Social Engineering
@Social_engineering
? true story... Social Engineering.
Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для несанкционированного доступа в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.
• Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке.
• Войдя в холл, он дождался момента, когда отлучится начальник отдела (спасибо за установку стеклянных перегородок!), после чего молча направился в служебную зону. Он беспрепятственно открыл дверь с табличкой «Только для персонала» и прошел к свободному компьютеру. Рядом были открытые кассы с наличными и много других интересных штук.
• Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице. «Порядок! — ответил Джейсон. — Мне сказали проверить настройки подключения USB-устройств». Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело, и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нем, изображая скуку и смертную тоску, чем окончательно развеял опасения. Ленивый техник дурачится, что с него взять?
• За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. В ней были имена и фамилии, адреса проживания, номера соцстрахования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало. Слишком легкие задачи его всегда немного расстраивали. «Похоже, этот компьютер сломан, — сказал он, вновь обращаясь к сотруднику банка. — Передай, что я забрал его в ремонт». Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке в кармане и системным блоком под мышкой.
• Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей «хакер» — это человек на том конце сети, а не парень в соседнем кресле у тебя на работе.
Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E.
Со времен древнего человека развивались два способа получить нечто, принадлежащее другому: силой и обманом. Первый подход породил гонку вооружений, а второй — целый класс приемов работы на уровне подсознания. Сегодня они известны как социальная инженерия и успешно используются для несанкционированного доступа в компьютерных сетях любого уровня защиты. Доступные технологии меняются быстро, а люди и их привычки — нет.
Приветствую тебя user_name.
• Эксперт компании Pwnie Express Джейсон Стрит приводит множество показательных историй из своей практики. Как истинный этичный хакер, он, конечно же, не указывает названия фирм. Особенно запомнился ему двойной аудит банка X: заказчик попросил проверить как физическую, так и информационную безопасность своих филиалов. Джейсон подошел к вопросу со свойственной ему артистичностью. Он надел куртку с хакерской конференции DEF CON и направился в ближайшее отделение банка с трояном на флешке.
• Войдя в холл, он дождался момента, когда отлучится начальник отдела (спасибо за установку стеклянных перегородок!), после чего молча направился в служебную зону. Он беспрепятственно открыл дверь с табличкой «Только для персонала» и прошел к свободному компьютеру. Рядом были открытые кассы с наличными и много других интересных штук.
• Находившийся рядом сотрудник банка отвлекся от обслуживания очередного клиента и уставился на Джейсона с немым вопросом на лице. «Порядок! — ответил Джейсон. — Мне сказали проверить настройки подключения USB-устройств». Он вставил флешку в порт на передней панели, а банковский клерк решил, что это не его дело, и вернулся к работе. Джейсон сел в кресло и стал ждать. Он даже немного покрутился в нем, изображая скуку и смертную тоску, чем окончательно развеял опасения. Ленивый техник дурачится, что с него взять?
• За несколько минут троян скопировал базу данных, содержащую полную информацию о клиентах. В ней были имена и фамилии, адреса проживания, номера соцстрахования, водительских удостоверений и выданных банковских карт. Этого Джейсону показалось мало. Слишком легкие задачи его всегда немного расстраивали. «Похоже, этот компьютер сломан, — сказал он, вновь обращаясь к сотруднику банка. — Передай, что я забрал его в ремонт». Отсоединив провода, он вышел мимо охранника со свежей базой данных на флешке в кармане и системным блоком под мышкой.
• Может показаться, что это уникальный случай в каком-то отдельном банке, но Джейсон не раз использовал похожую методику. Просто потому, что никто не ожидает увидеть хакера во плоти. Для современных пользователей «хакер» — это человек на том конце сети, а не парень в соседнем кресле у тебя на работе.
Надеюсь что тебе понравилась данная история, если это так, то ты можешь найти обучающий материал по социальной инженерии и другим темам, по соответствующим хештегам: #СИ #Пентест #Взлом. Твой S.E.
152 27.9K
Обсуждение 0
Обсуждение не доступно в веб-версии. Чтобы написать комментарий, перейдите в приложение Telegram.
Обсудить в Telegram