Настройки компьютера и операционной системы

         

Мистификация


В этой статье я расскажу о компьютерных методах обмана (в частности подмена IP-адресов, отправка анонимной почты и т.д.). Нужно это для того, чтобы выдать себя за другого и, следовательно, получить доступ к системе.

Типы мистификации:

- Подмена IP-адреса. Хакер использует IP-адрес другой машины (которая имеет доступ к цели хакера)

- Обман с помощью подделки идентификации личности – мистификация с помощью Web(на коммерческих сайтах). На коммерческих сайтах всегда используют идентификацию личности (т.е. Login и пароль), которые записываются в файлы cookies. Можно выдать себя за другого спомощью этих cookies или другим способом(см.ниже)

- Подделка адреса отправителя электронной почты. Любимый способ выдачи себя за другого.

- Социальная инженерия. Здесь без всяких компьютеров хакеру нужно выдать себя за другого (например, при разговоре по телефону).

ПОДМЕНА IP-АДРЕСА.

Подмена адреса заключается в том, что взломщик изменяет IP-адрес своего компа таким образом, чтобы его машину считали какой-то другой. Но не всё так легко, компьютер жертвы отвечает только машине с IP-адресом, который был подменён, а не машине хакера. Таким образом, взломщик будет отправлять пакеты жертве, а ответов от неё получать не будет ?. Но хакер может вклиниться между двумя машинами и получать сообщения обеих машин.

Чтобы изменить свой IP – адрес(Windows):

Хоть толку с этого и мало, но при DoS – атаках может помочь (т.к. с фальсифицированным IP-адресом злоумышленника найти сложнее). Кроме того, в соответствии с протоколом TCP-IP, связь устанавливается в три этапа. И поэтому комп жертвы будет “общаться” только с машиной, чей IP-адрес был подменён.

1. Открываем Пуск -> Настройка -> Панель управления.

2. Выбираем Сеть.

3. Выбираем пункт TCP-IP -> После этого откроется окно IP-адрес.



4. Там взломщик должен выбрать “Назначить IP-адрес” и ввести нужный IP.

Для Unix/Linux:

Пишем ifconfig eth0 x.x.x.x

(x.x.x.x – нужный адрес).

МИСТИФИКАЦИЯ С ПОМОЩЬЮ WEB

Здесь есть множество способов.


Например, вы видели, что при посещении некоторых адресов URL выглядит вот так:

http://www.xxx.ru/order/id=911199

Это означает, что вы пользователь с индификатором сеанса 911199. Если угадать номер другого сеанса, то можно вклиниться в активный сеанс.

Далее, когда кто-нибудь вводит свой логин и пароль на сайте, то они(логин и пароль) записываются в файлы cookie, чтобы в при следующем посещении можно было не вводить свои данные. Фишка в том, что можно угадать эти cookie (при многократном посещении) или просто своровать их у пользователя.

Существует ещё множество способов мистификации при помощи WEB(например, выдача своего сайта за сайт крупной банковской компании, т.е. у них сайт www.superbank.xxx.ru, а вы создадите www.sperbank.xxx.ru , то довольно много пользователей придут к вам и введут свои номера кредиток ;-)), но объёмы не позволяют описать всё...

ПОДДЕЛКА АДРЕСА ОТПРАВИТЕЛЯ ЭЛЕКТРОННОЙ ПОЧТЫ

Любимый способ, например, вы знаете, что в компанию наняли нового сотрудника с емэйлом ivan@company.ru. Можно отправить письмо начальнику компании (с емэйлом boss@comapny.ru) с текстом (предварительно создав почтовый аккаунт ivam@company.ru):

“Ля-лялялял (вы дурите босса жалобными словами) не могли бы вы мне ещё раз повторить мой логин и пароль... “

Если босс не заметить фальши (между ivan и ivam), то может и откликнется.

Для подделки почты используют AnonimityMail, Plasma или обычный клиент(типа Bat), но с заранее подменённым адресом.

СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ

Вот здесь нужно постараться (комп вам не поможет). Если вы ходили на актёрские курсы, то вам повезло?. Заключается социнженерия вот в чём: вы звоните в компанию, уверяете что вы их сотрудник, и они отдают вам логин с паролем ;-). Этому искусству посвящено множество книг, я же дам несколько советов:

1. Будьте вежливы ( ну это естественно).

2. Не будьте слишком умными и слишком тупыми (а то могут неладное заподозрить) .

3. Не употребляйте слова админ(а употребляйте администратор), комп (- употребляёте компьютер),

юзер (пользователь) и т.п.

4. Желательно, чтобы вы сидели рядом с компьютером (чтобы ваш собеседник слышал как вы стучите по клаве).

5. Найдите слабое место собеседника (футбол, лети и др.)

Ну вот вроде и всё. Удачи!

Дата: 4.11.2003

Источник: HackZona


Содержание раздела