Сегодня поймал себя на мысли, что не задумываюсь над тем, что занимаюсь поиском уязвимых мест у жертвы. Познакомился в Интернете с одной милой девчонкой, с которой мой мозг хотел только общаться.

Через пару часов возвращаюсь к компьютеру с чашечкой чая, смотрю на рабочий стол, а там лежит txt файлик с ее ФИО, в котором собрана стандартная информация, которую я обычно собираю для проведения атаки. Плохо запомнил о чем общался с ней. Просмотрел лог файл и офигел, оказывается я ее подогрел к тому, что бы она сдала мне ключ к парочке интересных ресурсов.

Дело должно быть интересным, чуть позже отпишусь, чем закончилось :)

Я столь активно пропагандировал идею заняться социальной инженерией в обучающих целях, что многие мои друзья заразились этой целью вместе со мной. Мы стартовали практически параллельно. Около недели мы общались друг с другом, ни у кого ничего не получалось. Мы долго не могли понять, что делаем не так и все чаще приходилось проигрывать. Потом все разъехались.

Я понял одну вещь, что взламывать посторонних людей мне сложно, потому что у них нет доверия ко мне.Что бы завоевать доверие нужно время и силы. Мастерство общения не настолько отточено, чтобы быть мастеров в этом деле. Тогда я решил перейти на людей, у которых уже сформировано доверие ко мне, естественно ими оказались мои друзья. Уже спустя некоторое время у меня начал нарисовываться результат.

Через некоторое время я встретился со своими единомышленниками. Многие из них были так повергнуты в отчаяние, что даже не хотели больше заниматься этим делом. У некоторых результат был незначительным и тоже не приносил удовольствия и не оправдывал ожидания. Каково же было их удивление, когда они узнали про мои результаты.

После того как я им рассказал, как я этого добился, те, кто продолжил заниматься этим делом усилили свои результаты вдвое. Вот она - магия доверия.

С этой девченкой я познакомился недавно. Иногда слышал о ней от своей подруги, но не разу не видел. Позавчера выбрались погулять на площадь. Клево провели вермя. Когда я пришел увидел, что она меня добавила Вконтакте. В тот же день я выбрал ее жертвой.

Вчера я принялся за дело. Искать долго не пришлось. Первая зацепка была прямо в ее анкете Вконтакте – номер ее icq. Я скопировал номер и нашел ее через свою асю, просмотрел ее данные и графе «Личное» обнаружил ее e-mail. Все становилось еще интереснее. Я попытался восстановить пароль через «Форму восстановления пароля». Секретный вопрос, который я там увидел меня до ужаса обрадовал «Девичья фамилия моей матери». До этого я уже знал, что у нее есть сестра и сразу же решил сыграть на этом.

Начав банальный разговор с сетры я узнал, что ее родители тоже есть Вконтакте. И тут было несколько вариантов. Если бы я пошел напролом меня явно ждала бы неудача, но я выбрал варинат поизошренней, сыграл на женских чувствах. Я решил с ней поиграть и запустил интригу «Хочешь я твоих родителей сейчас сам найду?». Естественно она не могла устоять: (Диалог читать снизу вверх!!!! Прим.ред.)

25.08.10 Саша К.: Ну, разгадывай
25.08.10 WhiteEngineer: погоди, не отвечай как их звать, я сам отгадаю
25.08.10 WhiteEngineer: Не, мои слишком старомодны, они мышкой еле елозят. Что-то я твоих родителей видел, а как их звать не знаю... не порядок... [видел, когда гуляли, один раз папу, случайно! Прим.ред.]
25.08.10 Саша К.: Ого у тя братья и сестры!весело вам наверное:)а мои родители Зарегистрированы,но я их в друзья не добавляла:)а твои?
25.08.10 WhiteEngineer: Да, старший брат и еще более старшая сестра )) Твои родыки Вконтакте не зарегистрированы?
25.08.10 Саша К.: Неа:)только двоюродные-троюродные:)а у тя кто-нить есть?
25.08.10 WhiteEngineer: =** У тебя кроме Маши больше братьев/сестер нет? ))

В анекете Вконтакте была указана ее фамилия. В поиске я вбил фамилию и отобрал людей по нашему городу проживания, с возрастом не менее 30 лет, со статусом «женат/замужем». В итоге получил 14 вариантов анкет для женского пола и 6 анкет для мужского. Но, нужно было с чем-то сравнивать, нужны были фотографии родителей. У Саши К. в альбоме про выпускной я нашел парочку фото, где она с мамой и папой. Теперь оставалось лишь сравнить фотографии из ее альбома с фотографиями в поиске. После чего был такой вот диалог: (Диалог читать снизу вверх!!!! Прим.ред.)

25.08.10 Саша К.: ОГО!!!!!1как это ты так??????!!!!!!!!!!
25.08.10 Саша К.: вопрос...откуда ты знаешь?7=)
25.08.10 WhiteEngineer: [здесь я скинул ей ссылки на анкеты ее родителей Вконтакте]
25.08.10 WhiteEngineer: нет, маму «имя мамы» зовут
25.08.10 Саша К.: [сдесь она подумала, что я – это наша общая подруга, которая нас познакомила]
25.08.10 WhiteEngineer: Узнал минут 6 назад ))
25.08.10 Саша К.: папа-«Р.»=))))откуда знаешь??=)или помнишь?7=)
25.08.10 Саша К.: неа=)))подсказка-4 буквы=)
25.08.10 WhiteEngineer: А папа «Р.» по ходу ))
25.08.10 WhiteEngineer: Маму зовут «О.»?

Мы с ней достоточно хорошо общались, поэтому этап доверия был пройден. Явно было видно, что девочка в шоке и достаточно заинтригована чтобы продолжать игру. И я продолжил: (Диалог читать снизу вверх!!!! Прим.ред.)

25.08.10 Саша К.: «Р***а»=)...только моих бабушек тут нет=))))))
25.08.10 WhiteEngineer: Хорошо, только для этого мне нужно знать одну деталь: фамилию твоей мамы при рождении
25.08.10 Саша К.: ну???????.........я тя уже начинаю бояться=))))
25.08.10 WhiteEngineer: Могу еще один фокус показать, хочешь?

Все, попалась, теперь осталось лишь вбить в форме восстановления правильный ответ. Как оказалось тут тоже возникли небольши трудности. Ответ нужно было ввести на наглийском еще и со специально сделанной ошибкой. Но этоу же была не проблема.

Кстати, девочка до сих пор прибывает в легком недоумении и пытается выведать у меня как это получилось. Получилась сильная интрига. Я ей пока не расскажу, пускай помучается.

Обратная связь
Что было сделано хорошо:
+ Был выбран верный подход - разговор о близких
+ Выбран верный стиль - через интригу

Что можно было сделать лучше:
+ Рассказать ей такую легенду, чтобы она сама отдала пароль

Я интересуюсь вопросами информацонной безопасности. Давно стало понятно, что нужно ПОНЯТЬ с чем я имею дело и против чего предстоит бороться. Для этого я решил пройтись тропой хакера. Я совершенствуюсь в навыках социального инженера.
Социальная инженерия - это вид хакерской деятельности, при которой взломщик не пользуется техническими средствами взлома, а достигает поставленной цели путем влияния непосредственно на человека.
Представьте себе, умелое общение и только. Не нужно иметь технические навыки, копаться в программах взлома и разбираться аппаратуре. И в некоторых случаях, данный метод простого эффективного общения может дать даже большие плоды и за меньшее время.
Есть еще некоторые причины, одна из них - социальная инженерия развивает человека как личность. Постоянно общение с новыми людьми дает необыкновенный жизненный навык, который может пригодиться каждому. В дальнейшем я посвящу этой теме отдельный пост в дневнике.

Кто я?
Вы считает я хакер. Я врежу людям, обманываю их, а потом нагло кидаю? Думаете, я манипулирую жертвой, выведываю все секреты, краду нужную информацию, а жертву оставляю с носом? Считаете я на такое способен?
Я - белый хакер. Я не врежу людям, я им стараюсь помочь. Я могу наглядно продемонстрировать человеку, что у него есть просчеты в защите и как их можно устранить. Я поступаю так каждый раз, с каждым новым случаем. Я занимаюсь взломом не для того, чтобы навредить, а чтобы научиться чему-то (не только сам, но и обучить жертву).

Развеиваю мифы:
Все истории в дневнике правдивы! Я ничего не придумываю и не приписываю. Я пишу лишь о личном опыте, взятом из реальной жизни.

Безопасность превыше всего!
"А как же жертвы? Вы же сдадите все секреты пострадавшего?" - спросите вы. Все имена и фамилии будут заменены кодовыми названиями, псевдонимами, либо будут написаны просто инициалы. Поэтому повторить атаку на жертву не выйдет при полном желании это сделать, вы ее банально не узнаете.

Для кого журнал:
Журнал подходит каждому человеку. Особенно интересен журнал будет: хакерам, журналистам, маркетологам, людям, которым нужно ДОБЫВАТЬ информацию. Так же он будет полезен тем, кто хочет развить навык убеждения и умения эффективно общаться с людьми.
Если ты не попадаешь в категорию ни в одну из вышеперечисленных категорий, то для тебя это будет просто увлекательным чтивом, намного лучше всякого дешевого детектива или заумной книги с красивым переплетом.

Как со мной связаться:
Можно по e-mail: whiteengineer@mail.ru
Можно здесь на сайте.
Рассматриваю сообщения лишь по тематике моего Блога. Разные предложения типа "знакомств" не интересуют.

Я интересуюсь вопросами информационной безопасности. В дневнике вы найдете множество различных примеров социальной инженерии (взлома без технических средств). Этот блог для каждого человека будет полезен. Каждая история показывает, что для получения доступа к нужной информации, даже незаконным путем, необязтаельно иметь технические навыки, а лишь умение общаться.