Методы социальной инженерии (онлайн и офлайн)

Социальная инженерия icon

В этой статье мы рассмотрим несколько методов социальной инженерии, которые можно использовать таргетированно, то есть в тех случаях, когда выбрана конкретная определенная жертва (человек или компания). Считается, что таргетированные узконаправленные атаки отнимают много времени на подготовку. Из личного опыта знаю, что спровоцировать сделать что-то сотню случайных пользователей легче, чем одного конкретного в определенной конторе.

Методы социальной инженерии

В предыдущей статье «Примеры социальной инженерии» мы разобрали массовые атаки, но их использование ограничено. Массовые атаки с применением социальной инженерии плохо подходят для тестов на проникновение.

Пентестер не может позволить себе исходить из теории вероятностей и рассылать свои мышеловки всем сотрудникам проверяемой организации в надежде, что кто-то попадется. Один-два бдительных пользователя обязательно оповестят службу безопасности, и пентесту конец. Плюс нужна подготовка под конкретную инфраструктуру и специфику заказчика, а методы социального инженера должны быть нестандартными.

Статья предназначена для «пентестеров — белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор статьи, ни редакция сайта www.spy-soft.net не несут ответственности за любой возможный вред, причиненный материалами этой статьи.

«Белые шляпы», пентестеры и обладатели CEH обычно понимают, что их действия играют не только техническую, но и социальную роль. Я неслучайно упомянул CISO, поскольку их задача — постоянно обучать всех работников базовым знаниям информационной безопасности. Если какого-нибудь хорошего сотрудника увольняют из-за того, что он открыл зараженный вирусом файл, то в этом есть и доля вины нерадивых безопасников отвечающих за информирование и обучение.

Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Уже пропала необходимость грабить в масках и с оружием — сегодня достаточно электронной почты, но во многих крупных финансовых компаниях еще живы старые стереотипы. Большой акцент в них делают именно на физическую безопасность, считая информационную менее важной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с огромной вероятностью вредонос проник в банк через фишинговое письмо».

Онлайн методы социальной инженерии онлайн

Давний парадокс остается актуальным: ИТ-шники не устают заявлять, что социальная инженерия — это самое главное зло в мире информационной безопасности. При этом многие «безопасники» продолжают считать, что определенного защищающего ПО и когда-то написанных инструкций для сотрудников достаточно, чтобы противостоять хакерских атакам.

Доверенный сайт в фаерволе

У вашего брандмауэра формально настроены «черные» и «белые» списки URL? Тогда мы идем к вам! Вот несколько примеров, когда на сайте банка используется одна известная CMS с незакрытым редиректом:

Если брандмауэр смотрит только то, что идет после первого http(s), то пора его настроить правильно. Но эта статья не про настройку фаервола, а про человеческие слабости которыми оперируют социальные инженеры. Поэтому просто дайте служащему такую ссылку и проверьте, насколько он бдителен и смотрит ли он, что идет после первого встречающегося http(s).

Осторожно злая собака!

Данный метод социальной инженерии не будет эффективным с внимательными сотрудниками, но если бы все пользователи были внимательны, то социальной инженерии не существовало бы как таковой.

Развивая предыдущий способ для тех, кто привык смотреть, что идет сразу после http://, и думать, что URL безопасен: данная ссылка https://bank.ru@hacksite.ru тоже не приведет ни к чему хорошему.

Почему так происходит?

Допустимые в URL символы задокументированы в стандарте RFC 1738. Символ @ используется в URL как специальный разделитель, когда нужно прямо в нем дать права для доступа к странице. В конструкции вида httр://<логин>:<пароль>@<хост> до @ можно указывать практически что угодно. Браузер все равно отправит пользователя на хост, указанный после @.

Кодирование ссылки

Добавим в зловредный URL немного кириллицы, закодированной в UTF-8 → HEX, чтобы он выглядел непонятно для человека и на первый взгляд безопасно:

Методы социальной инженерии
Закодированный домен .рф в URL

Или совместим простые методы (редирект + кодирование):

При наведении мыши на закодированный URL десктопные браузеры декодируют символы (чего не скажешь о почтовом клиенте Outlook и браузерах в мобильных устройствах). Поэтому для полного скрытия злого адреса можно прописать адрес сервера, на котором расположен фишинговый сайт:

или просто

Не забудьте прикрутить к серверу HTTPS, чтобы браузер не ругался, но об этом позже.

Переполнение предпросмотра

Вы уже наверное знаете, что настоящее расширение файлов можно скрыть, используя ограничение отображаемой длины столбца extension в «Проводнике» или архиваторе.

Методы социальной инженерии
Методы социальной инженерии
Попытка скрыть расширение файла в архиве

Теперь давайте попробуем таким методом спрятать злую часть URL на этапе предпросмотра в браузере.

Если пользователь знает, что анкор (текст ссылки) ссылки может быть не равен целевому URL, то он наведет мышкой на ссылку и посмотрит, куда на самом деле она ведет. Если это его единственный метод проверки ссылок, то инструкции по безопасности в такой компании пора переписать.

Злая ссылка может быть, к примеру, такой:

Вместо aaaa и bbbb пишем разные ключевые слова, которые обычно используются на оригинальном сайте.

При наведении мышкой в браузере Firefox увидим сокращенный посередине адрес сайта, из-за чего часть zloysait.ru не отображается. Видна только не вызывающая подозрений часть ссылки:

Методы социальной инженерии
Сокращенный URL в Firefox

Для больших экранов фишинговую ссылку лучше сделать подлиннее.
Если навести мышку на такую ссылку в браузере Internet Explorer или Edge, то мы не увидим вообще ничего. Судя по всему, их смущает повторное двоеточие в адресе, что нас вполне устраивает.

Все браузеры на базе Chromium от Google и Яндекса отображают конечный URL zloysait.ru/bbbbbbbb…bbbbbbbb.html, поэтому этот метод подойдет для таргетированной атаки, когда изначально известен браузер жертвы.

«Почта России» и социальная инженерия

Если жертва занимает руководящую должность в целевой компании, можно попробовать сыграть на ее чувстве собственной важности.
Создается фейковый сайт одностраничник конференции (бизнес-мероприятия, бизнес-форума и подобного).

Теперь жертву необходимо заманить на ресурс. Почему бы не отправить бумажное письмо ей на работу? Тут вы точно обойдете всю цифровую и железную защиту в организации и даже нейросетевой брандмауэр в виде секретарши, так как, по ее мнению, если она выкинет такое письмо в мусорку, ее начальник не обрадуется. Очень уж привлекательно выглядит содержимое — красивое приглашение поучаствовать в пафосном мероприятии в качестве спикера (члена жюри, лауреата престижной премии).

Дальше все по стандартной схеме: предлагается скачать и заполнить «анкету» участника. Можно даже QR-код напечатать (вроде как заботимся о вашем удобстве, глубокоуважаемая жертва).

Личное или публичное?

Следующие несколько методов социальной инженерии относятся к атакам на организацию через использование фактов о личной жизни определенного сотрудника. Рассказывая о защите от социальной инженерии, я настаиваю на том, что человек должен знать правила безопасности не ради организации в которой он работает, а в первую очередь для себя.

Пока в некоторых СБ думают, что принесенный на работу смартфон с пойманным на выходных трояном нельзя использовать для прослушки внутриофисных событий, мы будем находить таких сотрудников и делать их более компетентными.

Не чекином единым

Если вы тестируете личный email пользователя или его аккаунт в соцсетях, то посмотрите, где он отдыхал в последнее время. См. также «Поиск человека по нику»

Видите название отеля? Смело пишите от имени администрации отеля и требуйте доплаты за сервис. В письмо добавьте надпись, что данное сообщение сгенерировано автоматически, а для ответа нужно воспользоваться формой на официальном сайте в разделе поддержки клиентов. Дав фейковую ссылку, предложите сотруднику зарегистрироваться. Кто знает, быть может, эту связку логин/email и пароль он использует и на других сайтах.

Методы социальной инженерии
Хотел похвастаться и навлек неприятности

Потенциальная жертва летает самолетами «Аэрофлота»? Напишите, что срочно надо активировать бонусные мили, и тогда их количество удвоится! Сделать это нужно по вашей фейковой ссылке с лендингом акции.

социальная инженерия методы
Авиабилет — находка для социнженера

Жертва недавно посетила какое-то мероприятие? Попросите ее зарегистрироваться по вашей ссылке, чтобы получить все записи с конференции + бонусный контент и скидку на участие в следующей!

социальная инженерия методы
Пост в соцсети, облегчающий жизнь пентестеру

Чтобы жертва ничего не заподозрила, после того как зарегистрировалась, ей можно показать сообщение об ошибке (например, «404. Ой, что-то пошло не так, попробуйте повторить ваш запрос позже!») или отправить на главную страницу сайта.

Примерно в таком ключе можно обращаться к пользователю на основании полученной информации из его аккаунтов в соцсетях. Здесь мы использовали по большей части фишинговые методы, и нам этого достаточно, чтобы проверить бдительность сотрудника. Настоящие злоумышлении, конечно, на этом не остановятся и будут использовать уязвимости браузеров и вредоносные файлы для заражения устройства жертвы. Это уже техническая часть, а не социальная.

SMS-редирект

Наверняка вы уже слышали историю о том, что у Bitcoin-инвестора с подходящей фамилией Терпин украли 23 миллиона долларов при помощи банального запроса о переносе номера мобильного на новую SIM-карту. А что, если немного пофантазировать и посмотреть, как с помощью фишинга получить доступ к интернет-сервисам сотрудника, защищенным двухфакторной аутентификацией? Вдруг кто-то из сотовых операторов дает возможность получить симку, не воруя номер?

Сотруднику на личный телефон (или корпоративный мобильный) отправляется SMS или email с призывом сделать что-то в его личном кабинете. Повод лучше выбрать страшный (из-за чего прямо сейчас нужно туда зайти) или надавить на жадность, чтобы не побуждать пользователя звонить в техподдержку. Нужно только знать, к какому оператору относится его номер телефона, и дать подходящую фишинговую ссылку. После получения доступа в кабинет человек со злым умыслом ставит свой телефон для приема SMS в разделе «Переадресация сообщений».

У большинства операторов предоставляется на выбор множество сценариев по настройке редиректов.

социальная инженерия методы
Описание услуги на сайте сотового оператора

Один email — один банк

Если вы нашли на сайте какого-то крупного банка такую строчку:

то представьте следующий сценарий:

  1. С помощью социальной инженерии и фишинга получаете доступ к аккаунту @gmail.com маркетолога.
  2. Через сервис Google Tag Manager вставляете по этой ссылке любой JS-скрипт (например, новогоднее поздравление) и жмете «Сохранить».
  3. Теперь ваш скрипт будет поздравлять посетителей с наступающим Новым годом (если служба безопасности будет не против и не перестанет пользоваться иностранными сервисами).

Google Tag Manager — сервис, который упрощает размещение на сайте информации, в том числе JS-скриптов. Соответственно, если вы имеете доступ к аккаунту, с которого делаются настройки Tag Manager, вы можете  внедрить свой вредоносный код на сайт.

социальная инженерия методы
Место для вставки вредоносного кода

Бонус

Напоследок приведу несколько советов.

  • Если писать жертве, представляясь таким же именем, как у нее, то отклика будет больше.
  • Отправляете письмо на любую корпоративную почту компании, получаете ответ и видите, как оформляется корреспонденция в этой организации. Затем копируете оформление в своей фишинговой рассылке от имени этой компании.
  • Услышав сообщение автоответчика о том, что сотрудник в отпуске, от его имени можно писать письма другим сотрудникам (якобы с личного, не корпоративного email), а также делать посты в соцсетях с его «другого аккаунта».
  • Многие пользователи считают, что если они попали на ресурс с «замочком» в адресной строке, то ресурсу можно доверять (см. также Защита передаваемых данных). Let’s Encrypt поможет социальному инженеру, раз уж это увеличивает конверсию.
  • Нет ничего хуже после отправки email, чем ответ почтового демона: «Сообщение не доставлено, адрес не существует. ПОДРОБНЕЕ ОБ ОШИБКЕ (и тут ссылка на ваш сайт и демонический хохот за кадром)».
  • Тренд будущего в СИ — Find trap, способ, когда человеку дается информационная наживка, и он сам ищет подробности в поисковиках. Находит ваш ресурс (поскольку наживка составлена именно так, чтобы выводить на него), а дальше — только полет фантазии ограничивает ваши возможности. Нет ничего лучше заинтересованного пользователя. К слову, именно таким способом мы отлавливаем в организациях продажных сотрудников.

Офлайн методы социальной инженерии

Мусорный серфинг

Ду­маешь, толь­ко в кино десяти­лет­ней дав­ности хакеры копались в мусор­ке в поис­ках полез­ной информа­ции? Почитай кни­гу от прак­тика соци­аль­ной инже­нерии Джон­ни Лон­га No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Отдель­ная гла­ва пос­вящена имен­но копанию в мусор­ных баках.

И опять же, если понима­ешь, о чем говорят на англий­ском язы­ке, можешь пос­мотреть ви­део о том, как ребята исполь­зовали най­ден­ные в мусоре докумен­ты, что­бы про­ник­нуть в авто­салон с дороги­ми авто­моби­лями.

Vishing

Ви­шинг (англ. vishing, от voice phishing) — исполь­зование телефон­ной свя­зи для обма­на поль­зовате­ля или вымани­вания допол­нитель­ной информа­ции.

По­мимо стан­дар­тно­го звон­ка сот­рудни­ку в пят­ницу под конец рабоче­го дня с прось­бой задер­жать­ся и помочь с вос­ста­нов­лени­ем пароля, пос­коль­ку про­изо­шел тех­ничес­кий сбой, мож­но поп­робовать и нес­тандар­тный спо­соб.

В этом сце­нарии «зло­умыш­ленник» про­сит жер­тву сме­нить пароль на новый, который он теперь, естес­твен­но, зна­ет и которым смо­жет вос­поль­зовать­ся. Если на пор­тале (или в любом дру­гом сер­висе) сто­ит двух­фактор­ная аутен­тифика­ция, то прой­ти ее так­же поможет поль­зователь, раз уж он толь­ко что помог зло­умыш­ленни­ку сме­нить свой пароль.

Вто­рой вари­ант: если человек не зна­ет, что нуж­но делать, что­бы сме­нить пароль, мож­но про­вес­ти при­мер­но сле­дующий диалог.

Пен­тестер: «Хорошо, я помогу вам и сме­ню пароль за вас. Текущий пароль я не знаю, пос­коль­ку он уже сбро­шен, но он сей­час понадо­бит­ся для вос­ста­нов­ления сис­темы».
Жер­тва: «Хорошо».
Пен­тестер: «Про­дик­туй­те пароль по сим­волам».

Find trap с использованием телефона

Тех­ника Find trap («поиск ловуш­ки» или «самос­тоятель­ный поиск ловуш­ки») — это метод соци­аль­ной инже­нерии, ког­да жер­тве дос­тавля­ется часть информа­ции, оставшу­юся часть которой она самос­тоятель­но ищет в поис­ковых сис­темах, попадая на вре­донос­ный ресурс. Давай рас­смот­рим вари­ант при­мене­ния этой тех­ники с исполь­зовани­ем телефон­ных звон­ков, а не email-рас­сылок.

Ес­ли ата­куют физичес­ких лиц, а не сот­рудни­ков орга­низа­ции, дела­ется проз­вон кли­ентов по какой‑либо сли­той базе. Потен­циаль­ные жер­твы ищут в поис­ковике, кто им зво­нил, и попада­ют на фей­ковый сайт.

Нап­ример, сли­та база сети магази­нов «Чет­вероч­ка», тог­да на под­кон­троль­ном фей­ковом сай­те зло­умыш­ленник ука­жет «полез­ную» информа­цию, яко­бы «Чет­вероч­ка» из‑за неп­равиль­но нас­читан­ного НДС дела­ет воз­врат 20% средств для тех, кто совер­шал покуп­ки в этом году. Нуж­но лишь ввес­ти дан­ные сво­ей бан­ков­ской кар­ты и получить воз­мещение.

Был такой слу­чай: однажды мне поз­вонили с какого‑то вен­гер­ско­го номера. Труб­ку я не снял, но номер погуг­лил. На пер­вом или вто­ром мес­те в резуль­татах поис­ка обна­ружи­лась ссыл­ка, перей­дя по которой я ока­зал­ся в чьем‑то лич­ном кабине­те некой пла­теж­ной сис­темы. На балан­се яко­бы име­лась круг­лая сум­ма в крип­товалю­те. Рас­чет на то, что алчная жер­тва поп­робу­ет вывес­ти средс­тва на собс­твен­ную кар­ту, рек­визиты которой и попадут мошен­никам.

Но в этой статье мы боль­ше не говорим про физ­лиц, а изу­чаем при­меры с кор­поратив­ной нап­равлен­ностью. Сот­рудни­ку орга­низа­ции мож­но 2–3 раза поз­вонить на мобиль­ный (ожи­дая по одно­му гуд­ку), что­бы он погуг­лил номер. А затем под­сунуть ему сайт с некой информа­цией для сот­рудни­ков имен­но этой орга­низа­ции и полез­ной наг­рузкой в виде фишин­говой фор­мы или ска­чива­емо­го вре­донос­ного фай­ла.

Бумага не во благо

Рас­смот­рим нес­коль­ко при­меров, ког­да бумаж­ный носитель информа­ции мож­но исполь­зовать в сво­их пен­тестер­ских целях.

Методы социальной инженерии
Методы социальной инженерии. Фо­то поль­зовате­ля @tehnota

Подбрасывание корпоративных документов

Под­бра­сывать мож­но не толь­ко флеш­ки с полез­ной наг­рузкой, но и «кор­поратив­ные» докумен­ты (при­казы, спис­ки на уволь­нение и так далее). Если ты попал внутрь перимет­ра, иди в убор­ную, общую кух­ню (но ничего там не ешь, оно чужое), к жур­наль­ному сто­лику и положи на вид­ное мес­то яко­бы офи­циаль­ный документ, за под­писью какого‑нибудь началь­ника орга­низа­ции.

В докумен­те не забудь ука­зать ссыл­ку на сайт, собира­ющий логины и пароли.

Бумажная реклама

С помощью бумаж­ного пись­ма с закосом под рек­ламу мож­но пре­дос­тавить дос­туп сот­рудни­ку яко­бы к толь­ко что открыв­шемуся полез­ному сер­вису. Нап­ример, бух­галте­рам или юрис­там мож­но под­сунуть какую‑нибудь бес­плат­ную базу нор­матив­ных докумен­тов или плат­ную, но с халяв­ным дос­тупом. В пись­ме будет ссыл­ка на «сер­вис» и неболь­шая леген­да на самом сай­те, рас­ска­зыва­ющая, почему нуж­но ввес­ти логин и пароль имен­но от кор­поратив­ной учет­ной записи. Нап­ример: «В целях при­вяз­ки кабине­та к вашей ком­пании исполь­зуйте учет­ную запись орга­низа­ции и пароль от нее».

А если в ком­пании исполь­зуют кор­поратив­ный пор­тал вро­де какого‑нибудь «Итрикс34», в рек­ламе мож­но написать, что у раз­работ­чиков появил­ся сер­вис для бух­галте­ров с неверо­ятны­ми воз­можнос­тями. Но вой­ти в сер­вис мож­но толь­ко с учет­ной записью от «Итрикс34».

QR-коды

Та­кие коды обыч­но нак­леивают на чей‑то пла­кат, рек­ламу, опо­веще­ния для сот­рудни­ков в общес­твен­ных (и не толь­ко) помеще­ниях. Разуме­ется, мож­но не толь­ко «парази­тиро­вать» на чужих пла­катах, но и соз­давать свои.

Про­ник в зда­ние орга­низа­ции? При­нимай­ся рас­кла­дывать кра­сиво офор­млен­ные, брен­дирован­ные под стиль орга­низа­ции‑жер­твы лис­товки и кле­ить пла­каты (ско­рее все­го, без­наказан­но это получит­ся сде­лать толь­ко в туале­те, где нет виде­онаб­людения, но все зависит от наличия виде­ока­мер по перимет­ру. Кто‑то спо­кой­но кле­ит пла­каты воз­ле лиф­тов и в коридо­рах).

Текст акции, нап­ример, для ретейл‑ком­пании, может быть таким: «Кол­леги, в свя­зи с обновле­нием ассорти­мен­та про­дук­ция будет рас­про­дана сре­ди сот­рудни­ков с 90%-й скид­кой. На нашем пор­тале в спе­циаль­ном раз­деле (QR-код со ссыл­кой ниже) есть спи­сок оставшей­ся про­дук­ции. То, что Вы решите выкупить, пометь­те в таб­лице зна­ком +. Мероп­риятие дей­ству­ет до кон­ца недели».

Ко­неч­но, для раз­ных орга­низа­ций лис­товки будут со сво­им бонусом, ведь про­дук­ция далеко не вся­кой орга­низа­ции нуж­на каж­дому ее сот­рудни­ку. В таком слу­чае при­думай «акцию» от пар­тне­ров. Нап­ример: «В рам­ках стра­теги­чес­кого сот­рудни­чес­тва для сот­рудни­ков ООО „Ромаш­ка“ сеть магази­нов „Бук­варь вку­са“ пре­дос­тавила сер­тифика­ты номина­лом 7500 руб. Для это­го…»

Еще неп­лохо заходит раз­дача чего угод­но, если это яко­бы было куп­лено в качес­тве подар­ков пар­тне­рам, но ока­залось невос­тре­бован­ным.

Визуальный пропуск

Речь идет о соци­аль­ной инже­нерии с помощью под­дель­ных про­пус­ков и бей­джи­ков. В тех слу­чаях, ког­да на пун­кте охра­ны про­пуск явля­ется не тех­ничес­ким, а чис­то визу­аль­ным атри­бутом для про­ник­новения за периметр (понаб­людай, как ведет себя охра­на), мож­но сде­лать копию такого про­пус­ка. В сто­ловой, кафе, рес­торане, где появ­ляют­ся сот­рудни­ки, мож­но без тру­да сфо­тог­рафиро­вать обра­зец.

Метод социальной инженерии офлайн
Метод социальной инженерии офлайн

Кста­ти, если, помимо про­пус­ка, пот­ребу­ется исполь­зовать фир­менную одеж­ду целевой орга­низа­ции, в этом видео инос­тран­цы под­робно рас­ска­зыва­ют, как они добыва­ют ори­гиналь­ную уни­фор­му для про­ник­новения на объ­ект.

Мероприятия

Ме­роп­риятия — это отличный повод поз­накомить­ся с жер­твой или целой груп­пой жертв (нап­ример, на кор­порати­ве орга­низа­ции). Рас­смот­рим некото­рые при­емы и при­меры экс­плу­ата­ции это­го век­тора атак.

Двухдневное мероприятие

За­бытые где‑нибудь бей­джи­ки с пер­вого дня, явля­ющиеся про­пус­ками при вхо­де, — неред­кое явле­ние. На сво­ем собс­твен­ном опы­те я неод­нократ­но сумел убе­дить­ся, что на вто­рые сут­ки мероп­риятия верифи­кация вхо­дящих была не такая стро­гая, как в пер­вый день. Прос­то понаб­людай, что про­исхо­дит на про­ход­ной.

На вто­рой день, наз­вав свое имя в качес­тве учас­тни­ка, ты получишь копию «потерян­ного» бей­джи­ка и смо­жешь прой­ти внутрь перимет­ра. То же самое мож­но про­вер­нуть и на пер­вый день, под­слу­шав дан­ные о регис­тра­ции от дру­гого регис­три­руемо­го и потом ска­зав дру­гому регис­тра­тору, что ты потерял про­пуск учас­тни­ка. Или сооб­щить, что во вре­мя переры­ва ты сидел с кол­легой в машине, а он уехал с бей­джи­ком.

Организовал на свою голову

Ес­ли жер­тва орга­низо­выва­ет мероп­риятие на сво­ей тер­ритории, то за периметр мож­но попасть гораз­до про­ще. Мониторь соци­аль­ные сети и офи­циаль­ный сайт орга­низа­ции и регис­три­руй­ся в спис­ке учас­тни­ков. Ну или не регис­три­руй­ся, если это дорого сто­ит, и при­меняй соци­аль­ную инже­нерию, что­бы попасть внутрь. Заод­но про­ведешь пен­тест охра­ны кор­поратив­ного мероп­риятия. Я знаю, что некото­рые безопас­ники орга­низа­ций так и дела­ют, ког­да «забыва­ют» билет в машине, а попасть на мероп­риятие очень хочет­ся.

Конференции, выставки и форумы

Ес­ли ты зна­ешь, что жер­тва будет на каком‑то мероп­риятии, — это хороший спо­соб поз­накомить­ся с ней вжи­вую или как минимум надеть фут­болку и кеп­ку, при­кинуть­ся про­моуте­ром и раз­давать на вхо­де USB-устрой­ства. Толь­ко не све­тись перед сот­рудни­ками орга­низа­тора, ты ведь не опла­тил ком­мерчес­кое учас­тие в мероп­риятии.

Корпоратив

Пе­ред Новым годом или в рам­ках локаль­ных праз­дни­ков орга­низа­ции, круп­ные и не очень ком­пании устра­ивают кор­порати­вы. Если обыч­ное мес­то их работы пред­став­ляет Форт‑Нокс с биомет­рией, снай­перами по перимет­ру и «неуго­вари­ваемой» охра­ной, то может так получить­ся, что в арен­дован­ном бан­кетном зале не будет таких мер безопас­ности, а раз­горячен­ные шам­пан­ским сот­рудни­ки потеря­ют бди­тель­ность и с радостью с тобой пооб­щают­ся. Можешь при­кинуть­ся нович­ком, ста­жером, сот­рудни­ком служ­бы ИБ, да кем угод­но, все зависит лишь от выб­ранной жер­твы и сце­нария.

Пришел к одним, пошел к другим

Ес­ли тебя инте­ресу­ет само зда­ние ком­пании, а на тер­ритории это­го зда­ния про­водит мероп­риятие какая‑то дру­гая орга­низа­ция, то это может сыг­рать на руку. Ты про­ходишь через пер­вый кор­дон охра­ны и даль­ше можешь нап­равлять­ся на тер­риторию инте­ресу­ющей тебя фир­мы. Так я гулял по раз­ным эта­жам орга­низа­ции, в то вре­мя как мероп­риятие про­ходи­ло на пер­вом.

Ес­ли ты про­водил пен­тест с исполь­зовани­ем соци­аль­ной инже­нерии в реаль­ной жиз­ни и готов «спа­лить связ­ку», напиши его сюжет в ком­мента­риях или прос­то поделись слу­чаем из жиз­ни, ког­да ты наб­людал работу пен­тесте­ров или Red Team в сво­ей орга­низа­ции. Кажет­ся, что такие слу­чаи будут луч­шим допол­нени­ем к статье, пос­коль­ку в рунете исполь­зование офлайн‑методик соци­аль­ной инже­нерии рас­кры­то недос­таточ­но, а пен­тестов про­водит­ся мно­го.

Заключение

О технических средствах защиты от социальной инженерии вы наверняка знаете лучше меня. К сожалению, их недостаточно. Как говорил основатель Group-IB Илья Сачков: «…какие бы ни были технологии… все становится бессмысленно, если сотрудники открывают подозрительные файлы и кликают на фишинговые ссылки… и у всех везде одинаковые пароли». Поэтому в следующий раз мы поговорим о том, как обучать сотрудников не попадаться на уловки социальных инженеров.

Еще по теме: Инструменты и техники социальной инженерии

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся защитой и аналитикой компьютерных угроз.

Добавить комментарий

  1. Lio

    Здравствуйте, как можно с вами связаться? У меня к вам есть предложение

    Ответить