Сразу прошу простить за оформление ( время) в последующих курсах такого не будет
[ 19:29]
Лично я являюсь специалистом по претекстингу.
Это направление СИ в котором ты по телефону или в ИРЛ выдаешь себя за другого человека с целью манипуляции для получения желаемого.
Как правило это информация.
[ 19:29]
Кажется, что это звучит просто)
[ 19:29]
Казалось бы, просто позвони куда следует, представься верефицированным сотрудником и получай, что тебе нужно.
[ 19:31]
Но не всё так просто.
Хоть и на данный момент политика информационной безопасности в большинстве РУ компаний развита не очень сильно.
Но без должной подготовки осуществление подобных звонков невозможно.
[ 19:32]
И как вы догадываетесь именно предварительный сбор информации и занимает львиную долю проведения атаки СИ.
[ 19:32]
Поэтому давайте поговорим об этом подробнее.
[ 19:38]
Что бы вам было проще понять о чем я говорю, приведу пример.
У нас есть организация от коротой нам нужно получить необходимую информацию.
В идеале перед проведением атаки нам необходимо узнать структуру компании, названия отделов, имена сотрудников, наличие филиалов и т.д.
Это нужно для того, что бы мы могли позвонить и убедительно сыграть роль сотрудника компании т.е. сделав вид, что мы являемся их коллегой, а это значит, что нам можно доверять и бдительность у секретарей и других специалистов призванных отсеивать таких как мы сразу падает, что позволяет нам выцеплять от них по крупичкам нужную нам информацию.
[ 19:40]
Расскажу вам, как подобные атаки проворачивал я.
Моей целью была китайская компания которая завозила в рф буровые установки для добычи нефти.
У неё был один большой офис в москве и несколько по меньше по всей стране.
Моя цель была в главном офисе, но туда так просто было не подобраться.
Поэтому я начал звонить по филиалам и собирать от туда крупички информации, которые помогли бы мне создать необходимый образ.
Таким образом я узнал, что в одном из филиалов новый айтишник назовем его Сергей Сергеевич.
Также я узнал, что скоро приезжает главный китаец) ипоэтому в главном офисе сейчас суета.
А суета для социального инженера это идеально.
Поэтому я просто позвонил в главный офис представился новым айтишником Сергеем меня переключили на их айти отдел, я там со всеми познакомился и получил свои данные для подключения к их удаленке.
[ 19:42]
Звучит это конечно очень просто.
Но без тех тысяч звонков, что я сделал до этого, а другими словами опыта.
Я уверен, что ничего бы не вышло.
[ 19:42]
Для осуществления подобных звонков очень помогает софт для подмены номера.
И вообще использование виртуальных АТС.
[ 19:43]
Иногда даже этот софт не нужен, если при предварительном сборе инфы, вы узнали, что в компании просто нет определителей номера.
[ 19:44]
Наше с вами счастье в том, что многие компании однотипны и совершив пару сотен звонков, ты уже знаешь к чему тебе готовится в той или иной организации)
[ 19:46]
Ведь мало кто изобретает велосипед и называет отдел айти, департаментом информационных технологий.
[ 19:46]
Как правило с таким вы можете столкнуться если попытаетесь разведать структуру банка или другой организации где от уровня ИБ зависит её существование)
[ 19:47]
Но не стоит заранее настраивать себя на то, что это будет сложно)
[ 19:50]
Часто бывает, что много нужной нам информации лежит на поверхности и нужно просто уметь хорошо гуглить)
Курс по СИ от себлога, [30.09.18 09:31]
[ 19:50]
Например один раз, я просто использовал поиск по доменному имени компании + @ в яндексе и гугле и просто собрал все емайл адреса этой компании которые были в открытом доступе.
Получился неплохой список)
А дальнейшая фишинговая рассылка просто не оставила им шансов)
[ 19:50]
Но о фишинге мы поговорим позже, сейчас просто пример удачно вспомнился.
[ 19:53]
В общем первый урок:
1.Не пренебрегайте открытыми источниками информации.
Я вижу, что нам в бота уже задают вопросы.
Вопрос хороший, поэтому отвечу на него тут.
"Какая инфа нужна для проведения атаки помимо имён, наличия определителя номера?"
Хотя правильнее было бы спросить, какая информация нас интересует при подготовке к атаке СИ.
[ 19:56]
Ответ:
Нас интересует ВСЁ.
От посещаемых компанией выставок, товарной номенклатуры до добавочных номеров и имен сотрудников, названий отделов их времени работы.
[ 19:56]
Вы должны будете научиться использовать каждую крупинку информации которую найдете в своих интересах.
[ 19:58]
Ведь в претекстинге всё не ограничевается одним телефоном, если будет нужно вы можете узнать структуру организации и выдав себя за сотрудника какого нибудь HR отдела, просто выписать себе пропуск на себя "настоящего", нам нужно просто узнать, кто за это отвечает
И потом просто притопать туда ножками и посмотреть на всё своими глазами изнутри.
[ 20:01]
А иногда всё можно сделать ещё проще.
Если вас интересует информация о ком-то конкретном, можно просто позвонить в организацию и представиться сотрудником силовых структур.
Скрипт подобного звонка я вам предоставлю.
[ 20:01]
Лично я использую данный метод, когда мне нужно пробить информацию о ком-то, а я знаю только место его работы и ФИО.
[ 20:01]
Не стоит забывать и помощи настоящих силовиков)
[ 20:03]
Ведь благодоря великой силе корупции мы имеем возможность пробить информацию о любом человеке, просто заплатив немного денег продажному фэсеру.
[ 20:03]
Или сотруднику СБ банка.
[ 20:03]
У них кстати тоже есть доступ к очень интересной информации о людях их кредитной истории, месте работы, приводах, родствениках, номерах телефонов.
[ 20:04]
Согласитесь, такую информацию настоящий СИ сможет использовать на полную катушку)
[ 20:05]
Поэтому если вы берете крупный заказ, можете сразу закладывать в стоимость услуги пробива.
[ 20:05]
Проверенные контакты для этого дела я предоставлю вам в конце обучения.
[ 20:06]
Ну а сегодня я хочу, что бы вы попробовали собирать информацию из открытых источников.
[ 20:06]
Я расскажу вам, как это лучше всего организовать.
[ 20:06]
Давайте разобьемся на группы по три человека.
Ставьте + в бота @SEeducationBot
[ 20:07]
Активнее
[ 20:07]
А то будете учиться на кошках
[ 20:12]
Итак группы у нас распределились следующим образом.
[ 20:12]
Первые номера в списке сейчас создают чат и добавляют остальных ребят из своего списка туда.
[ 20:13]
Теперь это ваша команда на сегодняшний вечер
[ 20:13]
как будете готовы пишите готов в бота. @SEeducationBot
[ 20:18]
Я вам выдал ссылки на пустые таблицы
[ 20:18]
Ссылки есть только у Вас.
[ 20:18]
Ваша задача за 15 минут, собрать как можно больше информации на другую команду
[ 20:18]
Время пошло
[ 20:42]
Подводим итоги
[ 20:42]
Победила первая команда.
[ 20:42]
Поздравляю ребята, вы молодцы, сходу поняли, что от вас требуется и справились с заданием на ура.
А самое главное, что поймали общую волну и работали в команде.
[ 20:42]
Можете посмотреть, как выглядит подобный отчет по одной из компаний. Которую мы разрабатывали.
[ 20:42]
[ 20:42]
Там несколько страниц
[ 20:49]
Из этого задания вы должны сделать несколько выводов.
[ 20:49]
1.Не всё что вы находите в открытом доступе является достоверной инфой.
2.Чем меньше о вас инфы в сети, тем лучше.
[ 20:49]
Продолжим.
[ 20:50]
Вы все попробовали искать инфу в открытом доступе и поняли, что это не всегда просто.
Существует множество инструментов, которые могут сильно облегчить вам жизнь.
[ 20:50]
Позже скину табличку с ссылками.
[ 20:52]
Кстати говоря, наш эксперт по безопасности
[ 20:52]
В ходе обучения научит вас профессионально сохранять анонимность в сети
[ 20:53]
но это будет не раньше субботы)
[ 20:53]
так что пока наслаждайтесь своей жизнью без паранои)
[ 21:00]
Два часа занятия пролетели незаметно)
[ 21:07]
[ 21:07]
Информация с моего каталога вам в помощь)
[ 21:08]
[ 21:08]
Вот вам задание:
Найдите на себя информацию в интернете.
По номеру телефона, имени фамилии, никам.
Посмотрите где вы наследили, сделайте выводы и заодно вы поймете как поисковики индексируют подобную информацию.
