Перейти к публикации
  • worldcup
    worldcup

    Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.

    Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

    Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

    При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

    Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

    Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

    Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

    Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

    Что проще хакнуть — софт или человека?

    • Софт. Его можно изучать хоть побитно, не вызывая подозрений, и самому найти новые уязвимости.
    • Человека. Эксплоиты быстро устаревают, а у людей есть стандартные уязвимые поведенческие модели.
    • Гибридная атака эффективнее. Берём популярный софт и думаем, как с его помощью сыграть на человеческих слабостях.

     «Фейковая подписка на рассылку»

    Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

    Кто чаще всего становится жертвой таргетированного фишинга?

    • Рядовые сотрудники. Они не разбираются в ИТ (65%)
    • Служба безопасности. Они считают себя умнее хакеров и нарушают собственные правила (21%)
    • Руководители. Их аккаунты открывают доступ к коммерческой тайне (14%)

     «Майнинг имейлов»

    Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним [email protected], проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

    «Мультилендинг»

    К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

    Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

    Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

    Выводы

    Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.




  • Делаем заливы по СНГ

    Переводы на карты банков СНГ   Ищем ответственных людей, с головой на плечах, которые хотят и могут серьезно работать.   Льем грязь на карты физиков Сбера, Альфы, ВТБ24, Райфайзена, ПриватБанка, БСБ, БелВЭБ и многих других. Суммы заливов от 60к руб до 220к руб. Минималка - 20к вносите в гарант, 60к получаете на карту. Транзакции инстант (проходят практически моментально) Что бы работать с нами у Вас должны быть карта(ы) и желание работать.   Хотите п

    Karlos
    Karlos
    Заливы на банковские карты 355

    Научу зарабатывать от 200К в месяц по БЕЛОМУ

    Рад приветствовать на своей ветке! Если у тебя есть большие яйца, что бы поверить незнакомому человеку, который может реально научить тебя зарабатывать большие деньги, то обязательно прочти до конца! И возможно именно в этой информации ты найдешь то, что так давно искал - белую схему по заработку с огромной перспективой роста дохода. Будем зарабатывать деньги на новой теме по созданию интернет- магазинов и продаже товаров, о сути которой ты бы сам не догадался, потому что не имеешь

    Balkanpharm
    Balkanpharm
    Схемы заработка 16

    Карты под обнал

    Здравствуйте, по приглашению администрации форума создаю тему на площадке. Ищу активных, ответственных людей во всех регионах РФ и СНГ для обнала карт. Балансы 1000+$, карты не чекаю точных балансов не знаю, но меньше 1000 не было ни разу. В данный момент выслал карты для проверки по просьбе администрации, надеюсь потом получу статус доверенного. Со временем внесу залог, если будет работа именно на этом борде. Буду работать с людьми по рекомендации от доверенных лиц форума 50

    DropOBot
    DropOBot
    Продажа карт 92

    Кардридеры и энкодеры MSR

    К продажам доступны следующие товары: Кардридер «MHT-400» =2000 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтение трека #2 ◉ ПО NotePad Энкодер «MSR605X» =9500 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтение и запись трека #1, #2, #3 ◉ Количество проводок 500.000 раз ◉ Стандарт Hi-Co и Lo-Co ◉ Карта с магнитной полосой - 10 шт. ◉ Карта для чистки магнитных головок - 1 шт. ◉ ПО для Windows и Mac OS в комплекте  Энкодер «MSR606» =10000 ₽ ◉ Питание от USB (напрямую от 5V) ◉ Чтен

    ProSkimmerMafia
    ProSkimmerMafia
    Скиммеры 25

    InstaSpider - инстаграм программа шпион для мониторинга новых подписчиков пользователей

    Функции программы: 1. Программа мониторит у выбранных aккаунтов(доноров): - новых подписчиков - пользователей которые лайкнули запись только что - пользователей которые написали комментарий только что Выполняет действия с новыми пользователями доноров: -подписку -лaйк записей -написание в Директ (поддержка кликабельных ссылок) -написание в Директ своим новым подписчикам (поддержка кликабельных ссылок) -отметка на фото -просмотр историй Есть настройки критериев пользова

    darkcypher777
    darkcypher777
    Прочие товары и услуги 5

    Оборудование для скимминга

    Оборудование для скимминга: готовые комплекты для установки на Wincor, Diebold, Ncr Скиммеры, вставки, щелевики, шиммеры Возможна продажа чертежей, адаптированных для печати на 3D принтерах. Есть в продаже отдельно аудио электроника с шифрованием, частотой дискретизации в 22.000 гц. Гарантия качества, сделки исключительно через Гарант Форума Доставка по всем странам, в том числе России и СНГ Наш сервис предоставляет услуги по расшифровке с аудио оборудования. Расшифровываем с

    rus123
    rus123
    Скиммеры 21
  • Заработок на объявлениях

    Тема, которая идеально подойдет для небольшого города и практически не будет требовать вложений, кроме времени Краткая предыстория Наверняка у вашего подъезда есть стенд с объявлениями? Наверняка на нем нахерачены друг на друга непонятные объявления. Или того хуже, рекламная площадка для вашего подъезда вообще не предусмотрена, и реклама засирает рандомное пространство возле него. Посмотрите на эти объявления - причина, по которым их клеят в том, что это работает. В наше время ещё оста

    Integra
    Integra
    Легальный бизнес 4

    Бот для заработка крипты BTR

    - Сегодня речь пойдет об очень простом и эффективном боте для заработка на проекте BTR. - Этот бот встроен в функционал проекта и вам не потребуется скачивать отдельно программу. - Бот будет за вас клацать, выполнять задания и разгадывать капчу. - Вы получаете профит! Скачать

    yiligiboy
    yiligiboy
    Слив схем заработка 3

    Где можно купить скиммер для банкомата?

    Скиммеры: что это такое и как работает?   Сегодня существует огромное количество альтернативных способов заработка. Один из вариантов – использовать скиммер для банкомата, представляющий собой специальное устройство, которое дает возможность снимать деньги с чужих банковских карт. Прибор способен считывать информацию с банковской карты при работе с банкоматами, терминалами и инфокиосками. Как используется скиммер Купить скиммер для банкомата в Интернете уже не проблема. П

    Integra
    Integra
    Библиотека кардера 4

    Штрафы за «неуважение к власти» бьют рекорды

    Активист из Кургана был оштрафован на самую крупную в данный момент сумму по этой статье — 40 тысяч рублей — за размещённую во ВКонтакте песню про Владимира Путина     Курганский городской суд посчитал участника движения «Агит-Россия» Евгения Жукова виновным в неуважении к власти (ч. 3 ст.20.1 КоАП) и назначил ему штраф в 40 тысяч рублей. Об этом со ссылко

    Plevako
    Plevako
    Юридический раздел 3

    ФСБ получит право разделегировать домены

    НКЦКИ ФСБ присоединился к числу компетентных организаций КЦ РФ. Соответствующее соглашение подписано в конце июля текущего года, рассказали “Ъ” в КЦ. Такой статус дает НКЦКИ возможность обращаться к регистраторам доменов с жалобами на сайты-нарушители, чтобы прекратить делегирование доменных имен, то есть фактически закрыть доступ к такому ресурсу. «НКЦКИ будет заниматься выявлением фишинговых ресурсов, источников вредоносного программного обеспечения (ПО), отслеживанием активности бот-сете

    Verb
    Verb
    Новости 3

    Глава Tron закупает по 5'000 фолловеров в Twitter в день

    Обозреватель крипто-рынка Джош Рейгер обвинил основателя Tron, Джастина Сана, в том, что последний покупает подписчиков в Твиттере. В своем твите, опубликованном 1 сентября, Рейгер заявил: «Похоже, вы все еще покупаете от 5000 до 6000 подписчиков в день. Моя любимая статистика - как вы перешли от потери чистых отрицательных подписчиков в месяц к получению 5 тысяч подписчиков ежедневно, как по часам в конце 2018 года». В конце он добавил, обостряя атаку: «Ты такой мем. Мне жаль инв

    bot1kus
    bot1kus
    Биллинги, веб дизайн 2
×
×
  • Создать...