Οδηγός για αρχάριους στο Social Engineering

Εδώ θα πω μερικά βασικά πράγματα που θα έπρεπε να ξέρουν οι αρχάριοι στο Social Engineering. Υπάρχουν πιο πολλά πράγματα που πρέπει να ξέρει κανείς αλλά εδώ είναι ένα καλό σημείο για να ξεκινήσετε. Αν έχετε κάτι να προσθέσετε πείτε μου παρακάτω.

Για αρχή υπάρχουν τρεις βασικοί παράγοντες για να πετύχει κανείς social engineering. Ο πρώτος παράγοντας είναι το πόσο ανίδεο ή ευκολόπιστο είναι το θύμα, ο δεύτερος είναι το πόσο σε εμπιστεύεται το θύμα και ο τρίτος τι πληροφορίες έχεις για το θύμα. (Η σειρά που τα έβαλα είναι τυχαία).

Θα ήταν πολύ καλό να μην βασιστείτε πολύ στον πρώτο παράγοντα διότι το να υποτιμάς τον άλλον δεν πρόκειται να βγει σε καλό. Πρέπει εσύ από το μέρος σου να κάνεις ότι μπορείς για να κερδίσεις την εμπιστοσύνη του θύματος. Ξέρω άτομα τα οποία λένε "Σιγά δεν χρειάζεται να φτιάξω το πιο πιστικό phising site, έτσι και αλλιώς ο Χ δεν ξέρει τίποτα από υπολογιστές". Και αν ξέρει; Ίσως να μην ξέρει πως δουλεύουν αλλά να μπορεί να φανταστεί πως εσύ μπορείς να του κλέψεις κωδικούς με ένα phising site.

Όταν λέω εμπιστοσύνη δεν εννοώ να είστε κολλητά φιλαράκια και να πίνετε καφέ μαζί κάθε μέρα (όχι πως αυτό βλάπτει, αντιθέτως κάτι τέτοιο είναι ότι καλύτερο) αλλά γενικώς δεν πρέπει να σε υποπτεύεται το θύμα. Πρέπει να φανείς όσο πιο αξιόπιστος γίνεται.

Ο τρίτος παράγοντας είναι και ο πιο σημαντικός και τον εξηγώ πιο πολύ παρακάτω.

Ρόλος:

Κατ'αρχάς πρέπει να επιλέξεις έναν ρόλο και να υποδυθείς τον ρόλο αυτό όσο καλύτερα γίνετε.

Π.Χ Ένα από τα πιο βασικά συναισθήματα του ανθρώπου είναι ο φόβος και πολλοί social engineers ποντάρουν σε αυτό. Επιλέγουν λοιπόν έναν ρόλο ο οποίος μπορεί να δουλέψει με αυτό το συναίσθημα π.χ τεχνικός Η/Υ. Έτσι πείθουν το θύμα πως υπάρχει κίνδυνος και πως πρέπει να τους εμπιστευθούν και να κάνουν εγκατάσταση το τάδε λογισμικό για να σωθούν. Μπορείς να "ποντάρεις" σε όποιο συναίσθημα θες αρκεί να επιλέξεις και να υποδυθείς σωστά τον ρόλο σου.

Πως επιλέγεις ρόλο;

Για να επιλέξεις έναν σωστό ρόλο πρέπει να σκεφτείς τι πληροφορίες έχεις για το θύμα (ενδιαφέροντα,προβλήματα,φόβοι,αγάπες,στεναχώριες κτλ), πια είναι η σχέση σου με το θύμα, τι γνώσεις έχεις, πια είναι η εικόνα του θύματος για εσένα και τι μπορείς να κάνεις.

Η σχέση με το θύμα και η εικόνα του για εσένα:

Εδώ πέρα λοιπόν πρέπει να σκεφτείς πόσο καλά ξέρεις τον άλλον. Αν είστε φίλοι και σε εμπιστεύεται ως έναν βαθμό τότε το να πας σπίτι του και να παριστάνεις τον τεχνικό λογικά δεν θα δουλέψει. Μπορείς όμως να του πείς για το νέο φανταστικό πρόγραμμα/παιχνίδι που βρήκες και πως πρέπει να το εγκαταστήσει εγκαίρως. Αν τον άλλον δεν τον ξέρεις καλά τότε πρέπει να κερδίσεις την εμπιστοσύνη είτε έμμεσα είτε άμεσα. Δηλαδή το να του στείλεις ένα πολύ καλοφτιαγμένο e-mail και καλά από την τάδε εταιρία είναι έμμεσος τρόπος διότι δεν εμπιστεύεται εσένα αλλά το e-mail. Άμεσος είναι να πας π.χ σε κάποιον που ξέρεις πως έχει πρόβλημα με το PC του και να προσφερθείς να του το φτιάξεις.

Να προσθέσω εδώ πως όταν θα του παρουσιάσεις το παιχνίδι/πρόγραμμα καθώς και ότι άλλο π.χ κάποιο site πρέπει να το κάνετε πολύ πειστικό αλλά νομίζω πως αυτό είναι αυτονόητο.

Η εικόνα του θύματος για εσένα:

Παράδειγμα εμένα στο σχολείο μου με ξέρουν ως κάποιον που έχει πολλές γνώσεις στον υπολογιστή και μου ζητάνε συχνά βοήθεια. Υπάρχουν άτομα που μου ζητάνε να τους στείλω διάφορα site και οδηγούς. Αφού ήδη με θεωρούν αξιόπιστο και θα κοιτάξουν ότι τους στείλω αφού ξέρουν πως το μόνο που θέλω είναι να τους βοηθήσω θα μπορούσα άνετα να κάνω phising (δεν πρόκειται να το κάνω αυτό βέβαια γιατί αυτά τα άτομα είναι φίλοι μου και δεν θα ήταν σωστό να τους προδώσω).

Τι μπορείς να κάνεις:

Λίγο αυτονόητο. Αν για παράδειγμα δεν έχεις πρόσβαση σε Η/Υ δεν μπορείς να φτιάξεις RAT ή αν είσαι 10 χρονών δεν μπορείς να πάρεις τηλέφωνο και να υποδυθείς τον τεχνικό αφού κανείς δεν θα σε πιστέψει λόγο της φωνής σου.

Ας μπούμε λοιπόν στο ψητό! Θα σας δώσω τα βήματα που πρέπει να ακολουθήσετε και θα παρουσιάσω μαζί με αυτά και ένα σενάριο.

Το πρώτο πράγμα το οποίο πρέπει να κάνετε είναι να μαζέψετε όσες πιο πολλές πληροφορίες για το θύμα σας γίνετε. Τα social media είναι ένα από τα καλύτερα σημεία για να ξεκινήσετε. Καλό θα ήταν να ρωτήσετε και γνωστούς του θύματος ή να γνωρίσετε και να μιλήσετε με το θύμα σας και οι ίδιοι. Εκτός από ότι ανέφερα παραπάνω θα ήταν καλό να μάθετε και τον χαρακτήρα του θύματος. Για να κερδίσετε πολύ εμπιστοσύνη και πολύ γρήγορα θα πρέπει να μάθετε τον χαρακτήρα και το πως σκέφτεται το θύμα (αυτό που λέμε frame of mind). Για να το κάνετε αυτό με πολύ αποτελεσματικό τρόπο μπορείτε να κοιτάξετε τους οδηγούς μου στο EQ. Μετά πρέπει να συνδέσετε τις πληροφορίες με όλα τα παραπάνω (σχέση με το θύμα κτλ.) και να φτιάξετε τον τέλειο ρόλο. Παράδειγμα:

Το θύμα είναι κάποιος ονόματι Πέτρος (το όνομα το διάλεξα τυχαία). Τον Πέτρο δεν τον ξέρετε καλά, είναι φίλος φίλων και εκείνος απλά σας έχει ακουστά και δεν έχετε μιλήσει ποτέ. Ψάχνετε λοιπόν λίγα πράγματα για τον Πέτρο και μαθαίνετε πως έχει αγοράσει έναν καινούργιο Η/Υ και πως αντιμετωπίζει μερικά προβλήματα. Για τον χαρακτήρα του ξέρετε πως είναι ένα ντροπαλό, ήρεμο άτομο που δεν τραβάει και πολύ προσοχή. Εσείς έχετε ένα έτοιμο FUD RAT και το μόνο που θέλετε να κάνετε είναι να το εγκαταστήσετε στον Η/Υ του Πέτρου. Έχετε λοιπόν έναν φίλο ο οποίος ξέρει πως εσείς έχετε γνώσεις με Η/Υ και κάνει παρέα με τον Πέτρο. Την ώρα που εκείνος μιλάει με τον Πέτρο περνάτε να πείτε ένα γεια στον φίλο σας και πιάνετε και συζήτηση με τον Πέτρο λέγοντας του για τον νέο Η/Υ που θέλετε να πάρετε. Ο Πέτρος λόγο το ότι είναι ντροπαλός δεν θα ανοιχτεί εύκολα σε εσάς αλλά αφού βλέπει πως έχετε έναν κοινό φίλο ο οποίος υποστηρίζει πως ξέρετε από Η/Υ σας αναφέρει πως έχει πάρει ένα καινούργιο PC και έχει προβλήματα. Προσφέρεστε να τον βοηθήσετε. Από εκεί και μετά μπορείτε να φανταστείτε πως πάει η ιστορία.

Φυσικά αυτά είναι μόνο η αρχή για το Social engineering και πως υπάρχουν και περισσότερα πράγματα να μάθετε. Για περισσότερα προτείνω να κοιτάξετε τους οδηγούς μου στην EQ. Ο πρώτος οδηγός είναι εδώ: http://www.foulscode.com/2017/07/eq-1.html