Titolo: Lei non sa chi sono io...
Autore: [sHaDy]
E-Mail: robcasanovi@virgilio.it
Crew website: www.hackarena.net
Indice:
[0] Disclaimer
[1] Introduzione
[2] Definizione di social engenereeng
[3] Accorgimenti e tool essenziali
[3] Il social e. applicato alle mail
[4] Il social e. applicato alle chat
[5] Il social e. applicato ai telefoni
[6] Altri accorgimenti essenziali
[7] Shoulder surfing e dumpest driving
[8] Come difendersi
+-------------------------------------------------------------------------------------+
| |
| Il mio te sta diventando freddo. Fuori pioviggina, la nebbia offusca la mia finestra|
| Il solito rap dal mio lettore cd calca su quanto fa schifo questo mondo. |
| Sorseggio l'ultimo sorso di questa merda fredda , mi siedo alla scrivania e me ne |
| vado per un attimo da quello che gli altri chiamano mondo reale. Ma poi riflettendo |
| capisco che in fondo non va poi così male... non è così male. |
| |
|-(0) Disclaimer----------------------------------------------------------------------+
| |
| Io non mi assumo alcun tipo di responsabilità riguardo all'utilizzo |
| che voi potreste fare dei contenuti di questa guida. Tutte le |
| informazioni sono state scritte a puro scopo informativo e, pertanto, |
| il possesso di questo file è comunque, del tutto lecito. |
| |
|-(1) Introduzione--------------------------------------------------------------------+
| |
| Il social engenereeng è una tecnica antica più dell'hacking stesso, semplicissima |
| ma allo stesso tempo determinante e efficace. La sua utilità è quella di riuscire |
| a carpire informazioni indispensabili (come per esempio una password ma anche la via|
| dove una persona abita. Quando parlo di "tecnica semplice non mi riferisco certo al |
| fatto che anche un bambino di due anni sarebbe in grado di metterla in preatica. |
| Parlo invece della sua essenzialità in quanto non necessita di particolari tool, |
| programmi o apparecchiature. Solo voi il vostro nemico e la vostra intelligenza. |
| Lo stesso Kevin Mitnick era un grande social engeneer. Ma vediamo nel particolare di|
| cosa si tratta. |
| |
|-(2) Cos'è il Social Engenereeng-----------------------------------------------------+
| |
| Una definizione potrebbe essere: "l'ingegneria sociale è un insieme di tecniche |
| utili a guadagnare la fiducia di qualcuno in modo da farsi rivelare, anche |
| implicitamente, importanti informazioni. Il social engenereeng può essere applicato |
| a tre campi fondamentali: |
| |
| > Posta elettronica |
| > Apparecchi telefonici |
| > Chat |
| |
| L'efficacia si basa sul principio che l'uomo ha per natura fiducia nel prossimo e |
| sul fatto che le aziende o comunque gli utenti passano il tempo a rendere i loro |
| sistemi sicuri con firewall, antivirus e chi più ne ha più ne metta senza tener |
| conto di questi mezzi: è come avere la porta sbarrata e la finestra aperta. Uno |
| degli esempi più tipici è quello del tipo che telefona dicendo: |
| |
|"Buongiorno chiamo dalla Telecozz volevo avvertirla che |
| le sue chiamate in Australia hanno superato la soglia |
| di credito... come dice? Non ha mai chiamato l'australia? |
| Mmmhh... ci deve essere stato un errore... qui risulta una |
| chiamata in atto. va beh prima che arrivi il mio supariore |
| mi dia i dati della sua carta telefonica che le scarico la |
| cifra... sa sono 2350 euro" |
| |
|-(3) Accorgimenti e tool essenziali--------------------------------------------------+
| |
| Prima di passare alle singole tipologie è bene conoscere alcune regole fondamentali |
| per portare a termine con successo questa tecnica. Innanzitutto diciamo che salvo |
| la chat che è un caso particolare il SE si basa su una prima fase (la più lunga) |
| tutta dedicata alla ricerca di informazioni sull'obbiettivo. Segue poi una seconda |
| fase in cui si passa "all' attacco" tramite i canali sopra citati. La prima fase è |
| determinante perchè la seconda vada a termine al meglio quindi vediamola più nel |
| dettaglio: |
| Molte informazioni si possono carpire dalla registrazione del web server a |
| cominciare dal numero di telefono e-mail ed eventualmente fax dell'admin e |
| dell'eventuale responsabile tecnico. Le aziende inoltre tendono ad aggiungere nelle |
| pagine del loro server tantissime info utili per fare "scena" fonte importantissima |
| per l'ingegnere sociale. Le informazioni che a noi interessano sono: |
| |
| -L'organizzazione della società |
| -Gli indirizzi e-mail inseriti |
| -I numeri di telefono |
| -I numeri di fax |
| -I famosi "powered by" |
| -I partner della società |
| |
| Da queste info poi noi possiamo ricaverne altre come "chi sono le persone chiave |
| per la società" ecc... Insomma già da questo primo passo possiamo farci un bel |
| quadretto della situazione. Per capire la versione del server e l'os utilizzato |
| possiamo affidarci a servizi come netcraft (www.netcraft.net) poi possiamo capire |
| con che tool il sito è stato utilizzato guardandone il codice e infine se il sito |
| è realizzato solo dall'azienda o da qualche ditta esterna osservando il copyright. |
| |
| Una volta trovate le informazioni (sembra stupido ma è essenziale) vanno appuntate |
| su un agenda o un blocchetto (di carta o virtuale) ordinatamente assieme alle |
| informazioni sulla vostra falsa identità. Stabilite un piano d'azione sempre segnato|
| sul blocchetto con i vari punti del discorso e tutto il resto. |
| |
|-(4) Il social E. applicato alle mail------------------------------------------------+
| |
| Per farvi capire di cosa si tratta vi faccio subito un esempio: Mettiamo di voler |
| sarere la password della mail box di pincopallino e mettiamo che questa mail box si |
| trovi su provider.it Per prima cosa creiamo un account su provider.it che sarà |
| qualcosa tipo: staff@provider.it Ora cerchiamo più informazioni possibili su |
| provider.it e impostiamo una e-mail in html (l'html è indispensabile per i colori, |
| le immagini ecc... L'e-mail avrà come oggetto: Grande offerta!! conterrà un testo |
| di questo genere: |
| |
| |
| GRANDE PROMOZIONE: 2 MB IN PIU' |
| |
| Provider.it ti offre 2 MB di spazio e-mail in più in modo completamente |
| gratuito. L'unica cosa che ti chiediamo è di iscriverti gratuitamente |
| mandando il tuo ID e la tua passworld a questo indirizzo: staff@provider.it |
| |
| Lo staff di provider.it |
| |
| |
| Questo era un esempio, voi dovrete cercare di essere il più credibili possibile. |
| L'e-mail deve essere piena di paroloni difficili e potrebbe anche avere un form in |
| cui inserire ID e passworld per rendere il tutto ancora più professionale. Un |
| ulteriore consiglio: per raggiungere il vostro scopo vi converrà anche iscrivervi |
| a un newsgroup di quello stesso provider (meglio se è iscritta anche la vittima) |
| in modo da ricavare ulteriori informazioni su provider.it per poi utilizzarle |
| per i vostri loschi piani. Ecco un altro esempio: |
+-------------------------------------------------------------------------------------+
>Gentile Utente,
> A causa di problemi tecnici alcune informazioni sui nostri utenti sono state smarrite.
> Per poterle ripristinare abbiamo bisogno del suo login e della sua password, pertanto la preghiamo di
> inviarceli a questo indirizzo: stafft@provider.it
> Certi della sua collaborazione la ringraziamo.
>
> Il Responsabile Tecnico provider.it
+-------------------------------------------------------------------------------------+
| Ecco altre regole fondamentali durante il Social E. delle Mail: Basatevi sugli |
| interessi della vittima. Se la vittima è di sesso maschile potete basarvi su e-mail |
| in cui vengono pubblicizzati siti erotici completamente gratis e senza i fastidiosi |
| dialer. Se ciò che dovete scoprire è la password di un sito che risiede su spazi |
| gratuiti come geocities o digiland mandate una mail con scritto che alcuni |
| contenuti non rispettano la policy del sito e che se non manda subito la password o |
| riceverà una multa di tot euro (desta sospetti ma la paura della multa è, spesso, |
| troppa). Se la vittima risponde chiedendo chiarimenti rispondete in tono scocciato |
| facendo capire che non avete tempo da perdere o meglio non rispondete mandando, |
| invece, un secondo avviso. Evitate di spararla troppo grossa: "se mandate la |
| password riceverete per posta 200 euro" NON VA BENE. Siate invece moderati e |
| credibili. E' utile avere un proprio server di posta senza essere costretti ad |
| appoggiarsi a server di posta altrui. Questo per evitare leggi antispam o comunque |
| limitazioni causate dalla politica del server. |
| |
|-(5) Social E. applicato alla chat---------------------------------------------------+
| |
| Ora vediamo i modi per ottenere informazioni su una vittima tramite chat. Il più |
| semplice, dal punto di vista della realizzazione, è quello di chattare con la |
| vittima, mantenendo il dialogo sempre su di un tono molto tranquillo... Mi spiego |
| meglio: se contattiamo un tizo in chat e senza dargli il tempo di parlare gli |
| chiediamo, nome, cognome, città, hobby, ecc... difficilmente otterremo una risposta.|
| Ma se con lui instauriamo un rapporto di amicizia reciproca e magari salviamo ogni |
| volta la conversazione che abbiamo avuto, alla fine saremo in grado di stilare una |
| word list. Questa operazione può richiedere da alcuni giorni ad alcune settimane, e |
| non sempre porta a buoni risultati, ma in genere è la più sicura, in quanto la |
| vittima, se siete abili, non potrà mai sospettare nulla di voi, per qualsiasi cosa |
| gli accada... Questa tecnica ha un problema di fondo, si basa sul dialogo, e |
| considerando che in genere si cerca di fare del male a persone con cui non si hanno |
| buoni rapporti... è un pò difficile pretendere di minacciare uno di morte e il |
| giorno dopo, come per magia, pretendere che chatti con voi d'amore e d'accordo... |
| |
| 5 trucchetti per vivere felici possono essere: |
| Se chattate con un uomo dite di essere una donna e magari un po' maliziosa... |
| Se chattate con una donna dite di essere un uomo e fate il romantico. |
| Per non destare sospetti (soprattutto se dite di essere donna) non vi |
| gettate a capofitto sull'individuo interessato ma chattate un po' anche |
| con gli altri che ve l'hanno chiesto. Se l'individuo interessato sta |
| litigando con qualcuno o lo sta offendendo schieratevi dalla sua parte. |
| Se è tutto tranquillo potete entare in chat 2 volte con 2 nick diversi. |
| In questo modo con uno lo offendete e con l'altro fate le persone carine e |
| gentili. |
| |
|-(6) Social E. applicato agli apparecchi telefonici----------------------------------+
| |
| Questo è indubbiamente il tipo più difficile ma allo stesso tempo efficace di SE. E'|
| più facile che qualcuno creda a qualcuno di cui sente la voce. In questo caso gli |
| strumenti essenziali sono: |
| |
| -Una voce seria (l'admin del sito della nasa non crederà a un bambino). |
| |
| -Un apparecchio telefonico (ma va), meglio se munito di fax. |
| |
| -Un ambiente consono (se dite di essere un caporedattore che chiama dal suo ufficio |
| non dovrete essere in una cabina telefonica con le macchine che vi passano dietro |
| a 300 all'ora). |
| |
| -La capacità di improvvisare: la conversazione potrebbe prendere pieghe che non |
| avevate previsto e allora dovrete essere vloci). |
| |
| -Informazioni sull'obbiettivo: infatti cosa importantissima è, come del resto accade|
| per le altre tipologie, essere informati il più possibile sul soggetto a cui |
| dobbiamo telefonare. |
| |
|-(7) Shoulder surfing e dumpest driving----------------------------------------------+
| |
| Queste tecniche sono di una semplicità assurda ma potenzialmente pericolose |
| ugualmente. Lo shoulder surfing consiste nel guardare da dopra la spalla di un |
| qualsiasi impiegato o comunque utente con accesso alla rete l'immissione di userneme|
| e password. La seconda che, se si sta attenti può diventare facilmente innocua |
| consiste nel frugare nei cestini della spazzatura dell'azienda alla ricerca di pezzi|
| di carta contenenti informazioni utili. |
| |
|-(8) Come difendersi-----------------------------------------------------------------+
| |
| Non trattandosi di macchine e di tecnologie bensì di "uomo contro uomo" la cosa |
| migliore è informarsi anche se si parla con una persona più che fidata. Fare domende|
| in continuazione che possano mettere in difficoltà l'interlocutore è un buon modo |
| per smascherare gli imbroglioni. E soprattutto in questi casi è essenziale |
| ragionare! Pensare se quello che vi stanno dicendo è plausibile o no, se è meglio |
| esitare o se è una cosa più che sicura. Ricordate inoltre: mai buttare dati |
| importanti nella spazzatura o comunque lasciarli in bella vista sulla scrivania. |
| Stare attenti agli occhi indiscreti. Cercare di cambiare le proprie password ogni |
| tanto, avitare di usare sempre la stessa per tutti i servizi a cui si ha accesso e |
| cercare di usare una password che sia una sequenza casuale di lettere e numeri come |
| 2r1tj78a Ricordarsi anche di istruire i propri colleghi all'80% delle probabilità |
| ignari di tutto questo. Ricordate, questi consigli potrebbero salvarvi il posto di |
| lavoro un domani. Fate attenzione. Sempre. |
+-------------------------------------------------------------------------------------+
| |
| For my destiny, for my fantasy, for my life... |
| |
+-------------------------------------------------------------------------------------+
(
geocities.com/it)