- Регистрация
- 23 Янв 2019
- Сообщения
- 1,351
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
В чем суть?
Фишка данной схемы заключается в том, что мы будем впаривать жертве зараженный файл и угонять таким образом электронные кошельки (такие как киви, вебмани и прочие).
Казалось бы, это достаточно просто. Сделать емейл рассылку или смс рассылку и грести бабки. Но не совсем так. Нет ничего лучше точечной и грамотной атаки.
Так вот, товарищи, фишка заключается в чём. Первым делом, нам нужно что?Правильно, найти такую жертву... теперь нужно взять и подумать, где они могут тусоваться...
Правильно, товарищи, они тусуются на форумах типа зисмо, ммгп или на сайтах типа Free-lance.ru. Есть множество подобных ресурсов, вы можете загуглить и не задрачивать эти три сайта. Ведь на них рано или поздно появятся треды типа "Не попадитесь, есть недобросовестный заказчик".
Что же нам потребуется для успешной атаки?
Так вот, изначально я вам уже сказал про белые форумы и сайты фрилансеров. И сказал я это вам, конечно же, не зря. Ведь именно там мы будем заниматься поиском наших жертв с целью дальнейшего их обрабатывания.
Если вы будете работать по форумам, то вам будет очень желательно либо купить хороший прокачанный профиль, либо же зарегистрировать самому и набить постов (и дать отлежаться).
Почему? Да потому, что такова психология. Любой практик социальной инженерии вам скажет, что чем прокачанней профиль на форуме (дата регистрации, количество постов, etc), тем больше к такому аккаунту возникает доверия. А свежий же аккаунт без активности определяется подсознанием как заведомо тревожный. Какие бы он условия не предлагал и как бы не лил на уши, но он всё равно тревожный. А рубаха-парень, который давно сидит, и активно общается, доверия вызывает куда больше.
Если же вы будете работать по сайтам фрилансеров, вам как минимум потребуется хороший аккаунт работодателя. И тут снова два варианта: либо вы покупаете подобный аккаунт, либо же прокачиваете свой. А именно регистрируете аккаунт работодателя, делаете несколько аккаунтов исполнителей и даёте сами себе работу. Затем друг другу пишете хвалебные отзывы, тем самым прокачивая профиль. Ведь на подобных сайтах точно так же с тревожностью относятся к ноунеймам - помните это.
И да, не нужно забивать на подготовку. Подготовка - 90% вашего успеха. Прокачивайте аккаунты до тех пор, пока вы сами себе не скажете "Ну куда ж ещё больше то?".
Затем, берем любую небольшую малопопулярную флеш игру, и склеиваем с нашим ратником. Проверяем антивирусами (не вздумайте загружать на вирустотал), и проверяем, чтобы ратник не бился по базам.
Итак, допустим, с аккаунтами у вас всё готово. И с ратником тоже. Есть внушающие доверия профили.
Теперь нам нужно найти нашу жертву.
Наша жертва будет фрилансером, который будет брать у нас заказ и выполнять его.
Возьмём, например, категорию программистов.
Пару слов отступления
Вот вы все думаете, что все программисты очень умные люди, но на самом деле это далеко не так, и объясню, почему.
Взять, к примеру, мото-механика. То, что он соображает в моторах, ещё не значит, что у него не могут свистнуть мотоцикл, правильно? Вот так и тут. Может быть программисты и подкованы в каких-то технических решениях, но они так же, как и обычные люди, полагаются на примитивные антивирусы, и точно так же развешивают уши. Программист - это не пентестер и даже не сисадмин. Программист - это всего лишь человек, который умеет делать программы. А шарит ли он в безопасности или не шарит - вопрос очень даже спорный.
Потому хочу вам дать совет. Первая заповедь человека, занимающегося социальной инженерией - НЕ БОЙТЕСЬ СВОИХ ЖЕРТВ!
Но с другой стороны и не нужно думать, что они глупее вас. Недооценил противника - прогрел. Так ещё Сунь Цзы говорил. Просто не бойтесь вешать лапшу на уши, в страхе, что вас раскусят. Поверьте мне, наебать можно любого.
Так вот, товарищи. Зашли мы в категорию программистов. Опять же, программисты, как правило, это люди, у которых всегда есть звонкая монета на кошельках.
Выписываем себе списочек и начинаем всем писать по контактам примерно следующее:
"Привет. Я хотел бы у тебя заказать написание мини-игры. Пообщаемся?".
Пара моментов
Момент номер раз.
Пишите грамотно. В случае, если вы пишете без ошибок, вас автоматически воспринимают как солидного человека, у которого и деньги есть, и всё у него пучком.
Не нужно писать "прив бро сделаешь игрулю?". Напишете так и будете в глазах программиста школьником.
Момент номер два.
Исходит из момента номер один. Знаете, что нельзя никогда изменить?Правильно. Первое впечатление о себе. И потому не запорите первое впечатление. Каким покажетесь - таким в подсознании и останетесь.
Итак, нам потихонечку начали отвечать программисты с репликами "Да, привет, чё там?".
И вот тут самое интересное. Нам нужно заставить открыть на компе вредоносный файл. Как это сделать? Смотрим далее. Ничего мы впаривать, конечно, не будем, нам нужно сделать так, что бы жертва САМА попросила файл.
Открываем нашу игру, немного играем, и начинаем детально описывать функционал игры программисту:
"Так мол и так, слева должны быть такие вот кнопочки, справа такие, интерфейс такой-то", и так далее.
Мы должны спровоцировать следующий вопрос:
"А у тебя есть образец игры?".
То есть, чтобы спровоцировать этот вопрос, нам нужно дать понять, что он у нас есть.
НИ В КОЕМ СЛУЧАЕ НЕ ГОВОРИТЕ ПРОГРАММИСТУ: "Хочешь я дам тебе образец, с него игру сделаешь".
НИ К КОЕМ СЛУЧАЕ!
Если вы так скажете, для программиста это УЖЕ будет тревожный звоночек, и вы будете ненадежным пассажиром, который хочет впарить файл. Программист сам должен решить, что он хочет открыть игру и посмотреть.
В случае, если программист тугой - делаем скрины нашей игры и отправляем ему, говорим "Вот хочу как тут, но другого цвета кнопочки".
Это обычно провоцирует просьбу "Ты мне голову не еби, дай мне лучше саму игру и всё".
Итак, жертва скачала файл, запустила. И вуаля, у нас есть отстук в нашей админке ратника. Компьютер заражен.
Итак, что же можно сделать?
Во-первых, можно тупо перехватить управление компом и слить все бабки, что у него есть. Как правило, переводы с того же киви или яда, которые осуществляются с родного компа, смс подтверждений не требуют. Вебмани кипер, установленный на компе - тоже.
Во-вторых, можно в тихом режиме стянуть все пароли (вытащить из куков), и просто напросто посливать все бабки.
В-третьих, если нам попался жирный персональный аттестат - можно его угнать и набрать кредитов на биржах (это достаточно ёбко, но умные люди, уверен, справятся).
1) Всегда тщательно готовьтесь. Без подготовки любая атака пойдёт насмарку. Не жалейте ни сил, ни денег, ни времени на подготовку. Это залог успеха.
2) Не бойтесь своих жертв. Если вам нужно объебать, например, ФСБшника, то поверьте мне, это реально. Ведь если вы не попробуете - вы точно не наебете. А если попробуете, у вас есть два варианта: успех или поражение. Не бойтесь своих жертв, не нужно их считать самыми умными людьми, которые сразу раскусят обман. А если и раскусят, то и хрен с ними.
3) Не нужно недооценивать свою жертву. Да, бояться не надо, но и недооценивать тоже. Всегда действуйте так, как будто уверены, что ваша жертва во сто крат умнее вас.
4) Если вам нужно заставить жертву что-то сделать, не нужно прямо об этом ей говорить. Сделайте так, чтобы ей самой захотелось это сделать. Это самое эффективное, что можно придумать.
Фишка данной схемы заключается в том, что мы будем впаривать жертве зараженный файл и угонять таким образом электронные кошельки (такие как киви, вебмани и прочие).
Казалось бы, это достаточно просто. Сделать емейл рассылку или смс рассылку и грести бабки. Но не совсем так. Нет ничего лучше точечной и грамотной атаки.
Так вот, товарищи, фишка заключается в чём. Первым делом, нам нужно что?Правильно, найти такую жертву... теперь нужно взять и подумать, где они могут тусоваться...
Правильно, товарищи, они тусуются на форумах типа зисмо, ммгп или на сайтах типа Free-lance.ru. Есть множество подобных ресурсов, вы можете загуглить и не задрачивать эти три сайта. Ведь на них рано или поздно появятся треды типа "Не попадитесь, есть недобросовестный заказчик".
Что же нам потребуется для успешной атаки?
- RATник.Что такое ратник? Ратник - это троян, который позволяет перехватывать контроль над устройством, на котором он запущен. Не скупитесь на деньги, лучше купить хороший.
- Криптор. Криптор - это такая штуковина, которая позволяет вам замаскировать ваш ратник, то есть сделать его невидимым для антивирусных систем. Подробнее можете найти в гугле. Не обязательно покупать криптор, можно просто заказать услуги крипта. Это дешевле даже.
- Джойнер. Джойнер от слова "джоин", то есть "присоединять". Утилита для склейки нашего вируса с любым другим файлом.
- Файл для склейки с вирусом (у нас это будет игра).
Так вот, изначально я вам уже сказал про белые форумы и сайты фрилансеров. И сказал я это вам, конечно же, не зря. Ведь именно там мы будем заниматься поиском наших жертв с целью дальнейшего их обрабатывания.
Если вы будете работать по форумам, то вам будет очень желательно либо купить хороший прокачанный профиль, либо же зарегистрировать самому и набить постов (и дать отлежаться).
Почему? Да потому, что такова психология. Любой практик социальной инженерии вам скажет, что чем прокачанней профиль на форуме (дата регистрации, количество постов, etc), тем больше к такому аккаунту возникает доверия. А свежий же аккаунт без активности определяется подсознанием как заведомо тревожный. Какие бы он условия не предлагал и как бы не лил на уши, но он всё равно тревожный. А рубаха-парень, который давно сидит, и активно общается, доверия вызывает куда больше.
Если же вы будете работать по сайтам фрилансеров, вам как минимум потребуется хороший аккаунт работодателя. И тут снова два варианта: либо вы покупаете подобный аккаунт, либо же прокачиваете свой. А именно регистрируете аккаунт работодателя, делаете несколько аккаунтов исполнителей и даёте сами себе работу. Затем друг другу пишете хвалебные отзывы, тем самым прокачивая профиль. Ведь на подобных сайтах точно так же с тревожностью относятся к ноунеймам - помните это.
И да, не нужно забивать на подготовку. Подготовка - 90% вашего успеха. Прокачивайте аккаунты до тех пор, пока вы сами себе не скажете "Ну куда ж ещё больше то?".
Затем, берем любую небольшую малопопулярную флеш игру, и склеиваем с нашим ратником. Проверяем антивирусами (не вздумайте загружать на вирустотал), и проверяем, чтобы ратник не бился по базам.
Итак, допустим, с аккаунтами у вас всё готово. И с ратником тоже. Есть внушающие доверия профили.
Теперь нам нужно найти нашу жертву.
Наша жертва будет фрилансером, который будет брать у нас заказ и выполнять его.
Возьмём, например, категорию программистов.
Пару слов отступления
Вот вы все думаете, что все программисты очень умные люди, но на самом деле это далеко не так, и объясню, почему.
Взять, к примеру, мото-механика. То, что он соображает в моторах, ещё не значит, что у него не могут свистнуть мотоцикл, правильно? Вот так и тут. Может быть программисты и подкованы в каких-то технических решениях, но они так же, как и обычные люди, полагаются на примитивные антивирусы, и точно так же развешивают уши. Программист - это не пентестер и даже не сисадмин. Программист - это всего лишь человек, который умеет делать программы. А шарит ли он в безопасности или не шарит - вопрос очень даже спорный.
Потому хочу вам дать совет. Первая заповедь человека, занимающегося социальной инженерией - НЕ БОЙТЕСЬ СВОИХ ЖЕРТВ!
Но с другой стороны и не нужно думать, что они глупее вас. Недооценил противника - прогрел. Так ещё Сунь Цзы говорил. Просто не бойтесь вешать лапшу на уши, в страхе, что вас раскусят. Поверьте мне, наебать можно любого.
Так вот, товарищи. Зашли мы в категорию программистов. Опять же, программисты, как правило, это люди, у которых всегда есть звонкая монета на кошельках.
Выписываем себе списочек и начинаем всем писать по контактам примерно следующее:
"Привет. Я хотел бы у тебя заказать написание мини-игры. Пообщаемся?".
Пара моментов
Момент номер раз.
Пишите грамотно. В случае, если вы пишете без ошибок, вас автоматически воспринимают как солидного человека, у которого и деньги есть, и всё у него пучком.
Не нужно писать "прив бро сделаешь игрулю?". Напишете так и будете в глазах программиста школьником.
Момент номер два.
Исходит из момента номер один. Знаете, что нельзя никогда изменить?Правильно. Первое впечатление о себе. И потому не запорите первое впечатление. Каким покажетесь - таким в подсознании и останетесь.
Итак, нам потихонечку начали отвечать программисты с репликами "Да, привет, чё там?".
И вот тут самое интересное. Нам нужно заставить открыть на компе вредоносный файл. Как это сделать? Смотрим далее. Ничего мы впаривать, конечно, не будем, нам нужно сделать так, что бы жертва САМА попросила файл.
Открываем нашу игру, немного играем, и начинаем детально описывать функционал игры программисту:
"Так мол и так, слева должны быть такие вот кнопочки, справа такие, интерфейс такой-то", и так далее.
Мы должны спровоцировать следующий вопрос:
"А у тебя есть образец игры?".
То есть, чтобы спровоцировать этот вопрос, нам нужно дать понять, что он у нас есть.
НИ В КОЕМ СЛУЧАЕ НЕ ГОВОРИТЕ ПРОГРАММИСТУ: "Хочешь я дам тебе образец, с него игру сделаешь".
НИ К КОЕМ СЛУЧАЕ!
Если вы так скажете, для программиста это УЖЕ будет тревожный звоночек, и вы будете ненадежным пассажиром, который хочет впарить файл. Программист сам должен решить, что он хочет открыть игру и посмотреть.
В случае, если программист тугой - делаем скрины нашей игры и отправляем ему, говорим "Вот хочу как тут, но другого цвета кнопочки".
Это обычно провоцирует просьбу "Ты мне голову не еби, дай мне лучше саму игру и всё".
Итак, жертва скачала файл, запустила. И вуаля, у нас есть отстук в нашей админке ратника. Компьютер заражен.
Итак, что же можно сделать?
Во-первых, можно тупо перехватить управление компом и слить все бабки, что у него есть. Как правило, переводы с того же киви или яда, которые осуществляются с родного компа, смс подтверждений не требуют. Вебмани кипер, установленный на компе - тоже.
Во-вторых, можно в тихом режиме стянуть все пароли (вытащить из куков), и просто напросто посливать все бабки.
В-третьих, если нам попался жирный персональный аттестат - можно его угнать и набрать кредитов на биржах (это достаточно ёбко, но умные люди, уверен, справятся).
Какие уроки из этого можно извлечь?
1) Всегда тщательно готовьтесь. Без подготовки любая атака пойдёт насмарку. Не жалейте ни сил, ни денег, ни времени на подготовку. Это залог успеха.
2) Не бойтесь своих жертв. Если вам нужно объебать, например, ФСБшника, то поверьте мне, это реально. Ведь если вы не попробуете - вы точно не наебете. А если попробуете, у вас есть два варианта: успех или поражение. Не бойтесь своих жертв, не нужно их считать самыми умными людьми, которые сразу раскусят обман. А если и раскусят, то и хрен с ними.
3) Не нужно недооценивать свою жертву. Да, бояться не надо, но и недооценивать тоже. Всегда действуйте так, как будто уверены, что ваша жертва во сто крат умнее вас.
4) Если вам нужно заставить жертву что-то сделать, не нужно прямо об этом ей говорить. Сделайте так, чтобы ей самой захотелось это сделать. Это самое эффективное, что можно придумать.
