SlideShare une entreprise Scribd logo

Social engineering - DC9723

Iftach Ian Amit
Iftach Ian Amit
TechnologieBusiness
1  sur  35
Télécharger pour lire hors ligne
Social Engineering And Information gathering By Roy Saar
‫הגדרה‬ ‫פעולת המניפולציה על אדם על-מנת לגרום לו לממש את‬ ‫•‬ ‫מטרותינו. פעולה זו כוללת איסוף מידע, מתן אישור כניסה‬ ‫או לגרום לאדם לבצע פעולה מסוימת עבורנו.‬ ‫הנדסה-חברתית היא "‪ "People Hacking‬אשר כוללת‬ ‫•‬ ‫ניצול האמון אשר נותנים בני האדם אחד בשני.‬ ‫בכל פעם שאתה גורם לאדם לעשות משהו עבורך אתה‬ ‫•‬ ‫מפעיל הנדסה-חברתית. החל מילד שמקבל פיצה בחינם או‬ ‫משכנע את הוריו לקנות לו צעצוע עד ללגרום לאדם לתת‬ ‫לך את סיסמת האדמין שלו.‬ ‫הנדסה חברתית היא אמנות, והיא קשה לרכישה וללימוד.‬ ‫•‬ ‫בנוסף קשה מאוד להגן ממנה, היא מסובכת להפליא, אך‬ ‫נותנת תוצאות מדהימות.‬
Social Engineering at McDonalds - Free cheeseburger &
Kevin Mitnick
Frank Abagnal
‫מה אנחנו רוצים?‬ ‫סיסמת אדמין?‬ ‫•‬ ‫אישור כניסה תג עובד?‬ ‫•‬ ‫מפתחות לבניין או לחדר מחשבים?‬ ‫•‬ ‫דוחות כספיים?‬ ‫•‬ ‫פרטי עובד?‬ ‫•‬ ‫רכוש פרטי של חברה )דגמים, תוכנות, קוד, גראפים(?‬ ‫•‬
‫שעת סיפור מאת אירה ווינקלר‬
‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
‫איסוף מידע ב-3 דקות‬ ‫משחק ילדים‬
‫• תיכון: עירוני ה', תל-אביב.‬ ‫• אוניברסיטה: ת"א תואר ראשון במדעי המחשב ופילוסופיה.‬ ‫• עבד ב: ,‪Freemap, X.L.Net, Ascent PI, Comverse‬‬ ‫‪.Waze‬‬ ‫• כתובת בעבודה: רחוב הסדנא 2, רעננה.‬ ‫• טלפון בעבודה: 7346847-90.‬ ‫• מייל: ‪ehuds@waze.co.il‬‬ ‫• כתובת מגורים: רחוב ספיר אליהו 6, ת"א.‬ ‫• נשוי: לא.‬ ‫• טלפון פרטי: 5875427-450.‬ ‫• תחביבים: מחשבים, גאדג'טים, תיאטרון.‬
‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
‫בניית אמון‬ ‫אמון הוא תמצית ההנדסה-החברתית. הוא קשה ביותר להשגה, אך קל‬ ‫•‬ ‫מדי לאבדו, ולכן עליך להיות זהיר מאוד.‬ ‫מרבית המהנדסים-החברתיים צוברים אמון בפרק זמן ארוך יחסית‬ ‫•‬ ‫ובזהירות יתרה.‬ ‫"מרבית האנשים סומכים על האחר עד שתהיה להם סיבה טובה‬ ‫•‬ ‫)קווין ביוור(‬ ‫להפסיק"‬ ‫כמעט כולם מעוניינים לשתף פעולה בסביבת העבודה שלהם ויותר מזה:‬ ‫•‬ ‫להיות אהובים. על-כן לפעמים שוכחים איזה מידע אסור לנדב לקולגה‬ ‫או "למקור אמין" ‪.‬‬
‫צבירת אמון לוקחת זמן.‬ ‫מהנדסים-חברתיים מנוסים עושים זאת בדקות.‬ ‫איך הם עושים את זה?‬
‫זהירות! קלישאה: חביבות‬ ‫ונחמדות‬ ‫• אין יותר מספק מלעזור לאדם אדיב, מנומס ונעים הליכות,‬ ‫בין אם לפתוח עבורו את הדלת, ללחוץ בשבילו על כפתור‬ ‫המעלית או לנהל איתו שיחה קלילה.‬ ‫את עובדה זו חייבים לנצל – מפתיע כמה רחוק ניתן ללכת‬ ‫כך, שהרי מי לא אוהב אדם נחמד?‬ ‫• היעזר במידע שאיגדת בשלב האיסוף על-מנת להעמיד‬ ‫פנים שאתה רוכש את אותם תחביבים כמו המטרה שלך,‬ ‫עובד בסביבתו, מתעסק באותם תחומים, או אפילו חולק את‬ ‫אותו השם.‬
‫התחזות‬ ‫• העמד פנים כעובד חדש.‬ ‫• התחזה לעובד שהמטרה עדיין לא פגשה.‬ ‫• התנהג כעובד בחברה אחרת שהגיע לעשות‬ ‫עסקים.‬ ‫• התנהג ושדר הרגשה של נינוחות, ביטחון וסמכות‬ ‫וכך יושפעו האנשים סביבך.‬
‫משחק והניסיון האישי שלי‬ ‫ההתמחות שלי היא ‪ ,Reverse Engineering‬אבל בזמן התנסות‬ ‫•‬ ‫ביכולות הפריצה שלי בסביבות התיכון )תיכון תלמה-ילין לאומנויות,‬ ‫מגמת תיאטרון( שמחתי לגלות שכישורי המשחק שלי תרמו בצורה‬ ‫אדירה והיו לא פחות חשובים מהיכולות הטכניות.‬ ‫התחלתי ללמוד להשתמש בשפת-גוף, וקריאה קרה וחמה בכדי‬ ‫•‬ ‫להגדיל את הידע שלי כמהנדס-חברתי.‬ ‫אבל איך ניתן ללמוד להשתמש בשפת גוף? ויותר חשוב, איך ניתן‬ ‫•‬ ‫ללמוד לקרוא אותה?‬
‫טכניקות מיוחדות )או: איך להפוך‬ ‫לשחקן בכמה דקות?(‬ ‫שפת גוף: צורת תקשורת פיזית שאיננה מילולית, הכוללת: צורת עמידה,‬ ‫•‬ ‫מחוות, הבעות פנים ותנועות עיניים שבני אדם מבצעים בצורה לא-מודעת.‬ ‫איך נשתמש בזה? לדוגמא, מה תוכלו לומר לי על האיש אשר:‬ ‫•‬ ‫כוסס ציפורניים.‬ ‫•‬ ‫עומד זקוף.‬ ‫•‬ ‫לא מביט לאדם איתו הוא מדבר בעיניים.‬ ‫•‬ ‫חסר-מנוחה )מקפיץ את ידיו ורגליו(.‬ ‫•‬ ‫משלב ידיים.‬ ‫•‬ ‫עונה בהיסוס, מתעכב במתן תשובה.‬ ‫•‬
‫טכניקות מיוחדות – פרק נוסף‬ ‫קריאה קרה: שיטה אשר בה משתמשים מגלי עתידות ושאר שרלטנים. בשיטה זו אנו‬ ‫•‬ ‫קוראים את האדם העומד מולנו ע"י סימנים חיצוניים הכוללים מראה והתנהגות.‬ ‫לדוגמא: על אדם שהולך עם כפכפים, תיק צד, שיער פרוע וקעקוע על הצוואר נלמד כי‬ ‫•‬ ‫הוא אדם די שאנטי ונינוח, לא נדבר אליו בשפה גבוהה מדי, ונדע לתאר בקצרה מה‬ ‫אוהב או לא אוהב.‬ ‫דוגמא נוספת: אל אדם לבוש בחליפה, עם מזוודה שנראה מאורגן ומסודר, נדבר‬ ‫•‬ ‫בנימוס ובכבוד וכך נרכש את אהבתו.‬ ‫הדברים הללו אולם נראים מובנים מאליהם, אך קריאה קרה היא טכניקה שכאשר היא‬ ‫•‬ ‫מפותחת מספיק היא נראית ממש ככוח על-טבעי.‬ ‫קריאה חמה: טכניקה זהה לקריאה קרה, המשלבת איסוף חומר קודם על האדם אותו‬ ‫•‬ ‫אנו מדובבים. האיסוף כולל קריאה ברשת, ספרים, ביוגרפיות, רשתות חברתיות וכדומה.‬
‫טכניקות מיוחדות – פרק אחרון‬ ‫הבעות פנים:‬ ‫•‬ ‫פאול אקמן ערך מחקר וזיהה בו 7 הבעות בסיסיות המשותפות‬ ‫•‬ ‫לכל בני האדם, ללא הבדל דת, גזע, מין או תרבות.‬ ‫ע"י זיהוי 7 ההבעות הנ"ל תוכל לקבל מושג אודות תחושותיו של‬ ‫•‬ ‫האדם ומחשבותיו עליך.‬ ‫דוגמאות:‬ ‫•‬
‫טכניקות מיוחדות – פרק אחרון באמת‬ ‫‪: NLP‬אולי הנושא המעניין ביותר מבין כל הטכניקות שהזכרתי,‬ ‫•‬ ‫.אולי בגלל שאינו מוכח מדעית כטכניקה יעילה‬ ‫הטכניקה מתארת שימוש במילים ובשפת הגוף שלנו על-מנת‬ ‫•‬ ‫להחדיר לאדם איתו אנו מדברים מחשבות שלא היה חושב‬ ‫אילולא היינו מבצעים פעולות אלו. מחשבות אלו יכולות להפוך‬ ‫לפעולות.‬ ‫לדוגמא: לשאול בחורה "מתי את גומרת ללמוד?" במקום "מתי‬ ‫•‬ ‫את מסיימת ללמוד?".‬
‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
Chaser’s war on everything
‫עכשיו תורכם‬ ‫תודה רבה על ההקשבה‬

Recommandé

Def con 9723 April Meeting
Def con 9723 April MeetingDef con 9723 April Meeting
Def con 9723 April MeetingIftach Ian Amit
 
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)LEVÍTICO - HINOS - (LEVITICUS - HYMNS)
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)Osvaldo Gomes Cruz
 
Our school
Our schoolOur school
Our schoolAlfredo Caseiro
 
Cloudy Security
Cloudy SecurityCloudy Security
Cloudy SecurityIftach Ian Amit
 
Creative motivator: Creative leaders motivate effectively
Creative motivator: Creative leaders motivate effectivelyCreative motivator: Creative leaders motivate effectively
Creative motivator: Creative leaders motivate effectivelyLearningade
 
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...Osvaldo Gomes Cruz
 
Cyber state
Cyber stateCyber state
Cyber stateIftach Ian Amit
 
רשתות חברתיות
רשתות חברתיותרשתות חברתיות
רשתות חברתיותElanaKaminka
 

Recommandé

Def con 9723 April Meeting
Def con 9723 April MeetingDef con 9723 April Meeting
Def con 9723 April MeetingIftach Ian Amit
 
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)LEVÍTICO - HINOS - (LEVITICUS - HYMNS)
LEVÍTICO - HINOS - (LEVITICUS - HYMNS)Osvaldo Gomes Cruz
 
Our school
Our schoolOur school
Our schoolAlfredo Caseiro
 
Cloudy Security
Cloudy SecurityCloudy Security
Cloudy SecurityIftach Ian Amit
 
Creative motivator: Creative leaders motivate effectively
Creative motivator: Creative leaders motivate effectivelyCreative motivator: Creative leaders motivate effectively
Creative motivator: Creative leaders motivate effectivelyLearningade
 
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...
LEITURA BÍBLICA DIÁRIA - Calendário referente Leitura Bíblica Diária - (DAILY...Osvaldo Gomes Cruz
 
Cyber state
Cyber stateCyber state
Cyber stateIftach Ian Amit
 
רשתות חברתיות
רשתות חברתיותרשתות חברתיות
רשתות חברתיותElanaKaminka
 
יסודי
יסודייסודי
יסודיmaayan133
 
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...Hillel Kobrovski
 
Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...Hillel Kobrovski
 
איך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעינייםאיך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעינייםYechiel Gottlieb
 
מערכת החינוך היא אנחנו
מערכת החינוך היא אנחנומערכת החינוך היא אנחנו
מערכת החינוך היא אנחנוbennyfaibish
 
מביישן לפלרטטן
מביישן לפלרטטןמביישן לפלרטטן
מביישן לפלרטטןStas Segin
 
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...Hillel Kobrovski
 
Writing
WritingWriting
WritingMorit Rozen
 
UXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמוןUXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמוןOren Shamir
 
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...Yigal Chamish
 
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחוברהרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחוברHillel Kobrovski
 
The day after the course
The day after the courseThe day after the course
The day after the courseShachar Oz
 
נטוורקינג
נטוורקינגנטוורקינג
נטוורקינגYair Schoenfeld
 
כמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיותכמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיותKibbutzim College of Education
 
מיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילותמיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילותMorad Stern
 
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהם
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהםסדנת הורים ללימוד כישורים חברתיים עבור ילדיהם
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהםהמרכז לייעוץ התנהגותי וטיפול במיומנויות חברתיות
 
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרתמפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרתYigal Chamish
 
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1Dan Klarman
 
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...edith naaman - digital content management
 
זיקנה בימי קורונה
זיקנה בימי קורונהזיקנה בימי קורונה
זיקנה בימי קורונהMEDAN4U
 
Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVIftach Ian Amit
 
Devsecops at Cimpress
Devsecops at CimpressDevsecops at Cimpress
Devsecops at CimpressIftach Ian Amit
 

Contenu connexe

Similaire à Social engineering - DC9723

הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...Hillel Kobrovski
 
Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...Hillel Kobrovski
 
איך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעינייםאיך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעינייםYechiel Gottlieb
 
מערכת החינוך היא אנחנו
מערכת החינוך היא אנחנומערכת החינוך היא אנחנו
מערכת החינוך היא אנחנוbennyfaibish
 
מביישן לפלרטטן
מביישן לפלרטטןמביישן לפלרטטן
מביישן לפלרטטןStas Segin
 
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...Hillel Kobrovski
 
UXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמוןUXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמוןOren Shamir
 
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...Yigal Chamish
 
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחוברהרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחוברHillel Kobrovski
 
The day after the course
The day after the courseThe day after the course
The day after the courseShachar Oz
 
כמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיותכמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיותKibbutzim College of Education
 
מיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילותמיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילותMorad Stern
 
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרתמפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרתYigal Chamish
 
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1Dan Klarman
 
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...edith naaman - digital content management
 
זיקנה בימי קורונה
זיקנה בימי קורונהזיקנה בימי קורונה
זיקנה בימי קורונהMEDAN4U
 

Similaire à Social engineering - DC9723 (20)

יסודי
יסודייסודי
יסודי
 
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
 
Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...Hillel kobrovski innovateodie - career management in cybersecurity and how ...
Hillel kobrovski innovateodie - career management in cybersecurity and how ...
 
איך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעינייםאיך אפשר להחזיר את הניצוץ לעיניים
איך אפשר להחזיר את הניצוץ לעיניים
 
מערכת החינוך היא אנחנו
מערכת החינוך היא אנחנומערכת החינוך היא אנחנו
מערכת החינוך היא אנחנו
 
מביישן לפלרטטן
מביישן לפלרטטןמביישן לפלרטטן
מביישן לפלרטטן
 
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
הילל קוברובסקי - ניהול קריירה בתחום הסייבר \ הענן ומיתוג אישי , מקצועי ועסקי...
 
Writing
WritingWriting
Writing
 
UXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמוןUXI Live 2011 - טאב, אפליקציה והח' הקדמון
UXI Live 2011 - טאב, אפליקציה והח' הקדמון
 
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
ניהול בעידן המדיה החברתית והרשתות החברתיות - קורס ניהול למנהלי הסוכנות היהודי...
 
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחוברהרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
הרצאה: ניהול קריירה בתחום הסייבר \ הייטק ומיתוג אישי ועסקי בעולם מחובר
 
The day after the course
The day after the courseThe day after the course
The day after the course
 
נטוורקינג
נטוורקינגנטוורקינג
נטוורקינג
 
כמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיותכמה ולמה מבלים בני נוער ברשתות חברתיות
כמה ולמה מבלים בני נוער ברשתות חברתיות
 
מיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילותמיתוג אישי, קשרים וניהול קהילות
מיתוג אישי, קשרים וניהול קהילות
 
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהם
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהםסדנת הורים ללימוד כישורים חברתיים עבור ילדיהם
סדנת הורים ללימוד כישורים חברתיים עבור ילדיהם
 
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרתמפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
מפגש ספרני ארבע מכללות - על מדיה חברתית ורשתות חברתיות במכללת כנרת
 
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
AFTD Hebrew 1 - Assumption-focused dynamic therapy heb pres 1
 
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
כתיבת תוכן שיווקי: איך לכתוב תוכן שיכניס את הקוראים לסיפור שלך (ויוביל אותם ל...
 
זיקנה בימי קורונה
זיקנה בימי קורונהזיקנה בימי קורונה
זיקנה בימי קורונה
 

Plus de Iftach Ian Amit

Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVIftach Ian Amit
 
BSidesTLV Closing Keynote
BSidesTLV Closing KeynoteBSidesTLV Closing Keynote
BSidesTLV Closing KeynoteIftach Ian Amit
 
Social Media Risk Metrics
Social Media Risk MetricsSocial Media Risk Metrics
Social Media Risk MetricsIftach Ian Amit
 
From your Pocket to your Heart and Back
From your Pocket to your Heart and BackFrom your Pocket to your Heart and Back
From your Pocket to your Heart and BackIftach Ian Amit
 
Painting a Company Red and Blue
Painting a Company Red and BluePainting a Company Red and Blue
Painting a Company Red and BlueIftach Ian Amit
 
"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?Iftach Ian Amit
 
Seeing Red In Your Future?
Seeing Red In Your Future?Seeing Red In Your Future?
Seeing Red In Your Future?Iftach Ian Amit
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2Iftach Ian Amit
 
Advanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itAdvanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itIftach Ian Amit
 
Infecting Python Bytecode
Infecting Python BytecodeInfecting Python Bytecode
Infecting Python BytecodeIftach Ian Amit
 
Cheating in Computer Games
Cheating in Computer GamesCheating in Computer Games
Cheating in Computer GamesIftach Ian Amit
 
Telecommunication basics dc9723
Telecommunication basics dc9723Telecommunication basics dc9723
Telecommunication basics dc9723Iftach Ian Amit
 

Plus de Iftach Ian Amit (20)

Cyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLVCyber Risk Quantification - CyberTLV
Cyber Risk Quantification - CyberTLV
 
Devsecops at Cimpress
Devsecops at CimpressDevsecops at Cimpress
Devsecops at Cimpress
 
BSidesTLV Closing Keynote
BSidesTLV Closing KeynoteBSidesTLV Closing Keynote
BSidesTLV Closing Keynote
 
Social Media Risk Metrics
Social Media Risk MetricsSocial Media Risk Metrics
Social Media Risk Metrics
 
ISTS12 Keynote
ISTS12 KeynoteISTS12 Keynote
ISTS12 Keynote
 
From your Pocket to your Heart and Back
From your Pocket to your Heart and BackFrom your Pocket to your Heart and Back
From your Pocket to your Heart and Back
 
Painting a Company Red and Blue
Painting a Company Red and BluePainting a Company Red and Blue
Painting a Company Red and Blue
 
"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?"Cyber" security - all good, no need to worry?
"Cyber" security - all good, no need to worry?
 
Armorizing applications
Armorizing applicationsArmorizing applications
Armorizing applications
 
Seeing Red In Your Future?
Seeing Red In Your Future?Seeing Red In Your Future?
Seeing Red In Your Future?
 
Hacking cyber-iamit
Hacking cyber-iamitHacking cyber-iamit
Hacking cyber-iamit
 
Passwords good badugly181212-2
Passwords good badugly181212-2Passwords good badugly181212-2
Passwords good badugly181212-2
 
Bitcoin
BitcoinBitcoin
Bitcoin
 
Sexy defense
Sexy defenseSexy defense
Sexy defense
 
Advanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done itAdvanced Data Exfiltration - the way Q would have done it
Advanced Data Exfiltration - the way Q would have done it
 
Infecting Python Bytecode
Infecting Python BytecodeInfecting Python Bytecode
Infecting Python Bytecode
 
Exploiting Second life
Exploiting Second lifeExploiting Second life
Exploiting Second life
 
Dtmf phreaking
Dtmf phreakingDtmf phreaking
Dtmf phreaking
 
Cheating in Computer Games
Cheating in Computer GamesCheating in Computer Games
Cheating in Computer Games
 
Telecommunication basics dc9723
Telecommunication basics dc9723Telecommunication basics dc9723
Telecommunication basics dc9723
 

Social engineering - DC9723

  • 1. Social Engineering And Information gathering By Roy Saar
  • 2. ‫הגדרה‬ ‫פעולת המניפולציה על אדם על-מנת לגרום לו לממש את‬ ‫•‬ ‫מטרותינו. פעולה זו כוללת איסוף מידע, מתן אישור כניסה‬ ‫או לגרום לאדם לבצע פעולה מסוימת עבורנו.‬ ‫הנדסה-חברתית היא "‪ "People Hacking‬אשר כוללת‬ ‫•‬ ‫ניצול האמון אשר נותנים בני האדם אחד בשני.‬ ‫בכל פעם שאתה גורם לאדם לעשות משהו עבורך אתה‬ ‫•‬ ‫מפעיל הנדסה-חברתית. החל מילד שמקבל פיצה בחינם או‬ ‫משכנע את הוריו לקנות לו צעצוע עד ללגרום לאדם לתת‬ ‫לך את סיסמת האדמין שלו.‬ ‫הנדסה חברתית היא אמנות, והיא קשה לרכישה וללימוד.‬ ‫•‬ ‫בנוסף קשה מאוד להגן ממנה, היא מסובכת להפליא, אך‬ ‫נותנת תוצאות מדהימות.‬
  • 3. Social Engineering at McDonalds - Free cheeseburger &
  • 6. ‫מה אנחנו רוצים?‬ ‫סיסמת אדמין?‬ ‫•‬ ‫אישור כניסה תג עובד?‬ ‫•‬ ‫מפתחות לבניין או לחדר מחשבים?‬ ‫•‬ ‫דוחות כספיים?‬ ‫•‬ ‫פרטי עובד?‬ ‫•‬ ‫רכוש פרטי של חברה )דגמים, תוכנות, קוד, גראפים(?‬ ‫•‬
  • 7. ‫שעת סיפור מאת אירה ווינקלר‬
  • 8. ‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
  • 9.
  • 10.
  • 11.
  • 12.
  • 13.
  • 14.
  • 15. ‫איסוף מידע ב-3 דקות‬ ‫משחק ילדים‬
  • 16.
  • 17.
  • 18. ‫• תיכון: עירוני ה', תל-אביב.‬ ‫• אוניברסיטה: ת"א תואר ראשון במדעי המחשב ופילוסופיה.‬ ‫• עבד ב: ,‪Freemap, X.L.Net, Ascent PI, Comverse‬‬ ‫‪.Waze‬‬ ‫• כתובת בעבודה: רחוב הסדנא 2, רעננה.‬ ‫• טלפון בעבודה: 7346847-90.‬ ‫• מייל: ‪ehuds@waze.co.il‬‬ ‫• כתובת מגורים: רחוב ספיר אליהו 6, ת"א.‬ ‫• נשוי: לא.‬ ‫• טלפון פרטי: 5875427-450.‬ ‫• תחביבים: מחשבים, גאדג'טים, תיאטרון.‬
  • 19. ‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
  • 20. ‫בניית אמון‬ ‫אמון הוא תמצית ההנדסה-החברתית. הוא קשה ביותר להשגה, אך קל‬ ‫•‬ ‫מדי לאבדו, ולכן עליך להיות זהיר מאוד.‬ ‫מרבית המהנדסים-החברתיים צוברים אמון בפרק זמן ארוך יחסית‬ ‫•‬ ‫ובזהירות יתרה.‬ ‫"מרבית האנשים סומכים על האחר עד שתהיה להם סיבה טובה‬ ‫•‬ ‫)קווין ביוור(‬ ‫להפסיק"‬ ‫כמעט כולם מעוניינים לשתף פעולה בסביבת העבודה שלהם ויותר מזה:‬ ‫•‬ ‫להיות אהובים. על-כן לפעמים שוכחים איזה מידע אסור לנדב לקולגה‬ ‫או "למקור אמין" ‪.‬‬
  • 21. ‫צבירת אמון לוקחת זמן.‬ ‫מהנדסים-חברתיים מנוסים עושים זאת בדקות.‬ ‫איך הם עושים את זה?‬
  • 22.
  • 23. ‫זהירות! קלישאה: חביבות‬ ‫ונחמדות‬ ‫• אין יותר מספק מלעזור לאדם אדיב, מנומס ונעים הליכות,‬ ‫בין אם לפתוח עבורו את הדלת, ללחוץ בשבילו על כפתור‬ ‫המעלית או לנהל איתו שיחה קלילה.‬ ‫את עובדה זו חייבים לנצל – מפתיע כמה רחוק ניתן ללכת‬ ‫כך, שהרי מי לא אוהב אדם נחמד?‬ ‫• היעזר במידע שאיגדת בשלב האיסוף על-מנת להעמיד‬ ‫פנים שאתה רוכש את אותם תחביבים כמו המטרה שלך,‬ ‫עובד בסביבתו, מתעסק באותם תחומים, או אפילו חולק את‬ ‫אותו השם.‬
  • 24.
  • 25. ‫התחזות‬ ‫• העמד פנים כעובד חדש.‬ ‫• התחזה לעובד שהמטרה עדיין לא פגשה.‬ ‫• התנהג כעובד בחברה אחרת שהגיע לעשות‬ ‫עסקים.‬ ‫• התנהג ושדר הרגשה של נינוחות, ביטחון וסמכות‬ ‫וכך יושפעו האנשים סביבך.‬
  • 26. ‫משחק והניסיון האישי שלי‬ ‫ההתמחות שלי היא ‪ ,Reverse Engineering‬אבל בזמן התנסות‬ ‫•‬ ‫ביכולות הפריצה שלי בסביבות התיכון )תיכון תלמה-ילין לאומנויות,‬ ‫מגמת תיאטרון( שמחתי לגלות שכישורי המשחק שלי תרמו בצורה‬ ‫אדירה והיו לא פחות חשובים מהיכולות הטכניות.‬ ‫התחלתי ללמוד להשתמש בשפת-גוף, וקריאה קרה וחמה בכדי‬ ‫•‬ ‫להגדיל את הידע שלי כמהנדס-חברתי.‬ ‫אבל איך ניתן ללמוד להשתמש בשפת גוף? ויותר חשוב, איך ניתן‬ ‫•‬ ‫ללמוד לקרוא אותה?‬
  • 27. ‫טכניקות מיוחדות )או: איך להפוך‬ ‫לשחקן בכמה דקות?(‬ ‫שפת גוף: צורת תקשורת פיזית שאיננה מילולית, הכוללת: צורת עמידה,‬ ‫•‬ ‫מחוות, הבעות פנים ותנועות עיניים שבני אדם מבצעים בצורה לא-מודעת.‬ ‫איך נשתמש בזה? לדוגמא, מה תוכלו לומר לי על האיש אשר:‬ ‫•‬ ‫כוסס ציפורניים.‬ ‫•‬ ‫עומד זקוף.‬ ‫•‬ ‫לא מביט לאדם איתו הוא מדבר בעיניים.‬ ‫•‬ ‫חסר-מנוחה )מקפיץ את ידיו ורגליו(.‬ ‫•‬ ‫משלב ידיים.‬ ‫•‬ ‫עונה בהיסוס, מתעכב במתן תשובה.‬ ‫•‬
  • 28. ‫טכניקות מיוחדות – פרק נוסף‬ ‫קריאה קרה: שיטה אשר בה משתמשים מגלי עתידות ושאר שרלטנים. בשיטה זו אנו‬ ‫•‬ ‫קוראים את האדם העומד מולנו ע"י סימנים חיצוניים הכוללים מראה והתנהגות.‬ ‫לדוגמא: על אדם שהולך עם כפכפים, תיק צד, שיער פרוע וקעקוע על הצוואר נלמד כי‬ ‫•‬ ‫הוא אדם די שאנטי ונינוח, לא נדבר אליו בשפה גבוהה מדי, ונדע לתאר בקצרה מה‬ ‫אוהב או לא אוהב.‬ ‫דוגמא נוספת: אל אדם לבוש בחליפה, עם מזוודה שנראה מאורגן ומסודר, נדבר‬ ‫•‬ ‫בנימוס ובכבוד וכך נרכש את אהבתו.‬ ‫הדברים הללו אולם נראים מובנים מאליהם, אך קריאה קרה היא טכניקה שכאשר היא‬ ‫•‬ ‫מפותחת מספיק היא נראית ממש ככוח על-טבעי.‬ ‫קריאה חמה: טכניקה זהה לקריאה קרה, המשלבת איסוף חומר קודם על האדם אותו‬ ‫•‬ ‫אנו מדובבים. האיסוף כולל קריאה ברשת, ספרים, ביוגרפיות, רשתות חברתיות וכדומה.‬
  • 29. ‫טכניקות מיוחדות – פרק אחרון‬ ‫הבעות פנים:‬ ‫•‬ ‫פאול אקמן ערך מחקר וזיהה בו 7 הבעות בסיסיות המשותפות‬ ‫•‬ ‫לכל בני האדם, ללא הבדל דת, גזע, מין או תרבות.‬ ‫ע"י זיהוי 7 ההבעות הנ"ל תוכל לקבל מושג אודות תחושותיו של‬ ‫•‬ ‫האדם ומחשבותיו עליך.‬ ‫דוגמאות:‬ ‫•‬
  • 30.
  • 31.
  • 32. ‫טכניקות מיוחדות – פרק אחרון באמת‬ ‫‪: NLP‬אולי הנושא המעניין ביותר מבין כל הטכניקות שהזכרתי,‬ ‫•‬ ‫.אולי בגלל שאינו מוכח מדעית כטכניקה יעילה‬ ‫הטכניקה מתארת שימוש במילים ובשפת הגוף שלנו על-מנת‬ ‫•‬ ‫להחדיר לאדם איתו אנו מדברים מחשבות שלא היה חושב‬ ‫אילולא היינו מבצעים פעולות אלו. מחשבות אלו יכולות להפוך‬ ‫לפעולות.‬ ‫לדוגמא: לשאול בחורה "מתי את גומרת ללמוד?" במקום "מתי‬ ‫•‬ ‫את מסיימת ללמוד?".‬
  • 33. ‫צעד אחר צעד‬ ‫איסוף מידע‬ ‫•‬ ‫בניית אמון‬ ‫•‬ ‫ניצול האמון מערכות היחסים המידע שנאסף נחמדות‬ ‫•‬ ‫בני האדם טיפשותם.‬
  • 34. Chaser’s war on everything