Идея написания данной статьи возникла в свете последних активных обсуждений в форуме портала проблем, связанных со взломом почтовых ящиков; их методов и подходов.
Итак, что же мы понимаем под термином “социальная инженерия” (далее СИ). В общем смысле СИ является частью социальной психологии, направленной на изменение поведения человека под действием искусственно создаваемых факторов. Мы же будем рассматривать её в этой статье как нетехнический методом взлома, который опирается на выявление всевозможной информации о жертве. Оговорюсь, что под термином “взлом почтового ящика” будем подразумевать смену пароля, а не его выявление (подбор). Наша цель в таком случае – невозможность дальнейшего использования ящика жертвой.
Начнём. “С чего?” – зададите вы вопрос. Со сбора информации, конечно же. Ведь и в конечном итоге вся СИ опирается на количество, точность и достоверность информации о жертве. Не маловажны и методы сбора этой информации. Нам необходимо узнать интересующую нас информацию так, чтобы человек, находящийся в центре нашего внимания, не заметил ничего подозрительного и рассказал нам о своих секретах как, например, о новом диске.
Каковы же источники информации о человеке?
Первый источник – это его сайт/страничка, на которой в большинстве случаев мы можем увидеть автобиографию жертвы, узнать о его увлечениях и пристрастиях. Также на большинстве таких страничек присутствуют разного рода координаты для связи: телефон, адрес (редко), e-mail (всегда), ICQ и др.
Второй источник – чат/форум, где жертва постоянно/часто бывает. В чате можно познакомиться с ним, использую несколько ников. Желательно использовать ники как женского, так и мужского пола. Посмотрите, как ведёт себя жертва при общении с противоположным полом. Не секрет, что человек, общаясь с противоположным полом может рассказать намного больше…
Третьим источником является ICQ. Во-первых, мы можем многое узнать из информации, оставленной о себе. Во-вторых, ICQ – тот же чат, только свидетелей меньше, а значит человека можно “раскрыть” полностью.
Исследовав все эти источники, мы узнаём человека со всех сторон, если так можно выразиться. Теперь нацелимся на сам почтовый ящик. Для начала из собранных данных попытаемся извлечь вероятный пароль к ящику жертвы. Помните: индукция, дедукция…
Не вышло? Что ж, не расстраиваемся. Следующий вариант – ответ на контрольный вопрос для восстановления пароля. Здесь рамки нашего исследования сужаются. Из всей полученной информации о жертве не так уж и сложно вычислить например “Ваше любимое блюдо”…
Главное – думать, думать и ещё раз думать. Ведь с таких простых вещей и начинается путь в хакеры )).