SlideShare a Scribd company logo

Társadalmi Mérnökség (Social Engineering)

H
hackersuli

https://www.meetup.com/Budapest-Hackersuli-Meetup/events/236803964/

Internet
1 of 31
Download to read offline
TRIX FROM THE DARK SIDE SOCIAL ENGINEERING
SOCIAL ENGINEERING MINDENKINEK A pszichológiai manipuláció (social engineering)[1] amikor egy jogosultsággal rendelkező felhasználó jogosulatlan személy számára bizalmas adatokat ad át, vagy lehetőséget biztosít a rendszerbe történő belépésre a másik személy megtévesztő viselkedése miatt. - Wikipedia, "Social Engineering" szócikk
SOCIAL ENGINEERING MINDENKINEK DISCLAIMER Ne higgyetek el nekünk semmit, minden szóval hazudunk. Minden ami az előadásban szerepel, a képzeletünk szüleménye. Bármilyen hasonlóság a valósággal csak a véletlen műve. A hazai, európai és bármilyen egyéb cég, akiket mi bármikor is teszteltünk, maximálisan ellenálltak ezen támadásoknak. Ha az előadásban ennek az ellenkezőjét állítjuk, az csak azért van mert így izgalmasabb a történet. Ne próbáld ki otthon. Ha mégis, előtte konzultálj az ügyvédeddel. Hasznos lehet ha a kéznél van a telefonszáma. With great power it comes great responsibility.
SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? Lucy és a családja autóval mentek a tengerpartra. Lucy nagyon várta az indulást, bekészítette a játékait és a műanyag lapátját, hogy homokvárat tudjon építeni és körülötte játsszon a kutyájukkal. Kérdések: ‣ Mivel utaztak? ‣ Hová utaztak a családjával? ‣ Hogy hívják Lucy kutyáját? ‣ Milyen színű az autójuk?
SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? Lucy és a családja autóval mentek a tengerpartra. Lucy nagyon várta az indulást, bekészítette a játékait és a műanyag lapátját, hogy homokvárat tudjon építeni és körülötte játsszon a kutyájukkal. Kérdések: ‣ Mivel utaztak? ‣ Hová utaztak a családjával? ‣ Hogy hívják Lucy kutyáját? ‣ Milyen színű az autójuk?
SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? TAPINTÁS ÍZ HANG SÚLY HIDEG ÉDESFINOM BUBORÉKOS
SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸ Az agyunkkal látunk, nem a szemünkkel ▸ Az agy egy összefüggő modellt alkot a világról az érzékszervekből jövő információk alapján... ▸ ...ami hiányzik, azt kipótolja emlékekből... ▸ ...és aztán elfelejti, hogy mi volt az, ami valóságos és mi az, amit az ő maga talált ki hozzá útközben!
SOCIAL ENGINEERING MINDENKINEK HONNÉT JÖNNEK A MODELLEK? ▸ Mindenhonnét! ▸ Megtörtént események tapasztalásai (emlékek) ▸ Meg nem történt, de elképzelt események (pl. valaki elmesélte) ▸ Meg nem értett emlékek, törések lenyomatai (pl. apa kiabált velem) ▸ WestWorld feeling...
SOCIAL ENGINEERING MINDENKINEK A FIGYELEM ▸ Az agy folyamatosan monitoroz, de az ingerek töredéke tudatosul - ez a figyelem (koktélparti-effekt) ▸ Az agy feladata az, hogy életben tartsa a testet ▸ Tehát nem véletlenszerűen szelektál! ▸ Azok az ingerek kapnak elsőséget, amik veszélyt jeleznek ▸ Van ott valami, ami előszűri az ingereket
SOCIAL ENGINEERING MINDENKINEK ...TEHÁT HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸Világ = figyelem x(érzékszervekből jövő ingerek) + emlékek
SOCIAL ENGINEERING MINDENKINEK ...TEHÁT HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸Világ = figyelem x(érzékszervekből jövő ingerek) + emlékek
DEMO TIME
JÓ, DE MIKOR FOGUNK VÉGRE HEKKELNI?! Egységsugarú Hackersulis
MOST. Kovács Zsombor
SOCIAL ENGINEERING MINDENKINEK A KACSA-MÓDSZER ▸ Ha úgy beszélsz, mint egy kacsa ▸ Ha úgy nézel ki, mint egy kacsa ▸ Ha úgy jársz, mint egy kacsa ▸ ...akkor kacsának hisznek!
SOCIAL ENGINEERING MINDENKINEK HOGY NÉZ EZ KI A GYAKORLATBAN? ▸ (Catch Me If You Can, 31:35-)
SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Igyekszünk úgy hatni a célpontra, hogy valamit úgy csináljon, ahogy mi akarjuk ▸ Alapvető biokémiai reakciókat akarunk elindítani (megnyomni egy gombot) ▸ Ahogy kommunikálok (NLP) ▸ Amit mondok ▸ Akinek kiadom magam ▸ A biokémiai reakciók jóval tovább tartanak, mint az inger, ami kiváltotta őket!
SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Valami alapvető mintát akarunk aktiválni, pl. ▸ Félelem (konfrontációtól, kirúgástól, leszidástól, a hatalomtól) ▸ "Egy csapat vagyunk" (ugyanannál a cégnél dolgozunk, szívességek hajtják előre a világot) ▸ Viszonzás (ha te segítettél nekem, én is segítek neked) ▸ Empátia ("első napom ez itt, nagyon el vagyok veszve") ▸ Szimpátia (flörtölés, ha ellenkező nemű a célpont)
SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Catch me if you can, 1:10:06
STORY TIME!
SOCIAL ENGINEERING MINDENKINEK ÉS HOGY NÉZ EZ KI, HA FIZETNEK ÉRTE? ▸ Szkóp ▸ mit akarunk megszerezni? ▸ kikkel kontaktolhatunk? ▸ milyen módon? ▸ mikor? ▸ Sokszor rögzítjük a telefonbeszélgetéseket
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK ▸ Fizikai bejutás ▸ Csak hang (telefon, VoIP) ▸ Elektronikus csatorna (e-mail (pl. phishing), facebook, linkedin) ▸ Csak egy eszköz (USB pendrive, CD, ...)
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ A legkockázatosabb ▸ Juss be, csináld meg és tűnj el onnét ▸ Mi van, ha elkapnak?
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ Magyarországi ügyfél. A célunk egy fotó a nagyfőnök irodája előtt.
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ Magyarországi ügyfél. Jussunk be, szedjünk fel egy előre megbeszélt helyen hagyott borítékot, majd távozzunk.
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - TELEFONHÍVÁS ▸ Telefonon vegyünk rá valakit a munkatársak közül arra, hogy lefuttassa az előkészített makrós XLS-ünket.
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - PHISHING ▸ E-mailben küldjük szét a preparált makrós XLS-t úgy, hogy minél többen kattintsanak. ▸ (60% kattintott!!!!!!444)
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI ESZKÖZ ▸ Elhagyunk valahol egy halom pendrive-ot ▸ ...ami automatikusan elindít valamit, ha beteszik egy gépbe ▸ ...ráteszünk egy "bertabla_alkalmazottak_2017.xlsm file- t ▸ ...vagy Hak5 rubberDucky-t ▸ ...vagy teensy-t
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK – PHISHING V TELEFON ▸ Ne kérjük el a jelszavát. A felhasználók nem szeretik kiadni a jelszavaikat. ▸ Kérjük meg hogy változtassa meg arra amire mi kérjük ▸ 2 sztori
SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK – EMAIL ▸ E-mail fejlécek hamisítása ▸ Céges logó használata ▸ Céges aláírás használata ▸ Időzítés fontos ▸ Akkor küldjük, amikor kellően elfoglalt, pl. délelőtt 10 óra, vagy amikor siet valahova (péntek 16:42)
SOCIAL ENGINEERING MINDENKINEK TOVÁBBI OLVASNIVALÓK – 
 A SOCIAL ENGINEERING NAGYMESTEREI ▸ Kevin Mitnick ▸ Track Down/Takedown film, 2000 ▸ The Art of Deception ▸ Christopher Hadnagy ▸ Social Engineering: The Art of Human Hacking ▸ Social Engineer Toolkit (SET) - KALI

Recommended

2024_hackersuli_mobil_ios_android ______
2024_hackersuli_mobil_ios_android ______2024_hackersuli_mobil_ios_android ______
2024_hackersuli_mobil_ios_android ______hackersuli
 
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiájahackersuli
 
[Hackersuli]Privacy on the blockchain
[Hackersuli]Privacy on the blockchain[Hackersuli]Privacy on the blockchain
[Hackersuli]Privacy on the blockchainhackersuli
 
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptxhackersuli
 
[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelesehackersuli
 
Hackersuli Minecraft hackeles kezdoknek
Hackersuli Minecraft hackeles kezdoknekHackersuli Minecraft hackeles kezdoknek
Hackersuli Minecraft hackeles kezdoknekhackersuli
 
HUN Hackersuli - How to hack an airplane
HUN Hackersuli - How to hack an airplaneHUN Hackersuli - How to hack an airplane
HUN Hackersuli - How to hack an airplanehackersuli
 
[HUN][Hackersuli] Cryptocurrency scams
[HUN][Hackersuli] Cryptocurrency scams[HUN][Hackersuli] Cryptocurrency scams
[HUN][Hackersuli] Cryptocurrency scamshackersuli
 

Recommended

2024_hackersuli_mobil_ios_android ______
2024_hackersuli_mobil_ios_android ______2024_hackersuli_mobil_ios_android ______
2024_hackersuli_mobil_ios_android ______hackersuli
 
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiája
[HUN[]Hackersuli] Hornyai Alex - Elliptikus görbék kriptográfiájahackersuli
 
[Hackersuli]Privacy on the blockchain
[Hackersuli]Privacy on the blockchain[Hackersuli]Privacy on the blockchain
[Hackersuli]Privacy on the blockchainhackersuli
 
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptx
[HUN] 2023_Hacker_Suli_Meetup_Cloud_DFIR_Alapok.pptxhackersuli
 
[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelese[Hackersuli][HUN] GSM halozatok hackelese
[Hackersuli][HUN] GSM halozatok hackelesehackersuli
 
Hackersuli Minecraft hackeles kezdoknek
Hackersuli Minecraft hackeles kezdoknekHackersuli Minecraft hackeles kezdoknek
Hackersuli Minecraft hackeles kezdoknekhackersuli
 
HUN Hackersuli - How to hack an airplane
HUN Hackersuli - How to hack an airplaneHUN Hackersuli - How to hack an airplane
HUN Hackersuli - How to hack an airplanehackersuli
 
[HUN][Hackersuli] Cryptocurrency scams
[HUN][Hackersuli] Cryptocurrency scams[HUN][Hackersuli] Cryptocurrency scams
[HUN][Hackersuli] Cryptocurrency scamshackersuli
 
[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknan[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknanhackersuli
 
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapokhackersuli
 
[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, future[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, futurehackersuli
 
Hackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOADHackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOADhackersuli
 
[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengers[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengershackersuli
 
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Holehackersuli
 
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...hackersuli
 
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...hackersuli
 
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...hackersuli
 
Kriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicákKriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicákhackersuli
 
Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?hackersuli
 
Hardware hacking 1x1 by Dnet
Hardware hacking 1x1 by DnetHardware hacking 1x1 by Dnet
Hardware hacking 1x1 by Dnethackersuli
 
Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?hackersuli
 

More Related Content

More from hackersuli

[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknan[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknanhackersuli
 
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapokhackersuli
 
[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, future[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, futurehackersuli
 
Hackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOADHackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOADhackersuli
 
[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengers[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengershackersuli
 
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Holehackersuli
 
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...hackersuli
 
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...hackersuli
 
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...hackersuli
 
Kriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicákKriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicákhackersuli
 
Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?hackersuli
 
Hardware hacking 1x1 by Dnet
Hardware hacking 1x1 by DnetHardware hacking 1x1 by Dnet
Hardware hacking 1x1 by Dnethackersuli
 
Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?hackersuli
 

More from hackersuli (13)

[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknan[Hackersuli] [HUN] Windows a szereloaknan
[Hackersuli] [HUN] Windows a szereloaknan
 
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
[HUN][Hackersuli] Szol a szoftveresen definialt radio - SDR alapok
 
[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, future[HUN] Hackersuli - Console and arcade game hacking – history, present, future
[HUN] Hackersuli - Console and arcade game hacking – history, present, future
 
Hackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOADHackersuli - Linux game hacking with LD_PRELOAD
Hackersuli - Linux game hacking with LD_PRELOAD
 
[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengers[HUN][hackersuli] Malware avengers
[HUN][hackersuli] Malware avengers
 
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
[Hackersuli][HUN]MacOS - Going Down the Rabbit Hole
 
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
[HUN][Hackersuli] Androidos alkalmazássebészet, avagy gumikesztyűt fel és irá...
 
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
[HUN][Hackersuli] iOS hekkelés, avagy egyik szemünk zokog, a másik meg kacagv...
 
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
[Hackersuli][HUN] Greasemonkey, avagy fogod majd a fejed, hogy miért nem hasz...
 
Kriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicákKriptovaluták, hashbányászat és okoscicák
Kriptovaluták, hashbányászat és okoscicák
 
Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?Hogy jussunk ki lezárt hálózatokból?
Hogy jussunk ki lezárt hálózatokból?
 
Hardware hacking 1x1 by Dnet
Hardware hacking 1x1 by DnetHardware hacking 1x1 by Dnet
Hardware hacking 1x1 by Dnet
 
Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?Hogy néz ki egy pentest meló a gyakorlatban?
Hogy néz ki egy pentest meló a gyakorlatban?
 

Társadalmi Mérnökség (Social Engineering)

  • 1. TRIX FROM THE DARK SIDE SOCIAL ENGINEERING
  • 2. SOCIAL ENGINEERING MINDENKINEK A pszichológiai manipuláció (social engineering)[1] amikor egy jogosultsággal rendelkező felhasználó jogosulatlan személy számára bizalmas adatokat ad át, vagy lehetőséget biztosít a rendszerbe történő belépésre a másik személy megtévesztő viselkedése miatt. - Wikipedia, "Social Engineering" szócikk
  • 3. SOCIAL ENGINEERING MINDENKINEK DISCLAIMER Ne higgyetek el nekünk semmit, minden szóval hazudunk. Minden ami az előadásban szerepel, a képzeletünk szüleménye. Bármilyen hasonlóság a valósággal csak a véletlen műve. A hazai, európai és bármilyen egyéb cég, akiket mi bármikor is teszteltünk, maximálisan ellenálltak ezen támadásoknak. Ha az előadásban ennek az ellenkezőjét állítjuk, az csak azért van mert így izgalmasabb a történet. Ne próbáld ki otthon. Ha mégis, előtte konzultálj az ügyvédeddel. Hasznos lehet ha a kéznél van a telefonszáma. With great power it comes great responsibility.
  • 4. SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? Lucy és a családja autóval mentek a tengerpartra. Lucy nagyon várta az indulást, bekészítette a játékait és a műanyag lapátját, hogy homokvárat tudjon építeni és körülötte játsszon a kutyájukkal. Kérdések: ‣ Mivel utaztak? ‣ Hová utaztak a családjával? ‣ Hogy hívják Lucy kutyáját? ‣ Milyen színű az autójuk?
  • 5. SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? Lucy és a családja autóval mentek a tengerpartra. Lucy nagyon várta az indulást, bekészítette a játékait és a műanyag lapátját, hogy homokvárat tudjon építeni és körülötte játsszon a kutyájukkal. Kérdések: ‣ Mivel utaztak? ‣ Hová utaztak a családjával? ‣ Hogy hívják Lucy kutyáját? ‣ Milyen színű az autójuk?
  • 6. SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? TAPINTÁS ÍZ HANG SÚLY HIDEG ÉDESFINOM BUBORÉKOS
  • 7. SOCIAL ENGINEERING MINDENKINEK HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸ Az agyunkkal látunk, nem a szemünkkel ▸ Az agy egy összefüggő modellt alkot a világról az érzékszervekből jövő információk alapján... ▸ ...ami hiányzik, azt kipótolja emlékekből... ▸ ...és aztán elfelejti, hogy mi volt az, ami valóságos és mi az, amit az ő maga talált ki hozzá útközben!
  • 8. SOCIAL ENGINEERING MINDENKINEK HONNÉT JÖNNEK A MODELLEK? ▸ Mindenhonnét! ▸ Megtörtént események tapasztalásai (emlékek) ▸ Meg nem történt, de elképzelt események (pl. valaki elmesélte) ▸ Meg nem értett emlékek, törések lenyomatai (pl. apa kiabált velem) ▸ WestWorld feeling...
  • 9. SOCIAL ENGINEERING MINDENKINEK A FIGYELEM ▸ Az agy folyamatosan monitoroz, de az ingerek töredéke tudatosul - ez a figyelem (koktélparti-effekt) ▸ Az agy feladata az, hogy életben tartsa a testet ▸ Tehát nem véletlenszerűen szelektál! ▸ Azok az ingerek kapnak elsőséget, amik veszélyt jeleznek ▸ Van ott valami, ami előszűri az ingereket
  • 10. SOCIAL ENGINEERING MINDENKINEK ...TEHÁT HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸Világ = figyelem x(érzékszervekből jövő ingerek) + emlékek
  • 11. SOCIAL ENGINEERING MINDENKINEK ...TEHÁT HOGYAN ÉRZÉKELJÜK A VILÁGOT? ▸Világ = figyelem x(érzékszervekből jövő ingerek) + emlékek
  • 13. JÓ, DE MIKOR FOGUNK VÉGRE HEKKELNI?! Egységsugarú Hackersulis
  • 15. SOCIAL ENGINEERING MINDENKINEK A KACSA-MÓDSZER ▸ Ha úgy beszélsz, mint egy kacsa ▸ Ha úgy nézel ki, mint egy kacsa ▸ Ha úgy jársz, mint egy kacsa ▸ ...akkor kacsának hisznek!
  • 16. SOCIAL ENGINEERING MINDENKINEK HOGY NÉZ EZ KI A GYAKORLATBAN? ▸ (Catch Me If You Can, 31:35-)
  • 17. SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Igyekszünk úgy hatni a célpontra, hogy valamit úgy csináljon, ahogy mi akarjuk ▸ Alapvető biokémiai reakciókat akarunk elindítani (megnyomni egy gombot) ▸ Ahogy kommunikálok (NLP) ▸ Amit mondok ▸ Akinek kiadom magam ▸ A biokémiai reakciók jóval tovább tartanak, mint az inger, ami kiváltotta őket!
  • 18. SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Valami alapvető mintát akarunk aktiválni, pl. ▸ Félelem (konfrontációtól, kirúgástól, leszidástól, a hatalomtól) ▸ "Egy csapat vagyunk" (ugyanannál a cégnél dolgozunk, szívességek hajtják előre a világot) ▸ Viszonzás (ha te segítettél nekem, én is segítek neked) ▸ Empátia ("első napom ez itt, nagyon el vagyok veszve") ▸ Szimpátia (flörtölés, ha ellenkező nemű a célpont)
  • 19. SOCIAL ENGINEERING MINDENKINEK RÁHATÁS (MANIPULÁCIÓ) ▸ Catch me if you can, 1:10:06
  • 21. SOCIAL ENGINEERING MINDENKINEK ÉS HOGY NÉZ EZ KI, HA FIZETNEK ÉRTE? ▸ Szkóp ▸ mit akarunk megszerezni? ▸ kikkel kontaktolhatunk? ▸ milyen módon? ▸ mikor? ▸ Sokszor rögzítjük a telefonbeszélgetéseket
  • 22. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK ▸ Fizikai bejutás ▸ Csak hang (telefon, VoIP) ▸ Elektronikus csatorna (e-mail (pl. phishing), facebook, linkedin) ▸ Csak egy eszköz (USB pendrive, CD, ...)
  • 23. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ A legkockázatosabb ▸ Juss be, csináld meg és tűnj el onnét ▸ Mi van, ha elkapnak?
  • 24. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ Magyarországi ügyfél. A célunk egy fotó a nagyfőnök irodája előtt.
  • 25. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI BEJUTÁS ▸ Magyarországi ügyfél. Jussunk be, szedjünk fel egy előre megbeszélt helyen hagyott borítékot, majd távozzunk.
  • 26. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - TELEFONHÍVÁS ▸ Telefonon vegyünk rá valakit a munkatársak közül arra, hogy lefuttassa az előkészített makrós XLS-ünket.
  • 27. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - PHISHING ▸ E-mailben küldjük szét a preparált makrós XLS-t úgy, hogy minél többen kattintsanak. ▸ (60% kattintott!!!!!!444)
  • 28. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK - FIZIKAI ESZKÖZ ▸ Elhagyunk valahol egy halom pendrive-ot ▸ ...ami automatikusan elindít valamit, ha beteszik egy gépbe ▸ ...ráteszünk egy "bertabla_alkalmazottak_2017.xlsm file- t ▸ ...vagy Hak5 rubberDucky-t ▸ ...vagy teensy-t
  • 29. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK – PHISHING V TELEFON ▸ Ne kérjük el a jelszavát. A felhasználók nem szeretik kiadni a jelszavaikat. ▸ Kérjük meg hogy változtassa meg arra amire mi kérjük ▸ 2 sztori
  • 30. SOCIAL ENGINEERING MINDENKINEK TIPIKUS SZKENÁRIÓK – EMAIL ▸ E-mail fejlécek hamisítása ▸ Céges logó használata ▸ Céges aláírás használata ▸ Időzítés fontos ▸ Akkor küldjük, amikor kellően elfoglalt, pl. délelőtt 10 óra, vagy amikor siet valahova (péntek 16:42)
  • 31. SOCIAL ENGINEERING MINDENKINEK TOVÁBBI OLVASNIVALÓK – 
 A SOCIAL ENGINEERING NAGYMESTEREI ▸ Kevin Mitnick ▸ Track Down/Takedown film, 2000 ▸ The Art of Deception ▸ Christopher Hadnagy ▸ Social Engineering: The Art of Human Hacking ▸ Social Engineer Toolkit (SET) - KALI