home *** CD-ROM | disk | FTP | other *** search
/ SuperHack / SuperHack CD.bin / Hack / MISC / SOCIAL_E.ZIP / SOCIAL_E.TXT
Encoding:
Text File  |  1996-08-06  |  16.3 KB  |  300 lines
  1. THE COMPLETE SOCIAL ENGINEERING FAQ!
  2. "There's a sucker born every minute." PT Barnum
  3.  
  4. "Don't touch me, sucka." Mr. T
  5.  
  6. By bernz (official sponsor of the 1996 Croatian Olympic Men's Synchronized Swimming Team)
  7. with shoutouts to: The Genocide2600, Silicon Toad and your big fat mama.
  8.  
  9. DISCLAIMER!!!!! THIS INFORMATION IS HERE FOR THE SOLE PURPOSE OF
  10. ENLIGHTENMENT! IF YOU USE IT AND GET CAUGHT, NO ONE IS TO BLAME BUT
  11. YOUR OWN IDIOTIC ASS!!!
  12.  
  13. SECTION I: INTRO
  14. 1.1 What is social engineering?
  15. 1.2 Why is there a FAQ about it?
  16. 1.3 Who cares?
  17. 1.4 Basic intro and other shit.
  18.  
  19. SECTION II: PHONE SOCIAL ENGINEERING
  20. 2.1 Basics
  21. 2.2 Equipment
  22. 2.3 Phreak stuff
  23. 2.4 Technique
  24.  
  25. SECTION III: SNAIL MAIL
  26. 3.1 Is Snail Mail acutally usefull for something?
  27. 3.2 Equipment
  28. 3.3 Technique
  29.  
  30. SECTION IV: INTERNET
  31. 4.1 Isn't this just hacking?
  32.  
  33. SECTION V: LIVE, FROM NEW YORK...
  34. 5.1 In person?
  35. 5.2 Equipment
  36. 5.3 I'm wearing a suit, now what?
  37.  
  38. SECTION VI: PUTTING IT TOGETHER
  39. A sample problem
  40.  
  41. 1.1 What is social engineering?
  42.  
  43.      The hacker's jargon dictionary says this:
  44.  
  45. Social Engineering: n.  Term used among crackers and  samurai for cracking
  46. techniques that rely on weaknesses in  wetware rather than software; the aim
  47. is to trick people into revealing passwords or other information that
  48. compromises a target  system's security.  Classic scams include phoning up a
  49. mark who has  the required information and posing as a field service tech or a 
  50. fellow employee with an urgent access problem. 
  51.  
  52.      This is true. Social engineering, from a narrow point of view, is
  53. basically phone scams which pit your knowledge and wits against another human.
  54. This technique is used for a lot of things, such as gaining passwords,
  55. keycards and basic information on a system or organization.
  56.  
  57. 1.2 Why is there a FAQ about it?
  58.  
  59.      Good question. I'm glad I asked. I made this for a few reasons. The
  60. first being that Social Engineering is rarely discussed. People discuss
  61. cracking and phreaking a lot, but the forum for social engineering ideas is
  62. stagnant at best. Hopefully this will help generate more discussion. I also
  63. find that social engineering specialists get little respect, this will show
  64. ignorant hackers what we go through to get passwords. The last reason is
  65. honestly for a bit of Neophyte training. Just another DOC for them to read so
  66. I don't get bogged with email.
  67.  
  68. 1.3 Who Cares?
  69.  
  70.      To Neophytes: You should, you little fuck. If you think the world of
  71. computers and security opens up to you through a keyboard and your redbox then
  72. you are so fucking dead wrong. Good. Go to your school, change your grades and
  73. be a "badass" hacker. Hacking, like real life, exists in more than just your
  74. system. You can't use proggies to solve everything. I don't mean to sound
  75. upset, but jesus, have a bit of innovation and a sense of adventure.
  76.  
  77.      To Experienced Hackers: Just thought it would help a bit.
  78.  
  79. 1.4 Basic intro and shit for this document.
  80.  
  81.      This FAQ will address phone techniques, mail techniques, internet
  82. techniques and live techniques. I will discuss Equipment and will put some
  83. scripts of actual conversations from social engineering. There are times I
  84. might discuss things that cross the line into phreaking or traditional
  85. hacking. Don't send me email and say that my terms aren't correct and
  86. blahblahblah isn't social engineering. I use them for convenience and lack of
  87. better methods of explanation (eg I might say "dumpster diving is a form of
  88. social engineering") Don't get technical.
  89.  
  90. SECTION II: PHONES
  91.  
  92. 2.1 Basics
  93.  
  94.      This is probably the most common social engineering technique. It's
  95. quick, painless and the lazy person can do it. No movement, other than fingers
  96. is necessary. Just call the person and there you go. Of course it gets more
  97. complicated than that.
  98.  
  99. 2.2 What Equipment is necessary for this?
  100.  
  101.      The most important peice of hardware is your wetware. You have to have a
  102. damn quick mind. As far as physical Equipment goes, a phone is necessary. Do
  103. not have call waiting as this will make you sound less believeable. There is
  104. no real reason why this does but getting beeped in the middle of a scam just
  105. throws off the rhythym. The phone should be good quality and try to avoid
  106. cordless, unless you never get static on them. Some phones have these great
  107. buttons that make office noise in the background. 
  108.      Caller ID units are helpful if you pull off a scam using callback. You
  109. don't want to be expecting your girlfriend and pick up the phone and say, "I
  110. wanna fuck you" only to find out it was an IBM operator confirming your
  111. identity. Operators don't want to have sex with you and so your scam is
  112. fucked. Besides, call ID units are just cool because you can say, "Hello,
  113. <blank>" when someone calls. The Radio Slut carries these pretty cheap.
  114.      Something I use is a voice changer. It makes my voice sound deeper than
  115. James Earl Jones or as high as a woman. This is great if you can't change your
  116. pitch very well and you don't want to sound like a kid (rarely helpful). Being
  117. able to change gender can also be very helpful (see technique below). I got
  118. one for a gift from Sharper Image. This means that brand will cost quite a bit
  119. of cash, but it's very good quality. If anyone knows of other brand of voice changers, please inform me.
  120.  
  121.  
  122. 2.3 Phreaking and Social engineering? 
  123.  
  124.      Social Engineering and phreaking cross lines quite a lot. The most
  125. obvious reasons are because phreaks need to access Ma Bell in other ways but
  126. computers. They use con games to draw info out of operators.
  127.      Redboxing, greenboxing and other phreaking techniques can be used to
  128. avoid the phone bills that come with spending WAAAAYYY too much time on the
  129. phone trying to scam a password. Through the internet, telnetting to
  130. california is free. Through ma bell, it's pricey. I say making phone calls
  131. from payphones is fine, but beware of background noise. Sounding like you're
  132. at a payphone can make you sound pretty unprofessional. Find a secluded phone
  133. booth to use.
  134.  
  135. 2.4 How do I pull off a social engineering with a phone?
  136.  
  137.      First thing is find your mark. Let's say you want to hit your school.
  138. Call the acedemic computer center (or its equivelent). Assuming you already
  139. have an account, tell them you can't access your account. At this point they
  140. might do one of two things. If they are stupid, which you hope they are, they
  141. will give you a new password. Under that precept, they'll do that for most
  142. people. Simply finger someone's account, specifically a faculty member. At
  143. this point, use your voice changer when you call and imitate that teacher the
  144. best you can. People sound different over the phone, so you'll have a bit of
  145. help. 
  146.      Try to make the person you're imitating a female (unless you are a female). Most of the
  147. guys running these things will give anything to a good sounding woman because the majority of
  148. the guys running minicomputers are social messes. Act like a woman (using voice changer) and
  149. you'll have anything you want from them. 
  150.      Most of the time the people working an area will ask for some sort of
  151. verification for your identity, often a social security number. You should
  152. find out as much information about a mark as you can (see mail and live
  153. techniques) before you even think about getting on the phone. If you say you
  154. are someone you aren't and then they ask you for verification you don't have,
  155. they will be suspicious and it will be infinitely more difficult to take that
  156. system.
  157.      Once again for idiots: DO NOT TRY TO SOCIAL ENGINEER WITHOUT SUFFICIENT
  158. INFORMATION ON YOUR MARK!
  159.      Once people believe you are someone, get as much as you can about the
  160. system. Ask for your password, ask for telnet numbers, etc. Do not ask for too
  161. much as it will draw suspicion. 
  162.      You must sound like a legitimate person. Watch your mark. Learn to speak
  163. like him/her. Does that person use contractions? Does that person say "like" a
  164. lot? Accent? Lisp? 
  165.      The best way for observation of speech is to call the person as a
  166. telemarketer or telephone sweepstakes person. Even if they just tell you they
  167. can't talk to you, you can learn a quite a bit from the way they speak. If
  168. they actually want to speak to you, you can use that oppurtunity to glean
  169. information on them. Tell them they won something and you need their address
  170. and social security number and other basic info. 
  171.  
  172. WARNING: ABUSING SOMEONE'S SOCIAL SECURITY NUMBER IS ILLEAGAL!!!
  173. DON'T SAY YOU WEREN'T WARNED!!!
  174.  
  175. SECTION III: SNAIL MAIL
  176.  
  177. 3.1 Is snail mail really useful?
  178.  
  179.      Yes. It actually is. Snail mail is not tapped. Snail mail is cheap. Snail mail is readily available.
  180. But how can you use it in social engineering. As I said above, it's difficult to find systems that just
  181. let you call with no verification. They do exist but they are rare. So therefore you need info on
  182. your mark and the mark's system. You can try the telemarketing scam, but that isn't always
  183. succesful, as people do not trust telemarketers. For some reason, though, people trust the written
  184. word. Morons. People will respond to sweepstakes forms with enthusiasm and will give you
  185. whatever info you want on it. That's why snail mail is so great.
  186.  
  187. 3.2 What do I need?
  188.  
  189.      Obviously you need mail "equpiment" which includes stamps and envelopes. But subtle
  190. things are required as well. You're going to want to have return address stickers that include
  191. "your company's" logo and name. This can be procured at places like Staples, Office Max and
  192. other stores for a realitively cheap price.
  193.      The most important part to mail social engineering is a layout program. WordPerfect is
  194. okay, but I prefer QuarkXpress or PageMaker. These programs are not cheap, but can be used for
  195. plenty of other applications and are well worth their price. IF YOU GET IT PIRATED, I DON'T
  196. ADVOCATE THAT ACTION. With these DTP programs, you can emmulate a tottaly
  197. professional document. More about this below.
  198.      A private mailbox is good. If you want to be very professional, get a PO box. I'm in a
  199. band, so I use that PO box. They can be rented at a variety of places, including Post Offices and
  200. MailBoxes, etc. for low fees. Share the cost with others for great cost effectiveness.
  201.  
  202. 3.3 I've got the stuff, now what?
  203.  
  204.      What is your mark? Generally, for a mail social engineer, your mark is going to be a large
  205. group of people. Thus, your mail should look like a mass mail sweepstakes. Use computer labels
  206. and the like to keep this illusion. You need a list of employees from that company and their
  207. addresses. 
  208.      Look at the junk mail in your mail. Sweepstakes forms, mail-in orders, etc. Try tofake 
  209. that look. Something with very few lines to fill in (but with your vital info on them). A watermark
  210. is always a good touch for these documents. Use the fonts a business would use and word your
  211. letters in a similar fashion. Illusion is everything. The information on these should include social
  212. security numbers. Another good idea is to say that you'll need a password to verify the prize with
  213. a voice call. Hopefully it'll be the same as their net account password. It usually is. Yes, people
  214. actually fall for this stuff. 
  215.      To make someone fill these out, they must be concise and visually appealling. A person
  216. filling these out cannot be hasseled with difficult choices. Check Boxes are also a nice effect.
  217. These must look believeable. Credibility is everything with social engineering. I cannot stress that
  218. enough. I will soon realease examples, although you should be original and make some on your
  219. own.
  220.      Now, after stamping and addressing your letters, send them out and wait. Soon you
  221. should receive some answers. At this point, use a standard phone social engineering. Social
  222. Security numbers are the most common verification. If you find that you need some other form,
  223. send out letters with that information. For example, sometimes mother's maiden name is used.
  224.  
  225. SECTION IV: INTERNET
  226.  
  227. 4.1 Isn't this just a form of hacking?
  228.      
  229.      I guess it is to a point. Hacking takes more advantage of holes in security while the social
  230. engineering takes advantage of holes in people's common sense. Finding your marks through a
  231. hole in the fingering system is a great way to start an engineer. Many fingers give full names last
  232. logins, login locations and all sorts of info. Find someone who hasn't been on in quite sometime. 
  233.      There are also the classic schemes. Pretending to be a sysop in an IRC or online chat room
  234. can make people give up passwords with ease.
  235.      Yes, generally actions taken in the Internet or online are considered traditional hacking,
  236. but your knowledge of the average human's wetware comes into play.
  237.  
  238. SECTION V: LIVE, FROM NEW YORK...
  239.  
  240. 5.1 In person?
  241.  
  242.      Yup. This is pretty damn important. You can do quite a bit over a phone or through mail,
  243. but sometimes you just have to get off your ass and do things yourself. Getting a password
  244. digging through a desk is good, so is touring an office and just looking around. Even conning
  245. your way into a terminal works. 
  246.  
  247. 5.2 Equipment
  248.  
  249.      This is the only time in hacker culture where looks matter a great deal. Don't expect to
  250. walk into VIACOM's offices wearing your Misfits T-shirt with lotsa zits and your walkman
  251. makes you look suspicious. Look dignified. Wear a suit. Comb your hair. Don't get out of hand.
  252. Be polite. If you want to look like you belong in that office, you should act that way, too. So you
  253. need a suit. If you weigh more than 200 lbs (and are under 6' 2") or look like you're 20 or
  254. younger, don't try this. You'll look dumb, be laughed at and possibly have security called on you.
  255. You can look like an office worker's kid if you're that young. If you can do this, go ahead. Most
  256. of us can't.
  257.      Fake ID security cards (the kind that aligator clip to a belt or something) can be made with
  258. a photo, a layout program and a lamination sheet. This just makes you look more official.
  259. Sometimes one of this stick on visitor patches can be helpful. They make you look like your
  260. unnatural observation is warrented by your visiting status.
  261.  
  262. 5.3 I'm sweating in this suit..now what?
  263.  
  264.      Walk into an office building with confidence. Flash your badge or just have your visitor
  265. tag. Pretend you really belong there. That's how you look. An office with cubicles is great. Just
  266. walk around and peer at people's belongings. Find the company's UNIX minicomputer. They
  267. tend to keep them behind a big plate glass window, so you can check out how its connected. This
  268. is good scouting without having to sift through dumpsters or watching through binoculars. DO
  269. NOT TRY TO HACK WHILE IN THE BUILDING!  IT'S PRETTY SUSPICIOUS LOOKING!
  270.  
  271. SECTION VI: PUTTING IT TOGETHER
  272.      
  273.      You want to see what your school's minutes are or you want to hack a local chemical
  274. company to see their new toxins, but even if you had access it would be problematic to access the
  275. passwords because they are running a VAX. Now what?
  276.      First you get a list of employees. For schools, just use the catalog. For companies, use a
  277. live engineering technique. Look for payroll sheets, or posted employee lists. If you look right,
  278. you can just ask a low level employee for a list. Remember, be calm in front of people. You have
  279. to maintain your credibility.
  280.      Finger each employee's account. Find out who has or hasn't used their account in the past
  281. few months. Those who haven't are your marks. Write those names down cause your gonna play
  282. them for all they are worth, goddammit.
  283.      Now we go to the phone book and get the employees addresses. Then we create a
  284. document in our DTP program that emmulates a short sweepstakes form or another short
  285. document commonly encountered in the field. It must look professional but subtle enough not to
  286. look false. Credibility once again. Remember to include the social security number space as well
  287. as other information. Send these out and wait or masturbate or whatever you do for a few days.
  288. Yes, you're going to have to spend $10 on stamps unless you are on good terms with who you
  289. engineered in person. If they trust you, go back and use the stamping machine..might as well.
  290.      Now get your phone and call their sysadm. Use women voices first because the guys that
  291. run these machines have rarely seen daylight, let alone women. They are EASILY manipulated
  292. with a woman's voice. Sound helpless, they love it. If they don't give you your password, you'll
  293. have plenty of info for them for verification. If you pretend to be a woman, they'll give youplenty
  294. of leway. Go as far as saying you've seen them at work and think they are cute. Watch the
  295. passwords fly. 
  296.      
  297.  
  298.      That's it. Once you're in, do what you do..i can't help you from here.
  299.  
  300. Any questions? Email bernz at bernz@ix.netcom.com