Få en patch mod fejl 40 – Social Engineering

Bye

I aftes var jeg på indkøb, og så fik jeg også benzin på bilen. Det var på sådan et fint supermarked med en del benzintanke, som var fint sat op på rad og række. De var ubemandede, eftersom man betaler med Visa. Idet jeg kiggede på damen ved pumpen over for min, kunne jeg se, at hun satte sit kort i.

Det var Carrefour-kortet. Carrefour er en stor supermarkedkæde, og de har deres eget kortsystem, som man kan bruge til at betale (i deres supermarked) med, sådan lige som en slags Magasin-kort eller Lyngby Storcenter-kort eller sådan noget. Det har den fordel, at man selv kan vælge pinkoden til kortet.

Damen indsatte sit kort, valgte 95 oktan og tastede koden ind. 1412 var koden.

Tastaturet er beskyttet på siderne, men ikke spor beskyttet, når man står lige overfor. Faktisk lige som på Dankort-automater i butikkerne, hvis du ser godt efter. Står man tæt nok på den anden, eller er man høj nok, så …

Jeg kunne ikke se selve tallene, men jeg kunne se, hvor hun tastede, og jeg kunne se, hvad det svarede til på mit tastatur. Da det var et tal, hun selv havde valgt, er der en stor sandsynlighed for, at der er tale om en fødselsdato: 14/12, og at denne kode bliver brugt mange andre steder, hvor hun selv kan vælge kode.

Det er dér, Social Engineering kommer inde i spillet. Social Engineering er at finde til folks systemer, koder, ved at lære dem at kende. Og det er, rent faktisk, meget nemmere end du tror.

Jeg læste et sted: “Jeg er specialist i Social Engineering, fordi der ikke findes nogen patch mod menneskets dumhed.”

Jeg er til dels enig i det udsagn, med den forskel, at man altid kan undervise folk i at lade være med at dumme sig på denne måde.

Jeg vil vise her, med ægte eksempler, ud over det, jeg lige har fortalt om, hvor nemt det kan være. Det er ikke mig, der har gjort det, men en anden person, og vedkommende havde fået lov af chefen i firmaet. Ingen andre vidste noget.

Jeg vil minde dig om, hvis du kunne tænke dig at gøre det samme, at det er vigtigt, at du får skriftlig tilladelse af firmaets ansvarlige, før du leger med den slags, da Social Engineering er forbudt ved lov.

Det er nemligt ulovligt at få oplysninger ud af folk ved at lade som om, at man er en anden person: Bedrageri hedder det, og det takseres ret hårdt.

Kontakt pr. telefon
Før man kan gå i gang med Social Engineering, skal man kende lidt til firmaet: navnet på de ansvarlige samt telefonnumre, naturligvis. Men heldigvis er der internettet, og langt de fleste firmaer har en side, hvorpå disse oplysninger fremgår. Hvis man skal finde navnet på den systemansvarlige, kan en whois hjælpe godt til, for det står som regel registreret (men okay, det kan, strengt taget, undværes).

Så begynder man arbejdet

Første telefonopkald
Piraten ringer til firmaet:

Pirat: Goddag, jeg er Jonas Mikkelsen fra Dell, kan jeg komme i kontakt med xx, jeres systemansvarlige?

(…)

Ansvarlig: Ja?

Pirat: Goddag, jeg er Jonas Mikkelse fra Dell Enterprise, vi har et nyt produkt, en ny server, til en ganske spændende pris, kunne du tænke dig, at vi mødtes, så vi kan se på det?

Ansvarlig: Nej tak. Vi arbejder med IBM og har i øvrigt ikke i tanker om at købe noget nyt lige foreløbigt. Men du kan faxe dine oplysninger på xxxx. Farvel.

Pirat: Tak, det skal jeg nok, farvel.

Fint … Så ved piraten nu, hvilket materiel firmaet bruger.

Næste etape.

Tillidsforholdet
Der er gået ca. en uge. Telefonen ringer i firmaet:

Sekretæren: Firma XXX, goddag, hvad kan jeg hjælpe dig med?

Pirat: Goddag, jeg er Jonas Mikkelsen fra IBM. Jeg har overtaget min kollegas dossier, han er blevet forflyttet, og jeg vil gerne bestille en tid med xx, jeres systemansvarlige, for at snakke om edb-anlægget, og så at vi kan mødes og lære hinanden at kende lidt. Hvornår kan jeg komme?

Sekretæren: Lige et øjeblik, jeg finder ud af det. (…) Du kan komme næste uge, undtagen tirsdag eller torsdag morgen, da er han ikke til stede.

Pirat: Okidoki. Jeg kommer fredag morgen kl. 10:00, er det i orden?

Sekretæren: Ja, det er det. Det er noteret. Farvel igen.

Indtil nu er alt gået rimelig godt og nemt til. Målet var at vide, hvornår den systemansvarlige ikke var til stede. Hvis sekretæren havde sendt samtalen videre til den ansvarlige, så var der bare om at finde ud af det med ham direkte.

Hvis man hører efter, hvad folk siger, så er det imponerende, hvor mange oplysninger de giver. De er så vant, til at man ikke lytter alligevel.

Jo bedre manipulatøren er til at lytte, og jo mere han lader til at lade som om, at der er tale om business, desto nemmere er det at komme igennem med uhyre meget. Det er nemt at få folks tillid, når de ingen grund har til at passe på.

Bede om hjælp
Tirdagen ugen efter, som du nu kan huske, er den systemansvarlige der ikke. Vi lader telefonen ringe:

Sekretæren: Firma XXX, goddag, hvad kan jeg hjælpe dig med?

Pirat: Goddag, det er Jonas Mikkelse fra IBM, jeg skal komme her fredag, og jeg vil gerne tale med xx, jeres systemansvarlige.

Sekretæren: Beklager, men han er her ikke her til morgen, kan du ringe igen i morgen?

(Pyha! Han er der ikke!)

Pirat: Det er meget vigtigt, jeg skal sende ham et dokument og en .exe-fil, kan jeg sende det til dig pr. mail?

Sekretæren: Ja, naturligvis.

Pirat: Du må meget undskylde for alt det besvær, men siden jeg skal sende dig en exe-fil, så skal du have slået din antivirus fra, ellers får vi problemer med det.

Sekretæren: Okay, det gør jeg, hvis du bare lige forklarer mig, hvad der skal gøres.

… hvilket blev forklaret.

Sekretæren slog antivirusen fra og startede exe-filen, og piraten havde fuld adgang til hendes maskine.

Mailen blev sendt fra e-mail-adressen j-mikkelsen@ibm.dk, som ikke eksiterer, så man skal ikke forvente et svar derfra.

Husk, at en pirat vil kontakte dig højst sandsynligt pr. telefon. Det er den nemmeste teknik. Hans mål er at få så mange oplysninger så hurtigt som muligt. En god pirat vil have forberedt den rolle, han skal spille, stemmen og tonen vil være meget ægte og overbevisende. Nogle pirater går så langt, så de har en CD eller MP3, der kører i baggrunden med lyde fra et kontor.

Husk, at manipulatørerne er som regel behagelige personer. De tænker hurtigt og godt. De ved, hvordan man afbryder offeret, så at man kan stille det rigtige spørgsmål på det rigtige tidspunkt og få fat i et hav af oplysninger.

Det er forbavsende, hvor let det kan gå.

Bare roligt, dog, det virker ikke lige godt hver gang, men uheldigvis, så virker det godt det meste af tiden, og hvis piraten ikke er venligsindet og gør det i samarbejde med chefen, som det blev gjort her, så kan følgerne være katastrofale.

Hvis personalet i firmaet ikke er oplært i Social Engineering, så er alle antiviruser og firewalls omsonste og spild af penge.

Her så vi lige to små teknikker, men der er et hav af dem. Nok til en hel bog for at forklare det hele. Derfor er det meget fornuftigt ikke at overse den menneskelige faktor, som er det svage link af mangen et system.

Grundreglen er derfor at forblive opvakt og uddanne personnalet.

Du kan læse om flere teknikker i bogen: Fejl 40 – Psykologien bag hacking, som du finder her.

Save

Save

Click Here to Leave a Comment Below 0 comments

Leave a Reply:

Copyright 2016 by Hackademi - Malka