Введение
Всем привет, в данной статье вы узнаете о социальной инженерии и различных методах, которые помогут вам воспользоваться человеческими слабостями. Ведь социальная инженерия это очень важно, большиство взломов происходит из-за слабой технической подкованности сотрудников или человеческой невнимательности. Атаки методом социальной инженерии могут осуществляться через различные каналы, включая электронную почту, телефон, социальные сети и даже личные встречи. Они могут принимать разные формы, от фишинговых писем, которые пытаются обмануть жертв, заставив их кликнуть на вредоносные ссылки или прикрепленные файлы, до более сложных схем, включающих создание фальшивых веб-сайтов или приложений, предназначенных для сбора конфиденциальной информации.
Целевые фишинговые атаки
Я уверен, что вы уже знаете что такое фишинговые атаки и как они работают, если нет, то я рекомендую вам прочитать одну из моих работ на данную тему тут. Ну а для тех кто поленилься прочесть, то опишу вкратце: Фишинг - это мошеничество с использованием страниц сайтов с ложными авторизационными формами, направленные против большого количества жертв, содержит элемент, представляющий общий интерес, который привлечёт людей к странице с авторизацией. Например, сообщение может рекламировать какой-то паблик с популярными интересами, что-то вроде "Аниме" или "Игры" в популярной социальной сети на территории СНГ "Вконтакте". Большинство из нас, вероятно, удалило бы такое сообщение или даже отправило бы жалобу, но мы можем предпологать что, кто-то может его открыть. Но гораздо опаснее, когда сообщение получает пожилой человек и тем более от банка. Подделать страницу авторизации банка не очень то и сложно, даже можно вставить что-то от себя. Например "Ваше имя, фамилия, паспорт для верификации личности и т.п.", раньше я думал, что это рофл, что пожилые люди ведутся на такое, но к сожалению, они правда верят злоумышленникам и переходят по ссылкам и вводят авторизационные или личные данные. Такие люди не знакомы хорошо с компьютерной грамотностью, поэтому не поленитесь и предупредите и расскажите об этом своим родственникам. А заработок таким методом осуждается максимально. Ну ладно, идём дальше.
Практика
Прежде чем переходить к тестированию своих коллег, нужно осветить 2 важных момента:
1) Нам нужно иметь учётную запись SMTP relay.
2) Нам нужен профессиональный и убедительный аккаунт.
Social Engineer Toolkit
Это набор инструментов для социальной инженерии, предназначенный для выполнения сложных атак против человеческих слабостей. Для запуска используем такую команду:
Чтобы отправить письмо, например, на почту, в первом меню выбираем пункт Social-Engineering Attacks(Атаки с использованием социальной инженерии). Потом выбираем Mass Mailer Attack(Массовая рассылка писем). В следующем окне спросят, отправить сообщение группе людей или одному человеку? Выбираем второй вариант. Целенаправленная фишинговая атака требует тщательного планирования, поэтому подумайте о содержании своего письма/сообщения, прежде чем отправлять его.
Мы будем отправять письмо на нашу почту, якобы это наша цель.
Теперь нас спрашивают, мы будем использовать Gmail, или использовать свой сервер или open relay. Когда вы увидите Gmail, у вас возникнет непреодолимое желние выбрать именно его, так как это бесплатно и не требует учётки почтового сервера-ретранслятора. Но мы не будем использовать его, так как у автора статьи вроде всё вышло, но видимо Google не позволил отправить сообщение. Далее заполняем всё что от нас просят и отправляем. Очень важно обратить внимание на следующие две вещи в электронном письме:
1) Грамматические ошибки.
2) Если вы хотите использовать URL, то убедитесь, что он близок к реальному доменному имени. (google - goog1e, facebook - facebok, instagram - instagran).
Отправка электронного сообщения на почту с помощью Python
Python - прекрасны язык для выполнения задач при тестировании на проникновение. Мы напишем код, который будет отправлять сообщения на почту.
Кража учёток
Кража учёток представляет собой один из наиболее распространённых и опасных типов атак социальной инженерии. Злоумышленники используют различные методы, чтобы получить несанкционированный доступ к учётным записям пользователей, что может привести к краже конфиденциальной информации, финансовым потерям и ущербу репутации. Но на практике красные команды и пентестеры используют сайт либо работодателя, либо клиента. Использование каких-то сервисов или социальных сетей имеет смысл, если ваша задача протестировать доверчивать и компьютерную грамотность в каком-нибудь офисе, где могут работать секретарши, которые не совсем осведомлены о подобного рода атаках. Отличный пример - клонирование сайта интрасети вашего работодателя, с целью украсть учётные данные сотрудников или работодателя.
Обаятельность
Самое главное в атаке методом социальной инженерии, да, мы привыкли, что метод социальной инженерии по большей части связан с фишингом или скачиванием вируса, ведь нужно убедить жертву скачать вирус или ввести свои данные на какой-либо сайт(свой). Но у таких методов есть время на составление красивый предложений, я имею ввиду, что у них есть время почитать например, книгу по психологии, и применять её в ощении с людьми в интернете, т.к в интернете обманывать намного проще. Но социальная инженерия может намного больше, есть люди которые пользуются этим в реальной жизни, и могут чуть ли не управлять людьми. Например, злоумышленник может купить рабочую форму и чуть-чуть полистать сайт какого-нибудь магазина и представиться новым сотрудником, якобы его наняли буквально вчера и сегодня его первый рабочий день, а затем пока никто не видит загрузить какой-нибудь NjRat на компьютер расположеный в зале(особенно если это отдел техники и витринные образцы имеют выход в интернет). Злоумышленники также могут использовать так называемые "техники обаятельности":
Методы защиты от социальной инженерии
Я разделю методы на "Технические" и "Человеческие":
Технические:
Правила при общении с незнакомцами
Заключение
Социальная инженерия преследует нас с детства, например уговоры или споры, что-то вроде "Да ты что не пацан?" или "Чо ты как баба?", это манипуляторские вопросы правоцирующие жертву на выполнение каких-либо действий, это может быть черевато серьёзные последствиями, особенно в раннем возрасте. Поэтому об этой теме стоит разговаривать также с детьми, тем более с детьми. А на этом я хочу закончить, спасибо за прочитанный материал.
Всем привет, в данной статье вы узнаете о социальной инженерии и различных методах, которые помогут вам воспользоваться человеческими слабостями. Ведь социальная инженерия это очень важно, большиство взломов происходит из-за слабой технической подкованности сотрудников или человеческой невнимательности. Атаки методом социальной инженерии могут осуществляться через различные каналы, включая электронную почту, телефон, социальные сети и даже личные встречи. Они могут принимать разные формы, от фишинговых писем, которые пытаются обмануть жертв, заставив их кликнуть на вредоносные ссылки или прикрепленные файлы, до более сложных схем, включающих создание фальшивых веб-сайтов или приложений, предназначенных для сбора конфиденциальной информации.
Целевые фишинговые атаки
Я уверен, что вы уже знаете что такое фишинговые атаки и как они работают, если нет, то я рекомендую вам прочитать одну из моих работ на данную тему тут. Ну а для тех кто поленилься прочесть, то опишу вкратце: Фишинг - это мошеничество с использованием страниц сайтов с ложными авторизационными формами, направленные против большого количества жертв, содержит элемент, представляющий общий интерес, который привлечёт людей к странице с авторизацией. Например, сообщение может рекламировать какой-то паблик с популярными интересами, что-то вроде "Аниме" или "Игры" в популярной социальной сети на территории СНГ "Вконтакте". Большинство из нас, вероятно, удалило бы такое сообщение или даже отправило бы жалобу, но мы можем предпологать что, кто-то может его открыть. Но гораздо опаснее, когда сообщение получает пожилой человек и тем более от банка. Подделать страницу авторизации банка не очень то и сложно, даже можно вставить что-то от себя. Например "Ваше имя, фамилия, паспорт для верификации личности и т.п.", раньше я думал, что это рофл, что пожилые люди ведутся на такое, но к сожалению, они правда верят злоумышленникам и переходят по ссылкам и вводят авторизационные или личные данные. Такие люди не знакомы хорошо с компьютерной грамотностью, поэтому не поленитесь и предупредите и расскажите об этом своим родственникам. А заработок таким методом осуждается максимально. Ну ладно, идём дальше.
Практика
Прежде чем переходить к тестированию своих коллег, нужно осветить 2 важных момента:
1) Нам нужно иметь учётную запись SMTP relay.
2) Нам нужен профессиональный и убедительный аккаунт.
Social Engineer Toolkit
Это набор инструментов для социальной инженерии, предназначенный для выполнения сложных атак против человеческих слабостей. Для запуска используем такую команду:
setoolkitЧтобы отправить письмо, например, на почту, в первом меню выбираем пункт Social-Engineering Attacks(Атаки с использованием социальной инженерии). Потом выбираем Mass Mailer Attack(Массовая рассылка писем). В следующем окне спросят, отправить сообщение группе людей или одному человеку? Выбираем второй вариант. Целенаправленная фишинговая атака требует тщательного планирования, поэтому подумайте о содержании своего письма/сообщения, прежде чем отправлять его.
Мы будем отправять письмо на нашу почту, якобы это наша цель.
Теперь нас спрашивают, мы будем использовать Gmail, или использовать свой сервер или open relay. Когда вы увидите Gmail, у вас возникнет непреодолимое желние выбрать именно его, так как это бесплатно и не требует учётки почтового сервера-ретранслятора. Но мы не будем использовать его, так как у автора статьи вроде всё вышло, но видимо Google не позволил отправить сообщение. Далее заполняем всё что от нас просят и отправляем. Очень важно обратить внимание на следующие две вещи в электронном письме:
1) Грамматические ошибки.
2) Если вы хотите использовать URL, то убедитесь, что он близок к реальному доменному имени. (google - goog1e, facebook - facebok, instagram - instagran).
Отправка электронного сообщения на почту с помощью Python
Python - прекрасны язык для выполнения задач при тестировании на проникновение. Мы напишем код, который будет отправлять сообщения на почту.
Python:
import smtplib
own_email =
name =
password =
fake_email =
fake_name =
mail_for_attack =
subject =
body = "Hello, this is Google. We want to see you in our team, join us https://notfakegoogle.com/workers"
header = ('To:' + mail_for_attack + '\n' + 'From: ' + fake_name + ' <' + fake_email + '>' + '\n' + 'Subject:' + subject)
message = (header + '\n\n' + body + '\n\n')
session = smtplib.SMTP_SSL([DOMAIN_SMTP_SERVER], [PORT])
session.ehlo()
session.login(name, password)
session.sendmail(own_email, mail_for_attack, message)
session.quit()
print("Email has been sended")Кража учёток
Кража учёток представляет собой один из наиболее распространённых и опасных типов атак социальной инженерии. Злоумышленники используют различные методы, чтобы получить несанкционированный доступ к учётным записям пользователей, что может привести к краже конфиденциальной информации, финансовым потерям и ущербу репутации. Но на практике красные команды и пентестеры используют сайт либо работодателя, либо клиента. Использование каких-то сервисов или социальных сетей имеет смысл, если ваша задача протестировать доверчивать и компьютерную грамотность в каком-нибудь офисе, где могут работать секретарши, которые не совсем осведомлены о подобного рода атаках. Отличный пример - клонирование сайта интрасети вашего работодателя, с целью украсть учётные данные сотрудников или работодателя.
Обаятельность
Самое главное в атаке методом социальной инженерии, да, мы привыкли, что метод социальной инженерии по большей части связан с фишингом или скачиванием вируса, ведь нужно убедить жертву скачать вирус или ввести свои данные на какой-либо сайт(свой). Но у таких методов есть время на составление красивый предложений, я имею ввиду, что у них есть время почитать например, книгу по психологии, и применять её в ощении с людьми в интернете, т.к в интернете обманывать намного проще. Но социальная инженерия может намного больше, есть люди которые пользуются этим в реальной жизни, и могут чуть ли не управлять людьми. Например, злоумышленник может купить рабочую форму и чуть-чуть полистать сайт какого-нибудь магазина и представиться новым сотрудником, якобы его наняли буквально вчера и сегодня его первый рабочий день, а затем пока никто не видит загрузить какой-нибудь NjRat на компьютер расположеный в зале(особенно если это отдел техники и витринные образцы имеют выход в интернет). Злоумышленники также могут использовать так называемые "техники обаятельности":
- Создание доверия: Злоумышленники пытаются создать доверие с жертвой, используя общие интересы, симпатии или общую работу.
- Использование психологических трюков: Злоумышленники используют психологические трюки, такие как повторение, чтобы сделать жертву более восприимчивой к их предложениям.
- Использование языка тела: Злоумышленники используют язык тела, такой как зрительный контакт, улыбки и открытые жесты, чтобы создать чувство доверия и дружелюбия.
- Использование эмоций: Злоумышленники используют эмоции, такие как сочувствие, страх или волнение, чтобы манипулировать жертвой и получить от нее желаемое поведение.
Методы защиты от социальной инженерии
Я разделю методы на "Технические" и "Человеческие":
Технические:
- Антивирусное программное обеспечение: Установите и регулярно обновляйте антивирусное программное обеспечение, чтобы защитить устройства от вредоносного программного обеспечения.
- Брандмауэр: Используйте брандмауэр, чтобы блокировать несанкционированный доступ к устройствам и сетям.
- Шифрование: Используйте шифрование, чтобы защитить конфиденциальную информацию от несанкционированного доступа. (Достаточно будет использовать менеджер паролей)
- Двухфакторная аутентификация: Используйте двухфакторную аутентификацию, чтобы добавить дополнительный уровень безопасности при доступе к устройствам и сетям.
- Регулярно обновляйте программное обеспечение: Регулярно обновляйте программное обеспечение и операционные системы, чтобы исправить уязвимости и предотвратить атаки.
- Обучение сотрудников: Обучайте сотрудников о социальной инженерии и методах защиты от нее.
- Политики безопасности: Разработайте и реализуйте политики безопасности, которые регулируют доступ к конфиденциальной информации и устройствам.
- Контроль доступа: Реализуйте контроль доступа, чтобы ограничить доступ к конфиденциальной информации и устройствам.
- Мониторинг: Регулярно мониторьте устройства и сети, чтобы обнаружить и предотвратить атаки социальной инженерии.
Правила при общении с незнакомцами
- Будьте осторожны с незнакомцами: Не доверяйте незнакомцам, даже если они кажутся дружелюбными и полезными.
- Проверяйте информацию: Проверяйте информацию и идентификацию человека, прежде чем предоставлять конфиденциальную информацию или выполнять определенные действия.
- Используйте критическое мышление: Используйте критическое мышление, чтобы оценить предложения и действия человека, и не бойтесь задавать вопросы или отказываться от предложений, которые кажутся подозрительными.
Заключение
Социальная инженерия преследует нас с детства, например уговоры или споры, что-то вроде "Да ты что не пацан?" или "Чо ты как баба?", это манипуляторские вопросы правоцирующие жертву на выполнение каких-либо действий, это может быть черевато серьёзные последствиями, особенно в раннем возрасте. Поэтому об этой теме стоит разговаривать также с детьми, тем более с детьми. А на этом я хочу закончить, спасибо за прочитанный материал.
