktu dengan sia-sia. Pengguna ini tahu bahwa kunci untuk memecahkan masalah adalah dengan Anda, dan jika dia menerima itu, waktu berikutnya akan dapat mengatasi masalah ini sendirian.
Pengguna dapat melaporkan manajer panggilan Anda untuk Keamanan
Berpengalaman pengguna langsung menebak jika Anda mencoba untuk mengekspos rekayasa sosial mereka. Dia bisa pergi dan memberitahu orang lain apa yang Anda mencoba untuk mencuri password. "Lainnya" - rekan, bos, manajer, komputer, seseorang yang perannya Anda mencoba untuk bermain, penjaga keamanan atau petugas keamanan. Tak satu pun dari mereka tidak akan membantu Anda di masa depan, bahkan jika Anda tidak terjebak sekaligus, atau tidak mengurangi ke nol, peluang Anda untuk hacking. Pengungkapan, tentu saja, bukan hadiah. Tetapi dalam reverse engineering Anda selalu mendapatkan teman-teman. Ketika Anda membantu orang untuk mengatasi kesulitan, mereka gembira memulai sebuah gosip tentang sopan santun dan respon - dan itu berarti panggilan lebih dan password.
Penjelasan atas memiliki tiga tujuan. Aku ingin kau mengerti mengapa seperti alat yang ampuh, sebagai ND klasik mungkin sengaja menelan, dan bagaimana BID dapat menghindari kesalahan-kesalahan ini. Saya menegaskan sebagai berikut: rekayasa sosial tidak bisa lagi menjadi senjata utama dalam gudang hacker modern tanpa peringatan pengguna. Pengguna biasa semakin berhati-hati dan bijaksana ketika datang ke hal-hal intim seperti seperti password dan keamanan komputer. Pengguna biasa telah membaca lebih lanjut tentang cara hacker masuk ke sistem. Mereka hadir kuliah pada keamanan komputer, yang mengatur perusahaan mereka, perguruan tinggi dan unit polisi setempat. Dalam sistem mulai memasukkan peringatan tentang non-pengungkapan informasi ini padat oleh majikan mereka dan kewarasan mereka sendiri. Dan saya sendiri - tidak bahkan aku! - Katakan kepada mereka bahwa ada penjahat yang bermimpi merusak file mereka. Saya sangat meragukan bahwa akan ada saatnya ketika semua pengguna komputer akan cukup informasi untuk menutup mulut. Mungkin dalam beberapa berbaring perusahaan memakai ponsel mereka pada waktu tunda dan menghubungkan mereka ke monitor vokal. Kemudian melarang ucapan pidato akan terdeteksi dan dihancurkan sebelum elektron yang membentuk sinyal untuk meninggalkan bagian dalam kabel gedung. Bahkan jika hal semacam itu menjadi biasa, atau jika 95% dari orang yang berkomunikasi dengan komputer, ingin melakukan jauh dengan rekayasa sosial, namun tetap lima persen, akan ratusan trik hacking lainnya, baru dan lama, akan tetap Reverse Social Engineering, membantu hacker dalam yang sulit kasus.
teknik pengalihan reverse social engineering
Langkah pertama dari BID - masalah di komputer Anda pilih atau membuatnya sehingga pengguna tidak dapat bekerja di atasnya. Biasanya, ini berarti membuat masalah pada sebuah terminal, workstation atau komputer, user tidak bisa login seperti yang diharapkan. Masalah harus sulit untuk mendeteksi, tapi mudah untuk memperbaikinya. Berikut ini adalah daftar lima ide umum, disusun dalam urutan waktu yang dihabiskan pada mereka dan sejauh mana kenalan Anda dengan sistem:
• Mengubah setiap parameter pendatang baru yang tidak diketahui, atau seperti, yang mereka tidak berpikir. Sebagai contoh: mengatur port printer default, layar warna, macro, kode tersembunyi dari printer, peripheral, instalasi teknis. Instal file dalam "read only", atau mengganti nama mereka, atau membuat mereka tidak terlihat dalam direktori. Contoh: jika file kerja word processor yang disebut WP.EXE, ganti namanya menjadi WP $ A $..
• Interferensi dengan perangkat keras. Sebagai contoh: switch monitor warna dalam mode monokrom, drive berubah, menonaktifkan keyboard dari sekering vytashit komputer.
• Menginstal program penduduk besar, yang menempati banyak memori. Pengguna ini tidak mengerti mengapa ia tidak dapat menjalankan program tersebut.
• Jalankan model program, mirip dengan model dari sistem operasi, yang akan memberikan banyak pesan kesalahan yang mengerikan.
PERINGATAN! Pengalihan seharusnya tidak menyebabkan kerusakan fatal bagi komputer Anda atau pengguna! Jangan buang file dan direktori: ada kemungkinan bahwa mereka tidak akan dikembalikan kemudian. TIDAK menginstal virus: mereka mudah untuk keluar dari kontrol. Jangan membuat perubahan yang membuat sistem operasi menolak untuk boot: ketika pengguna memanggil Anda untuk menyelamatkan, ia tidak mungkin ada di tangan sebuah floppy disk untuk me-load DOS!
izin pengalihan
Katakanlah, trik bekerja dan memanggil Anda. Setelah boot sistem dan Anda akan menemukan bahwa masalah tersebut tidak akan pergi, Anda harus memberitahu pengguna apa yang dia (atau dia) harus lakukan untuk memperbaiki masalah. Tentu saja, Anda hanya bisa memberinya petunjuk eksplisit seperti:
"Ketik perintah" mengubah nama WP. $ A $ kepada WP.EXE "..." Tetapi jika pengguna cukup berpengalaman, dia pasti akan melihat trik. Bagaimana bisa mendapatkan sekitar rintangan ini? Anda harus memberikan pengguna gelisah rekomendasi tersebut, yang tenang dia.
Jika pengalihan dikaitkan dengan perangkat keras, menempatkan solusi perangkat lunak disk. Sebagai contoh:
"Masukkan direktori dari pengolah kata, ketik" SETUP Kembali "dan tekan. Sekarang coba untuk menjalankan program lagi. " Dalam hal ini, SETUP-file yang Anda ditempatkan pada disk, dan berisi instruksi untuk mengubah nama, dan juga sebagai tim untuk menghancurkan diri setelah eksekusi.
Masalah yang terkait dengan hardware, sulit untuk mendefinisikan atau menjelaskan melalui telepon, tetapi sesuatu voobshe di BID jarang digunakan perangkat keras. Jika situs Anda akan cukup waktu untuk membuat masalah fisik pada komputer yang tidak dikenal, Anda harus memiliki cukup waktu dan kemudian untuk memilih informasi yang Anda butuhkan.
iklan teknik sumbu
Ada lima teknik periklanan utama yang dapat membuat pengguna Anda untuk meminta bantuan Anda:
• Penggantian catatan. Jika Anda melihat ditempel di samping komputer atau langsung pada selembar kertas dengan nomor telepon dari departemen komputer, keluarkan dan tongkat bukan catatan dengan nomor Anda sendiri (atau nomor dari telepon lain, di mana Anda bisa duduk di panggilan tunggu).
• Menempatkan iklan. Letakkan di papan buletin (biasanya, tapi tidak elektronik!) A, besar dan terang, iklan yang solid dengan tipe konten:
Helpdesk
Apakah Anda memiliki masalah dengan komputer Anda? CALL U. S. GRATIS NOMOR BARU KAMI:
(123) ABC-WXYZ
Helpdesk
Jangan lupa untuk menempatkan nama dan alamat perusahaan di mana Anda ingin mendapatkan suatu tempat di sudut iklan - untuk berpikir bahwa pengumuman ada hubungannya dengan itu. TATA LETAK iklan seperti mana-mana, atau hanya tersebar di desktop, terutama di sebelah komputer di mana Anda membuat pengalihan Anda.
• Sosial rekayasa. Panggilan untuk hari, atau bahkan beberapa jam sebelum sabotase dan biarkan dia yang akan datang ke telepon, nomor baru ke panggilan bantuan dari departemen komputer (misalnya kamar Anda). Mintalah untuk tetap berguna, bukan untuk mencari, jika perlu. Tanyakan apakah pasangan Anda satu-satunya pengguna terminal, dan jika jawabannya tidak, mintalah untuk melaporkan masalah baru untuk pengguna lain.
• Recuttings direktori. Menghapus direktori telepon eksternal perusahaan dan menambahkan nomor Anda ke dalam daftar, atau dipotong jumlah bantuan teknis yang ada kondisional, memasukkan bukannya Anda sendiri, atau terbaca mencetak nomor Anda di katalog.
• Interaktif iklan. Langsung dalam proses mencoba untuk sabotase tempat lain catatan di papan buletin (kali ini - E!) Dengan bantuan komputer nomor Anda. Isu nomor mungkin salah satu dari prosedur dan program pengalih perhatian anda. Sebagai contoh, Anda dapat mengubah nama WP.EXE, kemudian membuat model dari sebuah pengolah kata, yang akan masuk ke sistem operasi setelah beberapa penekanan tombol, meninggalkan warna kacau di layar, simbol, dan pesan berikut:
XERROR 3 - 90v.32a fdox Konsultasikan atau hubungi Jim di dukungan teknis @ (123) ABC-WXYZ
Bila iklan menciptakan, pastikan pengguna mengetahui bahwa ia memanggil nomor eksternal (sehingga ia tahu bahwa ia pertama kali harus menarik diri dari PBX perusahaan). Lakukan ini sampai Anda dapat memperoleh kantor sendiri atau nomor telepon domestik (misalnya, memasuki ruangan, sementara bosnya sedang berlibur).
Buang waktu?
Tentu saja, pra-perencanaan dan sangat subversif dan sangat ulekatelny lucu. Tetapi jika mereka layak usaha? Mengapa tidak puas dengan social engineering sederhana dan tidak khawatir tentang bagaimana Anda bereaksi terhadap orang di ujung lain?
Yah, pertama-tama, ini adalah bodoh. Apalagi mengingat fakta bahwa kebanyakan orang di lembaga-lembaga yang Anda akan retak, akan
cukup baik tentang keselamatan. Anda akan harus mengakui, karena berbagai alasan, bahwa mereka tahu siapa Anda, bahkan sebelum Anda membuka mulut Anda. Dan jika mereka tahu siapa Anda, mereka tidak akan membantu Anda.
Berikut ini adalah faktor yang relevan di atas: melakukan reverse engineering, Anda mendapatkan teman di sebuah perusahaan yang tidak diketahui. Nyaris melanggar, Anda tidak tahu, jangan duduk di sana seseorang ekor Anda sampai Anda mendengar dari orang-orang yang "dalam". Jika Anda telah membuktikan diri untuk beberapa pengguna, Anda dapat memanggil dia sedikit setelah istirahat dan bertanya: "Halo, kau ingat saya? Saya telah membantu Anda mengatasi masalah ... Ingin bertanya, tidak bisa mendengar apakah Anda miliki tentang sesuatu yang mirip, atau bahkan tentang beberapa keanehan dengan sistem? ". Jika bicaranya Anda telah mendengar tentang upaya untuk masuk ke sistem atau kegagalan dalam pekerjaannya, ia pertama kali memberitahu Anda tentang hal itu. Anda bisa memintanya untuk mengirimkan semua rumor tentang "hacker", dll Dan jika hacking Anda dan menemukan, misalnya, pengiriman pesan kepada seluruh karyawan dengan permintaan untuk mengubah password, karena sistem memasuki hacker, teman tidak curiga Anda lagi untuk menelepon Anda dan bicara tentang apa yang terjadi. Mendukung seorang anggota staf dipilih oleh Anda objek, benar-benar, layak kesulitan awal yang mungkin timbul dalam pelaksanaan sabotase.
