Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]
![Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах]](/books/1065967/kristofer-hednegi-iskusstvo-obmana-socialnaya-inzh.webp "Обложка книги")
- Название:Искусство обмана [Социальная инженерия в мошеннических схемах]
- Автор:
- Жанр:
- Издательство:Альпина Паблишер
- Год:2020
- Город:Москва
- ISBN:978-5-9614-3102-5
- Рейтинг:
- Избранное:Добавить в избранное
-
Отзывы:
-
Ваша оценка:
Кристофер Хэднеги - Искусство обмана [Социальная инженерия в мошеннических схемах] краткое содержание
Технологии, при помощи которых злоумышленники пытаются получить доступ к вашим паролям или данным, основаны на социальной инженерии — науке об изощренном и агрессивном манипулировании поведением людей. Она использует целый арсенал инструментов: давление на жалость, умение запудрить мозги или вывести из себя, проявить несвойственную жадность и поставить в неловкое положение, вызвать чувство вины или стыда и многое другое.
Становясь жертвами обмана, мы не только подвергаемся риску сами, но и можем сильно подвести своих коллег и близких.
Кристофер Хэднеги, всемирно известный специалист по социальной инженерии, научит вас распознавать манипуляции всех типов и противодействовать мошенникам всех мастей. Больше никто не сможет заставить вас сделать то, что вы делать не планировали, — расстаться с деньгами, выдать важную информацию, совершить опасные действия. Все примеры, которые приводит Хэднеги, взяты из его личной и профессиональной практики.
Искусство обмана [Социальная инженерия в мошеннических схемах] - читать онлайн бесплатно ознакомительный отрывок
Интервал:
Закладка:
Другие источники данных
Обычно, когда я добираюсь до этой части повествования, слушатели испытывают нечто среднее между ужасом и любопытством и хотят узнать, что еще можно найти с помощью Google. Я не собираюсь перечислять все проведенные мной «поисковые операции», но могу привести примеры информации, которую обнаружил, пользуясь исключительно Google-поиском.
• Веб-камера парня, который следил за ростом марихуаны на его домашней плантации.
• Личные фото людей с их телефонов.
• Расшаренные папки с музыкой и фильмами.
• Документы с паролями, датами рождения и номерами социального страхования.
• Тысячи номеров кредитных карт, сохраненных в файлах.
• Полностью открытые базы данных SQL.
• Открытый доступ к камерам, установленным на дорогах.
• Открытый доступ к системам энергоснабжения и управления.
• Несколько мест, где можно было найти детскую порнографию.
Этот список можно продолжать и продолжать.
И еще два важных аспекта
Этот раздел тоже можно было бы превратить в отдельную книгу. Но, прежде чем мы двинемся дальше и перейдем к следующей главе, необходимо упомянуть еще два важных аспекта.
Роботы — это круто
Когда я был маленьким, мне жутко хотелось иметь робота. Мне казалось, что R2D2 стал бы для меня лучшим другом, если бы я мог его где-нибудь достать. Но сейчас речь пойдет о других роботах. А точнее, о файлах robots.txt.
Что же это за файлы такие? Владельцы сайтов используют их, чтобы сообщать веб-паукам, куда тем запрещен путь. Например, в файлах robots.txtнередко встречаются команды Disallow(«запретить»), не позволяющие роботу занести папку в кэш. Например, на илл. 2.20 изображен такой файл для сайта https://www.whitehouse.gov/.
А теперь представьте на секундочку, что вы — социальный инженер. Что вы видите на илл. 2.20?
А видите вы не только список существующих папок, но также и в какие из них вас не хотят пускать — то есть какие не должны быть проиндексированы в Google.
Кроме того, файлы вроде mysqlи pgpsqlуказывают технологии, использовавшиеся для создания сайта.
Так вот, если бы объектом атаки был этот сайт (а это не так, повторяю: это не так), мы бы прошлись по каждой из перечисленных папок и проверили их на наличие уязвимостей, позволяющих проникнуть в них без авторизации. Мы бы проверили, насколько эти системные журналы и файлы доступны, нет ли ошибок в настройке серверов.
Было дело, я работал на одну компанию средних размеров. Редко когда слышишь от заказчика: «Делай все, что сможешь, и посмотрим, что у тебя получится, атакуй на полную». Но это был как раз такой случай. Я начал с открытых источников и поиска в Google. Нашел файлы robots.txt, содержащие команду Disallow в папке под названием admin.
Просто ради галочки я набрал www.company.com/adminи тут же разинул рот от удивления: без какой бы то ни было проверки мне дали к ней доступ! В папке хранились приватные файлы гендиректора компании. Судя по всему, он использовал ее, чтобы расшаривать документы, которые могли понадобиться ему в командировках. Там хранились контракты, банковские данные, фотография его паспорта и множество других данных, которые не должны быть доступны никому.
Я нашел контракт, подписанный всего несколько дней назад. Купил доменное имя (оно на два символа отличалась от названия реальной компании, с которой был заключен договор) и создал почтовый ящик на имя человека, который его подписал. А затем послал на адрес гендиректора письмо с прикрепленным зараженным файлом. «Прошу прощения, что делаю это уже после подписания контракта, но возник вопрос по п. 14.1а. Взгляните, пожалуйста, еще раз. Буду ждать ответа!» — было написано в моем письме.
Буквально через 15 минут генеральный директор открыл письмо и приложенный к нему файл. Затем написал на фальшивый адрес, что контракт никак не открывается. Пентест [11] Пентест. От англ. penetration + test — тестирование на проникновение. Метод проверки безопасности офиса или закрытой территории, в котором моделируется попытка проникновения людей на охраняемый объект. Этот же термин используют для анализа уязвимостей информационной системы: эксперимент с попыткой ее взлома. — Прим. науч. ред .
, на который должна была уйти минимум неделя, успешно завершился буквально через три часа.
Я позвонил гендиректору, и содержание нашей беседы было примерно следующим:
Я: Здравствуйте, Пол. Это Крис из компании Social-Engineer. Я хотел бы обсудить с вами пентест…
ГЕНДИРЕКТОР: Ха! Уже сдаетесь? Я же говорил, наша компания — крепкий орешек!
Я: Не совсем так, Пол. Дело в том, что в данный момент в моем распоряжении есть ваши паспортные данные, дата рождения, номера кредитных карт, доступ к банкам и удаленный доступ c полномочиями сисадмина. Я хотел уточнить: этого достаточно или вы хотите, чтобы я поработал еще неделю?
ГЕНДИРЕКТОР: Да ладно, я вам не верю! Вы ведь всего пару часов назад приступили! Скажите, какой идиот купился и дал вам удаленныйдоступ? Мне нужно сказать ему пару ласковых.
Я: Знаете, Пол… ( Я запнулся, не зная, уместное ли сейчас время для шуток, а одна, весьма удачная, уже вертелась у меня в голове.) Я бы обошелся с ним помягче, он вообще-то хороший парень.
ГЕНДИРЕКТОР: Мда? И кто же это?
Я: Пол, это вы.
Тут я подробно пересказал ему свои действия, и он быстро все понял. Так что этот пентест был во многом обязан успехом файлу robots.txt и неправильно размещенной папке.
Все дело в метаданных, детка
Оксфордский словарь гласит, что приставка «мета» позволяет описывать «отсылку к себе или к общепринятым нормам типа „самореферентность“». То есть метаданные — это в буквальном смысле данные о данных. Отдает фильмом «Начало», вам не кажется?
Сейчас объясняю попроще. Метаданными называют информацию об объектах поиска. И в этих данных часто прячутся очень интересные факты, зачастую попадающие туда ненамеренно.
Представьте, что я провожу безобидный поиск в Google: ищу файлы с расширением .doc, в которых содержится информация о паролях. И вот я натыкаюсь на маленький документик с названием Final Password Policy («Политика в отношении паролей, финальная версия»). Что скажут мне метаданные? Давайте посмотрим на илл. 2.21.
Метаданные позволяют узнать время и место создания файла, имя последнего человека, который его сохранял, имя и должность его создателя, сколько раз его редактировали и др. Возможно, вы сейчас думаете: «Ну и что?»
Читать дальшеИнтервал:
Закладка:
