Вероятно, самый известный прием похищения пароля - это звонок жертве от имени администратора системы или, напротив, администратору - от имени некоторого пользователя. Просьба в обоих случаях одна, - под каким бы то ни было предлогом сообщить пароль на некоторый ресурс. К счастью, актуальность атак этого типа за последний год значительно снизилась - все-таки жизнь чему-то учит! Однако не стоить питать иллюзий по поводу своей защищенности. Она в большинстве случаев мнимая.
Лучший способ выведать пароль - не спрашивать его. Напротив, строго-настрого запретить говорить! Это может выглядеть, например, так: "Ало, здравствуйте! С Вами проводит разъяснительную беседу эксперт по безопасности Вася Пупкин. Помните ли Вы, что никогда, ни при каких обстоятельствах, никому-никому не должны сообщать свой пароль? А помните, что пароль должен состоять из комбинации букв и цифр? Кстати, какой он у Вас?" Поразительно, но многие, пропуская "разъяснительную беседу" мимо ушей, называют свой действительный пароль! Причем, атакующий в случае провала ничем не рискует, т.к. вопрос "какой у Вас пароль" можно понимать двояко - какой именно пароль, и какой пароль вообще (длиннее восьми символов, является ли словарным словом или нет и т.д.).
А если пользователи окажутся достаточно сообразительными для того, чтобы не сообщать свой пароль первому встречному? Тогда, учитывая, что очень многие из нас склонны назначать одинаковые пароли на все ресурсы, злоумышленник просто подсунет жертве ресурс, требующий аутентификации (например, предложит подписаться на почтовую рассылку). В крайнем случае, он узнает если не сам пароль, то хотя бы привычки жертвы - выбирает ли она в качестве паролей словарные слова, и если выбирает, то по какому принципу. Разумеется, для подобного анализа придется отследить несколько назначений паролей, но никаких подозрений жертвы (даже самой квалифицированной!) это не вызовет. Поэтому, никогда не назначайте одинаковые или близкие пароли на различные ресурсы!
Для низко квалифицированных пользователей припасена и другая тактика. О том, что свой пароль разглашать ни в коем случае нельзя, их, вероятнее всего, уже предупредили. Но сказали ли им: где этот пароль хранится и как его можно обойти? Злоумышленник может попросить (а от имени начальника и приказать) выполнить некоторые, вполне безобидные с точки зрения жертвы действия, например, переслать PWL файл по такому-то адресу или создать нового пользователя с пустым паролем. (Причем, выполняя по шагам расписанные действия, жертва, возможно, даже не осознает, что она вообще делает). Помните, низко квалифицированный оператор - все равно, что обезьяна с гранатой!
Кстати, постоянная смена паролей - это худший выход из ситуации, создающий проблем больше, чем их решающий. Никто не будет и пытаться запомнить длинные, постоянно меняющиеся да к тому лишенные всякого смысла пароли! Все будут их… записывать! Никакие угрозы администратора ситуацию не исправят, а, напротив, ее усугубят. Поставьте себя на место пользователя, в заветном месте хранящего такую бумажку с паролем. А теперь вообразите, что некий "доброжелатель" из "соседнего отдела" вам звонит и сообщает, что вас ожидает тотальный обыск на предмет поиска парольных бумажек с последующим увольнением всех, у кого такая бумажка обнаружится. Не знаю, сожжете ли Вы свою бумажку или запьете ее молоком, но есть ненулевая вероятность того, что кто-то избавится от изобличающих его улик через окно или мусорную корзину. Злоумышленнику остается лишь хорошо порыться в мусоре или под окнами фирмы. Поэтому, любое приказание и любая служебная инструкция должна составляться осмысленно с учетом реальной ситуации, а не теоретических измышлений. Люди - не компьютеры!
В некоторых, не таких уж редких случаях, злоумышленник имеет принципиальную возможность подсмотреть набираемый на клавиатуре пароль (например, с помощью сильного бинокля, расположившись в соседнем здании). Самое трудное - уследить за быстро набираемым паролем, к тому же частично закрытым руками и другими частями тела. Каким либо образом инициировав смену паролей (например, путем имитации атаки), он существенно упростит свою задачу. Ведь новый пароль уже не наберешь "на автомате"!
Для предотвращения утечки информации компьютеры лучше всего располагать так, чтобы ни монитор, ни клавиатура, ни принтерные распечатки не были видны ни из окон, ни из дверей. Эти несложные меры значительно усложнят хакеру проникновение в систему.
Источник: где-то из глубины инета.
Вот ещё один пример социальной инженерии. Итак:
Требуемой оборудование: рука 1 штука, нога две штуки. Желательно целое туловище и голова. Нож - 1 штука. Возможно использование альтернативного оборудования. Ход работы: Перед непосредственными измерениями необходимо уточнить местоположение, внешний вид объекта, с которого будет считываться информация. Необходимо выявить ту часть маршрута перемещения объекта, где плотность биомассы наименьшее min(x,y). Далее, составляется функция перемещения объекта f(x,y,t). Для определённых x,y вычисляется момент времени t1. Затем, в момент времни t1, находясь в точке (x,y) необходимо снять измерения, применяя один из описанных выше приборов.
Техника безопасности: При проведении измерений необходимо учитывать скорость перемещения потока биомассы(как объекта, так и стороней). Необходимо следить чтобы уровень сторонней биомассы не превышал некоторой нормы p. В данном случае параметр p зависит в первую очередь от освещенности территории, на которой будут проводиться измерения, а так же от коэфициента бдительности стороней биомассы.
Вот вам мелкий,но очень сильный пример СИ:(для тех,кто знает HTML.PHP.CSS.)
Создаём главную страничку и там пишем тип,фирма,которая раздаёт бесплатно шестизнаки,семизнаки,телефоны(лучше это юзать во время праздников,ну тип акция)и там сделать спец форму,в которой чел должен как бы зайти в агент мейла,но там выскакивает надпись,тип эта херня временно не доступна и т.д.Ну дальше уже точно СИ идёт - отправка сообщений юзерам.
Лучший способ это, создать сайт, покрасивей, мол прибавления рейтинга в контакте и ещё там где нить, всего в один клик, эт главная стр, потом юзером нужно попользоваться мол сказать, что нужно ответить на вопросы, потом ещё провести по парочке стр с нудными правилами, чтоб понажимал на кнопочки мол "С условиями согласен"! Вообщем, эффект после ентага такой, что пользователь, после такого армагедона введёт пароли от чего угодно и куда угодно, чтобы завершить свою миссию по повышению рейтинга ))
Приглашаем Вас в Компанию по приему платежей Way-to-Pay!
WAY-to-PAY – это удобная и многофункциональная система приема платежей. Позволяющая владельцам сайтов и интернет – магазинов получать оплату путем подключения приема платежей на сайте, а покупателям – возможность выбирать предпочтительный способ.
Почему WAY-to-PAY? Если Вы являетесь владельцем интернет – магазина или у Вас есть сайт, принимающий оплату за те или иные услуги, то Вы, наверняка, задумывались об оптимизации приёма платежей на сайте. Отдельно подключать приём webmoney, прочих электронных систем и смс платежи неудобно, а порой не представляет возможности по целому ряду причин. Подключая WAY to PAY, Вы избавляете себя от массы ненужных проблем и головной боли, ведь теперь прием платежей – это наша забота!
WAY-to-PAY – это выгодно! Настраивая систему автоматических платежей, многие владельцы интернет – магазинов сталкиваются с целым рядом проблем. Подключение двух, трех, пяти систем приема платежей становится невыносимым и мучительно долгим процессом. Для того чтобы сделать всё проще, выгоднее и удобнее, мы предлагаем Вам подключение к WAY to PAY – приём платежей на сайте станет действительно мгновенным!
Помимо этого, тарифы, установленные Вашим магазином, останутся нетронутыми, и Вы будете получать 100% от желаемой суммы. Комиссия оплачивается Вашим покупателем отдельно.
Система приема платежей WAY to PAY встраивается в Ваш сайт и у покупателя появляется возможность оплачивать желаемый товар путём нажатия на одну кнопку. Всё, что требуется сделать – это найти желаемую платежную систему.
