- Регистрация
- 16.11.22
- Сообщения
- 154
- Онлайн
- 19д 22ч 42м
- Сделки
- 0
- Нарушения
- 0 / 0
КОПИПАСТ
#ЧАСТЬ 1 - СБОР ИНФОРМАЦИИ#
Мантра социального инженера гласит: "Я хорош только настолько, насколько хороша информация, которую я собираю", а, как многие из вас знают, информация == сила. Поэтому само собой разумеется, что сбор информации - самый важный этап любой атаки SE. Конечно, хорошие социальные навыки и способность импровизировать могут помочь вам, но чем больше информации вы соберете, тем больше вероятность успеха. Чтобы снизить риск неудачи, хороший социальный инженер старается найти каждый кусочек информации, каждую маленькую деталь о цели (будь то компания или человек). При этом ни одна информация не является бесполезной.
ОРГАНИЗАЦИЯ ИНФОРМАЦИИ.
Когда вы начнете собирать информацию и создавать профили возможных целей, может возникнуть трудность с организацией, управлением и использованием этой информации, поэтому создание специальных файлов может быть хорошей идеей. Я лично рекомендую использовать Maltego CE, так как это очень гибкий инструмент, довольно интуитивно понятный в использовании и поставляется предустановленным в Kali (?будущий учебник, возможно?).
СБОР ИНФОРМАЦИИ
Когда дело доходит до сбора информации, вы должны изменить свой взгляд на все, вы должны анализировать собранную информацию под разными углами и с разных точек зрения, т.е. вместо того, чтобы рассматривать мусор как просто валяющийся вокруг мусор, рассматривайте его как возможность получить знания об интересах вашей цели и о том, что ему нравится/не нравится, или то, что может показаться неважным сообщением в блоге или на форуме, на самом деле может содержать полезную информацию...
Много информации можно собрать с помощью Google Dorking или заглянув в те "контролируемые изолированные пузыри" (кто-нибудь понял, о чем идет речь?), которые мы называем социальными сетями (Facebook, Twitter, LinkedIn, Instagram...). Благодаря постоянному росту социальных сетей и готовности людей делиться столь многим о своей жизни, сегодня очень легко собрать информацию об определенной цели и ее "компаньонах", т.е. об их интересах, привычках, хобби, семье и друзьях и т.д... что может многое рассказать о них и в то же время позволяет нам провести большое количество разведки без непосредственного контакта с целью ("Пассивная разведка", если хотите).
Посетив сайт компании или даже личный сайт, вы также можете получить много ценной информации, например, чем они занимаются и какие услуги предлагают, контактную информацию (электронную почту, номера телефонов и т.д.), возможно, форум и, вероятно, местонахождение.
Всегда полезно проверить любые публичные данные или публичные записи, поскольку они могут содержать дополнительную информацию, например, отчеты о доходах/прибыли. Опять же, ни одна информация не является бесполезной.
При более физическом подходе подкалывание и наблюдение за конкретной целью - отличный способ познакомиться с ее распорядком дня и помочь составить профиль. После методичного изучения распорядка дня цели вы можете подойти к ней и завязать непринужденный разговор (ПРИМЕЧАНИЕ: Очень важно заранее продумать вопросы, которые вы будете задавать, чтобы попытаться получить информацию от цели так, чтобы она об этом не знала).
Если ваша цель - корпорация, вы можете начать с погружения в мусорные контейнеры, чтобы получить конфиденциальную информацию (вы удивитесь, насколько небрежно люди относятся к тому, что выбрасывают в мусор), затем вы можете составить карту камер видеонаблюдения (внутренних и внешних) и попытаться выяснить, как осуществляется доступ в здание, т.е. с помощью ключей, RFID или других электронных устройств.
#ЧАСТЬ 1 - СБОР ИНФОРМАЦИИ#
Мантра социального инженера гласит: "Я хорош только настолько, насколько хороша информация, которую я собираю", а, как многие из вас знают, информация == сила. Поэтому само собой разумеется, что сбор информации - самый важный этап любой атаки SE. Конечно, хорошие социальные навыки и способность импровизировать могут помочь вам, но чем больше информации вы соберете, тем больше вероятность успеха. Чтобы снизить риск неудачи, хороший социальный инженер старается найти каждый кусочек информации, каждую маленькую деталь о цели (будь то компания или человек). При этом ни одна информация не является бесполезной.
ОРГАНИЗАЦИЯ ИНФОРМАЦИИ.
Когда вы начнете собирать информацию и создавать профили возможных целей, может возникнуть трудность с организацией, управлением и использованием этой информации, поэтому создание специальных файлов может быть хорошей идеей. Я лично рекомендую использовать Maltego CE, так как это очень гибкий инструмент, довольно интуитивно понятный в использовании и поставляется предустановленным в Kali (?будущий учебник, возможно?).
СБОР ИНФОРМАЦИИ
Когда дело доходит до сбора информации, вы должны изменить свой взгляд на все, вы должны анализировать собранную информацию под разными углами и с разных точек зрения, т.е. вместо того, чтобы рассматривать мусор как просто валяющийся вокруг мусор, рассматривайте его как возможность получить знания об интересах вашей цели и о том, что ему нравится/не нравится, или то, что может показаться неважным сообщением в блоге или на форуме, на самом деле может содержать полезную информацию...
Много информации можно собрать с помощью Google Dorking или заглянув в те "контролируемые изолированные пузыри" (кто-нибудь понял, о чем идет речь?), которые мы называем социальными сетями (Facebook, Twitter, LinkedIn, Instagram...). Благодаря постоянному росту социальных сетей и готовности людей делиться столь многим о своей жизни, сегодня очень легко собрать информацию об определенной цели и ее "компаньонах", т.е. об их интересах, привычках, хобби, семье и друзьях и т.д... что может многое рассказать о них и в то же время позволяет нам провести большое количество разведки без непосредственного контакта с целью ("Пассивная разведка", если хотите).
Посетив сайт компании или даже личный сайт, вы также можете получить много ценной информации, например, чем они занимаются и какие услуги предлагают, контактную информацию (электронную почту, номера телефонов и т.д.), возможно, форум и, вероятно, местонахождение.
Всегда полезно проверить любые публичные данные или публичные записи, поскольку они могут содержать дополнительную информацию, например, отчеты о доходах/прибыли. Опять же, ни одна информация не является бесполезной.
При более физическом подходе подкалывание и наблюдение за конкретной целью - отличный способ познакомиться с ее распорядком дня и помочь составить профиль. После методичного изучения распорядка дня цели вы можете подойти к ней и завязать непринужденный разговор (ПРИМЕЧАНИЕ: Очень важно заранее продумать вопросы, которые вы будете задавать, чтобы попытаться получить информацию от цели так, чтобы она об этом не знала).
Если ваша цель - корпорация, вы можете начать с погружения в мусорные контейнеры, чтобы получить конфиденциальную информацию (вы удивитесь, насколько небрежно люди относятся к тому, что выбрасывают в мусор), затем вы можете составить карту камер видеонаблюдения (внутренних и внешних) и попытаться выяснить, как осуществляется доступ в здание, т.е. с помощью ключей, RFID или других электронных устройств.
