... az mi sie styki poluzowaly :-p
... az mi sie styki poluzowaly :-p
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)
Witam!
Od jakiegoś czasu interesuję się socjotechniką i czytałem dużo że używa jej się głównie w rozmowach telefonicznych. Interesuje mnie natomiast w jaki sposób jej używać nie w celu zdobycia informacji lecz manipulacji czy tez osiągnięcia jakiegoś efektu stojąc oko w oko z daną osobą.
Mi się najbardziej podoba "siła sugestii"... Najwięcej osiągnąć moim zdaniem można zadając opowiednio skonstruowane pytania. Takie żeby wymusić na rozmówcy własciwą odpowiedz a pozniej to juz zalezy od tego jak potrafisz dobitnie sugerowac
Zbliża się Trollmagedon...
Heh fajnie;-)
Można też spróbować tzw. urcze jak to się nazywało nie pamiętam- dajmy spokój. Chodzi o to, że gdy cos sugerujesz to chyba w wyrazach powinieneś zasugerować odpowiedź, lub tzw. końcu wyrazów- odpowiedź jest w końcówkach, mimo e mówi się o całkiem trywialnych sprawach- jak znajdę to poprawię
o przemyśleniach w kontekście NLP... http://www.tuetbrute.blogspot.com
Witam,
latam sobie po różnych forach korzystając z chwili wolnego i natknąłem się na to forum. Temat przycichł, ale może go rozdmucham?
Moim zdaniem możliwość manipulowania nie zależy od cech osobowości naszych ofiar tylko od odpowiedniego przygotowania i doświadczenia atakującego.
Przykład sprzed miesiąca (nazwy firm imiona nazwiska i adresy stron osób zmieniłem):
- Farbo kadry Bożena Majorek słucham?
- Witam Pani Bożeno, Krystian Kowalczyk z tej strony firma ITechnologies
- Witam serdecznie
- Dzwonię w sprawie systemu Symfonia, który dla Państwa konserwujemy.
- Ale nasza firma od dwóch miesięcy zrezygnowała z własnej księgowości i już nie korzystamy z Symfonii
- Wiem, czy był u Państwa nasz technik aby odinstalować program?
- Tak, z tego co wiem to był
- Właśnie tu jest problem. Odkryliśmy, że instalator symfonii ma błąd i pozostawia otwarte porty po odinstalowaniu.
- Co to znaczy?
- To znaczy, że Państwa sieć jest narażona na ataki.
- Ale to chyba z działem informatyki...
- Próbowałem się do nich dodzwonić, ale nikogo tam nie ma.
- No tak, trzeba próbować po 9:00.
- Dzisiaj otrzymaliśmy informację, że opublikowano w internecie informację o tym krytycznym błędzie co spowodowało w ciągu dwóch dni kilkadziesiąt włamań do różnych sieci. Pracuję w tej firmie dopiero od początku tygodnia i dostałem zlecenie, żeby jak najszybciej wszystkich o tym poinformować.
- A takie ataki są groźne?
- W kilku firmach całkowicie zniszczyli twarde dyski
(chwila ciszy)
- Mam do obdzwonienia jeszcze kilkadziesiąt firm dlatego bardzo mi zależy, żeby po prostu powiedziała mi Pani czy chcecie, żeby wysłać do Was płytkę z łatką która uszczelni Waszą sieć. Jeżeli otrzymam taką zgodę wyślemy płytkę do działu informatyki i sprawa będzie załatwiona.
- W porządku, oczywiście że chcemy.
- Ok, zanotowałem w ciągu tygodnia powinna do Państwa dotrzeć pocztą... (chwila ciszy) albo poświęci mi może Pani 5 minut i załatwimy to teraz.
- A będę potrafiła?
- Tak, to banalnie proste.
- W porządku.
- Proszę otworzyć przeglądarkę internetową.
- Już
- Proszę wpisać: www.symfonia-secure.xt.pl
- Symfonia jak?
- s-e-c-u-r-e.
- .xt.pl?
- tak.
- Mam.
- Pod informacją o krytycznym błędzie jest link do pobrania łatki.
(cisza, pewnie spowodowana czytaniem newsa o nakładce)
- Mam.
- Proszę pobrać ją i zapisać na pulpicie.
- Już
- Teraz proszę dwa razy kliknąć na ikonkę.
- Ok.
- Jaki komunikat się wyświetlił?
- Zainstalowano pomyślnie aktualizację... i jakiś numerek.
- XB67Q23L?
- dokładnie tak.
- I już po krzyku. Może już Pani skasować z pulpitu.
- Ok, już.
- Bardzo mi Pani pomogła. Dziękuję bardzo. Czy mogę jeszcze raz dla weryfikacji prosić o Pani nazwisko?
- Majorek.
- Dziękuję bardzo miłego dnia życzę
- Dziękuję.
--------------------------------------------------
Co było łatką na program i jakie dało możliwości inwigilacji firmy oraz analizę rozmowy pozostawiam Wam. Jeżeli chcecie mogę ją dla Was przeprowadzić. Oczywiście były potrzebne dwie informacji które posiadałem dzwoniąc do firmy: bezpośredni nr do księgowości (który okazał się nrem do kadr) i nazwę firmy która konserwowała Symfonię.
Jak zdobyć te informacje, również mogę napisać albo sobie podedukujcie.
Pozdrawiam
S3RR4F1N
p.s. jak chcecie poopisuję kilka innych fajnych sytuacji.
Było by miło z Twojej strony. Lubię czytać tego typu przykłady
Have you ever had a dream that you were so sure was real ?
Ale ten czas leci... niestety nie miałem chwili wytchnienia, żeby tu zajrzeć, dopiero dzisiaj. Ok, krótkie omówienie opisywanej sytuacji:
Przede wszystkim znajomość numeru do księgowości okazała się bardzo przydatna, ponieważ znając numer niedostępny ludziom z zewnątrz zyskałem na starcie pewien stopień zaufania.
Numer znałem ponieważ kiedyś mój znajomy pracował w księgowości i czasami do niego dzwoniłem.
Jeżeli znałbym tylko numer ogólnie dostępny (np. do sekretariatu), mógłbym zagrać tak:
- Dzień dobry Ryszard Krawczyk z firmy PointService, dzwonie w sprawie korekty faktury, czy mogę poprosić numer do księgowości?
Jak każdy socjotechnik powinienem mieć przygotowaną odpowiedź na stwierdzenie w stylu:
- To może Pana przełączę?
Sekretarka chce mi zrobić przysługę, ale nam zależy na bezpośrednim połączeniu z księgowością:
- Ok, ale będę miał jeszcze kilka faktur do wyjaśnienia więc może po prostu wezmę numer, żeby już Pani nie męczyć.
Jeżeli sekretarka nadal chce być bardzo uczynna to ostatecznie można się zgodzić na połączenie, w księgowości pewnie i tak ktoś odbierze dzwoniący telefon i nie zwróci uwagi czy dzwonię bezpośrednio czy zostałem przełączony z sekretariatu.
Czy jest ważne jaką nazwę firmy sprzedamy sekretarce? Dobrze by było, gdyby to był faktycznie klient firmy, ale sekretarka raczej nie wie jacy klienci korzystają z usług, zajmuje się tym księgowość, dział handlowy itp. więc w miarę bezpiecznie możemy wymyślić sobie jakąś nazwę.
Druga sprawa: nazwa firmy konserwującej system i w ogóle skąd wiedzieć z jakiego systemu księgowego korzysta ofiara?
Te dane też miałem od znajomego, ale nie musiałem ich mieć. Oto przykładowa scenka:
Wchodzimy na google i wpisujemy "Symfonia", dowiadujemy się, że twórcą jest firma Sage Symfonia.
- Witam Piotr Broniewski, dzwonię z Sage Symfonia - czy mogę z działem informatyki?
- Już łączę.
- Dział Informatyki, słucham!
- Witam Piotr Broniewski, dzwonię z Sage Symfonia. Czy może poświęcić mi Pan chwilę?
- Tak, jasne.
- Czy korzystacie Państwo z programu księgowego?
- Tak, oczywiście.
- Czy mogę się dowiedzieć nazwy?
- (Śmiech) Właśnie z Symfonii!
- To wspaniale! Jak oceniacie Państwo funkcjonalność naszego systemu w skali 1-5?
- Cóż, kilka niedociągnięć ma, powiedzmy 4.
- Dziękuję bardzo, od jak dawna korzystacie z Symfonii?
- Od dwóch lat.
- Czy korzystacie Państwo z firmy konserwującej system?
- Tak.
- Czy mogę prosić o nazwę firmy?
- ITechnologies.
- Dziękuję, jak oceniacie Państwo usługi świadczone przez ITechnologies w skali 1-5?
- 5.
- To lepiej niż nasz system (śmiech).
Jeżeli chciałbym się dowiedzieć od razu numeru do księgowości, mógłbym zadać kolejne pytanie:
- Teraz chciałbym zadać pytanie odnośnie najnowszego modułu wystawiającego korekty faktur VAT i rozliczającego PIT-11 pracowników. Czy były problemy obliczaniem progów podatkowych dla osób korzystających ze świadczeń socjalnych?
To pytanie jest bez sensu, nie wiem czy jest wogóle coś takiego jak progi podatkowe dla świadczeń socjalnych ale ważne jest aby informatyk też tego nie wiedział. Odpowiedź jest raczej oczywista:
- Wie Pan, ja z tego programu osobiście nie korzystam. To będzie wiedział księgowy.
- Czy można więc prosić o numer do księgowości? Mam jeszcze kilka pytań specjalistycznych.
- Ok.....
No i już mam tele do księgowości Gdybym zapytał o numer wprost mógłbym wzbudzić podejrzenia.
Wiedziałem też od znajomego, że informatycy przychodzą do pracy koło 9:00 a księgowość pracuje od 7:30, ale... mogłem się tego dowiedzieć od informatyka:
- Prawdopodobnie mój przełożony będzie dzwonił za kilka dni aby potwierdzić moją rozmowę. Gdy nie zastaje osoby z którą rozmawiam często usuwa dany rekord z bazy, czy mógłbym się dowiedzieć w jakich godzinach można Pana zastać?
- Średnio od 9 do 17:00.
- Ok, zanotuję w systemie żeby w tych godzinach dzwonić.
I po krzyku...
- To wszystko, dziękuję bardzo za rozmowę.
- Dzięki.
Ważne jest aby ton wypowiedzi był żywy, ale sprawiał wrażenie rutyny. W końcu dzwoni ktoś z Symfonii, kto pewnie wykonuje już z 50-ty telefon z ankietą.
Właściwie w pytaniach nie ma żadnej informacji, która by była groźna dla firmy. Po tym telefonie najlepiej odczekać kilka dni.
Ok, już jesteśmy połączeni z księgowością.
No i pierwsza wpadka! Kumpel pracował tam z rok temu i w międzyczasie zrezygnowali z księgowości.
Jeżeli zadzwonił bym wcześniej do informatyków wiedział bym o tym odrazu.
Tu bez zająknięcia trzeba poprowadzić rozmowę dalej. Chwila wahania, jedno zająknięcie i możemy wzbudzić wątpliwości.
Czy księgowy czy kadrowa to nie ma znaczenia. System był kiedyś na komputerze i zostawił dziurę.
No i już lecimy dalej z krytycznym błędem. Oczywiście najpierw trzeba stworzyć stronę w klimacie strony Symfonii i umieścić ją w jakiejś darmowej domenie.
Dzwonimy o godzinie, w której nie ma informatyka ponieważ kadrowa oczywiście będzie chciała go do nas odesłać.
No i dalej klasyk... wzbudzamy poczucie zagrożenia, trochę poczucie litości (jestem nowy w firmie) i... oczywiście proponujemy rozwiązanie które nie zadowoli ofiary
Kadrowa nie widzi niczego dziwnego w wysłaniu płytki do działu informatyki. Informatyk zainstaluje łatkę i będzie po problemie, ale... kiedy? Tydzień czasu!
A tu kilkadziesiąt sieci zdewastowanych!!!! Za tydzień po dziale kadr może zostać wspomnienie! I odzyskiwanie utraconych danych, nadgodziny za które wściekły szef nie zapłaci...
Te właśnie myśli mogą powstać w główce kadrowej przez tą chwilę ciszy, którą jej pozostawiłem... po czym podsunąłem lekarstwo na to.
No i po krzyku, zamiast czekać tydzień łatka będzie zainstalowana zaraz.
Po wejściu na stronę ukazuje się informacja o krytycznym błędzie, która jeszcze bardziej utwierdza kadrową w przekonaniu, że wszystko dzieje się naprawdę.
Oczywiście trojan daje komunikat z jakimś dziwnym symbolem, który ja odczytuję. Wszystko jest w porządku.
Ok, to narazie tyle.
Następnym razem napiszę o innej rozmowie...
S3RR4f1n
no no fajnie lubie czytac takie teksty
War, war never changes.
Serrafin wiesz co takie ataki są ciekawe ale nie bardzo z życia codziennego. to zanim dostane bana za pisanie w offtopick to napisze ze jeśli chcecie zastosować "Socjotechnikę" w życiu musicie w ogóle zrozumieć co to jest. Może nie będę tu robił wykładu ale zawsze jest to ale i tu chce się was zapytać czy wiecie jaką ma moc właśnie to 3 literowe słowo takich jest oczywiście więcej jesli ktoś będzie chciał żebym wiecej na ten temat napisał to dajcie znać. Chętnie sie podzielę wiedzą ja i zemną sie podzielono
Bless Ya
Wyglada sie bardzo ciekawie wiec dawaj smialo
ctrl-alt-del.cc - soft reset site for IT admins and other staff :-)