Cum să fii hacker de oameni

superhacker_johnpetersen1„Nu mi-am făcut niciodată cont în bancă fiindcă m-am temut c-o să fie spart” sau „N-am încredere în bănci” vă sună cunoscute? La o primă analiză poate că sună stupid, dar şi scepticismul oamenilor pleacă de undeva. În luna august a anului 2016 a avut loc conferinţa Blackhat în Las Vegas unde au participat peste 11.000 de hackeri „cuminţi”, spun ei, din 108 ţări, care au făcut diferite demonstraţii despre cum pot sparge servere prin simple operaţii şi efort minim. Asta pentru ei, dar dacă nu eşti priceput la IT? Nu încercăm să încurajăm cititorii la astfel de acţiuni, dar am vrea ca aceştia să realizeze că nu e nevoie să fii un expert în IT să poţi sparge un cont bancar, spre exemplu.

Cine are nevoie de IT engineering când avem social engineering (SE)? Ingineria socială, dacă am fi să folosim termenul din limba română, este definită de specialişti ca o mixtură de ştiinţă, psihologie şi artă. Pe atât de impresionantă, pe atât de simplă. Ca să-i oferim o definiţie, cei de la Social-Engineer numesc inginerie socială tot ce presupune „un act ce influenţează un individ să facă un lucru ce nu este tocmai în favoarea acestuia”. Aceştia susţin că SE nu este întotdeauna ceva negativ, dar are de-a face cum modul în care comunicăm cu părinţii, terapeuţii, copii, partenerii de viaţă etc.

David Kennedy, fondatorul şi directorul de la TrustedSec, a creat un o trusă pentru SE numită simplu SET (Social Engineering Toolkit). Deşi cei de la TrustedSec, o mare companie ce susţine educarea oamenilor în a-şi proteja informaţiile, au creat SET cu scopul efecturii diferitelor testări în domeniul ingineriei sociale. Acesta a fost prezentat în cadrul conferinţelor precum Blackhat, DerbyCon, Defcon, and ShmooCon.

„De ce să-mi pierd timpul hack-uind computerul unei persoane când pot foarte simplu să-i hack-uiesc mintea? E mult mai uşor să-l convingi pe un utilizator credul să-ţi dea parola lui decât să încerci să i-o spargi. Orice hacker are o listă de must have cu uneltele sale. SET e primul dintre ele, după care urmează MSF Console, Armitage, Beef, SQL Injections, Aircrack NG şi altele. Înainte foloseam Backtrack, dar din 2013 încoace folosesc Kali Linux” ne spune Alecu, tânăr entuziast în domeniul IT.

Cu peste două milioane de descărcări, SET ne propune multiple tehnici precum phishingul. Provenind de la termenul din engleză „fishing” (pentru că foloseşte o momeală), e o tehnică prin care atacatorul (phisherul sau pescarul) îi trimite victimei un email ce la prima vedere este unul legitim unde îi cere acestuia date pentru „verificare”, despre câştigarea unor premii sau despre posibilul risc la care se expune dacă aceste date nu vor fi furnizate. În mod obișnuit, atacatorii folosesc programe de mesagerie instantanee sau telefoane, iar mesajele cuprind o adresă de web care conține o clonă a sitului web, dar care pare a fi autentică folosind logoul şi conţinutul site-ului orginal al instituției financiare sau de trading. Alte forme de phishing sunt: spear phishing, whalling, clone phishing, link manipulation, filter evasion, website forgery etc.

Conform unui raport din 2008 al companiei Symantec, furnizor de soluții de securitate, cele mai multe site-uri înșelătoare sunt conduse din China, Statele Unite și România (România adună 5% din total).

Acum ştim de ce bunica preferă metodele clasice de securitatea, cum e salteaua, dar e bine s-o sfătuim să nu creadă orice apel pe care-l primeşte. De asemenea, să ne ne amintim mereu că nimic din ce e gratis pe internet în realitate nu este. Nici măcar site-urile de hosting, până şi acelea au reclame ce apar pe baza informaţiilor noastre care sunt „furate”. Stay safe.

Delia POSTELNICU

Sursa foto

Leave a Reply

Your email address will not be published.