Конкурс [SE] - Социальная инженерия в тестировании на проникновение web приложений.

Статья для участия в конкурсе Тестирование Веб-Приложений на проникновение

hacker-jpg.jpg


4nx7dygoszemjwfa4gy7bq6oz5emfwfa4n4o (1).png


Приветствую вас, дорогие форумчане. В связи с началом конкурса, решил и я внести свою лепту, дабы не расслаблялись)
Статья написана с целью заполнения у многих пробелов в данном векторе. Эта статья послужит не только хорошим методическим материалом, но и поможет вам не попадаться на уловки злоумышленников.
Прошу обратить ваше внимание на то, что все совпадения случайны! Все имена и фамилии были придуманы авторами статьи для хорошего объяснения материала.
Заранее благодарю за уделенное внимание.

4njpbcsoszemjwfi4n67bqgosw (1).png


Что первым приходит на ум, когда речь идет о социальной инженерии?

Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его деяния, кто-то, возможно, подумал о , а кто-то, и вовсе не думал.

Так что же такое социальная инженерия на деле?

Не стоит прибегать к определениям со сложными и не понятными словами. Достаточно просто подумать. Это всего-то манипуляция поведением человека методом воздействия на него какими-либо внешними факторами, которые мы же сами и, так сказать, устанавливаем.

Иными словами, мы производим психологическое воздействие на человека с целью управления его действиями (поведением, настроением). Наверняка, с социальной инженерией вам приходилось столкнутся лицом к лицу, и не раз.

Частыми ошибками новичков, желающих владеть социальной инженерией - отсутствие практики. Многие, первым же делом закупаются книгами по психологии и пытаются вдуматься во все что там написано.

Так вот, огромного эффекта от этого не будет. Я бы даже сказал, никакого.

Все из-за отсутствия стержня и практической подготовки. Знайте, что социальная инженерия - это сплошная практика. Вы даже не сможете, например, стать продавцом консультантом из соседнего магазина и выведать у Ирки из “пятерочки”, когда Борисыч заходил прикупить себе успокоительного, если до этого не имели необходимой практики. Возможно, в таком варианте сложившихся событий у вас что-то еще выйдет. Но вот что делать с прошаренным владельцем тестируемого веб приложения? Об этом мы и поговорим далее.

4ntpbpqoz5eabwfa4g81bwcb4na7bxstodemyegozdem5wcr4n9pdygozuembwcg4nhpbqy (1).png


Перед тем, как начать наше взаимодействие с человеком, нам необходимо собрать о нем как можно больше информации. В качестве-необходимой информации, мы возьмем
  • Прежде всего возраст
  • Вид деятельности
  • Интересы
  • Любимая музыка, фильм или любое другое увлечение в виде искусства.
Если же речь идет, как мы уже предположили ранее, об администраторе или сотруднике какого-либо веб ресурса/компании то к вышеописанному добавляется еще и
  • Деятельность компании / цели веб ресурса.
    В этом пункте, вам необходимо выяснить, чем занимается исследуемая вами компания, дабы потом подтянуть свои знания в направлении их деятельности и не растеряться при общении с одним из его сотрудников.
  • Вторым наиболее важным пунктом, является сбор информации о самих сотрудниках компании. Сюда входят, как e-mail адреса работников, так и их аккаунты в социальных сетях. То есть нам будут необходимы любые средства связи и источники информации о целевом объекте.
Думаю, для начала, такой информации нам будет предостаточно. Конечно, с течением времени нам будет необходима любая информация, какая только будет получена. Даже если такая информация может вам показаться бесполезной, помните, что в скором, вам еще собирать кусочки пазла.

Полезные источники информации:
  • Сайт базы ГИБДД - позволяет получить информацию о человеке исходя из номера авто.
  • Pipl.com - сайт предназначен для поиска человека по номеру телефона и прочим данным (таким как e-mail, ник, Ф. И. О.)
  • Nomer.org - сайт дает возможность некоторого пробива информации исходя из номера телефона.
  • Avinfo.co - сервис позволяет узнать информацию о владельце авто.
  • Findface.ru - позволяет найти профиль человека в социальной сети ВКонтакте всего по фото.

  • Позволяет узнать действительность паспорта гражданина РФ

  • Позволяет проверить задолженность по налогам гражданина РФ
  • И т.п.
Социальная инженерия долгий, но действенный метод. Вы можете собрать совсем не много информации и приступить к делу, что в маленьком количестве случаев приведет к успеху. А можете хорошо проработать план “наступления”, попрактиковаться в той сфере, которая движет исследуемую компанию/личность, и приступить к делу. В таком случае, можете рассчитывать на успешное выполнение работы.

4nx7dygosdemiwcn4nhpdb6oszeadwf44napdd3y4gd7bcgto8eafwcc.png


Мы кратко рассмотрели сбор информации в теории. Но что нам эта теория, ведь на практике все будет более понятным, подумал кто-то из читателей. Помните, что без теории, наша практика будет слепа. Мы не будем понимать, что ы сейчас вообще делаем. А без практики, мы убьем изученную теорию. Не будем пустословить и приступим к нашей работе.

Давайте предположим, что мы начали изучать некоторый веб ресурс. При анализе данных из WHOIS мы узнали фамилию и имя владельца веб ресурса. Посмотрев еще внимательнее, мы, наверняка заметим и его e-mail.

1541431507156.png


Как видим, администратор ресурса site.com не является очень аккуратным человеком. Мы получили 3 самых главных источника информации, исходя из которых можем собрать огромное количество информации касаемо нашего админа. Для примера, я покажу, как основываясь на этих данных найти аккаунты в социальных сетях или каких-либо мессенджерах.

Чтобы найти пользователя в ВКонтакте, WhatsApp, Telegram, достаточно добавить номер телефона этого администратора в свои контакты и импортировать обновленные контакты в приложения, которые я описал выше.

1541431543841.jpeg
1541431550822.jpeg


Далее, мы обратим внимание на его e-mail. Первое, что приходит в голову, так это то, что у него со 100% вероятностью имеется Google +. Из него-то мы и можем получить не много информации из пунктов, подобных “О себе”. После всех этих мелких пробежек, было бы не плохо прогнать полученные данные по тем сервисам, которые были описаны мною ранее. В конце сбора информации (в основном это ОСИНТ), очень полезным будет довести до рефлекса, структурировать информацию. Я очень часто структурирую информацию подобно таблице ниже.

Безымянный.png


Чтобы получить больше информации, достаточно адекватно себя преподнести, как какого-либо другого человека с весьма схожими интересами. Желательно, такой человек не должен быть невероятно идеальным. Все зависит от цели. А о том, как поверить в то, что вы — это блондинка стюардесса, часто летающая в Таиланд, мы поговорим в следующей части.

4ncpdyqozmea8wcb4gy7dysosmemhegoz9emmwcy4n47bcsoz5em9wf54n9pdnqoszem5wfa4g8o.png


Как я уже говорил ранее, чтобы стать отличным социальным инженером, нужно много практиковаться. Самый главный навык, который необходимо отточить во время практических тренировок - искусство перевоплощения.

Для начала попробуйте перевоплотиться в красивую девушку/парня и попытайтесь кого-либо в этом убедить. Проанализируйте поведение своих знакомых (м/ж) и воспроизведите его при общении с фейкового аккаунта.

Вы в действительности должны вжиться в роль. Пытайтесь думать так как тот, кем вы себя представили целевой личности. Характер, поведение в определенных ситуациях и все тому подобное являются самыми главными факторами при перевоплощении. Такие вопросы, как создание фейкового аккаунта и его оформление тоже имеют важную роль при перевоплощении, но не стоит уделять внимание только чему-либо одному. Один не учтенный пункт может привести к обнулению всего полученного ранее успеха.
Давайте предположим такую ситуацию:
Код:
“Недавно, вы узнали, что администратор Григорий исследуемого вами web ресурса положительно относиться к, например, смешанным единоборствам. Да не просто положительно относиться, а сильно фанатеет”.
Нашей задачей, является, создание красиво оформленного послания, с целью перенаправить администратора Григория на фишинговый сайт.

Первым делом, вспомним, что мы знаем о боевых искусствах в смешанном виде.
  • Включает в себя множество техник (от борьбы до рукопашного боя)
  • Зародилось еще в древней Греции
  • Дерутся не только здоровые амбалы, а бойцы разделены на весовые категории.
Теперь, скажите, что первым приходит в голову, когда мы говорим про MMA? Если вы подумали про захватывающие зрелища, то мыслите в нужном направлении. Зрелища не бывают бесплатными, в наше-то время) Кто-то ставит деньги на своих любимых бойцов, кто-то рыдает от потерянных средств. Все это дело, называют - пари между букмекерами и фанатами. Во всем этом замесе крутятся невероятно большие деньги. Почему бы нам не представится, каким-либо Артамоновым Дмитрием Алексеевичем из, допустим, букмекерской компании FMartS (“First Mixed artS”) и предложить что-либо...

В данный момент, нам необходимо влиться в это движение, и, на некоторое время, поверить, что вы и есть рекламный агент букмекерской компании FMartS. Не много почитав про букмекеров, я приступил к следующим действиям:
  • Создал красиво оформленный аккаунт в Gmail
    Первым делом, нам необходимо определиться со следующей информацией нашего рекламного агента - Ф. И. О., Пол, возраст, необходимо найти фото для профиля, да такое, чтобы его не могли найти в Google картинках (позже будет объяснено почему).

    1541431749621.png


  • В итоге, у меня получился следующий персонаж - Артамонов Дмитрий Алексеевич, 1987 года рождения. Для профиля была найдена фотография из vk.com

    1541431749711.jpeg
  • После процедуры по созданию Gmail аккаунта, нам остается прилично оформить наше письмо и смело отправить его администратору Григорию.
Я все же решил заинтриговать некого Григория и составил следующее сообщение

1541431749813.png


Не обращайте внимания, пока на текст. Для нас, на данный момент, главное разобрать оформление. Мы - букмекерская контора. Для нас - главное - красивая подача. В добавок к этому сообщению, мы можем прикрепить таблицу с “просчитанной вероятностью выигрыша” касаемо бойцов. Например:

1541431749901.png


Все эти мелкие детали наводят того или иного пользователя на мысль “А зачем мошеннику так стараться?”. Обратите внимание, на начало сообщения. Что вы видите? Однозначно, картинки. Это сделано специально для того, чтобы все читалось буквально легко и просто.

На создание такого красивого оформления у меня ушло всего около 10 минут. Злоумышленнику не составит труда слегка подкорректировать приветствие и разослать свое сообщение сотням жертв за то же время, но результаты будут весьма критичнее.


4no7bxsto5emtwfo4n77ddgozzembwcxrdem3wfo4n67bqgoz9ea8wf54g87dbsozdea6 (1).png


Как вы уже поняли, манипуляция действиями человека становиться возможной при определенных условиях. Одним из таких условий можно считать стадное чувство. Для того, чтобы понять, как это работает, обратимся к повседневной жизни. Представим себе следующую ситуацию: Вы прогуливаетесь в свободное от учебы или работы время, в этот чудесный день. Ничего не предвещало беды, но вдруг вы видите, как все люди начали в беспорядочном порядке бежать в правую сторону от вас. Не думайте, что вы являетесь полным идиотом, если не побежите за ними. Тут сработал не только инстинкт самосохранения, но и стадное чувство. Ваш мозг подумал “Если все бегут в эту сторону, то что происходит в противоположной стороне? Не опасно ли там? Что-либо надвигается? Побегу ка я тоже”. Все еще не понятно? Тогда вот еще пример:

Вы ждете своей очереди стоя на кассе продуктового. При этом, начинаете замечать, что большинство людей решили прикупить продукт, который схож с вашим, но даже по дешевле и полезнее. Тогда, вы, наверняка, захотите также приобрести этот продукт. В данном примере, помимо стадного чувства, у вас возникли мысли “Дешевле, лучше” - т.е. вам понравился данный продукт по тому, что так написала издающая его фирма, на этикетке. В добавок его решили приобрести довольно много человек.

Из следующих примеров мы можем вынести для себя, что стадное чувство в совокупности с какими-либо другими условиями - хороший вариант манипуляции действиями человека.

Если вы хотите повлиять на того же администратора Григория, из прошлых примеров, то можете применить выведенный нами ранее способ.

Представим, что мы нашли аккаунт Григория не в Gmail, а в обычном ВКонтакте. Какие будут наши действия в данном случае?
Во-первых, чтобы позволить Григорию принять суровую реальность, злоумышленнику Васе пришлось бы не много потратить свои средства и время. Предположим, что злоумышленник Вася создал свою страницу в ВК все с тем же агентом из FMartS и по мере изучения Григория оформлял свою страницу соответственно интересам нашего Григория. Пусть, последним постом будет реклама букмекерской компании. Далее, Васе необходимо накрутить на этот пост большое количество положительных отзывов. Как видите, на нашего Григория повлияет не только стадное чувство, но и циклично повторяющееся действие - хвала букмекерской компании. Конечно, будет необходимо создать аккаунты, с которых иногда подписывать отрицательные комментарии в сторону FMartS. Число положительных комментариев должно быть значительно больше отрицательных! Не бывает чего-то полностью идеального. Все должны это понимать. И если бы мы не учли этот фактор, Григорий наверняка бы увидел, что-либо в этой мутной воде. В этом посте, конечно, необходимо содержать и наш фишинговый аккаунт, который специально подготовлен к приходу Григория. Последним нашим действием, будет, добавление его в “Друзья”. Таким образом, интерес + стадное чувство + циклично повторяющиеся действия сделают свое грязное дело.

Опять-таки, предположим, что у злоумышленника Васи ничего не вышло. Тогда он прибегнет к еще более интересному методу. Вася, всего-навсего создает публичное сообщество, которое руками и ногами относится к его “букмекерской компании”. Соответственно, пиарит ее, и проводит все те действия, которые мы описывали ранее. Далее, он может предложить уже, своему “Другу” Григорию вступить в сообщество. Тут, уже добавляется методика социального воздействия, в качестве некоторого давления.
Возможно, Григорий все же заинтересуется, что же все таи это за сообщество, и почему он его так часто встречает. Если же Григорий не из любопытных, то Василию придется отослать ему специальное оповещение. К примеру, возьмем то сообщение, которое мы уже пытались отправить по почте и воспользуемся им уже через ВКонтакте. Для этого, Василий просто создает новый пост в сообществе и после всего текста, добавляет строку
Код:
@id****
Где id*** - идентификационный номер нашего Григория в ВК.
После публикации поста, Григорий увидит у себя в оповещениях следующее

1541432232227.png


Под частым давлением, Григорий все же поддался манипуляциям Василия и был взломан сайт его компании.


4nm7bcgozmemzwcq4gd7bpqozzemtwfi.png


Помните, что люди не железные машины, и даже администраторы великих компаний имеют частную жизнь, где просто хотят расслабится и отдохнуть от повседневной суеты.

Также, в заключении своей статьи, хотелось бы отметить, что взлому может подвергнуться любая система. Даже та, которая на первый взгляд оказывается невероятно защищенной. Когда вас посетят такие мысли, при проведении тестирования на проникновения какой-либо системы, просто помните, что эта система создана и находится под управлением все тех же людей. А на этом, увы все. Всего доброго!

Данный материал также присутствует в наших ресурсах:
https://codeby.net/resources/socialnaja-inzhenerija-v-testirovanii-veb-prilozhenij.201/
 

Вложения

  • SI-Codeby.pdf
    553,7 КБ · Просмотры: 442
  • hacker-jpg (1).jpg
    hacker-jpg (1).jpg
    24,4 КБ · Просмотры: 344
  • 4no7bxsto5emtwfo4n77ddgozzembwcxrdem3wfo4n67bqgoz9ea8wf54g87dbsozdea6.png
    4no7bxsto5emtwfo4n77ddgozzembwcxrdem3wfo4n67bqgoz9ea8wf54g87dbsozdea6.png
    4,5 КБ · Просмотры: 379

non_logs

Green Team
29.12.2016
144
79
BIT
0
СИ очень полезно (смотря для кого) использовать в локальных сетях. Можно выманить инфу для входа в роутер
 
  • Нравится
Реакции: vag4b0nd

Nubusers

Green Team
23.07.2019
55
21
BIT
0
Хм... А насколько в 21 году эта статья способна себя оправдать? Ресурсы бы обновить/дополнить
 

vag4b0nd

Red Team
24.05.2017
315
1 499
BIT
68
Хм... А насколько в 21 году эта статья способна себя оправдать? Ресурсы бы обновить/дополнить
В 2021 году эта статья является мало информативной и не актуальной. Я согласен с вашим предложением обновить И дополнить. Не обещаю, но если будет возможность - я это сделаю.
 
  • Нравится
Реакции: Сергей Попов
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!