Перейти к публикации
  • worldcup
    worldcup

    Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.

    Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

    Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

    При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

    Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

    Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

    Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

    Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

    Что проще хакнуть — софт или человека?

    • Софт. Его можно изучать хоть побитно, не вызывая подозрений, и самому найти новые уязвимости.
    • Человека. Эксплоиты быстро устаревают, а у людей есть стандартные уязвимые поведенческие модели.
    • Гибридная атака эффективнее. Берём популярный софт и думаем, как с его помощью сыграть на человеческих слабостях.

     «Фейковая подписка на рассылку»

    Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

    Кто чаще всего становится жертвой таргетированного фишинга?

    • Рядовые сотрудники. Они не разбираются в ИТ (65%)
    • Служба безопасности. Они считают себя умнее хакеров и нарушают собственные правила (21%)
    • Руководители. Их аккаунты открывают доступ к коммерческой тайне (14%)

     «Майнинг имейлов»

    Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним [email protected], проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

    «Мультилендинг»

    К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

    Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

    Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

    Выводы

    Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.




  • Банковские карты с балансом

    Предлагаем Вам карты с балансом на них.   Материал ру, соблюдайте все меры безопасности при обнале.   Комплект: Карта + Пин   Цена за карту будет равна половине баланса на ней, т.е. если вы хотите заказать карту с балансом 50 000 рублей, её стоимость будет 25 000 рублей. Минимальная сумма на карте 30 000 рублей Верхний предел 100 000 рублей Срок изготовления до 5 рабочих дней. Обращайтесь в pm или Telegram: @GGjin Карты территориально наход

    GJin
    GJin
    Продажа карт 224

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11  Pro  Max  64гб - 550$ | 256гб - 660$ | 512гб - 750$ IPhone 11  Pro           64гб - 440$ | 256гб - 500$ | 512гб - 600$ IPhone XS max           64гб - 400$ | 256гб - 450$ | 512гб - 500$ IPhone XS                   64гб - 380$ | 256гб - 420$ | 512гб - 450

    NFS
    NFS
    Прочие товары и услуги 58

    Делаем переводы (заливы) WU (western union)

    Залив Western Union Представляю свой сервис по заливам WU, Contact, MoneyGramm Условия честные, можно сказать братские - фифти\фифти (50\50) Предпочитаю работать с людьми с рекомендациями. С новичками форума сделки строго с ЗАЛОГОМ. Залог либо мне на прямую, либо гаранту. Минимальная сумма залива 800$ Перевод делается в течение часа после заключения сделки. Вы получаете код перевода и можете снять его в любом банке. Желательно каждый раз менять банк. По

    Ismailov
    Ismailov
    Заливы на банковские карты 319

    Оборудование для скимминга

    Оборудование для скимминга: готовые комплекты для установки на Wincor, Diebold, Ncr Скиммеры, вставки, щелевики, шиммеры Возможна продажа чертежей, адаптированных для печати на 3D принтерах. Есть в продаже отдельно аудио электроника с шифрованием, частотой дискретизации в 22.000 гц. Гарантия качества, сделки исключительно через Гарант Форума Доставка по всем странам, в том числе России и СНГ Наш сервис предоставляет услуги по расшифровке с аудио оборудования. Расшифровываем с

    rus123
    rus123
    Скиммеры 25

    Схема! 100 000 на перепродаже брендовых вещей

    Здравствуйте дорогие друзья! Хочу предложивать вам посреднические услуги по покупке и перепродаже качественных копий брендовой одежды. Будь то street wear, или же high fashion бренды. Я даю вам возможность работать со мной, а вернее арендовать мой опыт работы. Через меня, вам будут доступны самые мастеровитые профи своего дела. Вместе со мной, вы пройдете все этапы реселлинга, но уже с моим опытом, и без тех ошибок, что когда-то в начале пути совершал я сам. В

    BlackResell
    BlackResell
    Схемы заработка 1

    Скиммеры для банкоматов

    Всем привет! Наша команда осуществляет производство и продажу скиммеров для банкоматов Поддерживаемые банкоматы: NCR, Wincor, Diebold Все компоненты делаются вручную при помощи 3D принтера MakerBot с погрешностью 0.05 mm ПО полностью собственного производства. Пайка и сборка происходит в нашем цеху. Характеристики устройств: Время работы: до 50 часов +-2 часа. Электронная составляющая  (кишки\начинка) на выбор FLASH (msrv009\010) или AUDIO (custom\edic a16)

    ProSkimmerMafia
    ProSkimmerMafia
    Скиммеры 181
  • Создание и раскрутка телеграмм каналов. Полный гайд 2020

    Подробный гайд по созданию и раскрутки телеграмм каналов с нуля. Разберём какую тематику выбрать, как упаковать канал, какие есть сервисы и боты для ведения каналов, где брать рекламу, как рекламу продавать, сколько можно зарабатывать и многое другое.  Разберём какие тематики заходят, какие не заходят. В 2020 году ни в коем случае не стоит делать каналы с мемами, юмором, смешными видео, с пошлыми историями и прочим развлекательным контентом. В ТГ более серьёзная аудитория, поэто

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    ФСБ получит право разделегировать домены

    НКЦКИ ФСБ присоединился к числу компетентных организаций КЦ РФ. Соответствующее соглашение подписано в конце июля текущего года, рассказали “Ъ” в КЦ. Такой статус дает НКЦКИ возможность обращаться к регистраторам доменов с жалобами на сайты-нарушители, чтобы прекратить делегирование доменных имен, то есть фактически закрыть доступ к такому ресурсу. «НКЦКИ будет заниматься выявлением фишинговых ресурсов, источников вредоносного программного обеспечения (ПО), отслеживанием активности бот-сете

    Verb
    Verb
    Новости 4

    Глушим WiFi сети. Шпионим за пользователями WiFi сети.

    Иногда, при определенных обстоятельствах, работе, пентесте и т.д., бывает нужно заглушить какую-то из точек доступа. Сегодня мы поговорим об утилите LANs. Она умеет не только глушить Wi-Fi, но шпионит за пользователями... Радиус действия глушения сильно зависит от мощности адаптера, но у скрипта, о котором мы расскажем в этой статье, есть настройки, которые позволяют глушить всех подряд или только одного клиента. Сперва поговорим об утилите, и разберем, каким образом заглушить сразу вс

    ChekTime
    ChekTime
    Социальная инжинерия

    Заработок на мобильном гейминге

    Данный курс посвящен заработку на мобильных приложениях. В данном мануале я опишу схему, по которой мы будем добывать бесплатный трафик, получать лиды (установки приложений), и за это будем получать свои честно заработанные деньги. В качестве перестраховке мы будем использовать «разбавление» трафика. Скачать: https://yadi.sk/d/NJOpjyAmkkSXzg  

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    500 Рублей на Qiwi в боте в телеграм каждый день + годная рефка

    В общем очень простой способ немного подзаработать за простейшие  действия - переходим к боту и выполняем обычные задания и получаем  за это прибыль + там постоянно проходят розыгрыши на 10 000 - 15 000  рублей - и чем больше вы выполняете заданий тем больше у вас шанс выиграть в розыгрыше + годная рефка. Скачать: https://yadi.sk/d/Gg89NGbIGY_FIQ  

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    От 500р в день на файлообменнике

    Сегодня расскажу о том, как можно заработать на хлеб практически  ничего не делая. Тему можно развивать и получать больше прибыли. Работать будем через файлообменник, который платит деньги за скачивание, напихивая файлы своей рекламой. Скачать: https://yadi.sk/d/7wmlB9Cfd91njA  

    alecxandrkote
    alecxandrkote
    Слив схем заработка


×
×
  • Создать...