Kategorie: Hacking

Sociotechnika v reálném životě, true story

Stačí mít u sebe telefon a pohybovat se na chatu, facebooku nebo kdekoliv mezi lidmi, o kterých si myslíte, že je znáte. Pravdivý příběh o pokusu okrást. Nicméně podvodník byl spíše k smíchu...

Sociotechnika, m-platba

Autor: KdoSiOdJinud | Vydáno: 30.10.2011 1:20 | Přečteno: 30720x | Komentářů: 0

Úvod do situace

Nedávno se mi kamarád pochlubil, že se ho někdo pokusil okrást. Podíval jsem se na způsob, jakým se o to dotyčný/á pokusil a po kamarádově svolení se rozdělím o poznatky s vámi.

Vše začalo, když napsala neznámá dívka - měla společné přátele a tak se zdála důvěryhodná. (první fail ze strany uživatele)

Facebook chat s podvodníkem

V první fázi si podvodník jen oťukává, kdo si ho přidá do přátel a kdo nikoliv. Buduje si tím síť ve vašem okolí a stává se tak pro tuto skupiny důvěryhodnějším. Všimněte si datumu, kdy chat probíhal. To, že něco není v pořádku nám může napovědět i samotný profil útočníka. Viz. obrázek a velké množství nových přátel za poslední čas.


Fake profil [link]

Celý rozhovor začíná většinou známou frází.

Konverzace s podvodníkem

Nyní útočník položí rovnou žádost, nevybudoval si žádnou vazbu v důvěře (až na společné přátele je cizí), také na to brzy narazí.

Konverzace s podvodníkem

Letmé odůvodnění prosby a kamarád se jako gentelman podvoluje, a souhlasí s výpomocí. Roli tu sehrál profil fb, kde ho slečna zajisté "okouzlila" :-) Bohužel pro útočníka, nevybudování důvěry se mu vrací právě teď.

Konverzace s podvodníkem

...co se nestalo, podvodník byl na reakci připraven a zahrál ji do autu. Nicméně je nervozní a hlavně NETRPĚLIVÝ. V jedné vteřině, co Vojta poslal číslo, útočník naléhal - naléhání přímou otázkou je nepříjemné každému. Proto padlo větší podezření a následně příchozí sms s textem:

Vážený zákazníku,
jednorázové heslo pro
vstup do platební
brány služby m-platba
je *********.
Váš T-Mobile
Konverzace s podvodníkem

Číslo odesílatele kodu je 3457, v telefoním čísle tedy není informace o tom, kolik bude platba stát. Jedinné malé štěstí je zmínka o m-platbě v sms. To se útočník snaží vysvětlit dále, celou situaci také staví do časového presu. Je netrpělivý a k tomu velice neschopný sociotechnik, protože techniky vyjadřování, které používá jsou jak vystřižené z konfliktní příručky amerického taxikáře :)

Konverzace s podvodníkem Konverzace s podvodníkem

Teď už se zdá celý rozhovor u konce, Vojta si vyhledal m-platbu, zjistil rizika a nehodlá spolupracovat. I méně inteligentní člověk, co by se snažil tvořit síť fake profilu a zneužívat sociálního inženýrství, by nyní rozhovor ukončil, udělal ze sebe malinkou chudinku aby nechal vrátka pro další rozhovor a spokojeně by odešel z chatu. Náš útočník ovšem musel dokázat, že on je ten pán a vydat ze sebe poslední slzy zoufalství...

Konverzace s podvodníkem

Tímto rozhovor končí, útočník dává Vojtův profil do ignorlistu (nic nám nebrání se kouknout z jiného profilu) a zkouší to na další. Brzy se dozvídám od dalších přátel, že Vojta nebyl jedinný.

Útok z pohledu útočníka

Způsob, jak útočník může tento způsob m-platby zneužít je prostý. Ukážeme si to třeba na portále bwin.com

  • Po přihlášení na svůj účet bwin.com si útočník zvolí dobytí kreditu pomocí m-platby
  • Následně je přesměrován na zadání svého telefonního čísla, zadá číslo oběti.
  • Po zjištění kodu od oběti se přihlašuje a autorizuje platbu. Oběť pak jen zírá na sms s informací, za kolik právě nakoupila. M-platba poskytuje platby v rozmezí 100 až 666kč

Závěrem

Trošku schopnější podvodník, vás takto může obrat poměrně snadno. Klíčovými situacemi pro naší ochranu tu je osobní známost s člověkem, kterému chceme pomoci a následně relativně dobře sepsaná sms od t-mobilu, kde je zmíněno slovo platba :-) Co se týče časového pressu a toho, že jste poslední naděje: dejte si čas, vždyť vás nic nepálí...UPOZORŇUJI, že sociotechnika je uvádění někoho v omyl. Takové jednání je postihnutelné! Dále bych chtěl zdůraznit, že náš podvodník si mohl stáhnout fotografii kdekoliv, stejně tak vzít číkoliv jméno. Osoba na fotce nemá s největší pravděpodobností ani tušení, k čemu byla ona fotka využita.

Komentáře rss

Pokud hledáte službu či máte dotaz mimo téma článku, využijte prosím sekci Nabídky / poptávky.


Nebyly přidány žádné komentáře.