Искусство обмана - [88]
Даже когда я использую в легендировании для адресного фишинга личные данные, то не работаю с информацией, которая может навредить объекту воздействия. Например, в описанном случае я бы не стал использовать легенды вроде: «В нашем распоряжении оказались ваши фотоснимки в компании проституток. Чтобы выкупить эти фотографии, перейдите по ссылке» — даже если такие фотографии действительно существовали бы. И если бы я нашел подобные фотографии в процессе сбора данных из открытых источников, то сообщил бы о них объекту воздействия напрямую и спросил, как он сам хочет разобраться с возникшей ситуацией.
Фишинг: резюме
Не знаю, как вы, а лично я получаю на свои аккаунты в среднем 200–250 электронных писем в день. И как ни странно, проверка e-mail при этом не является моей основной работой!
Согласно отчету компании Radicati Group (http://www.radicati.com/wp/wp-content/uploads/2014/01/Email-Statistics-Report-2014-2018-Executive-Summary.pdf) в 2017 году каждый день отправлялось порядка 269 млрд e-mail. Это 3,1 млн в секунду! И еще один забавный факт: кажется, половина из них прилетает ко мне в папку «Входящие» (ну ладно, может, я слегка преувеличиваю).
E-mail используются для коммуникации между людьми, для бизнеса, шопинга и многих других целей. Поэтому в большинстве СИ-атак используется именно этот вектор. Профессиональный социальный инженер обязан уметь составлять убедительные электронные письма, основываясь на собранных из открытых источников данных. Это единственный способ проверить уязвимость клиентов по отношению к данному вектору атаки.
Вишинг
В 2015 году термин «вишинг» попал в Оксфордский словарь английского языка. Я связывал популярность этого слова с собственной просветительской деятельностью, но никто не верил. (Но в каждой шутке, как известно, есть доля правды.)
Вишинг — это фишинг с использованием голоса. Сегодня этот вектор атаки намного популярнее, чем несколько лет назад. На мой взгляд, рост популярности метода связан с его эффективностью.
Вот несколько причин, по которым стоит использовать вишинг в пентесте:
• сбор идентификационных данных;
• сбор данных из открытых источников;
• непосредственно атака.
Давайте обсудим каждый из них, чтобы вы понимали, чем отличается вишинг, используемый для достижения каждой из этих целей.
Сбор идентификационных данных
Конечно, в процессе пентестинга мы с командой используем технические решения, позволяющие компрометировать безопасность компании. Однако вишинг и фишинг для сбора идентификационных данных мы тоже используем, чтобы упростить процесс.
В ходе одной проверки после проведения сбора данных из открытых источников я собрал 10–15 телефонных номеров и собирался звонить по ним в надежде собрать идентификационные данные. Легенду я сформулировал в соответствии с результатами сбора данных из открытых источников: узнал, что недавно в офисах компании перешли с одной операционной системы на другую и этот переход курировал сторонний IT-подрядчик. Изменилось многое: обновить пришлось не только операционную систему, но и программы, которые часто использовались в работе.
Согласно легенде, я представился Полом из компании «Безопасные IT» (конечно, это название выдумано исключительно для книги). Якобы мне нужно было проверить статус обновлений на компьютере конкретного сотрудника, потому что мы зарегистрировали проблемы на некоторых устройствах. Между нами состоялся следующий диалог:
Объект: Добрый день, Стив слушает. Чем я могу помочь?
Я: Здравствуйте, Стив. Это Пол из компании «Безопасные IT». Я хотел бы…
Объект [перебивает меня]: Так это вы! Знаете, сколько на меня свалилось работы? А ваши чертовы обновления не дают мне ничего нормально сделать!
Я: Я понимаю, Стив. Потому и звоню. Мы заметили подозрительную активность с вашего IP-адреса, и я полагаю, что проблема может заключаться в отравлении DNS в связи с переполнением стека. [В конце этой фразы у меня даже голос дрогнул, а про себя я молился, чтобы Стив не оказался айтишником.]
Объект: Мой компьютер отравлен? Что вы вообще такое говорите, Пол?!
Я: Извините, это профессиональный жаргон. Правда, простите. Я хотел сказать, что в процессе установки могли возникнуть проблемы, из-за которых теперь компьютер работает медленно. Могу ли я сейчас попросить вас выполнить несколько действий, которые позволят устранить неполадки?
Объект: Послушайте, Пол. Пришлите сюда представителя, чтобы он сделал все что нужно. Я вообще не понимаю, что вы мне тут говорите на своем жаргоне.
Я: Ничего страшного, Стив. Но направить к вам сотрудника удастся не раньше, чем через четыре-пять дней. Но я могу помочь вам удаленно, прямо сейчас. Для этого мне нужно только залогиниться и установить удаленный доступ к вашему компьютеру.
Объект: Если это решит проблему — я обеими руками за. Что мне нужно сделать?
Я: Я могу залогиниться прямо сейчас и внести все необходимые поправки. Для этого мне нужны только ваш логин и пароль, которые вы используете для входа.
Объект [ни секунды не колеблясь]: Логин SMaker, S и M большие. Пароль у меня хороший, так что не крадите: Krikie99.
В отличие от большинства авторов книг о том, как нужно работать, я знаю о работе и карьере не по семинарам, лекциям и учебникам. Я сделала карьеру и продолжаю ее делать. Год за годом, день за днем, не отказывая себе в удовольствиях и личной жизни, я становилась профессионалом в своем деле, начальником, директором, автором книг, а также любимой женщиной, подругой и мамой. Именно поэтому мне смешно и грустно смотреть на обложки книг для карьеристок и не понятно, зачем лишать себя чего-то ради карьеры и делить личную жизнь и работу.Весь секрет нормальной жизни и карьеры в том, чтобы ничего не делить и использовать дома и на работе одни и те же приемы.
В центре внимания автора — известного французского философа, этнографа и психолога Люсьена Леви-Брюля (1857–1939) — проблемы природы человеческого мышления, культурной обусловленности его развития. Идеи Леви-Брюля породили плодотворную полемику и явились ценным вкладом в становление научного представления о природе сознания и мышления.Работы, включенные в книгу, выходили на русском языке более 60 лет назад и давно стали библиографической редкостью.Для психологов, социологов, философов и этнографов.http://fb2.traumlibrary.net.
Наталья Толстая — известный московский психоаналитик, кандидат психологических наук, телеведущая, журналист и писатель. Ее советам следует весь столичный бомонд — бизнесмены, актеры, звезды эстрады, политики и спортсмены.Читайте новую книгу и возрождайте свою любовь!«Пока твое сердце живо и горячо, оно способно теребить все клетки внутри тела, но стоит ему остыть, как замирает движение внутри».
В предлагаемой работе Юнг дает психологическое описание инстинктивной деятельности, увязывает инстинкты с концепцией бессознательного, а также настойчиво подчеркивает некорректность рациональных мотиваций инстинктивных поступков.
О чем эта книга:О смысле жизни.Во что верить и где её (веру) искать.О людях феноменальной силы, ума, воли.Вся, правда, о ясновидцах, экстрасенсах...О том, как нами манипулируют и обманывают.Как жить, не болея и оставаться работоспособным до старости.Что такое секс и любовь.О ложных и истинных жизненных целях.О экологически чистом сельском хозяйстве.Что такое «Национальная идея»?Об образовании и воспитании.Об экологии и экономике и о многом другом здесь написано простым и понятным языком. Книга рассчитана на широкий круг читателей.
Подростковый возраст — самый трудный, считают многие родители. Однако подростковый возраст проходит, а трудности в общении с детьми только нарастают. Почему? У молодых людей наступает период самореализации, когда родители часто оказываются "не в теме", и повзрослевшим детям кажется невозможным объяснить «замшелым предкам» свои проблемы. Старшие удивляются нахальству и агрессивности младших, а младшие обвиняют старших в "твердолобости". Конфликт — налицо! Как не превратить этот конфликт в затяжную войну между поколениями и правильно выстроить отношения с повзрослевшими детьми, вы узнаете из этой книги.