Социальная инженерия и доверие, как человеческий фактор

Это моя первая публикация на Хабре и пока сложно предугадать реакцию местной публики на мои действия. Дело вот в чем.

Причины, по которым «уводят» электронные адреса или аккаунты социальных сетей, совершенно разные. Но, когда близкие люди узнали мою причину, я получил осуждения. В какой-то мере всегда понимал, что цель получения доступа к социальным сетям жертвы для получения определенной переписки очень безнравственна. С другой стороны, я себя утешал мыслью, что если уж товарищи попались на такой крючок — значит, так им и надо.

Это были две жертвы, которые обладали нужной мне информацией. Оба — мужчины. Узнать эту информацию я мог только от них, но с одним я почти не знаком, а второй был моим заклятым врагом. Их частая активность в социальных сетях давала надежды, что с кем-то в переписке они обсуждали то, что мне было нужно.

Мне настолько это было важно, что на пару дней я только и думал, как получить информацию. Пришла мысль о «взломе». Но как? Тем более в последнее время все стали более или менее грамотны (пароли хорошие ставить). Кроме того, сегодняшние приложения достигли высокого уровня защиты. Поэтому технический взлом отпал почти сразу в мыслях. Я принял решение использовать социальную инженерию. При этом метод не должен быть слишком сложным.

В голову приходили разные идеи и мысли. Я перебирал в голове разные слабости каждого из них. И вдруг осенило — это женщины. Тут же написал знакомой, спросив, не хочет ли она принять участие в одном экстравагантном деле. Обдумывали разные сценарии, но в итоге отказался от этой идеи, так как слишком сложно все получалось.

В итоге пришла другая идея.

Я зарегистрировал фейковый аккаунт. В тех же социальных сетях нашел в каком-то украинском небольшом городе очень миловидную девушку. Главное, чтобы она никак не пересеклась с фейком. После чего стал заполнять анкету на facebook, загрузил несколько фотографий. Для правдопободности мне нужны были «друзья». Прошерстил разных людей, которые очень активные (те, как правило, добавляют друзей без разбора), наполнил базу из человек 10-ти, а дальше многие сами стали проситься в друзья. Так как моя фейковая девушка оказалась ну очень симпотичной, за вечер у меня уже было более 50-ти друзей.

На следующий день меня ждало фиаско. Facebook что-то заподозрил и предложил несколько фотографий моих друзей, где просил подписать эти фотографи с вопросом «Кто на фотографии». Конечно, ни одной личности я не знал и восстановить аккаунт уже не смог. И все пошло заново, но уже постепенно.

Друзья уже добавлялись выборочно. Часто это были те, кого я знал хотя бы на память и мог обойти эту проверку. Вступил в те же группы, в которых участвовали те самые жертвы. Нашел какие-то статьи, тематически подходившие под эти группы, стал публиковать. На все это ушло примерно дней пять. У меня была ложь, которую, если открыть однажды, уже не повторить, поэтому действовал очень аккуратно и не торопясь.

В какой-то день дождался и стал получать комментарии к публикациям в группе от жертвы. Я намеренно публиковал самые интересные темы для конкретного человека. Узнать его интересы не составляло трудности, достаточно было посмотреть, на какие публикации он активно рефлексирует. Сначала просто были какие-то отписки, но я ждал интерактива и он случился, завязался какой-то разговор. С обычных комментариев под публикаций мы постепенно перешли в личную переписку. После чего наблюдал его «лайки» на «своих» фотографиях. Через какое-то время им была предложена долгожданная дружба, которая перетекла в знакомство.

— Девушка Настя. Очень приятно. Работаю в IT-компании самым рядовым сотрудником и пытаюсь стать программистом. Если я смогу справиться с одной задачей, то меня обязательно поднимут по карьерной лестнице и сделают хорошую зарплату.

Информация самая простая и обычная, ни к чему не обязывающая, не вызывающая подозрений. Пока в переписке я отвечаю на вопросы, придумываю историю целой жизни, обещаю свидания в каком-нибудь будущем. А параллельно регистрирую аккаунт на бесплатном хостере. Быстро оформляю пару статичных страниц «Lorem ipsum», создаю там комментарии, якобы оставленные уже кем-то и кнопку авторизации, ведущую на форму, один в один напоминающую форму входа facebook.

Да, примитивно, но этот товарищ не имел отношения к IT, поэтому я это учел и просто попросил для теста оставить комментарий на моем «тестовом проекте».

— Моя задача через социальную сеть оставить комментарий, — пишу ему.

Он в пылу чувств бежит на сайт, пытается залогиниться и пишет в ответ, что не может оставить комментарий, так как после авторизации снова появляется предыдущая страничка и нет формы ввода комментария.

— Ой, ошибку нашла, надо чинить, — отвечает ему Настена.

Конечно, дальше Настя стала менее активна, а потом и вовсе перестала выходить онлайн. То, что он пытался с ней как-то связаться, просить телефон и т.д, я читал уже с его аккаунта. Кроме того, повезло. Он везде использовал один пароль, что без труда позволило мне попасть и в ВК, и в почту Mail.ru.

Для второй жертвы пришлось потрудиться создать формы входа к другим социальным сетям и почте, поскольку он везде использовал разные пароли. Но с радостью, ради красивой дамы, он испробовал все методы, фактически, любезно предоставив мне вход.

Послесловие


Все просто до безумия и даже не похоже на некое пособие. Но все же это не пособие, а мораль: верить никому нельзя, уж тем более незнакомым людям в интернете, особенно красивым незнакомкам. Ну и двойная авторизация, которая уже есть практически везде, спасла бы обоих.
Поделиться публикацией

Комментарии 40

    +13
    Без фотки Насти щас точно наминусуют )
      +7
      Надеюсь, что не наминсуют.
      Просто не хочу никого компрометировать. Да и мало ли красивых в этих ваших интернетах. :)
      +2
      Эхх… прошли времена нигерийских принцев
        +1
        Вы, конечно, тот еще засранец, но они сами вводили свои авторизационные данные на левых сайтах. Так что от части сами виноваты.
        +3
        Интересная история. Вам хватило терпения организовать многоходовую операцию с подставными лицами и поддельными сайтами. Надеюсь оно того стоило.
        Вот если бы в Интернете вместо форм регистрации/логина были бы формы входа через социальные сети, OpenID или Mozilla Persona, то проблема одинакового пароля для всех сайтов не стояла бы в принципе. Правда потеря одного аккаунта привела бы к катастрофе.
        • НЛО прилетело и опубликовало эту надпись здесь
            0
            А свои сервера — у себя в своём датацентре? А то ведь аккаунт у хостера тоже можно потерять. Или «потерять».
            • НЛО прилетело и опубликовало эту надпись здесь
          +29
          Как-то все банально и неинтересно.
          Единственный интересный факт — способ которым ФБ проверяет фейковые аккаунты.
            +1
            так проверяются не только фэйки, а и защищается страница от взлома.
              0
              Интересно. Т.е. если я логинюсь в вк со «странного» айпи (из другого города/страны), меня просят ввести мой номер телефона, а если подобное будет с фб, меня попросят опознать друзей на фоточках? Боюсь, тогда я страницу потеряю :D
                0
                Уже несколько раз просил опознавать при входе из левых мест. Совершенно точно он спрашивает только про тех друзей, с которыми более-менее идет общение; лично я каждый раз мог правильно отвечать, что было бы невозможно при случайном выборе. Так что учетку так не потерять.
            +8
            Фрейд одобряет, да. Но интереснее было бы почитать аналогичную историю, где целью был бы айтишник.
              0
              makepasswd --char=16
                +7
                Должен быть интересный финал. Думаете, он бы читал переписку уже из-под аккаунта Насти?
                  +9
                  >Должен быть интересный финал
                  И взрывающийся вертолет!
                0
                История из разряда «Вот такой вот кот топотун»…
                  +23
                  Имя одну соц сеть и один сексуальный фейк вообще можно захватить мир) Напомнило мою историю, намного проще вашей. Давным давно познакомился с милой девушкой, немного поболтали и разошлись, потом я ее очень часто стал ее вспоминать, но к сожалению я знал только ее имя. Имя было не самое распространенное «Арина». Однажды я решил «почему бы и нет», запустил поиск в одной соц сети по своему миллионному городу и на одной из страниц я узнал ее фото. «Дело в шляпе» — решил я, но как оказалось она очень давно не заходила онлайн и я решил выйди на нее через ее друзей, но как не странно на просьбы узнать ее номер или как то связаться с ней все к кому я обратился отнеслись крайне подозрительно и обломали меня. После чего родился фейк милой девушки и первый же парень выбранный из списка ее друзей выдал мне полную анкету на нее. Я узнал ее адрес, телефон, ее предпочтения и прочую приватную информацию, ведь как не помочь «ее подруге, которая хочет сделать ей сюрприз»? В тоге я еще никогда так легко не начинал отношения как в этот раз, ведь я был для нее магом и волшебником, случайным прохожим с которым она перекинулась парой фраз и для него этого хватило, что бы прийти под ее окна с букетом ее любимых цветов. Эх, ностальгия.
                    +7
                    Эм… Извиняюсь, но, не расскажете как девушка-то среагировала и чем закончилось? Думаю, не мне одному интересно, а топикстартер простит)
                      +22
                      Это произвело на нее невероятный вау эффект. Она пыталась понять как я ее нашел, я загадочно улыбался и намекал на энергию космоса. Через некоторое время, когда игра начала немного надоедать, я конечно раскрыл секрет. По итогу у нас завязались отношения, наверное, одни из самых интересных в моей жизни, но спустя пол года мы расстались, не сошлись немного характерами, но к социальной инженерии это уже значения не имеет)
                      0
                      Ну так известный эффект: bash.im/quote/56008
                        0
                        Да, а еще с женским ником в онлайновки играть проще, у нас один тип так гонял, постоянно весь лут его был)
                      +4
                      Просто не статья, а какая-то явка с повинной. История, безусловно, интересная и полезная, но вы не боитесь что всё это может быть использовано против вас?
                        0
                        Вы имеете ввиду, что на основании этой публикации можно возбудить УД?
                          +2
                          272 УК РФ. до пяти лет.
                            +10
                            Я не в РФ.
                            Ну и вообще, только на основании истории сделать этого невозможно без заявления.
                            Ну и даже если заявление и будет, я заходил в чужие аккаунты, используя TubelBear или ZenMate.
                              +1
                              Надо было попросить «одного знакомого», чтоб он написал от своего имени
                                0
                                Напоминает известное письмо "… Вас, товарищ майор, ваше управление и ваши приказы я вертел на… С уважением, гражданин Чехии ..."
                                :)
                          +6
                          Автор еще раз практически доказал золотое правило:
                          Никакие пароли не спасут от грамотной социальной инженерии.
                            +1
                            «Симпатичная» и «доверие как человеческий фактор». :-)
                              +3
                              Имею привычку при вводе пароля смотреть на статус https (браузер подсвечивает зелёным, если сертификат похож на правду) и проверять название домена. Это, конечно, тоже можно обойти, но вроде бы не так просто.
                              Хотя мне ещё не приходилось вводить пароль под влиянием красивой девушки.
                                0
                                Вот, кстати, про название домена — как же бесит, когда ещё и настоящая страничка авторизации висит на каком-то домене типа widget.fbauth.akamaihd.fbstaticdynamicanalyticparalytic.ololotrololo.fbcdn.com!
                                +5
                                а потом люди удивляются, чего это айтишники через одного так косо смотрят на девушек.
                                • НЛО прилетело и опубликовало эту надпись здесь
                                  –1
                                  … верить никому нельзя, уж тем более незнакомым людям в интернете, особенно красивым незнакомкам.

                                  А незнакомцам, значит, можно верить?
                                    0
                                    Даже не пытайтесь подписаться на меня. Я буду защищаться! ))

                                    А, серьезно — спасибо; социальная инженерия — моя любимая тема!
                                      +3
                                      Думаю, что мужчины всегда будут покупаться на хорошеньких женщин.
                                      Сексуальный стимул считается самым сильным для человека и одним из самых действенных приемов нейромаркетинга.

                                      Социальная инженерия здесь не исключение.
                                      Сам Кевин Митник боялся при близости с женщинами наболтать лишнего.

                                      Так что несомненно вы выбрали самый действенный способ получения информации.
                                        0
                                        Можно подвести итог — никогда не открывать ссылок от незнакомых, особенно девушек, особенно симпатичных. Была похожая ситуация со стороны жертвы. Есть небольшой, но душевный паблик в вк, посвященной одной гиковской программе для написания музыки. Добавилась в друзья девушка, расспрашивала неделю об этой программе, просила научить, я отвечал, помогал, а потом она ”великодушно” предложила сделать красивое форматирование, меню и все такое в паблике. Сразу +10 к паранойе и –10 к вере в мир и людей. После отказа она, разумеется, тут же пропала. Благо Триер научил настороженности в сторону женщин и все обошлось.

                                        Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                        Самое читаемое