|
|
|
|
hang |
e |
|
|
|
|
|
|
|
|
hang |
e |
|
|
|
|
|
||
|
|
|
C |
|
E |
|
|
|
|
|
|
C |
|
E |
|
|
|
|
||||
|
|
X |
|
|
|
|
|
|
|
|
X |
|
|
|
|
|
|
|
||||
- |
|
|
|
|
d |
|
|
- |
|
|
|
|
d |
|
|
|||||||
|
F |
|
|
|
|
|
|
t |
|
|
F |
|
|
|
|
|
|
t |
|
|||
|
188P |
|
|
|
|
|
i |
|
P |
|
|
|
|
|
|
|
|
i |
|
|
||
|
|
|
|
|
|
r |
D |
|
Глава 5 |
|||||||||||||
|
D |
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
r |
||||
|
|
|
|
|
|
NOW! |
o |
|
|
|
|
|
|
NOW! |
o |
|||||||
|
|
|
|
|
BUY |
|
|
|
|
|
|
|
BUY |
|
|
|
||||||
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
||
wотказали. Тогда я написал еще одно письмо, в котором представился сотрудником |
||||||||||||||||||||||
w Click |
to |
|
|
|
|
|
|
w Click |
to |
|
|
|
|
|
|
|
||||||
|
|
|
|
|
|
m |
|
больn |
|
m |
||||||||||||
|
администрацииdf n |
города и если пароль не будет возвращен, то у фирмы будутdf |
- |
|||||||||||||||||||
|
|
|
|
|
|
|
|
|
o |
|
w |
|
|
|
|
|
|
|
|
o |
|
|
|
w |
|
|
|
|
|
|
|
|
|
w |
|
|
|
|
|
|
|
|
|
||
. |
|
|
|
|
g |
.c |
|
|
. |
|
|
|
|
g |
.c |
|
||||||
|
|
p |
|
|
|
|
|
|
|
|
|
p |
|
|
|
|
|
|
|
|
||
|
|
|
|
-xcha |
e |
|
|
|
|
|
-x cha |
e |
|
|
||||||||
|
шие проблемы. |
|
|
|
|
|
|
|
|
|
|
|
|
|||||||||
В данном случае самое главное составить письмо в нужных тонах. Я писал от имени администрации, поэтому письмо содержало заумные слова. В конце письма была подпись:
Фленов Михаил Евгеньевич Начальник отдела по работе с общественностью Администрации ХХХХХ города
Конечно же, администратор поверил мне и испугался, и через некоторое время я получил свой пароль. А ведь я мог так получить и чужой пароль!
Но такой трюк пройдет только с администраторами маленьких серверов и мелких провайдеров. Пароль от ящика на mail.ru или rambler.ru вам никто не скажет, даже на такое страшное письмо. Хотя, я не проверял :).
5.3.5. Новенький и глупенький
Очень много взломов было совершено через образ новенького и глупенького сотрудника. Вам необходимо знать его фамилию или логин, и, желательно, чтобы этот человек был неприметен и его мало кто знал. После этого достаточно представится вместо этого сотрудника администратору и рассказать сказку о том, что вы только устроились и не можете войти на сервер. Системные администраторы любят считать себя хозяевами вселенной, и если им в этом помочь, то любой из них поведает вам все параметры доступа и объяснит, как войти.
Для примера использования этого метода вспомним случай с превращением ночного доступа в Интернет практически в круглосуточный, который мы рассматривали в разд. 4.7.6. Основная причина, по которой администратор дал мне доступ — его наивность. Я сыграл на этом, за счет того, что представился глупым пользователем.
5.3.6. Эффективность социальной инженерии
Задача хакера — войти в доверие к защищающейся стороне и выпытать пароли доступа. Для этого используются психологические приемы воздействия на личность. Человеку свойственны любопытство, доверчивость и чувство страха. Любое из них может стать фатальным.
Благодаря излишнему любопытству мы верим призывам открыть прикрепленный к письму файл и самостоятельно запускаем на своем компьютере вирус. В силу нашей доверчивости хакерам удается выпытать секретную информацию. Но самые сильные эмоции вызывает страх. Хакер заставляет нас поверить, что мы можем потерять данные, и мы в ужасе самостоятельно отдаем пароли доступа, в результате чего действительно утрачиваем контроль над секретной информацией.
Хакеры пользуются социальной инженерией незаметно, но эффективно. Вы даже не почувствуете подвоха, когда у вас попросят пароль или секретную информацию, и вы послушно все отдадите.