Социальная инженерия на практике. Справочник по этике

Socjotechniki w praktyce. Podręcznik etycznego hakera

Joe Gray

Systemy zabezpieczające infrastrukturę informatyczną i zasoby cennych danych są coraz bardziej wyrafinowane. Jednak nawet najlepszy system nie jest silniejszy od swojego najsłabszego elementu. A skoro mowa o cyberbezpieczeństwie, to jego najpodatniejszym ogniwem jest człowiek. Korzystając z osiągnięć inżynierii społecznej, cyberprzestępcy opracowują nadzwyczaj skuteczne metody ataków - wykorzystanie ludzkiej natury okazuje się najprostsze.

Ta książka jest doskonałym wprowadzeniem do inżynierii społecznej. Omawia koncepcje psychologiczne leżące u podstaw tej dyscypliny i jej aspekty etyczne. Zaprezentowano tu narzędzie ułatwiające korzystanie z technik inżynierii społecznej w atakach socjotechnicznych. Następnie szczegółowo pokazano etapy złożonego ataku phishingowego, prowadzonego w celu kradzieży danych uwierzytelniających użytkowników. Nie zabrakło opisów sztuczek stosowanych w celu oszukania użytkowników i obrońców. W przewodniku znajdziesz ponadto liczne techniki proaktywnej ochrony zespołu przed atakami socjotechnicznymi, a także strategie szybkiego odtwarzania systemu po udanych atakach. Poznasz również techniczne sposoby kontroli poczty elektronicznej i narzędzia do analizy potencjalnie podejrzanych wiadomości.

Wzbogać swój arsenał pentestera o:

• techniki phishingu, takie jak spoofing i squatting
• narzędzia typu OSINT, takie jak Recon-ng, theHarvester i Hunter
• metodykę wywiadu prowadzonego za pomocą analizy mediów społecznościowych
• zasady korzystania ze wskaźników powodzenia ataku
• środki kontroli technicznej i znajomość programów uświadamiających użytkowników

Po pierwsze: wzmocnij najsłabsze ogniwo!

O autorze:

Joe Gray - weteran marynarki wojennej USA, założyciel i główny badacz Transparent Intelligence Services, organizacji konsultantów z dziedziny bezpieczeństwa, laureat prestiżowych wyróżnień branżowych. Napisał kilka specjalistycznych narzędzi, z których warto wymienić OSINT, OPSEC DECEPTICON bot i WikiLeaker.

Spis treści:

Podziękowania

Wprowadzenie

Część I. Podstawy

1. Czym jest inżynieria społeczna

• Ważne pojęcia w inżynierii społecznej

  Atak pod pretekstem

  Biały wywiad

  Phishing

  Spearphishing

  Whaling

  Vishing

  Przynęta

  Nurkowanie po śmietnikach

• Koncepcje psychologiczne w inżynierii społecznej

  Wpływ

  Manipulacja

  Porozumienie

  Sześć zasad perswazji według dr. Cialdiniego

  Współczucie a empatia

• Podsumowanie

2. Względy etyczne w inżynierii społecznej

• Etyczna inżynieria społeczna

  Ustalanie granic

  Zrozumienie uwarunkowań prawnych

  Zrozumienie uwarunkowań korzystania z usług

  Raport po akcji

• Studium przypadku: inżynieria społeczna posunięta za daleko
• Etyczne zbieranie danych OSINT-owych

  Ochrona danych

  Przestrzeganie prawa i przepisów

• Studium przypadku: granice etyczne inżynierii społecznej
• Podsumowanie

Część II. Ofensywna inżynieria społeczna

3. Przygotowanie do ataku

• Koordynacja działań z klientem

  Ustalenie zakresu prac

  Określenie celów

  Zdefiniowanie metod

• Budowanie skutecznych pretekstów
• Wykorzystanie specjalistycznych systemów operacyjnych w inżynierii społecznej
• Przestrzeganie kolejności faz ataku
• Studium przypadku: dlaczego ustalenie zakresu prac ma znaczenie
• Podsumowanie

4. Gromadzenie biznesowych danych OSINT-owych

• Studium przypadku: dlaczego OSINT ma znaczenie
• Zrozumienie rodzajów działań OSINT-owych
• OSINT biznesowy

  Pozyskiwanie podstawowych informacji biznesowych z Crunchbase

  Identyfikacja właścicieli stron internetowych za pomocą WHOIS

  Zbieranie danych OSINT-owych z użyciem wiersza poleceń za pomocą programu Recon-ng

  Korzystanie z innych narzędzi: theHarvester i OSINT Framework

  Znajdowanie adresów e-mail za pomocą Huntera

  Wykorzystanie narzędzi mapowania i geolokalizacji

• Podsumowanie

5. Media społecznościowe i dokumenty publicznie dostępne

• Analiza mediów społecznościowych w służbie OSINT-u

  LinkedIn

  Strony z ofertami pracy i strony poświęcone karierze zawodowej

  Facebook

  Instagram

• Wykorzystanie wyszukiwarki Shodan do OSINT-u

  Używanie parametrów wyszukiwania w wyszukiwarce Shodan

  Wyszukiwanie adresów IP

  Wyszukiwanie nazw domen

  Wyszukiwanie nazw hostów i subdomen

• Automatyczne wykonywanie zrzutów ekranu za pomocą programu Hunchly
• Myszkowanie po formularzach SEC
• Podsumowanie

6. Zbieranie danych OSINT-owych o ludziach

• Wykorzystanie narzędzi OSINT-owych do analizy adresów e-mail

  Uzyskanie informacji, czy do systemu użytkownika dokonano włamania za pomocą aplikacji webowej Have I Been Pwned

  Utworzenie listy kont w mediach społecznościowych za pomocą Sherlocka

  Tworzenie wykazów kont internetowych za pomocą WhatsMyName

• Analiza haseł za pomocą Pwdlogy
• Analiza obrazów Twojego celu

  Ręczna analiza danych EXIF

  Analiza obrazów za pomocą ExifTool

• Analiza mediów społecznościowych bez użycia narzędzi

  LinkedIn

  Instagram

  Facebook

  Twitter

• Studium przypadku: kolacja, podczas której ktoś rozdał całe złoto
• Podsumowanie

7. Phishing

• Konfiguracja ataku phishingowego

  Przygotowanie bezpiecznej instancji VPS dla phishingowych stron docelowych

  Wybór platformy e-mailowej

  Zakup domen strony wysyłającej i strony docelowej

  Konfigurowanie serwera webowego phishingu i infrastruktury

• Dodatkowe kroki w przypadku phishingu

  Wykorzystanie pikseli śledzących do pomiaru częstotliwości otwierania wiadomości e-mail

  Automatyzacja phishingu z frameworkiem Gophish

  Dodanie obsługi HTTPS dla stron docelowych wyłudzających informacje

  Wykorzystanie skróconych adresów URL w phishingu

  Wykorzystanie SpoofCard do spoofingu połączeń telefonicznych

• Czas i sposób przeprowadzenia ataku
• Studium przypadku: zaawansowany trwały phishing za 25 dolarów
• Podsumowanie

8. Klonowanie strony docelowej

• Przykład sklonowanej strony internetowej

  Strona logowania

  Zakładka z pytaniami wrażliwymi

  Zakładka informująca o błędzie

  Pozyskiwanie informacji

• Klonowanie strony internetowej

  Odnalezienie zakładki logowania i zakładki użytkownika

  Klonowanie zakładek za pomocą HTTrack

  Zmiana kodu pola logowania

  Dodawanie zakładek internetowych do serwera Apache

• Podsumowanie

9. Wykrywanie, pomiar i raportowanie

• Wykrywanie
• Pomiar

  Wybór wskaźników

  Odsetek, mediana, średnia i odchylenie standardowe

  Liczba otwarć wiadomości e-mail

  Liczba kliknięć

  Informacje wprowadzane do formularzy

  Działania podejmowane przez ofiarę

  Czas wykrycia

  Terminowość działań korygujących

  Sukces działań korygujących

  Ratingi ryzyka

• Raportowanie

  Wiedzieć, kiedy wykonać telefon

  Pisanie raportu

• Podsumowanie

Część III. Obrona przed socjotechniką

10. Proaktywne techniki obrony

• Programy uświadamiające

  Jak i kiedy szkolić

  Zasady nienakładania kar

  Zachęty do dobrego zachowania

  Przeprowadzanie kampanii phishingowych

• Monitoring reputacji i OSINT-u

  Wdrażanie programu monitorowania

  Outsourcing

• Reakcja na incydent

  Proces reagowania na incydenty według instytutu SANS

  Reakcja na phishing

  Reakcja na vishing

  Reakcja na zbieranie danych OSINT-owych

  Postępowanie z przyciąganiem uwagi mediów

  Jak użytkownicy powinni zgłaszać incydenty

  Techniczne środki kontroli i powstrzymanie

• Podsumowanie

11. Techniczne środki kontroli poczty elektronicznej

• Standardy bezpieczeństwa

  Pola From

  Poczta identyfikowana kluczami domenowymi (DKIM)

  Framework polityki nadawcy (SPF)

  Uwierzytelnianie, raportowanie i zgodność wiadomości w oparciu o domeny

• Oportunistyczny TLS
• MTA-STS
• TLS-RPT
• Technologie filtrowania poczty elektronicznej
• Inne zabezpieczenia
• Podsumowanie

12. Tworzenie informacji wywiadowczych o zagrożeniach

• Korzystanie z Alien Labs OTX
• Analiza e-maila phishingowego w OTX

  Tworzenie impulsu

  Analiza źródła wiadomości e-mail

  Wprowadzanie wskaźników

  Testowanie potencjalnie złośliwej domeny w Burp

  Analiza plików udostępnionych do pobrania

• Prowadzenie OSINT-u w służbie działań wywiadowczych

  Przeszukiwanie przy użyciu serwisu VirusTotal

  Identyfikacja złośliwych stron na podstawie WHOIS

  Odkrywanie phishów za pomocą platformy PhishTank

  Przeglądanie informacji za pomocą serwisu ThreatCrowd

  Konsolidacja informacji w aplikacji webowej ThreatMiner

• Podsumowanie

A. Ustalenie zakresu prac - arkusz roboczy

B. Szablon raportowania

• Wprowadzenie
• Streszczenie wykonawcze
• Wykaz prac do zrealizowania

  Ustalenie zakresu prac

  Data ukończenia pracy

  Miejsce wykonywania pracy

• O <Nazwa firmy>
• Narzędzia i metodologie
• Wskaźniki

  Phishing

  Vishing

• Odkryte ryzyka

  Klasyfikacja powagi ryzyka

  Dyskusja

  Problem

  Udowodnienie istnienia problemu

  Potencjalne wyniki Twojej pracy

  Łagodzenie skutków lub działania naprawcze

• Zalecenia
• Podsumowanie
• Odkryte numery telefonów
• Odkryte strony internetowe
• Odkryte adresy e-mail

  Odkryte aktywa o wysokiej wartości

  Wykorzystane preteksty

C. Zbieranie informacji - arkusz roboczy

D. Próbka pretekstu

• Zdezorientowany pracownik
• Inwentaryzacja IT
• Ankieta transparentności

E. Ćwiczenia, które poprawią Twoją socjotechnikę

• Pomóż przypadkowej osobie, a następnie poproś o odwzajemnienie przysługi
• Improwizuj
• Występ stand-upowy
• Wystąpienia publiczne/wznoszenie toastów
• Prowadzenie operacji OSINT-owych na rodzinie i znajomych
• Rywalizuj w dziedzinie inżynierii społecznej i na OSINT-owych imprezach typu "Zdobądź flagę"