Social ingengörskonst? Erfarenheter?

Du får tro det eller ej, men jag har inte blivit lurad på pengar. Personligen är jag så paranoid att jag undrar vad folk vill ha när dom ger mig en komplimang. För mig behöver du inte berätta att det är något skumt när folk vill ha pengar, jag tittar nästan snett på kassörskan i ica när hon vill ha betalt.

Jag är lite nyfiken på om du t.ex. chattar med någon och vill få reda på så mycket "nyttigt" som möjligt om den personen, hur skulle du gå till väga?

Just nu är det ett bra tillfälle att kolla på denna spännande gren av datorsäkerhet för mig, pga det som hänt. Om jag kommer tillämpa mina erfarenheter är inte säkert, men det kan komma andra tillfällen längre fram i tiden. Eller så kan man se det som att vad ska man passa sig för?

mitt enda tips är att vill någon köpa något av dig är de de mest angelägna, men för att sälja något på nätet måste man ha "hållhakar" på någon, det kan ett fast telefonnummer + ett namn vara. det är enkelt att kolla upp om namn och adress stämmer via nån keditupplysningssajt typ ratsit. stämmer inte namn och adress blir det inga affärer av för min del. folk som är anonyma= folk som kan blåsa dig.be dom gärna ringa en signal från det nämnda numret så du vet att det stämmer. själv uppger du såklart bara kontantkortsnummer

som köpare är det dock en riskabel del, detta med att lämna ut sin adress, speciellt om det handlar om olagligheter typ knark vapen osv, eftersom risken för scamming är större. då kan bluffmakaren använda din adress mot dig, typ hota att "Lägga ut den" på nån sajt där folk köper och säljer andras skulder, och så riskerar du få besök av hells angels.. eller sprida påhittad info om att du är pedoil osv.

själv skulle jag bli misstänksam om nån fiskade efter information när jag chattade med nån okänd, och jag skulle inte ge ut nån info alls, men det beror ju på hur paranoid personen du vill mjölka på info är. de flesta är ju inte lika paranoida som en själv. vill man ha ut info från nån måste man etablera nån sorts kontakt först, bli lite "Kompis", annars verkar det misstänkt om man frågar för mycket

Ska du installera en RAT den vägen lär du behöva en privat exploit.

Om jag förstod saken rätt var den biten bara ett exempel på ett scenario.
Det jag tror han menar är hur man ska manipulera den andra att t.ex. köra ett program man skickar. Ett program som är eller är bundit till RAT som installeras osynligt.
För har man väl installerat t.ex. Bifrost eller Poison Ivy har man ju full tillgång till den andra datorn. Bortsett från att man kan se vad den andre gör på skärmen, se vad han skriver via keyloggern mm, så kan man även dumpa lagrade lösenord.
Och har man lösenordet till den andres paypal kan man ju betala tillbaka handpenningen man blev blåst på, eller hur?

Det är det absolut vanligaste sättet att skaffa sig otillåten tillgång till datasystem! Eller "hacka" om du vill.

Det behöver inte handla om RATs, utan kan t.ex. vara att man lurar av någon lösenordet.
En variant är att en användare på forumet där jag är administratör skickar ett pm där han berättar att han har problem med kontot och bifogar en länk som är till en falsk kopia av forumet (typ en sådan som bankbedragarna använder). När jag kommer till den sidan är jag förstås utloggad och om jag inte tittar riktigt noga på adressen som ju är snarlik, kommer jag strax skriva in mitt lösenord på deras sida när jag försöker logga in. Går jag på det, kommer de strax kunna logga in som administratör och stjäla hela databasen av användarnas email och lösenordshashar.

Jag har själv blivit utsatt för åtskilliga försök av båda sorterna.

Det är lätt gjort att bli lurad, även för den som är mycket kunnig och säkerhetsmedveten.
Det var t.ex. inte så länge sedan någon lyckades installera Bifrost hos administratören och ägaren till www.milw0rm.com. Man spelade därefter in allt som hände på den hans skärm och gjorde en film där man kan se diverse lösenord (http://www.swerat.com/forums/index.php?showtopic=3613).

Ja, jag tror jag anade vad det handlar om. Han syftar på det engelska uttrycket social engeneering eller nåt sånt? Typ "hacking genom att använda sina social skills"?

Man kan dock inte översätta det med "social ingenjörskonst" , för det är redan ett etablerat begrepp, och det syftar på sociala experiment i stor skala, på en politisk nivå. Typ utjämningspolitiken, eller byggandet av miljonprogrammen.

Det ni syftar på skulle väl kunna översättas med nåt lämpligare, typ "social skills tips och trix" "hacka med din sociala kompetens" eller nåt sånt. (Dessvärre saknar de flesta hackers social kompetens, så man förstår verkligen att det behövs en kunskapsbank här..)

Det värsta är att denna metod fungerar skrämmande bra.

Jag har bland annat fått fram lösenord och andra mycket känsliga uppgifter genom vanliga telefonsamtal...

Å andra sidan så har jag inga större problem med att ljuga i telefon, och stakar mig inte, tvekar inte och är astrevlig.

Säkert den trevligaste person de talat med den dagen.

Jag erkänner, jag ÄR en ond person...

Det bästa vid namnpresentation är att INTE välja ett vanligt Svenssonnamn, utan som jag som är kvinna;

Johanna Eriksson-Amundsen eller något liknande...

Dubbelnamn inger förtroende, och är det inte jättevanligt, så ökar det trovärdigheten något enormt enligt mina erfarenheter.

Dessutom, bestäm en arbetsplats där ni arbetar, gärna ett stort företag typ Ericsson eller så, presentera er med valfri titel, revisor eller något annat.

Ingen jättehög position, utan bara en mellanknegare.

Mig skulle du inte lura. Vem f*n uppger lösenord via telefon? Ok, jag fattar att det finns såna människor men dom flesta berättar inte. Fast du verkar trevlig och har stora bröst enligt avataren.

DET vet du aldrig.

Det går superbra att presentera sig som tekniker från vederbörandes webbhotell också.

För att inte tala om att man går till företaget man är intresserad av, och tar direktkontakt med deras webansvariga (via receptionen), som oftast suger i IT-kunskap.

( Testat en gång, gick utmärkt. )

Teoretiskt naturligtvis...

Jo.


Möjligt.



En gång? Ok ...

Jag har inte pluggat sociologi, men du har så rätt. Dock skulle jag säga att jag är inte helt fel ute... http://sv.wikipedia.org/wiki/Social_ingenj%C3%B6rskonst

Och "Socal engineering" är precis vad jag är ute efter, men hur kul är det att översätta till "sociala tips och trix"? Det låter som jag är totalt missanpassad och kan inte röra mig alls i sociala sammanhang, utan behöver hjälp när jag ska utanför dörren på lägenheten för att gå på krogen.

Sen skulle jag inte säga att hackers saknar social kompetens utan de har nog ett stort socialt liv, men kanske inte enligt definition. Se bara på evenemang som Defcon eller Dreamhack.

StorMamma, det är precis det jag vill höra om. Så om jag t.ex. får reda på vilken ISP mitt offer har skulle jag kunna använda det på ett för mig fördelaktigt vis?

Vad behöver man ha klart för sig, skriver man ett manus som stöd? Är det ide att gå igenom ett samtal med en kompis innan för att öva sig, eller kommer troligtvis inte samtalet utvecklas så iallafall? Hur skyddar man sig vid telefonsamtal?

Träna på en kompis om du är ovan, själv har jag gått teaterlinje under X antal år.
Jag bytté också utseeende, strikt dräkt ( Kavaj och kjol och håret i en strikt knut.)

Det bästa är om du har en kontantkortsmobil, köpt kontant så att den inte går att spåra, och INTE dölja numret. Att dölja det, skapar bara misstankar.

Det är lätt att printa snygga visitkort med "företagslogga" och dels äkta nummer till företagets växelm sedan ditt fulmobilnummer.

Med litet fantasi kommer man långt. Faktiskt.

Därför att folk är mer på sin vakt online, men inte via telesamtal eller besök.

Min sak gällde att hämnas ordentligt, och det gjorde jag också...

( Teoretiskt...)