Технологии безопасности

Сайт посвященный вопросам безопасности

Социальная инженерия и доверие, как человеческий фактор

Это моя первая публикация на Хабре и пока сложно предугадать реакцию местной публики на мои действия. Дело вот в чем.

Причины, по которым «уводят» электронные адреса или аккаунты социальных сетей, совершенно разные. Но, когда близкие люди узнали мою причину, я получил осуждения. В какой-то мере всегда понимал, что цель получения доступа к социальным сетям жертвы для получения определенной переписки очень безнравственна. С другой стороны, я себя утешал мыслью, что если уж товарищи попались на такой крючок — значит, так им и надо.

Это были две жертвы, которые обладали нужной мне информацией. Оба — мужчины. Узнать эту информацию я мог только от них, но с одним я почти не знаком, а второй был моим заклятым врагом. Их частая активность в социальных сетях давала надежды, что с кем-то в переписке они обсуждали то, что мне было нужно.

Мне настолько это было важно, что на пару дней я только и думал, как получить информацию. Пришла мысль о «взломе». Но как? Тем более в последнее время все стали более или менее грамотны (пароли хорошие ставить). Кроме того, сегодняшние приложения достигли высокого уровня защиты. Поэтому технический взлом отпал почти сразу в мыслях. Я принял решение использовать социальную инженерию. При этом метод не должен быть слишком сложным.

В голову приходили разные идеи и мысли. Я перебирал в голове разные слабости каждого из них. И вдруг осенило — это женщины. Тут же написал знакомой, спросив, не хочет ли она принять участие в одном экстравагантном деле. Обдумывали разные сценарии, но в итоге отказался от этой идеи, так как слишком сложно все получалось.

В итоге пришла другая идея.

Я зарегистрировал фековый аккаунт. В тех же социальных сетях нашел в каком-то украинском небольшом городе очень миловидную девушку. Главное, чтобы она никак не пересеклась с фейком. После чего стал заполнять анкету на facebook, загрузил несколько фотографий. Для правдопободности мне нужны были «друзья». Прошерстил разных людей, которые очень активные (те, как правило, добавляют друзей без разбора), наполнил базу из человек 10-ти, а дальше многие сами стали проситься в друзья. Так как моя фейковая девушка оказалась ну очень симпотичной, за вечер у меня уже было более 50-ти друзей.

На следующий день меня ждало фиаско. Facebook что-то заподозрил и предложил несколько фотографий моих друзей, где просил подписать эти фотографи с вопросом «Кто на фотографии». Конечно, ни одной личности я не знал и восстановить аккаунт уже не смог. И все пошло заново, но уже постепенно.

Друзья уже добавлялись выборочно. Часто это были те, кого я знал хотя бы на память и мог обойти эту проверку. Вступил в те же группы, в которых участвовали те самые жертвы. Нашел какие-то статьи, тематически подходившие под эти группы, стал публиковать. На все это ушло примерно дней пять. У меня была ложь, которую, если открыть однажды, уже не повторить, поэтому действовал очень аккуратно и не торопясь.

В какой-то день дождался и стал получать комментарии к публикациям в группе от жертвы. Я намеренно публиковал самые интересные темы для конкретного человека. Узнать его интересы не составляло трудности, достаточно было посмотреть, на какие публикации он активно рефлексирует. Сначала просто были какие-то отписки, но я ждал интерактива и он случился, завязался какой-то разговор. С обычных комментариев под публикаций мы постепенно перешли в личную переписку. После чего наблюдал его «лайки» на «своих» фотографиях. Через какое-то время им была предложена долгожданная дружба, которая перетекла в знакомство.

— Девушка Настя. Очень приятно. Работаю в IT-компании самым рядовым сотрудником и пытаюсь стать программистом. Если я смогу справиться с одной задачей, то меня обязательно поднимут по карьерной лестнице и сделают хорошую зарплату.

Информация самая простая и обычная, ни к чему не обязывающая, не вызывающая подозрений. Пока в переписке я отвечаю на вопросы, придумываю историю целой жизни, обещаю свидания в каком-нибудь будущем. А параллельно регистрирую аккаунт на бесплатном хостере. Быстро оформляю пару статичных страниц «Lorem ipsum», создаю там комментарии, якобы оставленные уже кем-то и кнопку авторизации, ведущую на форму, один в один напоминающую форму входа facebook.

Да, примитивно, но этот товарищ не имел отношения к IT, поэтому я это учел и просто попросил для теста оставить комментарий на моем «тестовом проекте».

— Моя задача через социальную сеть оставить комментарий, — пишу ему.

Он в пылу чувств бежит на сайт, пытается залогиниться и пишет в ответ, что не может оставить комментарий, так как после авторизации снова появляется предыдущая страничка и нет формы ввода комментария.

— Ой, ошибку нашла, надо чинить, — отвечает ему Настена.

Конечно, дальше Настя стала менее активна, а потом и вовсе перестала выходить онлайн. То, что он пытался с ней как-то связаться, просить телефон и т.д, я читал уже с его аккаунта. Кроме того, повезло. Он везде использовал один пароль, что без труда позволило мне попасть и в ВК, и в почту Mail.ru.

Для второй жертвы пришлось потрудиться создать формы входа к другим социальным сетям и почте, поскольку он везде использовал разные пароли. Но с радостью, ради красивой дамы, он испробовал все методы, фактически, любезно предоставив мне вход.

Послесловие

Все просто до безумия и даже не похоже на некое пособие. Но все же это не пособие, а мораль: верить никому нельзя, уж тем более незнакомым людям в интернете, особенно красивым незнакомкам. Ну и двойная авторизация, которая уже есть практически везде, спасла бы обоих.