15:55
7/10/2010

Sporo ostatnio pisaliśmy o wykorzystaniu socjotechniki w atakach na systemy komputerowe. Chyba pora na to, żeby bliżej przyjrzeć się socjotechnice i dowiedzieć się jak można ją wykorzystać w przypadku kontrolowanych włamań czy też testów penetracyjnych.

Jeśli szukasz praktycznej wiedzy dot. socjotechniki w IT, to właśnie wprowadziliśmy szkolenia “uświadamiające” zwykłych pracowników biurowych w kwiestii niebezpieczeństw, jakie grożą im na co dzień, podczas pracy przy komputerze podłączonym do internetu.
Zapraszamy do zapoznania się z opisem szkolenia.

Co to jest socjotechnika?

Socjotechnika to pojęcie, którym określa się techniki manipulacji człowiekiem. W ich skład wchodzi m.in. popularne ostatnio NLP, czyli programowanie neurolingwistyczne, sprytne odwracanie uwagi ofiary, rozpraszanie jej przez nadmierną gadatliwość, czy też po prostu kłamstwo. Socjotechnikę najlepiej wytłumaczyć na przykładzie, który pokazuje jak sprytnie można zmusić ludzi do chodzenia po schodach, a nie korzystania ze schodów ruchomych:

Inny przykład, którym często podczas szkoleń obrazuję socjotechnikę to kosze na śmieci w parku. Pewna firma zamontowała w nich czujniki ruchu, tak by wrzucany śmieć wydawał kilkusekundowy odgłos spadania (znany z kreskówek). Ludzie po wrzuceniu czegoś do kosza byli na tyle zaskoczeni, że momentalnie szukali kolejnego “śmiecia” byle powtórzyć odgłos i sprawdzić co jest nie tak ze śmietnikiem. W ten sposób, przez jeden dzień, za darmo, sprytna firma wysprzątała “ciekawskimi” ludźmi cały park :-)

Manipulują wszyscy, Google też.

Google też manipuluje, a może raczej wykorzystuje tłum (ang. crowdsourcing) do wykonywania pracy na rzecz wyszukiwarki — bo jak inaczej nazwać grę Google Image Labeler, której zadaniem jest wspólne tagowanie zdjęć? Ludziom dostaraczana jest możliwość zabawy i rywalizacji, a Google dzięki grze ma darmową siłę roboczą, wykonującą skądinąd żmudne zadanie opisywania obrazków (dzięki czemu łatwiej jest je wyszukać).

Marionetka

Wszyscy jesteśmy marionetkami w rękach...

Podobnie sprawa ma się z popularnymi w sieci reCAPTHA — wiedzieliście, że tylko jeden z wyrazów tak naprawdę jest brany pod uwagę jeśli chodzi o “poprawność” przepisania? Drugi to wyraz, z którego nie odczytał system OCR skanujący książki. Ludzie wypełniając reCATPCHĘ “rozczytują” nieznany wyraz — jeśli kilkanaście osób wpisze to samo, system zakłada, że jest to prawda — Facebook już raz się na tym przejechał, 4chan z kolei co jakiś czas przypuszcza ataki na reCaptcha.

Socjotechnika podczas testów penetracyjnych

Prywatnie wykorzystuję techniki manipulacji podczas wykonywania testów penetracyjnych dla firm. Wcielenie się w rozmowie telefonicznej w “zamotanego” kuriera zawsze skutkuje zdobyciem prywatnego adresu ofiary (na który ma zostać dostarczona nieistniejąca przesyłka). Podszycie się pod pracownika GUS-u świetnie (bo na mocy ustawy) pozwala wyciągać dane dot. konfiguracji sieci komputerowej od niczego nieświadomych kadrowych i księgowych. Niedawno prezentowaliśmy też jak za pomoca odpowiednio zmodyfikowanego pliku PDF o nazwie “raport płacowy” można przejąć kontrolę nad komputerem pracownika.

Ofiary często da się zmanipulować do tego stopnia, że same z siebie, nie pytane podają nam hasła dostępowe do “chronionych zasobów” w firmie. Przykładowo, nieporadny monter zazwyczaj wzbudza litość, z koli ludzie z natury lubią przychodzić z pomocą, zwłaszcza jeśli ma to przyśpieszyć pozbycie się kogoś, ktoś będzie im wiercić nad głową przez cały dzień :-) Ale to nie wszystko, stosując odpowiednią manipulację, niektórzy potrafią zapłacić kawałkami papieru, a nie prawdziwymi pieniędzmi:

…chociaż moim prawdziwym faworytem jest pracowniczka, która przekonała napadającego na bank rabusia, żeby zamiast gotówki wziął… kredyt :-)

Sposobów na atak socjotechniczny jest naprawdę wiele… wystarczy wspomnieć ile szumu narobił tegoroczny turniej inżynierii społecznej organizowany podczas konferencji DEFCON oraz specjalne aplikacje, które wspierają ataki socjotechniczne, np. SET… ale o tym w kolejnej części artykułu, już niebawem.

A teraz pora na was — pochwalcie się w komentarzach, jakie ataki socjotechniczne zastosowaliście, i z jakim skutkiem?

Jeśli poszukujesz więcej praktycznej wiedzy z Socjotechniki w IT, to właśnie wprowadziliśmy szkolenia “uświadamiające” zwykłych pracowników biurowych w kwestiach niebezpieczeństw, jakie grożą im na co dzień, podczas pracy przy komputerze podłączonym do internetu.
Zapraszamy do zapoznania się z opisem szkolenia.

Przeczytaj także:


Dowiedz się, jak zabezpieczyć swoje dane i pieniądze przed cyberprzestępcami. Wpadnij na nasz kultowy ~3 godzinny wykład pt. "Jak nie dać się zhackować?" i poznaj kilkadziesiąt praktycznych i przede wszystkim prostych do zastosowania porad, które skutecznie podniosą Twoje bezpieczeństwo i pomogą ochronić przed atakami Twoich najbliższych. Uczestnicy tego wykładu oceniają go na: 9,34/10!

Na ten wykład powinien przyjść każdy, kto korzysta z internetu na smartfonie lub komputerze, prywatnie albo służbowo. Wykład prowadzimy prostym językiem, wiec zrozumie go każdy, także osoby spoza branży IT. Dlatego na wykład możesz spokojnie przyjść ze swoimi rodzicami lub mniej technicznymih znajomych. W najbliższych tygodniach będziemy w poniższych miastach:

Zobacz pełen opis wykładu klikając tutaj lub kup bilet na wykład klikając tu.

104 komentarzy

Dodaj komentarz
  1. Dla osób zainteresowanych tematem polecam ŚWIETNĄ książkę Kevina Mitnicka na temat socjotechniki:
    http://helion.pl/view/4753c/artde2.htm

    Naprawdę świetnie się czyta. :)

  2. nivlheim: rozumiemy ze starasz się o złotą patelnie w helionie ?:P

  3. Gdyby się starał, wrzucił by link partnerski :)

  4. przykład ze schodami jest bardzo fajny.
    >jak sprytnie można zmusić ludzi do chodzenia po schodach,
    Czy ci ludzie naprawde zostali zmuszeni do chodzenia po schodach, czy tez wybrali je zeby dostarczyć sobie troche radosci? To dosc duża różnica.

    Przykład ze śmietnikiem również pouczający. U nas niestety często kosze są przepełnione i nieopróżniane, nawet ktoś mający szczere chęci nie śmiecić nie ma wyboru (żeby ‘wysprzątać ciekawskimi cały park’ mysle ze ten kosz trzeba by opróźniać co godzinę).

  5. Co do recaptcha, http://img836.imageshack.us/img836/9297/1286217507375.jpg

  6. Jakiś czas temu często, gdy kupowałam coś w sklepach komputerowych zdarzało mi się wychodzić nie płacąc za części, a sprzedawcy i tak mnie żegnali z uśmiechem. Ale tak to bywa, jak się jest blondynką która za dużo wiedziała o sprzęcie i lubiła o tym gadać.

  7. W liceum wraz z grupą teatralną do której należałem, byliśmy na przeglądzie teatrów amatorskich. Po powrocie założyłem się z koleżanką, że dostanę numer do jednego z aktorów z grupy prowadzonej przez radomskie liceum. Po drobnych zabiegach (podanie się za pracownika ośrodka kultury mojej mieściny), pani z sekretariatu owej szkoły podała mi numer do rodziców chłopaka. Zakład wygrałem.

    Odnośnie reCAPTCHA warto wspomnieć o 4chanie i ankiecie Time:
    http://pl.wikipedia.org/wiki/4chan#Podrobienie_rankingu_tygodnika_Time

  8. >Manipulują wszyscy, Google też.

    zmieniłbym na:
    Manipulują wszyscy, Google przede wszystkim

    • Wzruszające.

  9. Heh bardzo fajny art.
    A co do doświadczeń w socjotechnice wykorzystuje ją prawie codziennie.
    M.in. do zadań domowych , komputera itd. ;]

    • Może pomoże Ci to wyjść z gimnazjum. ;]

  10. Mały offtop, ale czuję, że mMuszę się wtrącić, bo mam wrażenie, że temat NLP potraktowany został w tej notce neutralnie, lub nawet z nutą sympatii (“jest popularne”). A na to nie zasługuje.

    O NLP i innych pseudonaukowych bzdurach:
    http://www.tomaszwitkowski.pl/attachments/File/O_sztuce_wbijania_gwo__dzi_-_NLP.pdf

    Tak jak niebezpiecznik.pl zwalcza m.in. złe praktyki w IT security, tak podlinkowany wyżej Witkowski robi to w psychologii, prowadząc swą krucjatę przeciwko NLP.

    W czym niniejszym wpisem mu (oby) pomogę.

    • nvh: nie zajmuje się zawodowo psychologią, a do NLP mam stosunek zdecydowanie neutralny. Wzmianka o NLP w ramach tego artykułu była czysto pomocnicza — część osób kojarzy bowiem co to jest NLP, a nie ma pojęcia czym jest inżynieria socjalna/socjotechnika (a w tym przypadku, moim zdaniem, niedaleko pada jabłko od jabłoni). Podlinkowany przez Ciebie artykuł na pewno jest ciekawy, ale tl;dr ;-) Mnie NLP kojarzy się przede wszystkim z “formułkami”, które zwiększają szansę na to, że obiekt, w który formułki zostały wycelowane, zrobi to co chcielibyśmy, żeby zrobił. Zapewne taka “siła perswazji” w różnych kręgach może przyjmować różne nazwy (spryt, atak skierowany, dezorientacja wroga, żanetka leta, whatever).

  11. Ja po wysłaniu mi keyloggera jako potwierdzenia przelewu z allegro na maila namierzyłem gościa po jego znajomych z nk, o 1 w nocy(!!!) telefonicznie udało mi się zdobyć adres, numer telefonu i gg kolesia. Z wszystkich jego koleżanek które podały numer telefonu na nk tylko JEDNA spytała “a kim ty w ogóle jesteś”, po wyjaśnieniu “wiesz wątpie że będziesz mnie znać ja grałem rok temu z pawłem długo w counter-strikea ale mam jakis jego stary numer gg i nie moge sie skontaktować a pilnie potrzebuje, masz może jego aktualny nr. telefonu albo gg?” podała mi ślicznie nr. tel i gg:) Od jednego z jego kumpli dostałem adres:)

  12. crowdsourcing != crowsourcing

  13. w ogolniaku mialem nauczyciela ktory srednio sie przejomowal wypisywaniem papierkow.. wszelakich. Na jego lekcjach wychdozilem krotko po dzwonku do “wc” idac do pokoju nauczycielskiego po dziennik ]:-> po czym wracalem mowiac ze spotkalem wychowawce na korytarzu i kazala przekazac do uzueplnienia. Dzialalo, bo on zawsze mial cos do uzupelnienia ;-)

  14. Znam też fajny sposób na zdobycie adresu :]
    Sposób wygląda tak :
    Dzwonisz do ofiary i przedstawiasz się jakoś (np. Jan Kowalski) i mówisz że jesteś z firmy np. wyrobów yy.. mięsa. Potem po przedstawieniu mówisz : “Czy mógłbym / mogłabym wysłać państwu zaproszenie na pokaz naszych wyrobów?” (wyroby np. wędliny). Ofiara może powiedzieć tak / nie. Jeśli tak to pytasz się o adres i masz ;]

  15. W filmie z płaceniem kartkami papieru facet całkiem sprytnie obmyslił sobie historyjkę z metrem i odpowiedzią jego przyjaciela (“take it”). Owo “take it” padało zwykle w chwili wręczania czystej kartki. Ciekawy mechanizm, ale gościu od hot-dogów był już na to zbyt sprytny, pewnie za dużo cwaniaczków już u niego było. ;)

  16. No z tą papierową kasą to totalnie mnie zaskoczyło… jak to możliwe jest? Przecież każdy patrzy i liczy raczej…

  17. @k WHAT!? Kobieta czyta Niebezpiecznika??? FOTKEM!!! ;]

    • Gdzieś napisane, że niebezpiecznik.pl tylko dla mężczyzn? :P

  18. Nielicznych być może zainteresuję książką Józefa Kosseckiego pt. Totalna wojna informacyjna XX wieku a II RP: http://socjocybernetyka.files.wordpress.com/2010/08/totalna-wojna-informacyjna.pdf

  19. Ja osobiście najczęściej bawię się kosztem konduktorów w pociągu, zwłaszcza w momentach gdy ogarnia mnie brak chęci do jakiegokolwiek ruchu. Po prostu konduktor pyta czy były sprawdzane już bilety a ja bez wahania patrząc mu w oczy odpowiadam spokojnie i jakby od niechcenia że były sprawdzane (pomimo że defacto bilety mam w kieszeni)… on idzie dalej a ja w Krakowie idę do kasy z prośbą o zwrot kasy za bilet wciskając kit kasjerce że przyjechałem innym transportem (wykorzystuję świadomość wiecznych opóźnień na PKP – o tym kiedyś Piotrek Konieczny pisał). Inny przypadek to fakt że czasami wykorzystuję SE do załatwiania dla córki konkretnych rabatów na uczestnictwo w warsztatach które ją interesują, oraz “przymrużania oka” na fakt iż ona ma 13 lat a niektóre z nich są od 18+…

    • To nie jest zabawa, tylko przestępstwo, które nazywa się “oszustwem” bądź “szalbierstwem” – w zależności od interpretacji.

  20. Genialne – ot co.

    Pozdrawiam kolektyw.

    Andrzej

  21. Dobre!
    Ale jako filodendrytę najbardziej interesują mnie pierwsze filmiki, bo demonstrują potęgę śmiechu. :)

  22. Przypadek nie mój, zasłyszany w towarzystwie. Koleś, handlowiec jakiejś tam firmy, zaniemógł, poszedł do państwowego lekarza wziął numerek usiadł w korytarzu i czeka na swoją kolej. Lekarz wychodzi z gabinetu i ginie w korytarzach przychodni. Po chwili wraca, otwiera drzwi do gabinetu i zwraca się do naszego Kolesia – zapraszam. Zamykają się drzwi lekarz siada za swoim biureczkiem, Koleś na stołeczku z drugiej strony. Lekarz rozpromieniony z uśmiechem na twarzy zaciera ręce i pyta: z jaką propozycją dziś Pan do mnie przychodzi? Odpowiedź brzmiała “korzonki panie doktorze…” Zobaczyć minę lekarza – bezcenne a przepustką do wejścia bez kolejki był dobrze skrojony garnitur i tekturowa teczka na dokumenty z logiem znanego koncernu farmaceutycznego.

  23. Kiedyś odpowiednio poprosiłem kogoś by podał mi hasło do swojego fajnego numeru gg z sześcioma zerami na końcu :)

  24. Ostatnio coraz częściej odnoszę wrażenie się że szeroko pojęte media do spółki z rządem rozkręcają jakieś kampanie (ostatnio dopalacze) żeby przyćmić różne inne wydarzenia. Wszyscy zamiast o podwyżkach vatu, czy wycofaniu dopłat do biododatków do paliw gadają o dopalaczach.

    Ostatnio wyczytałem o jakimś gościu co napadał banki, żeby kupić dopalacze w sklepie. “No k*%@a be jaj!” zawołałem! Toż przecież łatwiej by mu było obrobić ten sklep z dopalaczami! Więc pewnie kasa wcale nie szła na dopalacze jak informuje witryna internetowa pewnej stacji telewizyjnej (trzy litery, dwie cyfry, poziomo).

    Albo świat wokół mnie wariuje totalnie, albo rodzi się we mnie mania prześladowcza…

  25. @M: To nie zawsze tak wygląda. :) Jakiś czas temu zaniemogłem i polazłem lekarza prosto z roboty. Traf chciał, że tego dnia byłem w garniturze – normalnie mi się to nie zdarza. Pani doktor na mój widok tylko się skrzywiła i stwierdziła “Pan z firmy? Znowu?”

    Wniosek: wszystko zależy na kogo się trafi.

  26. @ianuff: Trik z konduktorem niestety nie przejdzie podczas pierwszego przebiegu ;(

    Mnie za to ciekawi fakt, że przez pół roku jeździłem na niepodbitej legitymacji, którą wręczałem podczas każdej kontroli. Dopiero któryś z kolei konduktor w pkp mnie uświadomił. Autobusy miejskie, kasy biletowe – patrzyli i nie widzieli. To po co patrzyli?

    • Mnie się kiedyś, jako młodemu, świeżo upieczonemu pracownikowi IT dużej firmy zdarzyło przez prawie trzy lata jeździć służbowym autem bez ubezpieczenia i przeglądu, bo osoba odpowiedzialna za samochody “zgubiła” je w rejestrze. W między czasie byłem kontrolowany kilkanaście razy przez panów w stalowych mundurkach…. O tym fakcie dowiedziałem się dopiero, gdy rozstawałem się z tą firmą. Mój błąd że sam tego nie sprawdziłem….

  27. Kiedyś próbując przyspieszyć rozwiązanie awarii zgłoszonej w TP chciałem skontaktować się bezpośrednio z ich technikami. Udało mi się zdobyć jeden początkowy numer do jakiegoś działu, który niestety mi nie pomógł. Wystarczył jednak fakt, że przechodziłem z rozmówca na “ty” sugerując, że też jestem z TP, tylko nie mam jak sam sprawdzić numeru i dostawałem telefon do osoby, która może mi pomóc i tak 3 razy, aż do telefonu do koordynatora techników, który pomógł w zasadzie od ręki (oczywiście on też był przekonany, że rozmawia z kolegą z TP)

    • Naturalnie pomijając ten drobny fakt ze dział obsługi neo kontaktuje sie z technikami przez aplikacje www i nikt tam do nich nie ma numeru.

  28. @Kenobi
    Dzwonisz do ofiary i przedstawiasz się jakoś (np. Jan Kowalski) i mówisz że jesteś z firmy np. wyrobów yy.. mięsa. Potem po przedstawieniu mówisz : “Czy mógłbym / mogłabym wysłać państwu zaproszenie na pokaz naszych wyrobów?” (wyroby np. wędliny). Ofiara może powiedzieć tak / nie. Jeśli tak to pytasz się o adres i masz ;]

    Proszę przeczytaj coś o pytaniach otwartych i pytaniach zamkniętych, zanim napiszesz coś takiego. Takiego pytania to nawet wyrobnicy z call center nie powinni nigdy zadać. Żaden ze mnie guru/trenerer NLP/socjotechnik, ale dorabiałem kiedyś “na słuchawkach” i powinno to (po jakieś tam gadce wstępnej i weryfikacji czy dodzwoniłeś się do właściwej osoby) lecieć mnie więcej tak.
    “Bardzo się cieszę, że bezpłatne zaproszenie na naszą imprezę firmową trafi do państwa? Poprosiłbym o adres na który wyślemy przesyłkę.”

  29. Z ostatnich obserwacji: przy drzwiach wpiętych do systemu kontroli dostępu pojawił się nowy, zbliżeniowy przycisk do ich otwierania od środka. Z uwagi na to, że nie trzeba nic naciskać, a jedynie pomachać ręką 2 cm od urządzenia jest na nim napis “Don’t touch”. Zgadnijcie ile osób oparło się pokusie pomacania przycisku…

  30. Moja legitymacja studencka ma jakąś paskudną przywarę i strasznie szybko niszczą się na niej nalepki z datami, tak że nie można odczytać co tam jest za rok. Od kiedy stała się nieczytelna sprawdzało ją ok 20 konduktorów i tylko jeden miał jakiś problem w tym temacie, reszta albo się pokrzywiła albo nie i nie było problemu. Żadna tam inżynieria, ale chyba cenne spostrzeżenie na przyszłość;)

  31. > Podszycie się pod pracownika GUS-u świetnie (bo na mocy ustawy)

    Jakiej Ustawy?

  32. @pipkens: przechodzi zawsze… od 3 lat

  33. RobertP : no tak ale to był przykład , oczywiście można zmienić swoje pytanie ;]

  34. Dziękuję redakcji niebezpiecznika za ten artykuł!
    Świetny :D
    Przydałoby się też coś z dziedziny IT jak to social-engineering na nas działa – najlepiej obrazowo, bo to lepiej dotrze niż plain.

  35. Jakis czas temu chcialem zaimponowac nowo poznanej dziewczynie zapraszajac ja do opery. Zadzwonilem do kasy biletowej aby kupic bilet “na jutro”. Oczywiscie grzecznie przedstawilem sie na poczatku rozmowy. Zgodnie z oczekiwaniem uslyszalem ze nie ma juz biletow i ze jesli chce kupic bilet do opery, musze to zrobic z trzymiesiecznym wyprzedzeniem, na co natychmiast odpowiedzialem z oburzeniem “Nie ma biletow? NAWET DLA MNIE?!”. Krotka chwila ciszy po drugiej stronie i pelna niepewnosci odpowiedz pani kasjerki “No w sumie mamy jeszcze bilety na balkonie, na poziomie pierwszym, pierwszy rzad”.. “Swietnie, biore dwa!”, “w porzadku… prosze jeszcze raz podac nazwisko na jakie ma byc rezerwacja…”. Ponownie podalem pani moje nazwisko. Oczywiscie bylo jej absolutnie obce, wiec gdy juz mialem sie grzecznie pozegnac, zapytala (ponownie pelna wahania) “Czy ja powinnam Pana skads znac?”.
    Nawet odpowiedz “Nie” po ktorej nastapil wybuch smiechu po obu stronach linii, nie zmienil fakTu ze nastepnego dnia, na moje nazwisko nabylem w kasie dwa bilety na najlepsze miejsca w Operze. Za 25% ceny kazdy :)
    Kolezanka byla naprawde pod wrazeniem :)

  36. Hah, nawet nie wiedziałam, że mając 12 lat bawiłam się w socjotechnikę (oczywiście dawno i nieprawda ;) ). Zagadanie z nieznanego nr gg, po chwili ‘miganie’ niby spowodowane błędem pliku. Potem wystarczyło tylko wyjaśnić w którym folderku potrzebny plik się znajduje… . Btw. ciekawe czy dalej tak łatwo wyciąga się hasła z plików config w gadu-gadu, że każdy dzieciak to może zrobić.

  37. w jednym z dużym banków w Krakowie są zawsze duże kolejki do obsługi klienta detalicznego – często jest tak, że maja tylko jeden pokój “otwarty” natomiast 1-2 z przymknietymi drzwiami i przy wejściu informują “proszę przejść do pokoju obok”, ale wystarczy być w miarę elegancko ubranym i przed tym rzucić coś w stylu “pan adam z 1 pietra mnie tu skierował z taką sprawą…” wybierając imie dowolnego doradcy klientów indywidualnych (“VIP”), ktorzy urzeduja na 1 pietrze. Jest też kasa dla VIPów, dobrze ukryta w labiryncie korytarzy, na ewentualne zbywanie też rzucić czymś w stylu “bardzo mi sie spieszy, moj doradca mnie tu skierował”. Ludzie wtedy okazują się być o wiele milsi niż dla “zwykłych” klientów :D

  38. A ja sobie tak czytam te wszystkie wpisy i zastanawiam się.
    Czy oszustwo z biletem kolejowym do Krakowa, kłamstewka w szkole po wc to itd to socjotechnika czy oszustwo i kłamstwo?

  39. A próbowaliście kiedyś na harcerza? Tzn. na mundur harcerski? Noszenie go chyba specjalnie karalne nie jest, a wele spraw pomaga załatwić. Przykładowo kumpel (który chyba nawet was czyta, więc pozdrawiam przy okazji) za darmo przeleciał się szybowcem, omijając przy tym kolejkę ~10 ludzi, którzy za to samo (no… plus czekanie w kolejce co prawda) musieli zapłacić. Drugi kumpel nawet zdobył samochód na cały dzień żeby sobie pojeździć, tak 4fun – stary bo stary, ale ze wszystkimi dokumentami, które byłyby bardzo pomocne w razie jakiejś kontroli. Już nie będę wspominał jak łatwo podczas wizyty np. papieża jest się w stanie bez żadnego identyfikatora, ale w mundurze, dostać do strefy dla VIPów. Niech się służby specjalne cieszą, że terroryści jeszcze na to nie wpadli ;-)

    I tak się zastanawiam, jak trudne byłoby wejście do jakiejś serwerowni tłumacząc np. “Bo my tu młodym harcerzom chcemy pokazać rózne zawody w jakich moga pracować. Możemy wejść i sobie pochodzić rysując na kartce plan budynku?” Dzieciaki od iluśtam-nastu lat przecież mogą pracować, nie? Zatrudnić takich młodych pomocników pen-testerów byłoby chyba wykonalne. Taki script-kiddie ;-)

  40. Widze, że już drugi raz pojawia się filmik z real hustle. Niestety ten program to oszustwo, bo to nie są prawdziwe sytuacje, tylko wyreżyserowane scenki, znaczy “ofiary” to nie są przypadkowi ludzie. Tak naprawdę większość przedstawionych tam przekrętów jest marnie zrealizowana i ma małą szanse powodznie w rzeczywistości.

  41. o przepraszam, tym razem to akurat Derren Brown, ale ten koleś to kompetny oszust, polecam obejrzeć pare innych “jego sztuczek” i wszystko stanie się jasne. Jedyna osoba która zostaje jest tu oszukiwana to widz.

  42. hehe Dobre te filmiki :D

  43. Filmiki naprawdę imponują, ale sytuacje są odległe od rzeczywistości. Wątpię, by w sklepie sprzedawca przyjął białe papiery zamiast pieniędzy. Za to łatwo go zdezorientować. Dopiero po zamknięciu punktu sprzedaży zauważy, że brakuje towaru albo pieniędzy. Kto sprzątałby cały park? Przecież nikomu się nie chce. Piano stairs – nie widziałem tego w praktyce. Przyciągną na pewno dzieci.

    Uzupełnię motyw legitymacji. Mało kto sprawdza, czy jest aktualna. Wszedłem do PKS-u i pokazałem starszemu kierowcy legitkę studencką przypominającą wyglądem dowód osobisty. Zdziwił się: “a co to jest?”. Odpowiedziałem “studencka” i uwierzył mi na słowo. Chyba pierwszy raz widział legitkę z chipem – technika idzie do przodu i papierowe stają się niewygodne. Inni kierowcy uznają takie za szkolne, bo ceny biletów studenckich są wyższe o 80 gr. Wniosek: wykorzystując niewiedzę, można wymusić ulgę lewymi dokumentami (nie polecam!), a prawdopodobieństwo wpadki bliskie 0. Od razu uprzedzam, że moja jest aktualna ;)

    Socjotechnika na litość nie zawsze działa. Kiedy ostatnio jechałem busem, kierowca nie chciał zabrać kobiety, która śpieszyła się do szpitala. Wiecie, jak są upakowane – do oporu (i to mi się podoba). Wystarczyła reakcja pasażerów i stworzenie “wolnego slotu”.

    Sposób na kanara – wręczyć wszystkie bilety, 1 z nich na pewno aktualny (przy założeniu, że kasujecie bilety regularnie i kolekcjonujecie stare). A gdyby zastosować technikę, aby wszyscy skasowali bilety? Macie pomysł?

    Brak zadania w podstawówce – długo wyciągałem zeszyt, a nauczycielka na końcu zapominała o mnie. Nie działa na wszystkich.

    Zaproszenia na pokazy pościeli, garnków, odzieży – najlepiej zawsze odmawiać. Zastanawiam się, jak wyrzucić numer z ich bazy. Dopiero teraz uświadomiliście, że adres może pozostać w bazie na zawsze, ale w domu i tak nikt by go nie podał przez telefon.

  44. Nie rozumiem trochę sposobu na kanara.

  45. Mnie się udało w banku przelać pieniądze nie ze swojego konta na inne. Pani była tak pochłonięta wklepywaniem danych do komputera, że bez problemu spełniła moją prośbę.

  46. Akcja z pieniędzmi niewiarygodna. Każdy liczy, sprawdza czy nie fałszywe, jak nie wzrokowo to palcami, banknoty mają inną fakturę, grubość i ciężar niż zwykłe kartki i jak ktoś pracuje z pieniędzmi to nawet jak nie patrzy co bierze, nie ma szans żeby wziął kartkę za banknot :D

  47. @Wojtek
    Mozesz cos wiecej napisac o przekretach Browna?

  48. Bundy, nie mam teraz dobrych przykładów pod ręką, ale chodzi o akcje typu, że dotyka kogoś i ta osoba pada na ziemie albo czyta w myślach, coś w stylu np tego: http://www.youtube.com/watch?v=EvyHH3C3Gds .
    Po prostu obejrzyj troche filmików z nim na youtube, to bedzie jasne ze to wszystko jest pic na wode.
    Tutaj myśle dobry przykład: http://www.youtube.com/watch?v=cHZ2mQczkcg a tu jego wyjaśnienie http://www.youtube.com/watch?v=1JH_6ujgLkg .

  49. bedac w Chinach na wycieczce mialem stara legitymację euro26 juz nie dzialajaca, ale poniewaz pani kasjerka do muzeum/zoo/itp nigdy nie znala angielskiego, za to my mielismy czlowieka mowiacego plynnie po chinsku to tekst w stylu ‘na calym swiecie mamy na to znizki nawet w USA i na Taiwanie’ zawsze skutkowal

  50. jak socjotechnika to “sztuka podstępu” :)))

  51. Wojtek,

    Filmik z wyjaśnieniem losowania lotto jest oszustwem. Prawdziwe wytłumaczenie jest tu: http://www.youtube.com/watch?v=EUiToBs_YT0&feature=related

  52. Przyszedł kontroler do autobusu PKS. Pokazałem stary bilecik konkurencji (znanej firmy busów). Nie przyczepił się! Najlepsze, że paragon miał inny układ i wymiary. Nawet cena była inna :) PS. Kontrole zniechęcają do komunikacji publicznej. Za wydawanie biletów powinien odpowiadać kierowca. On decyduje, czy wpuścić pasażera na pokład.

  53. Michal,

    ja wiem, że filmik z wyjaśnieniem jest oszustwem, koles niby tlumaczy swoje sztuczki, ale wszystko to bujda. Ja napisałem, że ten koleś to ściema, dlatego nie wiem dlaczego niebezpiecznik zamieścił flimik z nim, który jest ściemą jak wszystko co ten człowiek robi.

  54. Wszystko pięknie ślicznie, ale socjotechnika to nie tylko manipulacja. A jedno i drugim nie można traktować na równi. Z socjotechniką mamy do czynienia również w sytuacjach, gdzie dba się o komfort pracy pracowników. np: odpowiednio dobrane kształty biurka, wygodne krzesła, kolor ścian czy muzykę w tle. Manipulacja z definicji to wywieranie wpływu na człowieka w celach uzyskania własnych korzyści, wykorzystując nieświadomość manipulowanego, często również jego osobistym kosztem. Socjotechnika, podobnie jak perswazja nie zawsze musi być wykorzystywana do złych celów – może ona również posłużyć jako zbiór elementów służących do zainteresowania słuchaczy trudnym tematem wykładu. :) Pozdrawiam.

  55. A i jeszcze jedno. O socjotechnice można mówić/pisać w aspekcie manipulacji ale nie “jako” manipulacji. To wbrew pozorom ogromna różnica i autor dopuścił się błędu równając socjotechnikę do manipulacji. To tak jakby uogólnić wszystkich Polaków jako wyłącznie złodziei. – że tak jeszcze wtrącę, dygresyjnie.
    Raz jeszcze pozdrawiam i chętnie podyskutowałbym na ten temat z samym autorem ale już na stopie korespondencyjnej. Bartłomiej.

  56. Jeden znajomy wszedł w Rosji za darmo do muzeum. Był darmowy wstęp dla studentów z krajów WNP. Pokazał patent żeglarski i powiedział, że studiuje w “morskoj instytut”. Bileterka pewnie nie znała alfabetu łacińskiego, a dokument wyglądał poważnie, z orłami, kotwicami i pieczątkami.

  57. Było pisać o socjotechnice? Teraz pewien Pan J.K. nauczył się tego słowa i popisuje się nim w mediach :(

  58. Wszedłem na koncert jazzowy w podkoszulce z napisem z napisem “Policja”, ochroniarze tylko na mnie spojrzeli.

  59. Budowlańcy.
    Odbierałem mieszkanie, było w pieron niedoróbek ale zależało mi na czasie więc przybiłem piątkę z kierownikiem budowy. Ale “zapomniałem” podpisać odbioru. Żeby od razu się nie skapnął, kopnąłem go trochę i wywalił się razem z papierami na klatce schodowej na nieuprzątniętych rupieciach. On powyklinał fizycznych a ja mu pozbierałem dokumenty (“odbiór” głęboko w środek).
    Potem już tylko zaczepiałem fizycznych, że jeszcze to czy tamto trzeba zrobić, albo “weź te drzwi w ogóle wytnij i wstaw jak u ludzi”. Czasem robili bez gadania, bo witałem się z kierownikiem jak stary znajomy i w ogóle per “Grzesiek” do niego jechałem. Co twardsi jak się migali od roboty to albo “się Grześka zapytaj czy masz to robić” albo jak jeden powiedział, że nie ma czasu to wyjąłem telefon i mówię “czekaj, zadzwonię do Grześka to ci znajdzie chwilę” – skończyło się a “nieee dzwoń pan”.
    Jednemu chyba tylko coś zaświtało, że może coś nie gra i zapytał ja długo się znamy z kierownikiem – odpowiedziałem “o, chłooopie” :D i nie wracał do tematu.

  60. A i jeszcze zagrywka egzaminacyjna (nie moja, gdzieś widziałem).
    Egzamin, koniec czasu facet każe odłożyć pisaki i przynieść kartki na biurko a jeden typ właśnie “ma objawienie” i piszeee. Wszyscy wyszli, typ skończył i idzie z pracą. Psor mówi, że jego pracy nie przyjmie, bo już po czasie a typ “PAN WIE, KIM JA W OGÓLE JESTEM?!” Psor nie przestraszony odpowiada “NIE.” To koleś ładuje pracę gdzieś w środek pomiędzy inne i stwierdza “To bardzo dobrze :)”.

  61. właśnie jestem w trakcie pisania pracy na temat socjotechniki i jestem pewna że Twoja praca pomoże mi trochę w jej napisaniu jeśli nie jest ona chroniona oczywiście żadnymi prawami autorskimi :) filmiki pierwsza klasa … szkoda właśnie że nie mogę ich od Ciebie pobrać:)

  62. Zapraszam do pracy w Policji – dochodzenia – wtedy dowiecie się czym są prawdziwe przekręty i czy film to nie mające bytu w rzeczywistości historyjki – czasami mam wrażenie że już to oglądałem czytając wypłakiwania pokrzywdzonych. A tak na marginesie google to potężna maszynka do znajdowania informacji i dodając SE jesteśmy w ogródku i zbieramy plony.

  63. […] również jakiegoś Pana. Przekonamy się, jak skutecznie kobiety potrafią namawiać (hint: socjotechnika […]

  64. […] że mamy już wystarczająco dużo przykładów na to, że socjotechnika to całkiem skuteczny […]

  65. […] Zabawy tureckich policjantów przypominają mi eksperyment z “kolejką do ksera” autorstwa E. Lagner. Jeśli chcecie się wepchnąć przed kogoś, trzeba to umotywować. Prośby “czy mogę wejść przed Pana, mam tylko 5 kartek” są mało efektywne (60%), ale już dodanie “…bo bardzo mi się śpieszy” skutkuje w 94% (sic!). Co ciekawe, w 93% skutkuje jakiekolwiek inne umotywowanie prośby, np. “…bo chcę skorzystać z ksera“. O innych przykładach socjotechniki, bardzo skutecznej i coraz częściej wykorzystywanej także w atakach internetowych, pisaliśmy w tekście “socjotechnika na przykładach“. […]

  66. […] Dlatego warto, oprócz przykładania uwagi do kropek w nazwach domen, przypomnieć sobie czym jest socjotechnika, zwłaszcza w ujęciu […]

  67. […] testów penetracyjnych u niektórych z naszych klientów mamy zgodę na wykorzystanie elementów ataków socjotechnicznych. Rekonesans jest wtedy podstawowym i najważniejszym elementem tego typu ataków/testów. Z kim […]

  68. […] są więc szanse, że UGNazi zgadli PIN. Bardziej prawdopodobne, że po prostu korzystając z socjotechniki przekonali pracownika sieci GSM do przekierowania skrzynki na którą trafiają nagrania z poczty […]

  69. […] dojrzewają i nie walą już gdzie popadnie, ale robią rozsądny użytek z wycieków danych, socjotechnicznie targetując swoje ataki, czego przykładem jest dzisiejszy spam skierowany do użytkowników Maplesoftu, w którym zostali […]

  70. […] przez nas ostatnio ataków na Cloudflare — dzwoniąc na support, podając się za Mata, i używając socjotechniki, która wymusiła reset […]

  71. […] stosując technikę spoofing SMS zawsze wyznaczaliśmy w podrobionej wiadomości (korzystając z socjotechniki) drugi, zwrotny kanał komunikacji. Zakładając, że Janusz do administartor w firmie X, a my […]

  72. […] razy. Jej lider, Cosmo, został niedawno zatrzymany przez FBI. Ma 15 lat, a swoimi zdolnościami socjotechnicznymi udało mu się skutecznie ominąć zabezpieczenia Google, Amazona, Apple, CloudFlare’a i […]

  73. Mnie się raz udało podszyć pod admina tlen.pl (wystarczyło założyć maila w stylu admin_@tlen.pl) i namówiłem jakiegoś nastolatka żeby podał swoje hasło do swojego konta (zmienię celowo) zielony@tlen.pl bo chciał je mieć mój kumpel który musiał używać cały czas zielony123@len.pl.

    Gościu po pół godzinie wmawiania, że jest to niezbędne, hasło podał i już nie zobaczył swojego konta. Życie.

  74. After checking out a number of the blog articles on your website, I really like your technique of
    blogging. I saved it to my bookmark site list and will be checking
    back in the near future. Please check out my website too and
    tell me what you think.

  75. […] Citadel. Botnet wykradał pieniądze z kont bankowych przy pomocy złośliwego oprogramowania i sztuczek socjotechnicznych. Problem w tym, że oprócz przestępców stojących za botnetem oberwali także researcherzy, a […]

  76. […] w systemie i potwierdzania fałszywych przelewów, zdobyli najprawdopodobniej wykonując uprzednio ataki socjotechniczne na personelu banku. Już rok temu FBI ostrzegało instytucje finansowe przed tego typu […]

  77. […] deface), a dodatkowo, w serwisach posiadających konta użytkowników można próbować ataków socjotechnicznych/phishingu na tychże użytkowników, wyświetlając fałszywe pola formularza i prosząc o podanie […]

  78. […] tej restrykcyjnej polityki, dalej można jednak wykorzystać tego typu aplet do ataków socjotechnicznych na użytkownika — w ramach aplikacji Flash można bowiem używać niektórych tagów HTML-a, […]

  79. […] pomocy złośliwego oprogramowania, często instalowanego na komputerach ofiar przy wykorzystaniu socjotechniki lub […]

  80. […] Po restarcie, jeśli karta SIM wymaga wpisania PIN-u, telefon automatycznie nie podłączy się do sieci GSM. W ten sposób możemy sprawić, że osoba nie otrzyma spodziewanej wiadomości lub połączenia telefonicznego — a brak połączenia np. z managerem, w sytuacji “kryzysowej” może przydać się w atakach socjotechnicznych. […]

  81. […] PlayStation czy nudzący się na /b/ 4chanowcy. Jedno jest pewne — jest to ciekawy przykład socjotechniki, pokazujący jak przy pomocy reguły niedostępności można manipulować człowiekiem. Ten żart […]

  82. […] jak zawsze, jest socjotechnika, czyli wykorzystanie podatności nie w maszynie, a w człowieku i […]

  83. […] błędu logicznego, który pojawia się w niektórych bankach — musieli więc skorzystać z socjotechniki, aby przekonać ofiarę do samodzielnego zdefiniowania w ramach jej konta nowego “zaufanego […]

  84. Mnie kiedys rozbawili goscie, ktorzy zaprzegli tabuny ludzi do pracy nad zakladniem darmowych kont w gmailach, msnach itp yahoo: na stronach z golymi d. dawali obrazki nie za darmo, ale za zgadniecie quizu. Quizem byla captcha, ktora system bral na zywo, z formularza zakladania nowego konta. Taniej i trafniej niz OCRem goscie mieli zakladane konta pocztowe, ktore potem uzywali do rozsylania spamu. :D

  85. […] Przykładem ataków na Twittera są działania Syryjskiej Armii Elektronicznej, o której często piszemy na łamach Niebezpiecznika. Ponadto warto jeszcze przypomnieć historię Naoki Hiroshimy, który był właścicielem atrakcyjnego konta @n, które przy pomocy rozbudowanego, ale prostego w przeprowadzeniu ataku mu przejęto — wystarczyła socjotechnika. […]

  86. […] W ostatnich dniach klienci mBanku, którzy zostali zainfekowani złośliwym oprogramowaniem, po zalogowaniu się do swojego konta mogą zobaczyć fałszywy, generowany przez przestępców komunikat, który próbuje przeprowadzić na nich atak socjotechniczny: […]

  87. […] Manipulacja ludźmi jest możliwa (sami po części z tego żyjemy ;). Jeśli chcielibyście poczytać materiały na temat wzbudzania u kogoś konkretnych zachować, polecamy nasze artykuły z działu psychologia oraz socjotechnika (zwłaszcza ten) […]

  88. […] z lepszych masowych spoof maili, jakie widzieliśmy. Ewidentnie stworzony przez Polaków, z dobrą socjotechniką pod spodem. Bardzo jesteśmy ciekawi wyników — może autorzy tego malware’u się nimi […]

  89. […] okresie pełno jest kampanii e-mailowych skierowanch w Waszych klientów. E-maile te wykorzystują socjotechnikę i podszywają się pod Wasz wizerunek aby nakłonić klienta do wykonania złośliwej akcji […]

  90. […] Badacze, korzystając ze zwykłych laptopów i smartphonów byli w stanie odkryć SSID nadawanych przez skrzyżowania sieci — ale z racji różnic w protokołach, nie byli w stanie się z nimi połączyć. Mieli więc 2 wyjścia — wykonać reverse engineering protokołów, albo skorzystać z sieciówek w standardzie producenta sygnalizatorów. Poszli na “łatwiznę” i skorzystali z sieciówek, zakładając, że o ile nie są one powszechnie dostępne w sprzedaży, to można je zdobyć za pomocą socjotechniki. […]

  91. […] malware’u. Czasem wystarczy numer znany od wieków: piękna niewiasta …i odrobinę socjotechniki. Niewiasta nie musi nawet ruszać się z domu… ba! nie musi nawet być prawdziwą niewiastą. […]

  92. […] Tak czy inaczej, powyższe incydenty pokazują, że nawet organizacje, dla których bezpieczeństwo teleinformatyczne jest kluczowe — i które inwestują ogromne środki w technologie ochronne oraz zatrudniają najlepszych specjalistów — mimo wszystko są podatne na ataki, a najsłabszym ogniwem jest człowiek. […]

  93. […] to żaden “zaawansowany technicznie atak“, a zwykły phishing, ewentualnie prosty atak socjotechniczny z zainfekowanym […]

  94. […] każdej instytucji, o ile ma dostęp do komputera, powinien zapoznać się z artykułem dot. socjotechniki i metod ataku za jej pomocą. Tu mamy do czynienia z atakami bazującymi na ludzkiej naiwności, więc nie pomogą żadne […]

  95. […] tym roku nasza prelekcja będzie dotyczyła ataków socjotechnicznych (jest to case study realnych przypadków, w jakich braliśmy udział). Pokażemy, jak można […]

  96. […] giełdą generując olbrzymie straty) czy kont w mediach społecznościowych Microsoftu. W wyniku socjotechniki atakującym z Syrii udało się też w przeszłości podmienić strony główne tak znanych […]

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: