- خلاصه درس: در این جلسه با Social Engineering آشنا میشویم. یک سری تکنیکهای مربوط به آن را میآموزیم و از یکی از روشهای آن برای پیدا کردن password مربوط به yahoo ID یک نفر استفاده میکنیم.
◊ Social Engineering چیست؟
Social Engineering یا مهندسی اجتماعی، تکنیکی است که بر گول زدن مردم استوار است. در این تکنیک شما با انسانها سر و کار دارید و نه با کامپیوترها. حال اگه یک user رو مثلا گول بزنید، میتوانید اطلاعات او را مثل پسورد و ... را بدست بیاورید که نمونهای است از Client Hacking و اگه Administer یک سایت را گول بزنید و سایت را هک کنید، نمونهای است از Server Hacking. پس با مهندسی اجتماعی هم میشود کلاینت هک کرد و هم سرور. البته چون کلاینتها معمولا user های کمسوادتری (از نظر دانش هک) دارند، هک کردن آنها بسیار آسانتر است.
این نکته را هم باید بگم که روش Social Engineering معمولا در مراحل اولیه هک استفاده میشود و بعد از آن باید مسیر را عوض کنید و از اطلاعات فنیتان برای ادامه کار بهره ببرید.
◊ مثالهایی از مهندسی اجتماعی
در اینجا میخواهم تعدادی از تکنیکهای Social Endineering را براتون بگم. البته توجه کنید که اگرچه این روشها اطلاعات فنی زیادی نمیخواد ولی معمولا نتایج خوبی داره. و نیز بگم که این روشها خیلی گسترده است و هر بار به شکلی بروز میکند. اما نکته مشترکی که من در همهشان دیدم اینه که همیشه از شما میخواهند که پسوردتان را یک جایی وارد کنید و این دقیقا محلی است که فرق شما رو با یک user معمولی نشون میده. زیرا نباید گول بخورید (-;
۱- تلفن زدن :
یکی از روشهای مهندسی اجتماعی است. هکر اطلاعاتی از افراد یک شرکت جمعآوری میکند و بعد با شرکت تماس گرفته و مثلا از فلان فرد میخواهد که پسورد را عوض کند. پیشرفتهترین متدهای این نوع هک توسط مشهورترین (و یکی از بهترین) هکرهای تاریخ، Kevin Mitnick اجرا شده است.
۲- مخ زدن برای ارسال فایل:
مثلا با یک نفر چت میکنید و میگید که بیا عکس منو ببین! و به جای ارسال یک فایل تصویری، یک فایل اجرایی مثلا تروجان براش میفرستید. تا این مرحله کار شما به عنوان مهندسی اجتماعی است ولی مابقی (مثلا استفاده از تروجان فرستاده شده) دیگه Social engineering نیست.
۳- برای ما E-mail بزنید و ما پسورد E-mail کسی که شما میخواهید را براتون پیدا میکنیم:
ممکنه در اینترنت به این نوع پیغامها برخورد کردهاید که مثلا میگوید:
" به ما ایمیل بزنید، در سطر اول E-mail کسی که میخواهید ما براتون هک کنیم رو بنویسید، در سطر دوم E-mail خودتون رو، سطر آخر هم پسورد E-mail خودتون رو. ما پسورد E-mail ی که در سطر اول مشخص کردید براتون میفرستیم. "
ممکنه عجیب به نظر برسه ولی خیلیها به همین راحتی هک میشوند. این دیگه از اون بهتریناش، چون یک تیره و سه نشون. ۲ تا آدرس E-mail برای فرستادن تبلیغات و نیز پسورد E-mail خودتون.
۴- فایل ضمیمه (attached) به E-mail را باز کنید:
مثلا اینکه میگوید در این E-mail عکس من attach شده است باز کنید و ببینید. درحالی که فایل attach شده فایل تصویری نیست، بلکه یک فایل آلوده است.
۵- ساختن یک صفحه شبیه به سایتهای مشهور و درخواست login :
مثلا ساختن یک صفحه شبیه به یاهو برای login درحالیکه این صفحه برای دزدیدن id و password شماست. در ادامه یک مثال برای این روش را بیان خواهم کرد.
۶- و ...
◊ یک مثال برای تکنیک شماره پنجم
من یک همچین صفحهای ساختهام و روی سایت قرار دادهام و طریقه استفاده از اون رو براتون توضیح میدم:
۱- اول یک نگاهی به این صفحه بکنید تا منظورم رو متوجه بشین: http://www.far30.com/onlinetools/yahoo/default.asp
این صفحه بسیار شبیه به login page یاهو است ولی در واقع یک صفحه برای دزدیدن id و password است.
۲- برای ایجاد یک صفحه چنین برای خود در سایت من، اول باید Sign up کنید. برای اینکار باید به صفحه http://www.far30.com/onlinetools/yahoo/signup.asp مراجعه کنید. اولین صفحه میگه که این سایت (یعنی من) مثل همیشه، هیچ مسوولیتی را قبول نمیکنم. بعد از کلیک روی لینک، میرید به صفحه دوم که از شما میخواد یک پسورد دلخواه وارد کنید ( نه پسورد یاهو ). از این پسورد بعدا برای login استفاده خواهید کرد. صفحه آخر یک عدد به شما میدهد که باید یادداشت کنید.
۳- در همان صفحه آخر که عددی برای شما مشخص میکند، دو تا آدرس هم میگوید. در مورد آدرس اول مثلا اگه شماره شما ۳۰ باشد، آدرس اول میشود: http://www.far30.com/onlinetools/yahoo/default.asp?key=30&forward=xxxxx
که باید برای کسی که میخواهید او را هک کنید باید بفرستید. به جای xxxxx باید آدرس سایتی را بنوبسید که بعد از اینکه شخص مورد نظر گول خورد و این صفحه را پر کرد، در مرحله بعدی به کجا برود. مثلا به یه شخص میگویید که بیا در گروه من عضو شو، حالا باید بهجای xxxxx آدرسی را وارد کنید که بهصورتی به گروه یاهو مربوط باشد ( تا شخص مورد نظر شک نکند ) مثلا میتوانید آدرس را به صورت http://www.far30.com/onlinetools/yahoo/default.asp?key=30&forward=groups.yahoo.com
به او میدهید. دقت کنید که در آدرسی که بهجای xxxxxx مینویسید، از //:http استفاده نکنید.
۴- آدرس دومی که در همان صفحه ذکر شده است، http://www.far30.com/onlinetools/yahoo/login.asp است که برای دیدن لیست افرادی است که شما هک کردهاید. در این صفحه شماره و پسوردتی که در Sign up مشخص شدهاست را نوشته و وارد میشوید و میتوانید لیست را ببینید. دقت کنید که ممکن است بعضیها این کلک را متوجه شده باشند و بهجای id و password براتون بد و بیراه نوشتهباشند.
۵- حالا این id و pass ها رو با یاهو مسنجر تست کرده و وارد شده و برای دوستان فرد هک شده از هم پیغام میفرستید تا آنها هم کلک بخورند و این کار را ادامه میدهید.
خدمت شما عرض کنم که این کار در واقع یک نوع کلاینت هکینگ به کمک مهندسی اجتماعی است. به این کار به عنوان یک تفریح نگاه کنید و نه یک هک جدی. در واقع میشه گفت مسخرهترین نوع هکی است که من تا حالا دیدهام (-;
و آخرین نکته اینکه از این صفحه عاقلانه استفاده کنید. دوباره میگم که مسوولیتی را نمیپذیرم.
◊ Social Engineering چیست؟
Social Engineering یا مهندسی اجتماعی، تکنیکی است که بر گول زدن مردم استوار است. در این تکنیک شما با انسانها سر و کار دارید و نه با کامپیوترها. حال اگه یک user رو مثلا گول بزنید، میتوانید اطلاعات او را مثل پسورد و ... را بدست بیاورید که نمونهای است از Client Hacking و اگه Administer یک سایت را گول بزنید و سایت را هک کنید، نمونهای است از Server Hacking. پس با مهندسی اجتماعی هم میشود کلاینت هک کرد و هم سرور. البته چون کلاینتها معمولا user های کمسوادتری (از نظر دانش هک) دارند، هک کردن آنها بسیار آسانتر است.
این نکته را هم باید بگم که روش Social Engineering معمولا در مراحل اولیه هک استفاده میشود و بعد از آن باید مسیر را عوض کنید و از اطلاعات فنیتان برای ادامه کار بهره ببرید.
◊ مثالهایی از مهندسی اجتماعی
در اینجا میخواهم تعدادی از تکنیکهای Social Endineering را براتون بگم. البته توجه کنید که اگرچه این روشها اطلاعات فنی زیادی نمیخواد ولی معمولا نتایج خوبی داره. و نیز بگم که این روشها خیلی گسترده است و هر بار به شکلی بروز میکند. اما نکته مشترکی که من در همهشان دیدم اینه که همیشه از شما میخواهند که پسوردتان را یک جایی وارد کنید و این دقیقا محلی است که فرق شما رو با یک user معمولی نشون میده. زیرا نباید گول بخورید (-;
۱- تلفن زدن :
یکی از روشهای مهندسی اجتماعی است. هکر اطلاعاتی از افراد یک شرکت جمعآوری میکند و بعد با شرکت تماس گرفته و مثلا از فلان فرد میخواهد که پسورد را عوض کند. پیشرفتهترین متدهای این نوع هک توسط مشهورترین (و یکی از بهترین) هکرهای تاریخ، Kevin Mitnick اجرا شده است.
۲- مخ زدن برای ارسال فایل:
مثلا با یک نفر چت میکنید و میگید که بیا عکس منو ببین! و به جای ارسال یک فایل تصویری، یک فایل اجرایی مثلا تروجان براش میفرستید. تا این مرحله کار شما به عنوان مهندسی اجتماعی است ولی مابقی (مثلا استفاده از تروجان فرستاده شده) دیگه Social engineering نیست.
۳- برای ما E-mail بزنید و ما پسورد E-mail کسی که شما میخواهید را براتون پیدا میکنیم:
ممکنه در اینترنت به این نوع پیغامها برخورد کردهاید که مثلا میگوید:
" به ما ایمیل بزنید، در سطر اول E-mail کسی که میخواهید ما براتون هک کنیم رو بنویسید، در سطر دوم E-mail خودتون رو، سطر آخر هم پسورد E-mail خودتون رو. ما پسورد E-mail ی که در سطر اول مشخص کردید براتون میفرستیم. "
ممکنه عجیب به نظر برسه ولی خیلیها به همین راحتی هک میشوند. این دیگه از اون بهتریناش، چون یک تیره و سه نشون. ۲ تا آدرس E-mail برای فرستادن تبلیغات و نیز پسورد E-mail خودتون.
۴- فایل ضمیمه (attached) به E-mail را باز کنید:
مثلا اینکه میگوید در این E-mail عکس من attach شده است باز کنید و ببینید. درحالی که فایل attach شده فایل تصویری نیست، بلکه یک فایل آلوده است.
۵- ساختن یک صفحه شبیه به سایتهای مشهور و درخواست login :
مثلا ساختن یک صفحه شبیه به یاهو برای login درحالیکه این صفحه برای دزدیدن id و password شماست. در ادامه یک مثال برای این روش را بیان خواهم کرد.
۶- و ...
◊ یک مثال برای تکنیک شماره پنجم
من یک همچین صفحهای ساختهام و روی سایت قرار دادهام و طریقه استفاده از اون رو براتون توضیح میدم:
۱- اول یک نگاهی به این صفحه بکنید تا منظورم رو متوجه بشین: http://www.far30.com/onlinetools/yahoo/default.asp
این صفحه بسیار شبیه به login page یاهو است ولی در واقع یک صفحه برای دزدیدن id و password است.
۲- برای ایجاد یک صفحه چنین برای خود در سایت من، اول باید Sign up کنید. برای اینکار باید به صفحه http://www.far30.com/onlinetools/yahoo/signup.asp مراجعه کنید. اولین صفحه میگه که این سایت (یعنی من) مثل همیشه، هیچ مسوولیتی را قبول نمیکنم. بعد از کلیک روی لینک، میرید به صفحه دوم که از شما میخواد یک پسورد دلخواه وارد کنید ( نه پسورد یاهو ). از این پسورد بعدا برای login استفاده خواهید کرد. صفحه آخر یک عدد به شما میدهد که باید یادداشت کنید.
۳- در همان صفحه آخر که عددی برای شما مشخص میکند، دو تا آدرس هم میگوید. در مورد آدرس اول مثلا اگه شماره شما ۳۰ باشد، آدرس اول میشود: http://www.far30.com/onlinetools/yahoo/default.asp?key=30&forward=xxxxx
که باید برای کسی که میخواهید او را هک کنید باید بفرستید. به جای xxxxx باید آدرس سایتی را بنوبسید که بعد از اینکه شخص مورد نظر گول خورد و این صفحه را پر کرد، در مرحله بعدی به کجا برود. مثلا به یه شخص میگویید که بیا در گروه من عضو شو، حالا باید بهجای xxxxx آدرسی را وارد کنید که بهصورتی به گروه یاهو مربوط باشد ( تا شخص مورد نظر شک نکند ) مثلا میتوانید آدرس را به صورت http://www.far30.com/onlinetools/yahoo/default.asp?key=30&forward=groups.yahoo.com
به او میدهید. دقت کنید که در آدرسی که بهجای xxxxxx مینویسید، از //:http استفاده نکنید.
۴- آدرس دومی که در همان صفحه ذکر شده است، http://www.far30.com/onlinetools/yahoo/login.asp است که برای دیدن لیست افرادی است که شما هک کردهاید. در این صفحه شماره و پسوردتی که در Sign up مشخص شدهاست را نوشته و وارد میشوید و میتوانید لیست را ببینید. دقت کنید که ممکن است بعضیها این کلک را متوجه شده باشند و بهجای id و password براتون بد و بیراه نوشتهباشند.
۵- حالا این id و pass ها رو با یاهو مسنجر تست کرده و وارد شده و برای دوستان فرد هک شده از هم پیغام میفرستید تا آنها هم کلک بخورند و این کار را ادامه میدهید.
خدمت شما عرض کنم که این کار در واقع یک نوع کلاینت هکینگ به کمک مهندسی اجتماعی است. به این کار به عنوان یک تفریح نگاه کنید و نه یک هک جدی. در واقع میشه گفت مسخرهترین نوع هکی است که من تا حالا دیدهام (-;
و آخرین نکته اینکه از این صفحه عاقلانه استفاده کنید. دوباره میگم که مسوولیتی را نمیپذیرم.
کوچیک ::: یکشنبه 86/7/15::: ساعت 3:0 صبح
نظرات دیگران: نظر
لیست کل یادداشت های این وبلاگ
>> بازدیدهای وبلاگ <<
بازدید امروز: 6
بازدید دیروز: 34
کل بازدید :31908
بازدید دیروز: 34
کل بازدید :31908
>>اوقات شرعی <<
>> درباره خودم <<
>>لوگوی وبلاگ من<<
>>آرشیو شده ها<<
>>جستجو در وبلاگ<<
جستجو:
>>اشتراک در خبرنامه<<
>>تبلیغات<<