Рыба К
Сообщений: 20
Оценки: 0
Присоединился: 2009-02-14 17:24:08.426666
|
Меня кинули. Кинули на деньги. Очень больно и обидно. Взял пузырь, вечером выпил - не помогло. Надо же! Именно сейчас, когда так нужны деньги! Е…ный кризис!!!
Утром скозь похмелье вернулось сознание и устойчивое желание отомстить (с потерей денег я уже смирился за третьей рюмкой (за тех кого (чего) нет с нами!)). Исходные данные: 1) знаю чем занимается фирма: посредник в закупе товаров (все данные специально искажены, по этому вид деятельности может выглядеть слегка нелепо). 2) знаю аську исполнительного директора, сам директор редко касался дел, почему - не знаю. С этим багажом полез в интернет. Нашел реально существующую крупную фирму в крупном городе, которая могла бы быть потенциальным клиентом жертвы. Звоню: "Вы позвонили в фирму ХХХ, для с связи с отделом ХХХ наберите 1, для связи с … для связи с секретарем наерите 0 или дождитесь ответа". Жму 0. Секретарь: "Здравствуйте чем могу помочь?" Я: "Здравствуйте, я директор фирмы УУУ, с кем я могу поговорить по поводу обеспечения вашей фирмой товаром, кто у вас занимается закупками?" Секретарь: "Минутку, соединяю!" Музыка "Тра ля ля, тра ля ля" Менеджер1: "Отдел такой-то, здавствуйте" Я: "Здравствуйте, с кем я могу поговорить по поводу обеспечения вашей фирмой товаром, кто у вас занимается закупками?" Менеджер1: "Вам надо поговорить с Кристиной, соединяю" Музыка "Тра ля ля, тра ля ля" Менеджер2: "Здравствуйте, чем могу помочь?" Я: "Здравствуйте, я директор фирмы УУУ, с кем я могу поговорить по поводу обеспечения вашей фирмой товаром?" Менеджер2: "Какой у вас товар?" Я:"Товар такой-то" Менеджер2: "Вам надо поговорить с Оксаной, соединяю" Музыка "Тра ля ля, тра ля ля" Менеджер3: Здравствуйте, чем могу помочь?" Я: "Здравствуйте, я директор фирмы УУУ, я хочу предложить вам свой товар по выгодной цене, супермаркеты, которые вы обеспечиваете товаром просто будут счастливы!" Менеджер3: "К сожалению на данный момент мы обеспечены таким товаром, склады забиты" Я: "Но вы же мне как-то давненько писали на аську, что готовы купить!" Менеджер3: "??? …возможно, но… к сожалению ничем не могу помочь на данный момент… кирис…" Я: "Да, я понимаю. Но может быть давайте наш исполнительный директор с вами попозже свяжется, вдруг ситуация поменяется и мы с вами сможем посотрудничать?" Менеджер3: "Да, конечно, до свидания!"
Итак у меня есть реальная фирма-приманка, с реальным телефоном по которому хрен кого найдешь и имя реального менеджера. Регистрирую мыло на бесплатном сайте на имя Оксана, фирма ХХХ. Иду на www.icq.com регистрирую на имя Оксана номер, в анкете указываю все реквизиты фирмы ХХХ (включая реальный телефон), но сайт указываю свой, который предварительно зарегил xxx.freephphost.com. Не трудно догадаться, что домен зарегистрирован на бесплатном хостинге под именем фирмы-приманки с поддержкой php (название хостинга вымышленное, гугл в помощь!). Втупую сдираю дизайн сайта фирмы-приманки (помните как в Шырли-мырли построили ложный аэропорт, чтобы выкрасть бриллиант?) и размещаю на указанном хостинге (у них хорошо оформленный, но конструктивно примитивный сайт-визитка), добавляю несколько своих страниц (ну и соответственно пункт меню "Стать партнером"). На добавленной странице инструкция типа: "Приглашаем к долгосрочному сотрудничеству поставщиков и диллеров таких-то товаров. Мы производим закуп таких-то товаров по таким-то ценам (я работал в этой сфере и знаю какой ценой заманить жертву!). Предложение ограничено! Для того что бы стать нашим поставщиком выберете один из пунктов меню. ВНИМАНИЕ! Каждый пункт требует отдельной регистрации!" Далее ссылки на страницы с формами под названиями: "Предложить свой товар (для быстрого рассмотрения вашего предложения)", "Стать региональным поставщиком (для долгосрочного сотрудничества)", "Стать привелигерованным пользователем нашего сайта", "Получать нашу рассылку о потребностях приобретаемых товаров". На этих страницах стандартные формы: логин, пароль, повторить пароль, мыло, название фирмы, аська и прочая хрень. Обработчик формы написан на PHP, его задача записать всю инфу в базу и выдать страницу с текстом "Спасибо за регистрацию! В течении 24 чаов ваша информация будет проверена, вам будет выслано сообщение на зарегистрированный e-mail. Надеемся на долгосрочное сотрудничество."
Все! Подготовительная работа завершена! Приступаю к экшену. На известный номер аськи жертвы от имени Оксаны фирмы ХХХ шлю заманчивое предложение, дескать "Ув.господа! Мы такие красивые и пушистые, у нас закупаются лучшие супермаркеты города и области. Приглашаем к сотрудничеству поставщиков товаров. У всех кризис никто не покупает, а мы развиваемся и богатеем. Если и вам интересно наше предложение и вы сможете предложить нам товар, то зарегитесь на нашем сайте по такому-то адресу (адрес странички с инструкцией на xxx.freephphost.com), а если это сообщение доставлено ошибочно, то сильно извиняюсь. Оксана. Фирма ХХХ". Через 3 часа у меня были все данные жертвы, включая пароли. Расчет был на то, что жертва хрен дозвонится до Оксаны, но выяснит что данная фирма живая, так же был расчет на то что жертва использует один и тот же пароль для мыла, аськи и регистрации. Последнее к сожалению не оправдалось. но я застраховался от этого. Через 24 часа высылаю жертве 3 письма с обратным адресом [email=admin_xxx@mail.ru]admin_xxx@mail.ru[/email], текст писем одинаков "Вы зарегистрированы как региональный поставщик (привелег.пользователь и т.д.) фирмы ххх, для подтверждения регистрации перейдите на страницу … введите ваш логин, пароль и указанный ниже код". Какой бы пароль жертва не писала в этой странице, обработчик все равно выдает сообщение о том что пароль не верный, пробуй еще или зарегистрируйся заново, но при этом каждый введенный пароль записывался в базу. И ЭТО СРАБОТАЛО!!! К вечеру у меня было пару десятков вариантов паролей. Я умилялся от мысли, что жертва нервно перебирает все пароли, которые когда-либо куда-либо вводились. Эх, ели бы я знал тогда что такой брутфорс, я бы усилил удовольствие перебора пароля техническими средствами, но я работал пальчиками. Бинго! Один пароль от мыла, второй от аськи! Какой же он (кидала) педант! Что в почте, что в аське все контакты рассортированы и разложены по полочкам. Можно было сразу приступить к ликвидации, но я не спешил торопиться и решил подсобирать информацию о клиентах жертвы. Встал вопрос: если я прочитаю письмо жертвы, то оно перестанет быть выделенным жирным шрифтом, а следовательно и жертва может заподозрить, что его ящик читают и сменить пароль. Я поступил так: написал скрипт на ПХП для отправки писем с указанием обратного адреса и имени, адрес и имя того, кто отправлял это письмо. Потом я смело открывал письмо в отдельном окне, удалял его с сайта в первом окне, читал, копировал содержимое в скрипт и отправлял жертве. Тут можно было спалиться, т.к. бесплатный хостинг отключил функцию mail (они включают ее за небольшие деньги), но я решил отправлять со своего платного хоста. Конечно если бы жертва прочитала служебную информацию письма, то при желании можно было бы меня вычислить, но скажите, разве вы читаете служебную информацию письма, которое пришло от человека. которого вы хорошо знаете? Аську, к сожалению, так не пошерстишь. Через пару дней у меня было две группы контактов жертвы - покупатели и продавцы.
Теперь непосредственно уничтожение. Все просто, мне осталось "поженить" продавцов и покупателей, которые бы в целях экономии средств выкинули бы посредника (жертву), что я и сделал, разослав на известные контакты письма. На следующий день на эти же адреса и номера разослал письма, дескать будьте осторожнее, фирма такая-то кидалово! И описал то как меня кинули. Через неделю жертва съехала с офиса, может закрылись, а может переехали - это не важно. Урок закончен! По закону жанра я должен был спуститься с небес с нимбом над головой и поднятыми вверх перстами перед лицом жертвы и произнести "Не укради!", но танцев над костями кидалы не было.
ЗЫ: Очень долгая подготовка и всего один выстрел! Но зато точно в цель! Самое плохое, что мне это понравилось, что называется почувствовал "вкус крови", сначала даже хотел устранять конкурентов за деньги, тем более что на ум приходили и приходят более изощеренные методы развода. Но на этом я решил поставить точку, и здесь я только потому что бы самому не стать жертвой. На этом сайте я всего пару дней. Теперь я знаю что всю эту хрень вы называете Социальная инженерия, знаю что есть брутфорс и т.д. Спасибо что дочтали до конца. Если знаете подобные интересные методы развода… о! сорри!! методы социальной инженерии, конечно, то пишите!
|
Как убить фирму-кидалу (пошаговая инструкция) - 
