Перейти к публикации
  • worldcup
    worldcup

    Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.

    Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

    Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

    При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

    Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

    Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

    Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

    Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

    Что проще хакнуть — софт или человека?

    • Софт. Его можно изучать хоть побитно, не вызывая подозрений, и самому найти новые уязвимости.
    • Человека. Эксплоиты быстро устаревают, а у людей есть стандартные уязвимые поведенческие модели.
    • Гибридная атака эффективнее. Берём популярный софт и думаем, как с его помощью сыграть на человеческих слабостях.

     «Фейковая подписка на рассылку»

    Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

    Кто чаще всего становится жертвой таргетированного фишинга?

    • Рядовые сотрудники. Они не разбираются в ИТ (65%)
    • Служба безопасности. Они считают себя умнее хакеров и нарушают собственные правила (21%)
    • Руководители. Их аккаунты открывают доступ к коммерческой тайне (14%)

     «Майнинг имейлов»

    Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним [email protected], проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

    «Мультилендинг»

    К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

    Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

    Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

    Выводы

    Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.




  • Скиммеры для банкоматов

    Всем привет! Наша команда осуществляет производство и продажу скиммеров для банкоматов Поддерживаемые банкоматы: NCR, Wincor, Diebold Все компоненты делаются вручную при помощи 3D принтера MakerBot с погрешностью 0.05 mm ПО полностью собственного производства. Пайка и сборка происходит в нашем цеху. Характеристики устройств: Время работы: до 50 часов +-2 часа. Электронная составляющая  (кишки\начинка) на выбор FLASH (msrv009\010) или AUDIO (custom\edic a16)

    ProSkimmerMafia
    ProSkimmerMafia
    Скиммеры 177

    Приму залив на Альфу

    Разово. Карты виза и мастер кард. Лимит до 500 000р. Денег на предоплату нету!!! Пишите в пм.

    filla
    filla
    Заливы на банковские карты 2

    Посылка с DARKNET | Техника

    Добро пожаловать! В нашем магазине для вас представлены: Любая техника за 40% от цены Amazon.com и Ebay.com Apple    Samsung    Sony    NVidia    Huawei    Xiaomi и т. п. IPhone | MacBook | IPad IPhone 11  Pro  Max  64гб - 550$ | 256гб - 660$ | 512гб - 750$ IPhone 11  Pro           64гб - 440$ | 256гб - 500$ | 512гб - 600$ IPhone XS max           64гб - 400$ | 256гб - 450$ | 512гб - 500$ IPhone XS                   64гб - 380$ | 256гб - 420$ | 512гб - 450

    NFS
    NFS
    Прочие товары и услуги 59

    Карты с балансом / Карты под обнал / Обнал карт

    Предлагаю работу по обналу карт. Если вас интересует такой вид заработка то читайте внимательно чтоб не было вопросов на которые уже есть ответы!!! Наша команда опытных кардеров ищет людей для обнала пластиковых карт американских банков. [Мы предлагаем работать на нас и получать до 5000 $ в месяц] Работа не сложная, все что от вас требуется так это получать партии пластиковых карт и обналичивать их в банкоматах. Работаем исключительно с американским пластиком что сводит риски дан

    DebitCredit
    DebitCredit
    Продажа карт 34

    Военный билет легально

    Готов предоставить услугу получения Военного билета в Москве (не обязательно быть прописанным в МСК,человек может быть откуда угодно,мы сделаем бесплатнопрописку и прикрепим человека к Московскому военкомату)   По долгу службы имею доступ к картотеке московского военкомата. Отсюда есть возможность следать военный билет (по состоянию здоровья) без посредников и абсолютно легально. Я лично буду оформлять ваши документы, следовательно на руки вы получите оригиналы.   Порядок д

    GunPower
    GunPower
    Купить Военный билет 34

    Схема офлайн. Заработок от 200К в месяц

    Продаю схему заработка в 1 город максимум 2-3 руки. Данный материал позволит вам почувствовать себя хозяином собственного дела в вашем городе. Поскольку тема авторская, то полностью исключено, что в вашем городе практикуется данный бизнес. Если ваш город не занят, вы просто покупаете и начинаете зарабатывать уже через 3-4 дня первый 30-50тр. Абсолютно не прикладывая не каких усилий, без вложений накоплений, ничем абсолютно не рискуя. Чтобы начать зарабатывать нужно только умение общаться с люд

    Мажорный Сет
    Мажорный Сет
    Схемы заработка 14
  • Магазин строительных материалов

    Какой плиточный клей лучше? Перед тем как отправиться за плиточным клеем, следует определить, где именно будет производиться укладка облицовочного материала – снаружи или внутри дома. Также необходимо знать размер плитки: обычная или крупноразмерная. Все это непосредственно отразиться на результатах выбора. Как и какой выбрать плиточный клей. Для укладки керамики можно использовать самые простые составы. Исключении составляют случаи, когда проводится облицовка гибких поверхностей, таких ка

    SvetaKen
    SvetaKen
    Легальный бизнес 4

    Купить паспорт гражданина РФ с проводкой по базе

    Где купить паспорт РФ?   Купить паспорт гражданина РФ – это не так страшно, как кажется. На самом деле ситуации бывают разные. Иногда документ, подтверждающий личность, нужен временно. Вы можете уже 5 лет проживать в стране, работать и приносить всяческие блага, а бездушная бюрократическая машина кормит «завтраками» и не делает ничего, чтобы превратить человека в гражданина страны. А ведь наличие паспорта существенно облегчает жизнь. Так, Вы сможете: ·        голосовать;

    Integra
    Integra
    Юридический раздел 3

    Машинный слух. Как работает идентификация человека по голосу

    Ты, возможно, уже сталкивался с идентификацией по голосу. Она используется в банках для идентификации по телефону, для подтверждения личности на пунктах контроля и в бытовых голосовых ассистентах, которые могут узнавать хозяина. Знаешь ли ты, как это работает? Я решил разобраться в подробностях и сделать свою реализацию. Характеристики голоса В первую очередь голос определяется его высотой. Высота — это основная частота звука, вокруг которой строятся все движения голосовых связок. Эту

    ChekTime
    ChekTime
    Биллинги, веб дизайн

    Чем занимается «белый хакер», как им стать и сколько можно заработать

    Рассказ Link — хакера из Санкт-Петербурга, который нашёл уязвимость в PayPal и получил от компании около $70 тысяч в знак благодарности.   Меня всегда интересовала информатика, и мне всегда хотелось что-то «сломать», но при этом так, чтобы никто не пострадал, а защита и качество сервисов улучшились.  Я искал разные приложения и сайты и спрашивал у создателей, можно ли проверить их разработки на прочность. Чаще всего мне отказывали. Скорее всего, боялись, потому что так

    Rabb1tRun
    Rabb1tRun
    Библиотека кардера

    Целенаправленная социальная инженерия. Нестандартные техники введения в заблуждение.

    WARNING Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Банки уже давно не нужно грабить в масках с автоматами — теперь достаточно электронной почты, но во многих финансовых организациях еще живы старые стереотипы. Акцент в них делают на физическую безопасность, считая информационную менее существенной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с наибольшей вероятностью ви

    Novichok
    Novichok
    Социальная инжинерия 4

    Купить QIWI кошелек с балансом, без смс подтверждения

    Где купить QIWI кошелек?   QIWI Кошелек представляет собой кошелек электронного формата. Он основан на предоплаченном счете Visa. Сегодня количество пользователей данным кошельком уже больше 17 миллионов. Пользователи Киви кошелька могут достаточно быстро и без проблем оплачивать сервисы больше чем 11 тысяч предприятий. Кошелек Киви предлагает собственным пользователям открытый доступ к надежным и безопасным продуктам Виза. Счет QIWI кошелька привязывается к карте (она может быть в

    InkognitoXXX
    InkognitoXXX
    Курилка 1
×
×
  • Создать...