При пен­тестах соци­аль­ные сети час­то обхо­дят сто­роной — они счи­тают­ся лич­ным прос­транс­твом поль­зовате­ля. Тем не менее для зло­умыш­ленни­ков соци­аль­ные сети — незаме­нимый источник информа­ции. Сегод­ня мы погово­рим о том, как пен­тесте­ры могут исполь­зовать их в сво­ей работе.

warning

Статья име­ет озна­коми­тель­ный харак­тер и пред­назна­чена для спе­циалис­тов по безопас­ности, про­водя­щих тес­тирова­ние в рам­ках кон­трак­та. Автор и редак­ция не несут ответс­твен­ности за любой вред, при­чинен­ный с при­мене­нием изло­жен­ной информа­ции. Рас­простра­нение вре­донос­ных прог­рамм, наруше­ние работы сис­тем и наруше­ние тай­ны перепис­ки прес­леду­ются по закону.

За­чем зло­умыш­ленни­ку ата­ковать сот­рудни­ка в соци­аль­ной сети?

  • Сот­рудник может отпра­вить «кол­леге» кон­фиден­циаль­ную информа­цию.
  • Зло­умыш­ленник может получить дос­туп к лич­ному телефо­ну или компь­юте­ру сот­рудни­ка. Если на устрой­стве есть VPN, который под­клю­чает­ся к сети орга­низа­ции, счи­тай, что зло­умыш­ленник уже «гуля­ет» по кор­поратив­ному сер­веру или рас­сыла­ет фишин­говые пись­ма дру­гим сот­рудни­кам.
  • Ес­ли в орга­низа­ции сла­бая пароль­ная полити­ка, то сот­рудник будет исполь­зовать оди­нако­вый или схо­жий пароль к соц­сети и к ресур­сам орга­низа­ции.

Вот такое сооб­щение может прис­лать зло­умыш­ленник, что­бы пре­одо­леть двух­фактор­ную аутен­тифика­цию, исполь­зующую авто­мати­чес­кий зво­нок как вто­рой фак­тор.

Пример сообщения от злоумышленника
При­мер сооб­щения от зло­умыш­ленни­ка

При­веден­ный выше при­мер, конеч­но, не для кор­поратив­ного мира, а для прос­тых граж­дан, но он может при­годить­ся, ког­да нуж­но прой­ти такой вид аутен­тифика­ции в кор­поратив­ном ПО.

 

Подготовка

Пе­ред тем как про­верять осве­дом­ленность сот­рудни­ка в соц­сети, нам, конеч­но, понадо­бит­ся акка­унт в ней (ско­рее даже нес­коль­ко). Акка­унт мож­но соз­дать или купить (пишешь в поис­ковике «купить акка­унт в ...»). Толь­ко не покупай «лом» (взло­ман­ный акка­унт), за угнанные акка­унты по голове не пог­ладят даже при исполь­зовании в закон­ном пен­тесте.

Пот­ребу­ются жен­ские акка­унты, неваж­но, какого пола наша цель. В боль­шинс­тве слу­чаев нашему фей­ку дол­жно быть око­ло 35–45 лет. Эро­тичес­ких фото раз­мещать не надо. Обыч­ная жен­щина.

Фо­тог­рафию на ава­тар­ку генери­руем с помощью ней­рон­ных сетей на сай­те thispersondoesnotexist.com. Резуль­тат генера­ции, как пра­вило, выг­лядит доволь­но реалис­тичным.

Примеры сгенерированной «фотографии»
При­меры сге­нери­рован­ной «фотог­рафии»

С исполь­зовани­ем такой фотог­рафии соц­сеть авто­мати­чес­ки не забанит тебя за воровс­тво фото из дру­гих акка­унтов. Осталь­ные фотог­рафии берем с людь­ми, но без лиц. Трех‑пяти сним­ков будет дос­таточ­но. Для получе­ния уни­каль­ных фото отлично подой­дут скрин­шоты из видео.

Под­писывать фотог­рафии важ­но «по‑челове­чес­ки», эмо­циональ­но, что­бы соз­давалось впе­чат­ление, что они не фей­ковые. Неп­рофес­сиональ­ные фотог­рафии при­роды тоже подой­дут, но не забыва­ем о под­писях, нап­ример «Зима в раз­гаре».

Пример бытовой непрофессиональной фотографии
При­мер бытовой неп­рофес­сиональ­ной фотог­рафии

За­пол­няем осталь­ные поля в про­филе по нас­тро­ению: шко­ла, вуз и так далее. Мес­то работы не пишем, но мож­но написать, что ты HR, если собира­ешь­ся общать­ся с жер­тва­ми в этой роли.

Ес­ли ты соз­дал акка­унт с нуля, нуж­но добавить ему «исто­рию». На сте­не дол­жны быть какие‑то записи в про­шед­шем вре­мени. В «зап­рещен­ной в Рос­сии соц­сети» лег­че все­го соз­дать себе акка­унт десяти­лет­ней дав­ности. Алго­ритм дей­ствий очень прос­той.

Пуб­лику­ем пост с нас­трой­кой видимос­ти «Толь­ко я».

Пример настройки видимости поста
При­мер нас­трой­ки видимос­ти пос­та

Жмем на рас­положен­ную спра­ва кноп­ку вызова меню и меня­ем дату на три‑четыре года назад.

Изменение даты публикации поста
Из­менение даты пуб­ликации пос­та

Раз­меща­ем таким обра­зом 8–10 пос­тов.

Те­перь нуж­но «набить» дру­зей в акка­унт. Кто у нас любит зна­комить­ся с новыми людь­ми, даже если не зна­ет их? Пра­виль­но, учас­тни­ки соот­ветс­тву­ющих темати­чес­ких групп.

Поиск тематических групп
По­иск темати­чес­ких групп

До­бав­ляем­ся в пер­вую попав­шуюся груп­пу и в раз­деле «Учас­тни­ки» видим десят­ки тысяч наших потен­циаль­ных дру­зей. Откры­ваем их про­фили и нап­рашива­емся в друзья к 20–30 людям. Как толь­ко тебя добавит нес­коль­ко человек, иди к ним в про­фили в раз­дел «Друзья» и отправ­ляй заяв­ки в друзья их друзь­ям (как мно­го слов «друзья» в одном пред­ложении, но что поделать, даль­ше будет еще боль­ше).

Лю­ди, которым будут при­ходить твои заяв­ки, уви­дят, что у вас есть общий друг, и с боль­шей веро­ятностью добавят тебя в свой круг обще­ния. Спус­тя час я таким спо­собом набирал по 500–600 человек.

Но для наших целей дос­таточ­но и 100–200 человек. Что­бы облегчить старт рас­крут­ки, мож­но купить акка­унт с друзь­ями. Сто­ит он око­ло 40–50 руб­лей, а в друзь­ях уже будет 50–100 про­филей.

Те­перь нуж­но добав­лять целевых дру­зей. Для это­го ищем людей по наз­ванию орга­низа­ции.

Пример поиска сотрудников какой-либо организации
При­мер поис­ка сот­рудни­ков какой‑либо орга­низа­ции

До­бав­ляем человек десять, не боль­ше, и ждем, ког­да нас при­мут в друзья. Теперь отправ­ляем заяв­ки всем осталь­ным, кого мы смог­ли най­ти. Доверия к нашему про­филю будет боль­ше, если у нас в друзь­ях уже чис­лится кол­лега из орга­низа­ции жер­твы. Если сот­рудни­ков таким спо­собом наш­лось нем­ного, при­дет­ся идти в дру­гие соц­сети и искать людей там.

Пример поиска организации в LinkedIn
При­мер поис­ка орга­низа­ции в LinkedIn

На стра­нице орга­низа­ции видим спи­сок сот­рудни­ков и пыта­емся най­ти их в основной соци­аль­ной сети, что­бы добавить в друзья.

А еще сов­сем нехоро­ший человек может стать SMM-рей­дером, то есть прис­воить себе груп­пу в LinkedIn, у которой пока нет вла­дель­ца (см. скрин­шот ниже), но сей­час не об этом.

Пример сообщения на странице банка, у которой нет владельца
При­мер сооб­щения на стра­нице бан­ка, у которой нет вла­дель­ца

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии