Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.
Юрий Другач .
Содержание статьи
«Верифицированный отправитель»
Письма с Google Analytics
«Любопытство»
«Фейковая подписка на рассылку»
«Майнинг имейлов»
«А что это там написано?»
«Как вас зовут?»
«Массовая разведка»
«Персонализированное зло»
«Сайт не работает»
«Мультилендинг»
Выводы
Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.
Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?
При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.
Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).
Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.
Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».
Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.
Далее тут: https://xakep.ru/2018/04/05/social-engineering-recipes/