Phantom Wolf مهمان

هنر مهندسی اجتماعی

13 پست در این موضوع

باسلام و احترام خدمت تمامی کاربران و اساتید گرامی.

دوستان احتمالا همتون بالاخره می دونید که هیچگاه امنیت 100% نمیشه ولی شما فرض بگیرید که طبق تئوری امنیت سایت شما به درجه ی بالا یعنی 99.9% برسه.

.1% باقی میمونه که اون هم به خاطر "هنر" مهندسی اجتماعی هست.

برای تمامی هکر ها و متخصصان امینت و همین طور کارکنان یک شرکت دونستن این هنر و یادگیری اون امری بسیار ضروری هست.

مهندسی اجتماعی در اصل هنر تحریک و متقاعد سازی است

طبق تئوری اساتید و صاحب نظران روان شناسی اجتماعی در کل هفت نوع عامل ایجاد تحریک را تعریف می کند که عبارتند از:

  • حس انطباق پذیری
  • منطق
  • نیاز و احساسات
  • اعتبارات و ترس
  • مساعدت هدفمند
  • شاباهت کاذب
  • مانور اطلاعاتی

اول کمی در مورد بخش اول:

شما فرض کنید که:

یک هکر می خواهد به یک سیستم اداری نفوذ کند:

متخصص هک:سلام بنده آقای (مثلا) گلشنی از بخش remote support سازمان هستم و با شما تماس گرفته ام تا کار های بازرسی روزمره را انجام دهم.

کارمند: واقعا؟ من هیچ جا در مورد بخش پشتیبانی راه دور چیزی نشنیده ام!

هکر:به راستش ما تقریبا یک و یا دو روز است که فعالیت خودمون رو شروع کرده ایم و به زودی بعد رو افزایش میدیم و درحال حاظر کار های شمال کشور رو انجام داده ام و در راندمان آن ها نیز بسیار موثر بوده است!

کارمند:واقعا؟ بسیار خوب پس اگه بقیه هم بالاترین کیفیت رو در کارشان دارند من هم می خواهم همان کیفیت رو داشته باشم.باید چه کاری انجام دهم؟!

هکر: نیازی نیست کاری انجام دهید بنده تمام کار ها را به صورت ریموت انجام می دهم.من فقط به نام کاربری و پسورد شبکه ی v**p**N شما نیاز دارم برای کار های ریموت.

کارمند: چه عالی همه کار ها به صورت ریموت هستنتد؟

نام کاربری من: St852 و رمز من: 964821170 است.

هکر: بسیار خوب! ممنون از کمک شما. بنده به v**p**N شما در اولین فرصت کانکت شده و و همه ی کار ها رو هم طبق برنامه انجام خواهم داد. این کار فقط چند دقیقه زمان می برد.

کارمند: از همکاری شما بسیار ممنونم و امیدوارم روز خوبی داشته باشید.

هکر: خواهش می کنم. خدانگهدار ...!

----

همان طور که دیدید در این مرحله هکر توانسته با سواستفاده از حص انطباق پذیری اطلاعات موردنیاز برای اتصال به یک شبکه ی v**p**n رو بدست بیاره!!

{در اولین فرصت ادامه مقاله رو هم شرح میدم براتون}

نویسنده: فربدگلشنی (Phantom Wolf)

موفق و موید باشید:ds6a5d:

Share this post


Link to post
Share on other sites
آموزش ووکامرس قالب جوملا قالب وردپرس قالب رایگان وردپرس قالب رایگان جوملا هاست نامحدود هاست جوملا هاست لاراول هاست وردپرس هاست ارزان هاست ربات تلگرام خرید دامنه آموزش ساخت ربات تلگرام با php آموزش لاراول آموزش cPanel آموزش php آموزش فرم ساز RSform آموزش ساخت ربات جذب ممبر آموزش ساخت ربات دوستیابی آموزش ساخت ربات فروشگاهی برای ووکامرس آموزش طراحی سایت داینامیک با php آموزش بخش پشتیبانی با rsticket

باسلام خدمت تمامی اعضای محترم و اساتید.

ممکنه چند روز مجبور بشم نیام نت واسه همین تصمیم گرفتم سریع تر این تاپیک رو تموم و جمعش کنم.

خب میریم سراغ ادامه ی بحثمون.

جلسه ی قبل در مورد مهندسی اجتماعی مطالبی یاد گرفتیم و شاخه ی "حس انطباق پذیری" رو بررسی کردیم و حالا میریم سراغ شاخه ی بعدی.

"تحریک منطق و استدلال"

حس منطق نیز یکی دیگر از ویژگی هایی است که هر انسانی آن را به طور طبیعی در وجود خویش دارا هست و در بعضی از مواقع همین حس نیز از پیش برد اهداف مهندسی اجتماعی را غیر ممکن می سازد زیرا ابتدا کاربر خواسته رو در ذهن خود تجزیه می کند و در صورت وجود مقایرت با سیاست ها از پذیرفتن آن اجتناب می کند اما برعکس این عمل هم وجود دارد!

حال به این داستان کوتاه توجه کنید:

هکر: سلام. بنده رضایی از بخش امنیت اطلاعات هستم. همان طوری که می دونید برای شبکه های اداری امنیت بحث همهی هست.!

کارمند: بله بنده همه حا برد های مربوط به امنیت را مطالعه کرده ام ولی باز هم برایم جای سوال هست که چرا با این وجورد عده ای از مدیران شبکه های خود رو بدون محافظت رها می کنند!

هکر:بله درست است! و کار بنده نیز اطمینان از امن بودن رمز های عبور کارمندان هست! من مطمئن هستم که شما از امن بودن سیستم خود اطمینان دارید . درست است؟!

کارمند: بلی کاملا"

هکر: بنابرین می خواهم از امن بودن رمز شما مطمئن شوم. حالا کار هایی رو که میگم رو برای اطمینان از امنیت انجام بدید لطفا.

کارمند: بفرمایید خواهش می کنم..

هکر:لطفا کلیدهای crtl-alt-del رو فشار بدید و گزینه ی change passwd رو فشار دهید.

کارمند: خوب....

هکر:برای رمز جدید لطفا این رشته رو وارد کنید: As2!@?/S . در این پسورد ترکیب های رمز بزرگ-کوچک کارکتر های ویژ] ای وجود دارد که حدس زدن آن به نوعی امکان پذیر نیست.

کارمند: بله ایده ی خوبی است من باید چند بار رمز خودم رو عوض کنم؟

هکر:بسیار خوب ما رمز عبور رو تغییر دادیم و این کار برای یک مدت کافی است و در صورت نیاز من با شما تماس خواهم گرفت و رمز جدید را به شما خواهم گفت!

کارمند: ممنون از کمک شما.

====

همون طوری که دیدید قربانی تنها با 2 استدلال صحیح که از قبل نیز با آنها موافق بوده است تن به همکاری با هکر را داده است که همه ی اینها نشنه ای از ضعف در تدوین سیاست ها و خط مش سازمان ها می باشد.

اینم از این بخش

منتظر بخش بعد باشید

بایgift

Share this post


Link to post
Share on other sites

باسلام و احترام خدمت همگی.

اینم بخش بعدی

(دوستان الان دارم بین خواب و بیداری می نویسم مشکلی توی املا بود ببخشید دیگه!)

در دو بخش اول به ترتیب حس انطباق پذیری و منطق رو یاد گرفتید حالا میریم سراغ نیاز و حس کمک خواهی که واقعا هم پرکاربرد هست (حداقل برای من!)

بیشتر مردم دوست دارن که به دیگران کمک کنند و یا به بهانه هایی خدماتی رو به اونا عرضه کنن و شما می تونید با تحریک این حس به دریافت اطلاعات حساسی مانند رمز عبور بپردازید.

حالا این دفعه این داستان جالب رو مطالعه کنید:

هکر: سلام من تازه استخدام شدم و به کمک شما نیاز دارم.

کارمند: بسیار خوب شما کار صحیحی انجام دادید که با من تماس گرفته اید چه کمکی می تونم بهتون بکنم؟

خکر: میخوام گزارشی رو که تهیه کرده ام رو پرینت بگیرم ولی نام کاربری و پسورد خودم رو برای اتصال به سرویس print رو فراموش کرده ام.

کارمند:نام کاربریتون رو به خاطر میارید؟

هکر: فکر می کنم Sahar Zamani (اسم یکی از کارمندان)

کارمند: متاسفانه چنین اسمی وجود ندارد آیا از این اسم اطمینان دارید؟

هکر: نمی دانم راستش سرپرست به من گفته که نام کاربری من رو فعال کرده . ایا شما می تونید سریعا اون رو فعال کنید؟

کارمند: متاسفانه من اجازه ی چنین کاری رو ندارم.!

هکر: آه سرپرست من اکنون در جلسه است و من مطمئنم که ایشان نیز می خواهند این متن رو پرینت بگیرم و من می ترسم که سرپرستم بنده رو اخراج کنه!(تحریک حس کمک رسانی و نیاز)

کارمند: بسیار خوب با این وجود من فکر کنم بتوانم کاری رو انجام دهم کمی صبر کنید.... نام کاربری شما SRZamani و رمز عبور شما 235967 می باشد!

هکر: آه! واقعا ممنونم از کمکتون!

===

زمانی که شما از تحریک این حس و نیاز فرد مقابل در مهندسی اجتماعی استفاده می نمایید قربانی در ارایه اطلاعات دو دل می باشد و هر چقدر هم که جنبه ی احساسان به یک دیگر متصل و تحریک گردد این حس مانع از اجرای صحیح سیاست های سازمان می شود.

در مثال مقابل محاجم با درخواست نا امیدانه ی خود سبب شد تا کارمند احساسی تصمیم بگیرد و اطلاعات را در اختیار وی قرار دهد!

موفق و موید باشید و منتظر پست بعدی در این زمینهgift

Share this post


Link to post
Share on other sites

باسلام و احترام.

اینم از بخش چهرام آموزشات "هنر مهندسی اجتماعی":

در جلسه ی قبل حس نیاز و کمک رسانی رو آموزش دادم این دفعه تحریک اعتبارات رو براتون شرح میدم.

یکی از بهترین روش های این هنر تحریک اعتبارات هست . در این مرحله شما از اعتبارات یکی از اشخاص حقوقی سواستفاده می کنید. حتما در تابلو های بیل برد دیده اید که چهره های برجسته ی سینمایی اقدام به تبلیغ محصولات مورد علاقه اشان مانند کفش و ... می کنند. آهنها در مورد محصولاتی که تبلیغ می کنند متخصص تولید نیستند اما به دلیل شهرت مردم از آنها پیروی می کنند.

حال به مثال زیر توجه کنید:

هکر: بخش فنی؟

کارمند: سلام. بله بفرمایید.

هکر: بنده حسن زاده مدیر شعبه ی x بانک هستم (اسم باید واقعی باشد)

کارمند: بسیار خوب چه کمکی می توانم به شما دهم قربان؟

هکر: بنده هرچقدر سعی می کنم نمی توانم به شبکه ی dial up سازمان وصل شوم زیرا شعبه ی ما سیستم ها رو ارتقا داده و اطلاعات پاک شده است! و ما می بایست همین الان اتصال dial up رو پیکربندی کنیم لطفا به من در این جهت کمک کنید.

کارمند:متاسفانه این امر خارج از محدوده ی کاری من می باشد.

هکر: بله مطلع هستم ولی شما می بایست به بنده کمک کنید زیرا در صورت عدم اتصال بنده به شبکه مشکلات زیادی برای شعبه پیش خواهد آمد که مسلما" کارمند مسئول این کار و شما عامل اصلی هستید!

کارمند: بسیار خوب اجازه دهید تا بنده هم گام با شما اقدام به ساخت یک coccection جدید کنم.

======

در این سناریو کارمند زمانی که کارمند در مقابل یکی از مدیران معتبر است ابتدا سعی می کند سیاست های سازمان رو اجرا کنه ولی وقتی او دچار واهمه و تزس از عواقب کار خود می شود حاضر می شود که آن کار رو انجام بده!

در زمان ساخت connection اطلاعاتی نظیر تلفن-یوزرنیم-پسورد لو میرود که هنگامی که کارمند اطلاعات رو جویا شد نفوذگر می بایست با استفاده از تحریک احساسات و وادار نمودن او برای درک مشکل و عواقب آن از کارمند رمزعبور و نام کاربری رو هم بدست بیاره.شاید بگید خارج از سازمان که اینگونه موارد به درد نمی خوره ولی بهتره که بدونید که تقریبا در تمامی وبسایت های سازمان های بزرگ قسمتی با عنوان profile هر مدیر که حاوی اطلاعاتی می باشد قرار دارد و برای انجام کارهایتان شما می بایست تنها اطلاعاتی شبیه به اطلاعات ذکر شده یکی از اشخاص رو مورد سواستفاده و جعل قرار دهید زیرا بخش پشتیبانی به صورت فیزیکی با تمام مدیران ارتباط نداشته و یا صدای آنها را نشنیده است .

موفق و موید باشید:25:

Share this post


Link to post
Share on other sites

باسلام.

اینم بخش بعدی:28:

مساعدت هدفمند:

در هنگام اسفاده این تکنیک جالب شما هم به شخص یا اشخاص قربانی کمک کرده اید و هم به اهداف خود رسیده اید! به طور مثال شخصی در بنگاه مسکن کار می کند تا شما پول خود رو به بهترین نحو ممکن در خرید یا اجاره منزل به کار ببرید و هم اینکه با این کار سود خوبی نصیب شما می شود!

یا یک مثال دیگر اینکه یک شرکت قصد دارد تا محل کار خود را از یک مکان به مکانی دیگر انتقال دهد. در این زمان شرکت ها به وسیله اطلاع رسانی از طریق نصب کاغذ و یا ارسال خبرنامه این موضوع رو به اطلاع کلیه کارمندان می رسانند.

در این هنگام هکر از آدرس محل جدید شرکت مطلع است و زمان اسباب کشی مطلع شده و کار های مسدخمین بخش تدارکات رو زیر نظر خودش می گیره.

نفوذگر پس از کمین در ناحیه جدید تا هنگامی که کارمندان بخش تدارکات را از راه برسند صبر می کند و زمانی که هکر متوجه میشود شخصی در حرکت وسایل به کمک نیاز دارد به او پیشنهاد کمک می کند و به وی کمک می رساند.

هنگامی که قصد ورود به سازمان را دارند کارمندان میبایست کارت های خود را در داخل دستگاه های تشخیص هویت قرار دهند تا بررسی گردند در این مرحله مستخدم از همکاران خود می خواهد تا اجازه ورود به ساختمان رو بدهند ( به هکر برای همین یکبار! ) و دلیل آن را کمک شخص بیان میکند.

پس از ورود هکر سعی می کند که اتاقک های خالی با کامپیوتر های حدید رو پیدا کنع و س=س از شروع به انجام کار های خود و یا در صورت نیاز آن را می دزدد و بر دوش میگیرد و از درب پارکینگ خارج میشود(البته معمولا پیش نمی آید:دی)

حال اگر گارد امنیتی از وی سوال کند کسی شک نمی کند زیرا دیگران شاهد ورود وی به داخل شرکت بوده اند!

موفق و موید باشید:auizz3ffy9vla57584x:auizz3ffy9vla57584x

Share this post


Link to post
Share on other sites

سلام و خسته نباشید خدمت همه.

بریم واسه درس بعد تا ببینیم چی میشه!book

موضوع این بخش هم که می دونید: مشابهات کاذب

یکی دیگر از راه های مهندسی اجتماعی تکنیک مهندسی اجتماعی مشابهات کاذب هست و استفاده ی زیادی هم داره ولی یه بدی این روش اینه که زمان زیادی می بره!.

در این روش برخورد ها بهصورت فیزیکی هستند.

حالا من واستون یه مثال بسیار ساده رو مطرح می کنم:

هکر: چند تا بچه دارید؟

کارمند: 3 پسر

هکر: واقعا"؟(پس من هم دارم!!:دی در صورتی که که فرزندی نداشت باید شما هم نداشته باشید تا نقاط مشابه بیشتری پیدا شود) چند سالشونه؟

کارمند:7-9-14

هکر:آه چه جالب حدودا هم سن بچه های من هستند.پسر من 8 ساله و دخترانم 10 و 12 (نباید کاملا مثل هم باشند چون ممکن هست شک کنه)

کارمند: چه تصادفی

شما به ادامه دادن برای یافتن نقاط مشترک بیشتر و توافق با هر چیزی که شخص ذکر می کند می پردازند و با استفاده از همین شباهت ها شما یک رابطه ی دوستانه ایجاد می کنید و بعد از گذشت زمان خواسته خود را بگویید و یا به قصد قدم زدم با وی به سازمان و یا حتی اتاق مدیریت وی شوید.

**ولی من شخصا از این روش بدم میاد چون شما از اطمینان شخصی سواستفاده کرده اید ولی خب بابلاخره کار ما اطلاع رسانی بود که انجام شد.

موفق و موید باشید:auizz3ffy9vla57584x

Share this post


Link to post
Share on other sites

باسلام.

اول از همه جای تشکر داره از آقا حجت برای اون 400 امتیاز.

خب کارمون رو شروع می کنیم:

این تکنیک زیاد جای توضیح نداره و مختصر میگم.

مانوراطلاعاتی:

آخرین عامل از تکنیک های مهندسی اجتماعی مانور اطلاعاتی هست. در این سطح شما به قدری اطلاعات در مورد یه موضوع خاص خواهید داشت که می دونید چطور باید در مورد آن موضوع بحث و جدل منید.

برای مثال شما طوری وانمود می کنید که از طرف یک شرکت مشاور خدمات شبکه ای وارد سازمان هدف می شودیو و می گویید قصد دارید تا از Router های سازمان بازدید فنی کنید. هنگامی شما در این سطح اقوام به بحث و مانور دادن اطلاعات خود در مورد پورتکل های مسیریابی از قبیل RIP و OSPF یا سطوح دسترسی ACL ها و ... می کنید که کارکنان به راحتی شما را باور می کنند و امکان دسترسی شما را فراهم می کنند.

==

مثالی که گفته شد تنها یکی از کاربرد های مانور اطلاعاتی هست اما اوج استفاده از این عامل در ترکیب آن با عوامل دیگری مانند منطق و استدلال و احساسات می باشید و واقعا ترکیب این روش ها جالب میشه!

-

دوستان می خواستم این آخرین پست این تاپیک باشه ولی به نظرم رسید اگه یه بحث دیگه هم مطرح کنم تا تاپیک کامل شه خیلی خوب میشه.

موضوع بحث های آینده این تاپیک: ویژگی های یک مهندس اجتماعی موفقgift

بای

Share this post


Link to post
Share on other sites

باسلام.

اینم ادامه ی درس که منتظرش بودید:

ویژگی های یک مهندس اجتماعی :

  • بردباری
  • اطمینان
  • آگاهی

(این ها رو به ترتیب توضیح می دم و بعد دیگه توی این تاپیک کاری ندارم:25:

بـــردبـــــــــاری:

مهمترین فاکتور در مهندسی اجتماعی "بردباری" می باشد.

با این 2 سناریو امیدوارم بهتون ثابت بشه:

هکر: سلام. من "زمانی " از بخش اموال اداری سازمان هستم.

کارمند: سلام چگونه می تونم بهتون کمک کنم؟

هکر:ما در حال به روزرسانی رکورد های ظبط شده خود هستیم و نیاز به پسورد شما داریم!

کارمند: چند لطحظه صبر کنید .... متاسفانه ما نمی توانیم رمز عبور خود را به شما بدهیم

--

سناریو شماره 2

هکر: سلام. من "زمانی " از بخش اموال اداری سازمان هستم.

کارمند: سلام چگونه می تونم بهتون کمک کنم؟

هکر:ما در حال به روزرسانی رکورد های ظبط شده خود هستیم و به برخی از اطلاعات سیستم شما نیاز داریم. شما از لپ تاپ استفاده می کنید یا Desktop?

کارمند: دسکتاپ

هکر: میشه لطفا سریال سیستمتون رو برام بخونید؟ برچسپ آن در پهلو و یا در پشت کیس نصب شده است

کارمند: ST8686

هکر: بسیار خوب. وزژن Internet Explorer شما چند است؟

کارمند:6

هکر: شما از مانیتور 17 اینچ استفاده می کنید یا 15 اینچ؟

کارمند:15 اینچ

هکر: شما هنوز از نام کاربری Rkarimi استفاده می کنید؟( در صورتی که در ابتدای تماس خود را معرقی نکرد و یا در حین گفتگو اسم آه را جویا نشدید از سریال کامپیوتر وی استفده کنید!)

کارمند: خیر نام کاربری بنده RA_Karimi هست!

هکر: بسیار خوب . بنده یک توضیح در مورد آن به گزارش خود اضافه می کنم.در حال حاظر از چه رمزی استفاده می کنید؟

کارمند: 21582153

هکر: بسیار خوب . شما از چه موسی استفاده می کنید؟(باید به سوالات ادامه بدین که کاربر شک نکنه)

در صورتی که کاربر از دادن رمز اجتناب کرد باید شما ارتباط خود را در همان مرحلع قطع کنید و با کارمند دیگری در سازمان ارتباط برقرار کنید.

موفق و موید باشید:auizz3ffy9vla57584x

Share this post


Link to post
Share on other sites

باسلام.

اینم از آخرین پست در زمینه ی هنر مهندسی اجتماعی از بنده:

نقش اعتماد در مهندسی اجتماعی:

در کنار بردباری اعتماد نیز همه هست. شما میبایست با هدف خود یک حس اعتماد برقرار کنید. همیشه شباهت های کاذب و مساعدت هدفمند به ششما در این زمینه کمک می کند. هنگامی که شنا قصد مبادرت به انجام مهندسی در مقابل یک فرد را دارید میبایست به رفتار اجتماعی او دقت کنید.

اگر قربانی شما یک نشانی بر روی دستش هست شما میبایست عمل مشابه او را انجام دهید. به این تکنیک آینه و یا MIRROR گویند که بخشی از مشابهات کاذب هست ولی بدون حرف زدن.! زمانی که یک شخصی از سول های شما خسته و بدگمان میشود بهترین راه چاره گقتن یه جک یا چیز خنده داره)

------

اما آخزین فاکتور:

آگاهی در مهندسی اجتماعی

اگر می خواهید در کارتان صحیح ظاهر گردید میبایست قبل از انجام هرگونه عملیات طلاعات مورد نیاز در مورد سازمان رو بدست بیارید. قبل از شروع شما به آگاهی از نام تعدادی از افراد سازمان که شما قصد برقراری اطلاعات رو با اونا دارید که می تونید مستقیم از وبسایت یا توسط جاسوسی و دوستانتان!

بسیاری از شرکت ها برای موافقت با ورود اشخاص کارت های الکترونیکی استفاده می کنند اما شما می تونید با قضیه ی

یا گول زدن می تونید این تشریفات رو دور بزنید.در این قضیه شما در بیرون سازمان صبر می کنید و با piggyback

یکی از کارمندان صحبت می کنید و وانمود می کنید طرف را خوب می شناسید و وبه سادگی وارد می شوید :دی

============

این بود سری آموزش های مهندسی اجتماعی

امیدوارم لذت برده باشید.

از یکی از مدیران هم تقاضا می کنم تاپیک رو بسته و در صورد صلاحدید اون رو مهم کنند.

موفق و موید باشید:auizz3ffy9vla57584x

Share this post


Link to post
Share on other sites

دورد

با تشکر از فربد عزیز بابت ایجاد این تاپیک آموزشی و کاربردی

با توجه به کامل شدن مبحث برای جلوگیری از اسپم تاپیک بسته میشه

تشکر

Share this post


Link to post
Share on other sites

برای ارسال نظر یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید نظر ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در انجمن ما ثبت نام کنید. عضویت خیلی ساده است !


ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید


ورود به حساب کاربری