Перейти к публикации
  • worldcup
    worldcup

    Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.

    Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

    Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

    При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

    Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

    Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

    Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

    Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

    Что проще хакнуть — софт или человека?

    • Софт. Его можно изучать хоть побитно, не вызывая подозрений, и самому найти новые уязвимости.
    • Человека. Эксплоиты быстро устаревают, а у людей есть стандартные уязвимые поведенческие модели.
    • Гибридная атака эффективнее. Берём популярный софт и думаем, как с его помощью сыграть на человеческих слабостях.

     «Фейковая подписка на рассылку»

    Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

    Кто чаще всего становится жертвой таргетированного фишинга?

    • Рядовые сотрудники. Они не разбираются в ИТ (65%)
    • Служба безопасности. Они считают себя умнее хакеров и нарушают собственные правила (21%)
    • Руководители. Их аккаунты открывают доступ к коммерческой тайне (14%)

     «Майнинг имейлов»

    Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним [email protected], проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

    «Мультилендинг»

    К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

    Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

    Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

    Выводы

    Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.




  • Работа закладчиком. Без залога!

    Привет, друзья! Нам требуются надёжные и ровные кладмены по всей РФ и КЗ. Работаем без залога, но по документам, строго от 18 лет! В каких-то городах даже от 21! ЗП от 300р/клад, примерно от 50к в неделю выходит, оплата 2 раза в неделю. Так же требуются водители с личным транспортом от 2002 года минимум. За подробностями и трудоустройством стучите мне в телеграмм @telegrwork

    DanZak24
    DanZak24
    Схемы заработка 1

    best-brute.shopsn.su аккаунты от шопов

    Предоставляем аккаунты от разных шопов.   Некоторые сайты сохраняют cvv, это позволяет оплачивать товары без покупок прочего материала.   Даем гарантию на валид любого товара в течении 2-х часов.   Оплата принимается в Bitcoin и Qiwi.   http://best-brute.shopsn.su или пишите в телегу https://t.me/kristymisty

    kristymisty
    kristymisty
    Прочие товары и услуги 1

    Как удваивать деньги каждый день, игра для заработка денег

    Схема как быстро удваивать Ваши деньги каждый день. Новая игра для заработка денег позволяет зарабатывать и выводить деньги в любой момент на Вашу карту, qiwi, вебмани, яндекс деньги, пеер кошелёк и т.д. Предусмотренны все популярные платежные системы + вывод без верификации аккаунта и без скана паспорта, как обычно бывает. Выплата приходит практически мгновенно. Я обычно считаю до десяти и за это время приходит смс, что на сбер карту поступила выплата. И так быстро выплачивают всегд

    alecxandrkote
    alecxandrkote
    Схемы заработка 1

    Заходи сюда! кошельки, связки, карты! оптом и в розницу!

    У НАС САМЫЕ ПРИЯТНЫЕ ЦЕНЫ! НА ОПТОВЫЕ ЗАКАЗЫ ЦЕНА ВСЕГДА ОБСУЖДАЕМА! WebMoney Формальный аттестат + проверенные документы - 500 руб. Начальный аттестат на Ваши/Наши данные - 2099 т.р. Персональный аттестат - 19999 т.р. Связка вебмани начальный/формальный + Киви + Яндекс ( все на одни данные ) - 3999 т.р.   QIWI Частично идентифицированный кошелек + сканы - 300 рублей. Идентифицированный кошелек на Ваши/Наши данные - 999 рублей. (Идентификация от 10 ш

    InkognitoXXX
    InkognitoXXX
    Продажа карт 22

    Кодграббер Pandora v 2.4 - Полная версия

    Кодграббер Pandora v 2.4 - Полная версия Представляем вашему вниманию прибор Pandora 2.4 Прибор появился на рынке в средине 2017 года За счет не высокой цены и достаточно большого списка, успешно себя зарекомендовал. Упаковка: упаковочный мешочек с коробочкой (внутри сам кодкраббер + инструкция формате а4) Доставка: по Москве кладом, отправка в регионы транспортной компанией; Вы всегда можите написать нам , уточнить всё как пользоваться. Список возможностей и функций: ХА

    MoscowKent
    MoscowKent
    Прочие товары и услуги 18

    Схема по заработку на UBER от 150.000

    И это не галимые промокоды, которые уверен вам где-то впаривали. Длительность: 1 день + саппорт   Я научу как зарабатывать на брут аккаунтах Uber. Работа заключается в предоставлении заказов/поездок нужному водителю без пассажира.  Ваша прибыль это процент от заказа. Как правило 30-50%. Найдя 10 водил, вы сможете брать с каждого минимально 1000 рублей в день. Математику думаю все знают.  Взяв самый хуевый вариант - 5 водителей принесут в день вам 5 тысяч, и 150

    GentleGenry
    GentleGenry
    Схемы заработка 34
  • Схема заработка на адалт сайтах. Способ добычи трафика 18+

    Лёгкая схема заработка на адалт сайтах. Разберём способ добычи трафика на адалт партнёрку 18+ В данном мануале я постараюсь как можно подробнее описать лёгкий способ заработка. По моему мнению, это самая топовая схема на сегодняшний день, не нужно никаких навыков, никого не нужно обманывать. Тема уже давно всем известна, я лишь разложу все по полочкам и постараюсь вывести Вас на хороший доход в данной системе. Выплачивают деньги всегда, не было такого чтобы не выплатили.  Схема зара

    alecxandrkote
    alecxandrkote
    Слив схем заработка

    Заработок на объявлениях

    Тема, которая идеально подойдет для небольшого города и практически не будет требовать вложений, кроме времени Краткая предыстория Наверняка у вашего подъезда есть стенд с объявлениями? Наверняка на нем нахерачены друг на друга непонятные объявления. Или того хуже, рекламная площадка для вашего подъезда вообще не предусмотрена, и реклама засирает рандомное пространство возле него. Посмотрите на эти объявления - причина, по которым их клеят в том, что это работает. В наше время ещё оста

    Integra
    Integra
    Легальный бизнес 5

    Выборочное шифрование трафика в Linux.

    Linux предоставляет огромный набор функций для маршрутизации и инструментов ее конфигурирования. Опытные сисадмины знают об этом и используют арсенал Linux на полную катушку. Но и многие даже продвинутые пользователи не догадываются, сколько удобства могут принести все эти замечательные возможности. Сегодня мы создадим таблицы маршрутизации и опишем правила прохода по ним, а также автоматизируем администрирование этих таблиц. Итак, наши творческие планы: определимся с тем, что нам требуе

    Integra
    Integra
    Социальная инжинерия 1

    Защита WHM / cPanel с помощью плагинов CSF и CXS

    В сегодняшней статье я расскажу вам про два полезных плагина для панели управления хостингом WHM/cPanel, установка и использование которых не только защитит cPanel, но и улучшит безопасность самого хостингового сервера. Я также приведу пару примеров, как с помощью этих плагинов можно отбиться от небольшой DDoS-атаки. Защита cPanel Сама по себе панель управления WHM/cPanel — достаточно надежный и довольно гибкий инструмент для администрирования хостингового сервера, к тому же набор стан

    Rabb1tRun
    Rabb1tRun
    Ботнеты, кодинг, загрузки 3

    Секс тур

    Тему реализовывали в 2017 году. Живая до сих пор, но много нюансов. Работать лучше в паре с девочкой.   С времен финансово кризиса, почему то именно Украина стала меккой, для всякого рода туристов, которым не так интересны достопримечательности. Первое, что встречает бизнесменов и туристов, приехавших в Украину, по пути из аэропорта Борисполь в Киев, — огромные билборды с рекламой стрип-клубов. Подсказка для тех, кто еще не знает или мог позабыть о том, что в нашей стране, как открыто

    human
    human
    Слив схем заработка 4

    В отделениях «Почты России» начали собирать биометрические данные россиян

    Единая биометрическая система (ЕБС) испытывает проблемы с наполняемостью, но эксперты расходятся в оценке того, помогут ли почтовые отделения исправить дело     Отделения «Почты России» стали еще одной площадкой после банков, где начал происходить сбор биометрических данных россиян (изображения лица и записи голоса). Об этом РБК рассказал руководитель дирекции

    rus_d0qstr
    rus_d0qstr
    Юридический раздел 3
×
×
  • Создать...