Un pic de inginerie socială


Dacă serverele de mail îşi fac treaba din ce în ce mai bine treaba în protecţia împotriva SPAM-ului şi altor tipuri de mesaje, browser-ele web filtrează din ce în ce mai bine phishing-ul, iată că Web 2.0 ne oferă o nouă formă de inginerie socială care va da şi mai mult de furcă administratorilor de reţele, părinţilor şi altora.

Pe scurt povestea şi apoi interpretările.

Aseară primesc invitaţie pe Facebook de la o anumită persoană. Precaut cum sunt, m-am uitat la profil. Absolvent FEEA!, Iaşi. Contabil. M-am uitat apoi la data naşterii. Promoţia 2008. Search după nume în baza de date… Nixt. Caut mai detaliat… Tot nimic.

Mă uit apoi la poze… (nu se spune fotografii în acest context). Mda! Accept! :)

FaceBook - Fake profile

Dau un mesaj în care i-am transmis că facultatea absolvită este FEAA nu FEEA. Nici un răspuns.

Astăzi apar etichetat într-o fotografie de-a ei. ID-ul de yahoo era trecut acolo, precum şi toţi prietenii etichetaţi.

Etichetare prieteni in Fotografie

La ora 00:30 avea 12 prieteni, astăzi la 13:13 are 55 în creştere.

Atunci am realizat că ceva nu este în regulă şi am început săpăturile.

Pe un alt site apare dintr-o altă localitate, cu altă dată de naştere dar acelaşi nume şi fotografie de profil.

Alternate profile

După şi mai multe săpături, am decis să trecem la pasul urmator. Contactul pe Messenger.

Surpriză, primesc răspunsuri:

YM discuss Web page destination

Scopul SpamRobotului era de a mă directa spre pagina de web pe care erau doar nişte legături sponsorizate. Răspunsurile apăreau permanent după 15 – 20 secunde, şi se cunoştea din scriere că nu este un nativ de Engleză.

Acum interpretările

Conform Wikipedia Ingineria socială (engleză Social Engineering) este un termen prin care se înțelege arta de a influența, de a manipula și de a minți. Cu alte cuvinte, este priceperea unor maeștri în psihologia maselor de a-i face pe alții să gândească și să creadă ceea ce ‘maestrul’ vrea ca acei "alții" să creadă.

Vladii încearcă în articolul său despre acest topic să explice care sunt tehnicile prin care inginerul social încearcă să extragă informaţii de la voi sau să vă determine să efectuaţi anumite acţiuni.

Într-un alt articol de pe WorldID ni se explică modul în care am putea să ne protejăm împotriva unor acţiuni de acest gen.

Scopul modelului prezentat în acest articol este de a acumula cât mai multe conexiuni pe diferite reţele sociale, prin afişarea unor informaţii aproximativ exacte şi a unor fotografii şi mesaje provocatoare.

Este uşor de acaparat în acest fel persoane de genul masculin. Wow colega mea… Silicoane!… fără a se gândi dacă au fost sau nu colegi :)

Persoanele de genul feminin sunt atrase prin tehnicile de asociere la o comunitate sau alta. Am terminat contabilitate la FEAA în 2008. Victima feminină poate ignora orice alte informaţii, iar fotografiile pot constitui un bun subiect de bărfă: Ai văzut fată, […] aia şi-a pus silicoane (acesta este un mesaj perfect real, autorul şi metoda de obţinere fiind păstrată deliberat confidenţială).  E greu totuşi să convingi o victimă feminină să acceseze o pagină de webcam pornografic, dar nu se ştie niciodată. :) 

Din punctul meu de vedere inginerul social duce o muncă sisifică. Trebuie să convingă cât mai multă lume să dea un click pe un link. Hai să analizăm rentabilitatea. Să luăm în considerare că un click costă 0,01 USD. Pentru a plăti un Indian pe zi pentru activitatea aceasta (media veniturilor in India este de 2 USD/zi) ai nevoie de 200 de click-uri. Discuţia mea cu Spamerul a durat 5 minute, timp în care am dat de 5 ori click în pagina destinaţie… rezultând 60 de click-uri pe oră ceea ce ar însemna că se pot produce 14,4 USD în 24 de ore. Şi asta dacă vorbeşti cu o singură victimă în acelaşi timp şi dacă un click costă doar 0,01 USD. Plus lista de ID-uri şi e-mailuri valabile.

Dacă te ţii de treabă poţi scoate mai mulţi bani pe lună decât un profesor de liceu român. Şi nici nu încalci nici un fel de regulament sau de lege din nici un stat!

Anul trecut cunoscusem o studentă din România care era plătită cu 450 USD pe lună (plus beneficii din realizări) pentru a citi cărţi în engleză şi a comenta pe forumuri de discuţii specializate, introducând subtil, în context, mesaje către anumite tipuri de medicamente. În lunile bune putea primi până la 1200 USD.

Ne putem proteja în astfel de cazuri?

Unii spun că da! Eu cred că nu. Socializarea face parte din natura noastră, deci într-o zi sigur putem fi victimele unei astfel de tehnici.

Cea mai bună protecţie în astfel de cazuri este educaţia.

A doua atenţia! Suntem sociabili dar facem conexiuni cu persoane pe care le cunoaştem, sau le-am cunoscut. Orice invitaţie pe o reţea socială trebuie verificată şi validată înainte de a o accepta.

O întrebare pertinentă este: Cum protejează reţelele sociale utilizatorii în astfel de cazuri?

Tehnic având în vedere că utilizatorul (răufăcătorul :) ) nu încalcă regulamentul nu ai cum să-ţi dai seama că este un spammer. Greşeala făcută în cazul de faţă de spammer este etichetarea mai multor persoane pe aceeaşi fotografie. Ar putea exista o tehnică de detectare a etichetărilor masive, dar este doar o idee.

Dacă aţi fost victima unui inginer social trebuie să vă eliminaţi din fotografia în care aţi fost etichetat şi să denunţaţi acea fotografie. Apoi eliminaţi spammerul din lista voastră de prieteni pentru a nu-i “infecta” şi pe alţii.

Block a profile

Personal folosesc ingineria socială ori de câte ori am ocazia.

Sintetic tehnica se numeşte: Zâmbind obţii mai mult!

Mergeţi la un ghişeu al statului, la care un/o angajat(ă) cu 25% mai acru(ă) nici măcar nu se uită la voi când spuneţi Bună ziua! Zâmbiţi şi întrebaţi cum merge treaba. Lăsaţi-i de înţeles că îl/o compătimiţi pentru cât de mult are de muncă şi cât de aglomerat este … etc, etc. Veţi pleca cu 25% din timp mai repede decât în mod obişnuit şi în 75% din cazuri cu treaba rezolvată.

Sper că nu v-am stricat această zi minunată de 13 septembrie :)

Anunțuri

14 gânduri despre “Un pic de inginerie socială

  1. La cum arată de la bun început am crezut că e făcătură… nu putea să fie „naturală”… și mai ales de la „FEEA”… și „contabilă” pe deasupra… Tu ai primit invitația… dar ceilalți? mai mult ca sigur i-au cerut „prietenia”… din considerente de educație… așa facem click pe ce prindem fără să ne uităm… chiar nu este o altă protecție înafară de educație?

    Apreciază

  2. Am vazut cand ai dat accept, si chiar ma intrebam daca nu o fi vreo problema cu renumitele silicoane. Mai scanez si eu persoanele care sunt adaugate in lista prietenilor, ca asa gasesc persoane cu care am pierdut legatura :).

    Inteligenti inginerii sociali…

    Apreciază

  3. @Florin: Eu am acceptat o invitatie de dragul studiului. Tu mi-ai cerut sa ti-o recomand :)
    @Cristian: Mesajul de dupa blocare iti spune clar ca dureaza ceva timp pana la eliminare. Totusi persoana NU a încălcat nici un regulament şi nici o lege. Nu te agasează, fotografiile nu sunt pornografice… şi nu te pune să-ţi instalezi nimic, ci doar să dai click pe nişte link-uri sponsorizate.
    @Cătălin: până nu studiezi nu ai de unde şti. Acum o să am şi slide-uri frumoase cu care să merg la cursul de securitate :) pentru a explica studenţilor cum stă treaba cu ingineria socială. Un inginer social trebuie să fie perseverent, iar dacă şi-ar folosi inteligenţa în mod constructiv cred că s-ar descurca mai bine decât din clicăiala asta.

    Apreciază

  4. Am mai intalnit si eu boti pe yahoo…. ;) Ma distrez cu ei..
    In general pun o intrbare de tipul: Esti un bot? sau Esti virus? si te prinzi instaneu… sper sa nu ii faca mai destepti.

    Apreciază

  5. Sa fim sinceri, niste micuti carora le curgea saliva cand vedeau pozele ilustrei „contabile”(ca doar contabiliza cineva click-urile vorba lui Valy), pot fi vazuti ca prieteni ai acesteia si sunt exemple de cum „NU” trebuie sa ne comportam. E firesc faptul sa socializezi, dar trebuie sa ne mai si informam cu cine si cand facem acest lucru. Am putea totusi sa-i aratam cu degetul pe „prieteni”, doritori de „puicute”, ei insisi mari „celibatari” ai Copoului, asa-i ca am dreptate? ;))
    PS:Si eu puteam sa dau accept, dar cand am vazut ca are aceeasi data a nasterii cu mine(fara sa privesc pozele) am zis ca nu e de bun augur :)).

    Apreciază

  6. am primit si eu friend request de la acel profil, este un profil clona, normal facut pentru a obtine anumite date , pentru a da anumite click-uri care te redirectioneaza catre alte site-uri si uite asa cate 0.01$/click face omu mii de $$ din reclama si click-urile altora. Sunt mult mai multe astfel de profile pe facebook dar iti dai seama imediat ca sunt fake-uri. Stare civila: singura, apoi lasa la contact id-ul de skype in cautare de prieteni noi? hai sa fim seriosi cine crede asa ceva? :))

    ps: la ghiseu daca zambesti putin si te bagi pe sub pielea ei pleci cu 25% mai repede, dar daca ii mai dai si o milka pleci cu 50% mai repede :D (depinde de caz)

    Apreciază

  7. Razvan: Lasa-ma sa cred ca nu se mai practica treaba cu Milka. Cel putin pe unde umblu eu, n-am vazut nici un caz de acest gen.
    Articolul curent nu-i condamna pe cei care au dat accept unei invitatii „siliconate”, ci isi propune sa-i avertizeze pe cei care din greseala sau neatentie devin prietenii unui astfel de profil.
    Repet, profilele de genul acesta nu incalca nici o lege si nici un regulament. Ce fac ulterior cu informatiile poate fi o abatere, dar modul de colectare nu.
    Daca va uitati pe site-ul pe care l-am referit mai sus exista zeci de oameni care-si dau e-mailul pentru a fi contactati de infractor…. deci cazuistica este mult mai mare decat credem noi. Cei care clameaza ca nu ar da click unui astfel de profil, in necunostinta de cauza, braveaza ieftin. Suntem oameni inainte de a fi profesionisti!

    Apreciază

  8. Ultima parte suna mai degraba a NLP.. insa e foarte bun articolul, avand in vedere ca 80% din cei care folosesc retelele de socializare nu sunt constienti de astfel de pericole de pericole si sunt obisnuiti sa dea doar click stanga..

    Apreciază

  9. Pingback: Automulțumirea – O abordare personală « Valy Greavu's Live Blog

  10. Pingback: Ingineria socială: Comunicarea pe bază de melodii « Valy Greavu's Live Blog

Lasă un răspuns

Completează mai jos detaliile tale sau dă clic pe un icon pentru a te autentifica:

Logo WordPress.com

Comentezi folosind contul tău WordPress.com. Dezautentificare / Schimbă )

Poză Twitter

Comentezi folosind contul tău Twitter. Dezautentificare / Schimbă )

Fotografie Facebook

Comentezi folosind contul tău Facebook. Dezautentificare / Schimbă )

Fotografie Google+

Comentezi folosind contul tău Google+. Dezautentificare / Schimbă )

Conectare la %s