Ora vi spieghero’ come attuare una delle tecniche piu’ usate nel campo dell’ Hacking.
In italiano questa tecnica significa “Ingenieria Sociale” , la quale , consiste nel cercare di persuadere , influenzare psicologicamente le persone al solo scopo di riuscire a carpire informazioni.
1)Via Telefono ( Social Engineering By Phone )
2)Via Mail (Social Engineering By Mail)
3)Rovistando La Spazzatura (Social Engineering By Garbage)
Diciamo che dal punto di vista storico questa tecnica veniva usata in un primo momento dai Prehacker , i quali , utilizzavano questa tecnica allo scopo di carpire informazioni dalle compagnie telefoniche .
Ma successivamente anche gli Hacker si servivano di questa tecnica , fra gli Hacker piu' famosi oltre alla loro bravura dal punto di vista "Tecnico" , erano anche degli ottimi ingenieri sociali .
Il piu' famoso è Kevin David Mitnick .
Questa tecnica si basa su due principi fondamentali:
1)Gli esseri umani sono esseri molto fiduciosi nel prossimo e tendono a credere a ciò che gli si viene detto.
2)Se un computer è decisamente meglio di un essere umano a memorizzare delle informazioni, quest’ ultimo e’ indubbiamente il soggetto migliore per fornirle ad altri.
Detto questo iniziamo con la spiegazione del Social Engineering By Phone
Anche se non ho mai applicato questa tecnica vi spiego tutto...
Ci occorrono: Una Voce Adulta , e una Cabina Telefonica.
Analizzando i due occorrenti dobbiamo dire subito che:
1)Non possiamo chiamare un'azienda dicendo che siamo dei tecnici quando abbiamo la voce di un quindicenne....
2)Se chiamiamo dal telefono di casa possiamo essere rintracciati.....Azz!!
Comunque andiamo avanti..allora diciamo che l'elemento fondamentale di questa tecnica è la fantasia...senza di essa non si puo' fare Social Engineering.
Vi consiglio vivamente , prima di chiamare , di preparare il discorso con tutte le eventuali scuse e vie d'uscita ;
Poi , se quando chiamate qualche azienda e vi passano il direttore , mettete giu' il telefono!
Ultimo consiglio attenzione al tono della voce ;
Un'esempio di chiamata puo' essere:
Fingero' di essere un tecnico che ha rilevato dei problemi in un azienda e chiederò la Password a un impiegato o a una segretaria… Di solito sono loro ke rispondono....
Allora....Via alla chiamata:
SEGRETARIA Microsoft s.p.a, con chi parlo?
NOI Salve, Sono Antonio del Monte (inventato)
SEGRETARIA Salve, desidera?
NOI Sono il dirigente del settore sicurezza dell’azienda Itachi s.r.l… Abbiamo svolto un’indagine sulla vulnerabilità delle aziende ke hanno, come la sua, un sito dove sono caricati dati riservati.
SEGRETARIA Aspetti, Passo la linea al direttore…
NOI Signorina, per favore, vado di fretta (fingetevi disturbati e seccati)… Abbiamo 250 risultati da analizzare, ma ci serve l’accesso al sito dell’azienda per poter pachare il bug… La mia azienda ha già parlato con il direttore Fracella (dovete sapere il cognome del suo direttore, se no lasciate stare) ed è d’accordo con questa misura di sicurezza…
SEGRETARIA Guardi, non so, dovrei chiedere…
NOI Facciamo così… Se mi garantisce l’accesso le offro una cena…
SEGRETARIA Oh… Non saprei… A lume di candela?
NOI Si, a lume di candela, Promesso...
SEGRETARIA Va bene… L’username è Admin e la password 56fdhj43…
NOI Grazie mille… Allora… Sabato sera alle 8 è libera??
SEGRETARIA Si certo, Via Plaza de Spagna numero 15… L’aspetto??
NOI Ci può contare… Arrivederci miss….
SEGRETARIA Francesca, Francesca De Benedittis…
NOI Ok… Allora a sabato sera Francesca… Arrivederci…
SEGRETARIA Arrivederci…
Ora facciamo finta che risponda che è già fidanzata… Ecco una possibile via per salvarci in Corner…
SEGRETARIA Oh… Mi dispiace ma sono già fidanzata…
NOI Peccato… Un mazzo di fiori??
SEGRETARIA Mi dispiace ma il mio fidanzato è geloso…
NOI Ahi…Mi scusi ma vado di fretta… La prego, faccia un’eccezione per un amico…
SEGRETARIA Non saprei… Dovrei chiedere, per sicurezza…
NOI (irritati)Avanti, chi non ha mai fatto qualcosa di non permesso… Non può vivere all’ombra del direttore… Si ribelli…
SEGRETARIA Ha ragione… L’username è Admin e la password 56fdhj43…
NOI Grazie mille, miss…
SEGRETARIA Francesca, Francesca De Benedittis!
NOI Grazie mille Francesca… Arrivederci…
SEGRETARIA Arrivederci…
Uolà...il gioco è fatto!!
Bene...ora passiamo con la spiegazione del Social Engineering By Mail....
Diciamo che lo scopo è cercare di mandare una lettera formale , in modo tale che la "Vittima" non si accorga che la lettera è falsa.
Le persone a cui si preferisce mandare queste Mail ovviamente sono gli individui piu' ingenui...Quindi non la invieremo di certo al direttore!!
Bene!
Ora passiamo all'esempio pratico!Mi fingero' uno dello Staff di MSN e chiedero' nella Mail la password di accesso alla sua posta...
Ovviamente ci creeremo per prima cosa un'account tipo
[email protected] , o quant'altro...
Nella Mail scriveremo:
Gentile cliente ,
La informiamo che , a causa della perdita dei dati nel database del nostro sito , il suo User , Password e Dati Personali sono andati perduti;
La preghiamo di inviare a questa Mail i fattori elencati precedentemente.
Grazie per l'attenzione e arrivederci!
Bene....se l'utente è così sfigato , avremo quanto chiesto....ma vi ricordo che questo esempio è da Lamer...quindi attenti a cio' che fate.
Ora molto brevemente vi spiego una tecnica molto rozza XD ...il Social Engineering By Garbage;
In pratica dovete andare a cercare nella spazzatura dei fogli o quant'altro , contenenti delle informazioni.....
Bene spero che questa guida vi sia piaciuta
Commentate pure
