Записи выступлений от Позитивные дни взлома V — несколько десятков отчетов по практической безопасности на Русский И Английский языки.
В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках.
Многие помнят доклад Криса Хаднаги, который использует особенности человеческой психики для получения информации и не верит в технологический прогресс: «Пока вы ищете уязвимости нулевого дня, мы просто берем трубку и узнаем ваши секреты».
».
В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.
Как заставить кого-то сообщить вам PIN-код вашей кредитной карты
«Если бы я был настоящим преступником, я бы уже стал богатым, знаменитым или давно умер», — признается Крис в своей книге.Социальная инженерия: искусство человеческого взлома .
Основатель платформы Social-Engineer.org использовал социальную инженерию в казино, в букмекерской конторе, на аукционе — всегда только в демонстрационных целях, чтобы показать недостатки защиты.
Однажды Хаднаги принял участие в съемках телеканала BBC: ему пришлось украсть кошелек с банковской картой, а затем заставить жертву сообщить ему ПИН-код. Телевизионная группа, не особо верившая в положительный исход такого эксперимента, сама выбрала цель — женщину, ничего не подозревавшую, обедавшую в ресторане.
Крис сел за соседний столик и стал ждать подходящего момента, чтобы «напасть».
Рядом с «предметом» сидела подруга, а рука женщины лежала на ее сумке – это сильно усложняло задачу.
Когда уже казалось, что ничего не получится, ее подруга пошла в туалет, а Крис приступил к делу, подавая сигналы своим помощникам Алексу и Джесс.
«Счастливая пара» подошла к женщине и попросила ее сфотографировать их, что пострадавшая с радостью и сделала, вынув руку из сумки.
Пока женщина фотографировала, Крис спрятал ее сумку в свой портфель.
Не успела фальшивая пара выйти из кафе, как женщина обнаружила пропажу и встала, судорожно оглядываясь по сторонам.
Ей явно нужна была помощь, которую Крис поспешил предложить.
Наш герой убедил ее успокоиться и вспомнить, что было в мешке.
В сумке был телефон, немного денег, косметичка и кредитная карта.
Первое, что сделал Хаднаги, — это узнал название кредитного учреждения.
Какая удача, Крис работал в этом банке! Все будет хорошо, утешал Хаднаги женщину, нужно только аннулировать карту.
Женщина согласилась, после чего Крис набрал номер «службы поддержки», роль которой исполнил его помощник Алекс, дежуривший в фургоне на улице.
В машине раздался офисный шум, запись которого Крис скачал с какого-то сайта.
Алекс заверил жертву, что ее карта будет заблокирована.
Но чтобы подтвердить свою личность, ей достаточно было ввести ПИН-код на клавиатуру телефона.
(Телефон принадлежал Крису).
Остальное вы можете догадаться.
Настоящие воры, конечно, сразу же отправились бы искать банкомат, но у Криса уже достаточно гонораров, которые он получает за разоблачение приемов мошенников.
Женщина поблагодарила Криса, когда он вернул сумку, но он ответил: «Не нужно.
Я украл это.
"
Хаднаги и создатель Linux
Сейчас Хаднаги учит корпорации выявлять социальных инженеров и организует конкурсы, в которых дружелюбные люди перед полной аудиторией узнают секреты крупных компаний по телефону.Но Крис начал с малого.
Один из его первых экспериментов был проведен на технической конференции в Джавитс-центре в Нью-Йорке.
По соседству, в знаменитом магазине игрушек FAO Schwarz на Пятой авеню, прошла частная вечеринка, на которой присутствовали топ-менеджеры HP, Microsoft и других крупных компаний.
Крис и его друг решили во что бы то ни стало посетить это мероприятие.
Они заняли позицию у стойки регистрации, встретили девушек, отвечающих за выдачу бейджей, и стали ждать.
Очень скоро из комнаты вышел не кто иной, как создатель Linux Линус Торвальдс.
Крис быстро схватил с одного из стендов плюшевую игрушку Microsoft и спросил Линуса: «Не могли бы вы оставить автограф на моей игрушкеЭ» Торвальдс улыбнулся, похлопал Криса по плечу и сказал: «Увидимся внутри, молодой человек».
Друзья сразу получили два билета на вечеринку.
Инженеры закрыли заводы
Люди настолько сосредоточены на новых методах компьютерных атак, что совершенно забывают о «человеческих» атаках.пишет Хаднаги в своем блоге на Social-engineer.org. Социальная инженерия — простой, но эффективный инструмент, поэтому преступники, хактивисты и даже спонсируемые государством группы не брезгуют использовать этот вектор.
Хаднаги советует всем специалистам по безопасности внимательно прочитать книгу «Разведка с открытым исходным кодом» бывшего сотрудника ЦРУ Майкла Базеля.
Крис собрал обширную коллекцию громких атак 2014 года с использованием выдачи себя за другое лицо, фишинга, вишинга и других социальных тактик.
- Физический ущерб немецкому сталелитейному заводу.
Об этой истории говорилось в докладе «ИТ-безопасность в Германии» ( Die Lage der IT-Sicherheit в Германии, 2014 г.
).
Подробности захвата компьютерной сети предприятия не уточняются, но известно, что атака проходила в два этапа.
Сначала хакеры взяли под контроль учетные записи электронной почты сотрудников завода, рассылая им письма с фишинговыми ссылками.
Через электронную почту сотрудников хакеры получили доступ к офисной сети предприятия, а затем и к системе управления доменными печами.
В результате заводчане потеряли контроль над оборудованием: печи перестали отображаться в электронной системе, что привело к поломке всей системы управления.
Эксперты отметили, что хакеры хорошо разбирались в особенностях производственного оборудования и электронного управления заводами, а атака была целенаправленной.
- Шумиха вокруг хакерской атаки на Sony более вероятно началось с использования методов социальной инженерии против ключевых сотрудников.
- Социальная инженерия использовал и для получения конфиденциальных пользовательских данных AT&T.
- Когда нападения Target, Home Depot и JP Morgan понесли значительные финансовые потери в результате фишинговых атак.
- Когда iCloud взломали были использованы приемы социотехнического сбора информации для последующего перебора звездных аккаунтов и получения их частных фотографий.
- Во время APT также произошел фишинг против ряд банков (в основном из России), которые потерянный 25 миллионов долларов.
- Экспериан был взломан в результате «выдачи себя за другое лицо»: злоумышленник представился частным детективом и проник в один из филиалов компании.
- Взлом базы данных eBay, когда в руки злоумышленников попали зашифрованные пароли и другие персональные данные 145 миллионов учетных записей пользователей.
случилось , вероятно, в результате обмана со стороны одного из сотрудников eBay.
P.S. Мы собрали лучшие моменты прошедшего форума PHDays V в специальное видео .
Теги: #социальная инженерия #информационная безопасность #PHDays #PHDays #PHDays #PHDays #positive hackdays #chris Hadnagy #информационная безопасность
-
История И Особенности Quickbooks
19 Oct, 24 -
.Ru По Паспорту
19 Oct, 24 -
«Налог На Бланки» Могут Отменить
19 Oct, 24 -
Больше Возможностей Для Firebug
19 Oct, 24
