Введение
Привет, народ! Сегодня расскажу вам о социальной инженерии — искусстве манипулировать людьми для получения доступа к чужой информации. Это не просто тема для обсуждения, а реальная угроза. Большинство взломов происходят из-за человеческой невнимательности или недостаточной технической грамотности сотрудников. Атаки могут быть разными: от фишинговых писем до сложных схем с фальшивыми сайтами и приложениями. Важно понимать, как они работают, чтобы не стать жертвой.Целевые фишинговые атаки
Если ты ещё не в теме, рекомендую ознакомиться с моими предыдущими материалами по фишингу. А для ленивых — вкратце: фишинг — это обман с использованием поддельных страниц авторизации, направленный на массовую аудиторию. Например, сообщение может рекламировать паблик по интересам, типа "Аниме" или "Игры" во "ВКонтакте". Многие просто удалят такое сообщение, но есть шанс, что кто-то откроет его. Ещё опаснее, когда такое сообщение получает пожилой человек, особенно если оно выглядит как письмо от банка. Подделать страницу авторизации банка несложно, можно даже добавить поля для ввода имени, фамилии, паспорта и других данных. Раньше я думал, что пожилые люди не ведутся на такое, но, к сожалению, они действительно переходят по ссылкам и вводят свои данные. Они не всегда хорошо разбираются в компьютерах, поэтому важно предупредить своих близких.Практика социальной инженерии: как провести тестирование
Прежде чем приступать к тестированию коллег, важно учесть два ключевых момента:- Наличие учётной записи SMTP relay — это необходимо для отправки писем через сторонний сервер.
- Профессиональный и убедительный аккаунт — используйте почту с доменом вашей организации или нейтральным именем, чтобы повысить доверие к отправителю.
Social Engineer Toolkit (SET): мощный инструмент для атак
SET — это набор инструментов для социальной инженерии, предназначенный для выполнения сложных атак против человеческих слабостей. Для запуска используем команду:
Bash:
setoolkit- Social-Engineering Attacks
- Mass Mailer Attack
- E-mail Attack Single Email Address
Теперь нас спрашивают, будем ли использовать Gmail, свой сервер или open relay. Хотя Gmail кажется удобным вариантом, рекомендуется использовать собственный SMTP сервер или open relay для повышения надёжности отправки.
При составлении письма обратите внимание на:
- Грамматические ошибки — они могут выдать фальшивку.
- URL-адреса — используйте домены, похожие на реальные (например, google → goog1e, facebook → facebok), чтобы повысить доверие к ссылкам.
Отправка письма с помощью Python
Python — отличный язык для автоматизации задач при тестировании на проникновение. Вот пример кода для отправки письма:
Python:
import smtplib
from email.mime.multipart import MIMEMultipart
from email.mime.text import MIMEText
# Настройки
own_email = 'your_email@example.com'
name = 'Your Name'
password = 'your_password'
fake_email = 'fake_email@example.com'
fake_name = 'Fake Name'
mail_for_attack = 'target_email@example.com'
subject = 'Join Our Team'
body = "Hello, this is Google. We want to see you in our team, join us https://notfakegoogle.com/workers"
# Создание сообщения
message = MIMEMultipart()
message['From'] = f'{fake_name} <{fake_email}>'
message['To'] = mail_for_attack
message['Subject'] = subject
message.attach(MIMEText(body, 'plain'))
# Отправка письма
with smtplib.SMTP_SSL('smtp.yourserver.com', 465) as server:
server.login(own_email, password)
server.sendmail(own_email, mail_for_attack, message.as_string())
print("Email has been sent")smtplib для отправки письма через SMTP сервер. Замените 'smtp.yourserver.com' на адрес вашего SMTP сервера и укажите соответствующие учётные данные.
Важные замечания
- Этика: Используйте эти методы только в рамках тестирования на проникновение с разрешения владельцев системы.
- Законность: Убедитесь, что ваши действия соответствуют законодательству вашей страны.
- Ответственность: Неправомерное использование этих техник может привести к юридическим последствиям.
Кража учёток: что это и как происходит
Кража учётных записей — это один из самых популярных и опасных способов взлома. Злоумышленники используют различные методы, чтобы получить доступ к вашим данным:- Фишинг: отправка поддельных писем или сообщений, которые выглядят как официальные уведомления от банков, соцсетей или других сервисов. Цель — заставить вас перейти по ссылке и ввести свои данные.
- Вишинг (голосовой фишинг): звонки от имени банка или службы безопасности с просьбой подтвердить личные данные или выполнить действия, которые приводят к утечке информации.
- Претекстинг: злоумышленник выдает себя за кого-то другого, например, за сотрудника компании, чтобы получить доступ к конфиденциальной информации.
- Клонирование сайтов: создание фальшивых копий веб-страниц для сбора данных пользователей.
Как защититься
Защита от социальной инженерии — это не только технические меры, но и внимательность. Вот что можно сделать:Технические меры:
- Антивирус: установите и регулярно обновляйте антивирусное ПО.
- Брандмауэр: используйте брандмауэр для защиты от несанкционированного доступа.
- Шифрование: шифруйте важные данные.
- Двухфакторная аутентификация (2FA): включите 2FA, чтобы добавить дополнительный уровень защиты.
- Обновления: регулярно обновляйте операционную систему и приложения.
Человеческий фактор:
- Обучение: обучайте сотрудников и близких распознавать признаки социальной инженерии.
- Политики безопасности: разработайте и соблюдайте внутренние политики безопасности.
- Контроль доступа: ограничьте доступ к конфиденциальной информации.
- Мониторинг: регулярно проверяйте системы на наличие подозрительной активности.
Правила общения с незнакомцами
- Будьте осторожны: не доверяйте незнакомцам, даже если они кажутся дружелюбными.
- Проверяйте информацию: перед тем как предоставить личные данные, убедитесь в подлинности запроса.
- Используйте критическое мышление: оценивайте предложения и действия незнакомцев, не бойтесь отказывать, если что-то кажется подозрительным.
