Настройки компьютера и операционной системы
Мистификация
В этой статье я расскажу о компьютерных методах обмана (в частности подмена IP-адресов, отправка анонимной почты и т.д.). Нужно это для того, чтобы выдать себя за другого и, следовательно, получить доступ к системе.
Типы мистификации:
- Подмена IP-адреса. Хакер использует IP-адрес другой машины (которая имеет доступ к цели хакера)
- Обман с помощью подделки идентификации личности – мистификация с помощью Web(на коммерческих сайтах). На коммерческих сайтах всегда используют идентификацию личности (т.е. Login и пароль), которые записываются в файлы cookies. Можно выдать себя за другого спомощью этих cookies или другим способом(см.ниже)
- Подделка адреса отправителя электронной почты. Любимый способ выдачи себя за другого.
- Социальная инженерия. Здесь без всяких компьютеров хакеру нужно выдать себя за другого (например, при разговоре по телефону).
ПОДМЕНА IP-АДРЕСА.
Подмена адреса заключается в том, что взломщик изменяет IP-адрес своего компа таким образом, чтобы его машину считали какой-то другой. Но не всё так легко, компьютер жертвы отвечает только машине с IP-адресом, который был подменён, а не машине хакера. Таким образом, взломщик будет отправлять пакеты жертве, а ответов от неё получать не будет ?. Но хакер может вклиниться между двумя машинами и получать сообщения обеих машин.
Чтобы изменить свой IP – адрес(Windows):
Хоть толку с этого и мало, но при DoS – атаках может помочь (т.к. с фальсифицированным IP-адресом злоумышленника найти сложнее). Кроме того, в соответствии с протоколом TCP-IP, связь устанавливается в три этапа. И поэтому комп жертвы будет “общаться” только с машиной, чей IP-адрес был подменён.
1. Открываем Пуск -> Настройка -> Панель управления.
2. Выбираем Сеть.
3. Выбираем пункт TCP-IP -> После этого откроется окно IP-адрес.
4. Там взломщик должен выбрать “Назначить IP-адрес” и ввести нужный IP.
Для Unix/Linux:
Пишем ifconfig eth0 x.x.x.x
(x.x.x.x – нужный адрес).
МИСТИФИКАЦИЯ С ПОМОЩЬЮ WEB
Здесь есть множество способов.
Например, вы видели, что при посещении некоторых адресов URL выглядит вот так:
http://www.xxx.ru/order/id=911199
Это означает, что вы пользователь с индификатором сеанса 911199. Если угадать номер другого сеанса, то можно вклиниться в активный сеанс.
Далее, когда кто-нибудь вводит свой логин и пароль на сайте, то они(логин и пароль) записываются в файлы cookie, чтобы в при следующем посещении можно было не вводить свои данные. Фишка в том, что можно угадать эти cookie (при многократном посещении) или просто своровать их у пользователя.
Существует ещё множество способов мистификации при помощи WEB(например, выдача своего сайта за сайт крупной банковской компании, т.е. у них сайт www.superbank.xxx.ru, а вы создадите www.sperbank.xxx.ru , то довольно много пользователей придут к вам и введут свои номера кредиток ;-)), но объёмы не позволяют описать всё...
ПОДДЕЛКА АДРЕСА ОТПРАВИТЕЛЯ ЭЛЕКТРОННОЙ ПОЧТЫ
Любимый способ, например, вы знаете, что в компанию наняли нового сотрудника с емэйлом ivan@company.ru. Можно отправить письмо начальнику компании (с емэйлом boss@comapny.ru) с текстом (предварительно создав почтовый аккаунт ivam@company.ru):
“Ля-лялялял (вы дурите босса жалобными словами) не могли бы вы мне ещё раз повторить мой логин и пароль... “
Если босс не заметить фальши (между ivan и ivam), то может и откликнется.
Для подделки почты используют AnonimityMail, Plasma или обычный клиент(типа Bat), но с заранее подменённым адресом.
СОЦИАЛЬНАЯ ИНЖЕНЕРИЯ
Вот здесь нужно постараться (комп вам не поможет). Если вы ходили на актёрские курсы, то вам повезло?. Заключается социнженерия вот в чём: вы звоните в компанию, уверяете что вы их сотрудник, и они отдают вам логин с паролем ;-). Этому искусству посвящено множество книг, я же дам несколько советов:
1. Будьте вежливы ( ну это естественно).
2. Не будьте слишком умными и слишком тупыми (а то могут неладное заподозрить) .
3. Не употребляйте слова админ(а употребляйте администратор), комп (- употребляёте компьютер),
юзер (пользователь) и т.п.
4. Желательно, чтобы вы сидели рядом с компьютером (чтобы ваш собеседник слышал как вы стучите по клаве).
5. Найдите слабое место собеседника (футбол, лети и др.)
Ну вот вроде и всё. Удачи!
Дата: 4.11.2003
Источник: HackZona
