При пентестах социальные сети часто обходят стороной — они считаются личным пространством пользователя. Тем не менее для злоумышленников социальные сети — незаменимый источник информации. Сегодня мы поговорим о том, как пентестеры могут использовать их в своей работе.
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Зачем злоумышленнику атаковать сотрудника в социальной сети?
Вот такое сообщение может прислать злоумышленник, чтобы преодолеть двухфакторную аутентификацию, использующую автоматический звонок как второй фактор.
Пример сообщения от злоумышленника
Приведенный выше пример, конечно, не для корпоративного мира, а для простых граждан, но он может пригодиться, когда нужно пройти такой вид аутентификации в корпоративном ПО.
Перед тем как проверять осведомленность сотрудника в соцсети, нам, конечно, понадобится аккаунт в ней (скорее даже несколько). Аккаунт можно создать или купить (пишешь в поисковике «купить аккаунт в …»). Только не покупай «лом» (взломанный аккаунт), за угнанные аккаунты по голове не погладят даже при использовании в законном пентесте.
Потребуются женские аккаунты, неважно, какого пола наша цель. В большинстве случаев нашему фейку должно быть около 35–45 лет. Эротических фото размещать не надо. Обычная женщина.
Фотографию на аватарку генерируем с помощью нейронных сетей на сайте thispersondoesnotexist.com. Результат генерации, как правило, выглядит довольно реалистичным.
Примеры сгенерированной «фотографии»
С использованием такой фотографии соцсеть автоматически не забанит тебя за воровство фото из других аккаунтов. Остальные фотографии берем с людьми, но без лиц. Трех‑пяти снимков будет достаточно. Для получения уникальных фото отлично подойдут скриншоты из видео.
Подписывать фотографии важно «по‑человечески», эмоционально, чтобы создавалось впечатление, что они не фейковые. Непрофессиональные фотографии природы тоже подойдут, но не забываем о подписях, например «Зима в разгаре».
Пример бытовой непрофессиональной фотографии
Заполняем остальные поля в профиле по настроению: школа, вуз и так далее. Место работы не пишем, но можно написать, что ты HR, если собираешься общаться с жертвами в этой роли.
Если ты создал аккаунт с нуля, нужно добавить ему «историю». На стене должны быть какие‑то записи в прошедшем времени. В «запрещенной в России соцсети» легче всего создать себе аккаунт десятилетней давности. Алгоритм действий очень простой.
Публикуем пост с настройкой видимости «Только я».
Пример настройки видимости поста
Жмем на расположенную справа кнопку вызова меню и меняем дату на три‑четыре года назад.
Изменение даты публикации поста
Размещаем таким образом 8–10 постов.
Теперь нужно «набить» друзей в аккаунт. Кто у нас любит знакомиться с новыми людьми, даже если не знает их? Правильно, участники соответствующих тематических групп.
Поиск тематических групп
Добавляемся в первую попавшуюся группу и в разделе «Участники» видим десятки тысяч наших потенциальных друзей. Открываем их профили и напрашиваемся в друзья к 20–30 людям. Как только тебя добавит несколько человек, иди к ним в профили в раздел «Друзья» и отправляй заявки в друзья их друзьям (как много слов «друзья» в одном предложении, но что поделать, дальше будет еще больше).
Люди, которым будут приходить твои заявки, увидят, что у вас есть общий друг, и с большей вероятностью добавят тебя в свой круг общения. Спустя час я таким способом набирал по 500–600 человек.
Но для наших целей достаточно и 100–200 человек. Чтобы облегчить старт раскрутки, можно купить аккаунт с друзьями. Стоит он около 40–50 рублей, а в друзьях уже будет 50–100 профилей.
Теперь нужно добавлять целевых друзей. Для этого ищем людей по названию организации.
Пример поиска сотрудников какой‑либо организации
Добавляем человек десять, не больше, и ждем, когда нас примут в друзья. Теперь отправляем заявки всем остальным, кого мы смогли найти. Доверия к нашему профилю будет больше, если у нас в друзьях уже числится коллега из организации жертвы. Если сотрудников таким способом нашлось немного, придется идти в другие соцсети и искать людей там.
Пример поиска организации в LinkedIn
На странице организации видим список сотрудников и пытаемся найти их в основной социальной сети, чтобы добавить в друзья.
А еще совсем нехороший человек может стать SMM-рейдером, то есть присвоить себе группу в LinkedIn, у которой пока нет владельца (см. скриншот ниже), но сейчас не об этом.
Пример сообщения на странице банка, у которой нет владельца
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
9990 рублей 4000 р.
[TD]
920 р.
[/TD]
Я уже участник «Xakep.ru»
warning
Статья имеет ознакомительный характер и предназначена для специалистов по безопасности, проводящих тестирование в рамках контракта. Автор и редакция не несут ответственности за любой вред, причиненный с применением изложенной информации. Распространение вредоносных программ, нарушение работы систем и нарушение тайны переписки преследуются по закону.
Зачем злоумышленнику атаковать сотрудника в социальной сети?
- Сотрудник может отправить «коллеге» конфиденциальную информацию.
- Злоумышленник может получить доступ к личному телефону или компьютеру сотрудника. Если на устройстве есть VPN, который подключается к сети организации, считай, что злоумышленник уже «гуляет» по корпоративному серверу или рассылает фишинговые письма другим сотрудникам.
- Если в организации слабая парольная политика, то сотрудник будет использовать одинаковый или схожий пароль к соцсети и к ресурсам организации.
Вот такое сообщение может прислать злоумышленник, чтобы преодолеть двухфакторную аутентификацию, использующую автоматический звонок как второй фактор.
Пример сообщения от злоумышленника
Приведенный выше пример, конечно, не для корпоративного мира, а для простых граждан, но он может пригодиться, когда нужно пройти такой вид аутентификации в корпоративном ПО.
Подготовка
Перед тем как проверять осведомленность сотрудника в соцсети, нам, конечно, понадобится аккаунт в ней (скорее даже несколько). Аккаунт можно создать или купить (пишешь в поисковике «купить аккаунт в …»). Только не покупай «лом» (взломанный аккаунт), за угнанные аккаунты по голове не погладят даже при использовании в законном пентесте.
Потребуются женские аккаунты, неважно, какого пола наша цель. В большинстве случаев нашему фейку должно быть около 35–45 лет. Эротических фото размещать не надо. Обычная женщина.
Фотографию на аватарку генерируем с помощью нейронных сетей на сайте thispersondoesnotexist.com. Результат генерации, как правило, выглядит довольно реалистичным.
Примеры сгенерированной «фотографии»
С использованием такой фотографии соцсеть автоматически не забанит тебя за воровство фото из других аккаунтов. Остальные фотографии берем с людьми, но без лиц. Трех‑пяти снимков будет достаточно. Для получения уникальных фото отлично подойдут скриншоты из видео.
Подписывать фотографии важно «по‑человечески», эмоционально, чтобы создавалось впечатление, что они не фейковые. Непрофессиональные фотографии природы тоже подойдут, но не забываем о подписях, например «Зима в разгаре».
Пример бытовой непрофессиональной фотографии
Заполняем остальные поля в профиле по настроению: школа, вуз и так далее. Место работы не пишем, но можно написать, что ты HR, если собираешься общаться с жертвами в этой роли.
Если ты создал аккаунт с нуля, нужно добавить ему «историю». На стене должны быть какие‑то записи в прошедшем времени. В «запрещенной в России соцсети» легче всего создать себе аккаунт десятилетней давности. Алгоритм действий очень простой.
Публикуем пост с настройкой видимости «Только я».
Пример настройки видимости поста
Жмем на расположенную справа кнопку вызова меню и меняем дату на три‑четыре года назад.
Изменение даты публикации поста
Размещаем таким образом 8–10 постов.
Теперь нужно «набить» друзей в аккаунт. Кто у нас любит знакомиться с новыми людьми, даже если не знает их? Правильно, участники соответствующих тематических групп.
Поиск тематических групп
Добавляемся в первую попавшуюся группу и в разделе «Участники» видим десятки тысяч наших потенциальных друзей. Открываем их профили и напрашиваемся в друзья к 20–30 людям. Как только тебя добавит несколько человек, иди к ним в профили в раздел «Друзья» и отправляй заявки в друзья их друзьям (как много слов «друзья» в одном предложении, но что поделать, дальше будет еще больше).
Люди, которым будут приходить твои заявки, увидят, что у вас есть общий друг, и с большей вероятностью добавят тебя в свой круг общения. Спустя час я таким способом набирал по 500–600 человек.
Но для наших целей достаточно и 100–200 человек. Чтобы облегчить старт раскрутки, можно купить аккаунт с друзьями. Стоит он около 40–50 рублей, а в друзьях уже будет 50–100 профилей.
Теперь нужно добавлять целевых друзей. Для этого ищем людей по названию организации.
Пример поиска сотрудников какой‑либо организации
Добавляем человек десять, не больше, и ждем, когда нас примут в друзья. Теперь отправляем заявки всем остальным, кого мы смогли найти. Доверия к нашему профилю будет больше, если у нас в друзьях уже числится коллега из организации жертвы. Если сотрудников таким способом нашлось немного, придется идти в другие соцсети и искать людей там.
Пример поиска организации в LinkedIn
На странице организации видим список сотрудников и пытаемся найти их в основной социальной сети, чтобы добавить в друзья.
А еще совсем нехороший человек может стать SMM-рейдером, то есть присвоить себе группу в LinkedIn, у которой пока нет владельца (см. скриншот ниже), но сейчас не об этом.
Пример сообщения на странице банка, у которой нет владельца
Присоединяйся к сообществу «Xakep.ru»!
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
| -60% |
1 год
9990 рублей 4000 р.
[TD]
1 месяц
920 р.
[/TD]
Я уже участник «Xakep.ru»
