Go offline. Используем социальную инженерию в реальном мире

Содержание статьи

• Tailgating
• Проникновение на объекты
• Плечевая атака
• Piggybacking
• Дорожное яблоко
• Мусорный серфинг
• Vishing
• Find trap с использованием телефона
• Бумага не во благо
• Подбрасывание корпоративных документов
• Бумажная реклама
• QR-коды
• Визуальный пропуск
• Мероприятия
• Двухдневное мероприятие
• Организовал на свою голову
• Конференции, выставки и форумы
• Корпоратив
• Пришел к одним, пошел к другим

Са­мая зах­ватыва­ющая и роман­тизиро­ван­ная часть соци­аль­ной инже­нерии — это, конеч­но, офлайн‑ата­ки. Фишинг по элек­трон­ной поч­те — инте­рес­ный про­цесс, но в офлай­не пен­тестер по‑нас­тояще­му рас­кры­вает­ся как твор­ческая лич­ность. Вот об этой сто­роне искусс­тва соци­аль­ной инже­нерии мы сегод­ня и погово­рим, раз­берем прак­тичес­кие методы работы пен­тесте­ра в офлай­не, а так­же обсу­дим при­меры успешных атак.

С вос­хищени­ем мы слу­шаем исто­рии о том, как пен­тесте­ры готовят­ся к ата­ке, при­думы­вая под­ходящую леген­ду. Нап­ример, выда­ют себя за устра­ивающе­гося на работу соис­кателя, под­делыва­ют про­пуск, а потом про­ника­ют в периметр орга­низа­ции, под­клю­чают­ся к внут­ренней сети, химичат в сер­верной, рас­кле­ивают пла­каты с QR-кодами или прос­то раз­бра­сыва­ют флеш­ки с «сюр­при­зом». В этой статье мы раз­берем при­меры таких атак. Нес­коль­ко из них будут поза­имс­тво­ваны из моей кни­ги «Кон­тро­лиру­емый взлом. Биб­лия соци­аль­ной инже­нерии», кро­ме них, рас­смот­рим ряд дру­гих при­меров из интерне­та.

Tailgating

Наз­вание это­го типа ата­ки мож­но перевес­ти как «упасть на хвост» или «парово­зик». Она пред­полага­ет физичес­кое сле­дова­ние за упол­номочен­ным лицом для получе­ния дос­тупа в зап­рещен­ную зону или зда­ние. Вот пять при­меров реали­зации этой ата­ки.

Вто­рой при­мер из видео, где показы­вает­ся про­ник­новение на объ­ект через откры­тую дверь, я реаль­но наб­людал в одной из орга­низа­ций со стро­гими муж­чинами на про­ход­ной. Все бы хорошо, но запас­ной вход был открыт нарас­пашку.

Во­обще, сто­ит отме­тить, что один из глав­ных навыков соци­аль­ного инже­нера — это не пси­холо­гия или, боже упа­си, НЛП, а наб­людатель­ность. С помощью нее собира­ется информа­ция о цели, что уже сос­тавля­ет при­мер­но полови­ну работы. Ну а при реали­зации офлайн‑сце­нария важ­ным навыком будет хлад­нокро­вие, ведь не так прос­то сдер­жать эмо­ции, ког­да ты пыта­ешь­ся прой­ти мимо охра­ны по под­дель­ному про­пус­ку.

Проникновение на объекты

По­мимо «обыч­ных» спо­собов про­ник­новения в офис целевой ком­пании под видом потен­циаль­ного работ­ника, при­шед­шего на собесе­дова­ние, или сот­рудни­ка сер­висной служ­бы, которо­го яко­бы прис­лали что‑то там ремон­тировать, есть и необыч­ные спо­собы. Рас­смот­рим один из них.

Нап­ример, мож­но прой­ти через раз­ные «тур­никеты» с лес­тни­цей под мыш­кой.

Есть еще один при­мер из Яку­тии, ког­да жур­налис­ты при­няли чел­лендж и исполь­зовали для про­хода в суды, МВД, про­кура­туру, а так­же в дру­гие орга­низа­ции… обыч­ную бутыл­ку воды. К сожале­нию, на пуб­личных виде­охос­тингах пос­вящен­ную это­му экспе­римен­ту запись уже выпили­ли, оста­лась ссыл­ка толь­ко на зап­рещен­ную в Рос­сии соци­аль­ную сеть.

Плечевая атака

Этот вид ата­ки счи­тает­ся клас­сикой жан­ра в соци­аль­ной инже­нерии. Ее еще называ­ют «пле­чевой сер­финг».

Суть метода зак­люча­ется в том, что ты прос­то под­гля­дыва­ешь со сто­роны за источни­ком кон­фиден­циаль­ной информа­ции. Нап­ример, сле­дишь за вво­дом пароля на телефо­не или чита­ешь текст внут­ренне­го докумен­та, который сот­рудник вни­матель­но изу­чает на ноут­буке.

Нап­ример, ожи­дая на про­ход­ной одной ком­пании, я обна­ружил, что совер­шенно спо­кой­но могу наб­людать за монито­ром охра­ны, пост которой находил­ся в отдель­ной кабин­ке. На экра­не были вид­ны таб­лички, ФИО сот­рудни­ков и дру­гая информа­ция, которая пред­назна­чалась явно не для пос­торон­них.

В ви­део показа­на прос­тая демонс­тра­ция «пле­чевой ата­ки» в общес­твен­ном тран­спор­те. Ничего фан­тасти­чес­кого, это прос­то под­смат­ривание пароля.

Piggybacking

Наз­вание этой ата­ки мож­но перевес­ти как «катание на спи­не». Она пред­полага­ет исполь­зование активной сес­сии поль­зовате­ля для получе­ния несан­кци­они­рован­ного дос­тупа.

Во­обще, некото­рые авто­ры неред­ко сме­шива­ют воеди­но рас­смот­ренный ранее Tailgating и Piggybacking, при­том зачас­тую пря­мо в заголов­ках одной статьи, яко­бы это одно и то же. Всег­да нап­рягало подоб­ное струк­туриро­вание информа­ции. Либо тер­мин один, либо их два, и тог­да они несут раз­ный смысл и кон­текст. В этой статье я раз­делил их по смыс­лу, так что тебе не при­дет­ся ломать голову над отли­чиями этих атак.

Итак, в этом пос­тановоч­ном видео мы можем наб­людать, как «зло­умыш­ленник» сна­чала исполь­зует «пле­чевую ата­ку», под­гля­дывая за тем, что поль­зователь вво­дит на ком­пе, а пос­ле это­го при­меня­ет Piggybacking, исполь­зуя активную сес­сию в сво­их инте­ресах.

Вот для чего нуж­но бло­киро­вать сес­сию, отхо­дя от устрой­ства, но сей­час не об этом.

Дорожное яблоко

На соци­аль­но‑инже­нер­ном слен­ге «дорож­ное ябло­ко» — это ког­да мы под­бра­сыва­ем какое‑то устрой­ство с «сюр­при­зом», а жер­тва под­бира­ет его и исполь­зует. Помимо прес­ловутой флеш­ки, устрой­ства с вре­доно­сом, GPS-тре­кером, прос­лушкой, быва­ют раз­ные: внеш­ний жес­ткий диск, MP3-пле­ер, повер­банк и даже про­вод для заряд­ки телефо­на.

Источник: xakep.ru