Истории пентестеров.#1

Тема в разделе "Социальная инженерия", создана пользователем Kharder-Plastik, 24 окт 2017.

  1. Kharder-Plastik

    Kharder-Plastik VIP Внесен депозит 2000$ Проверенный продавец

    И снова здравствуйте, дорогие многоуважаемые телезрителя!
    С вами опять , и сегодня на повестке дня интересное чтиво, которое может быть конечно и даст вам некую пищу для размышлений, однако автором(т.е мной) больше позиционируется как беллетристика, не несущая особой смысловой нагрузки, и созданная лишь для разгруза мозгов читателей.

    Так вот, давайте начнём издалека.По той простой причине, что я занимаюсь наполнением , и в частности пишу статьи для раздела , мне приходится рыскать по интернету в поисках свежих материалов.Лучшим источником для меня стал хабр(он же гиктаймс).Казалось бы, хабр это сброд гиков, и шайка фриков.Не совсем так.Мне конечно малопонятны их обычные статьи, типа "Патчим KDE2 под FreeBSD", однако полезные и актуальные статьи(особенно касаемые СИ) там попадаются тоже, и сегодняшний день не стал исключением.
    Почитывая хабру, я наткнулся на прелюбопытнейший материал, который для меня стал чем-то сродни детективу.
    Так вот, привожу далее несколько историй пентестеров, которым поступили заказы от руководителей крупных фирм.Привожу не дословно, т.к пишу своими словами, в целях повышения интереса, читабельности, и наполнения историй хоть какими-то смехуёчками.
    bdf.ms-топ форум
    История номер один.Ходит значит генеральный директор по фирме, и смотрит, как работник фирмы, с фамилией, ну пусть будет Кукуев, сидит с рабочего компьютера в асечке, и чатится с кем-то.Ну естественно, у гендиректора дерьмо в глотке вскипело, и он начал отчитывать Кукуева, мол "Что же ты говнюк делаешь, да на рабочем месте, да посторонняя программа, да в рабочее время, да мало того, что левая программа опасная, так ещё и блин вместо работы переписываешься сидишь".
    На что Кукуев начал огрызаться, мол "Так и так, во-первых, ничего опасного нет, ICQ программа официальная и безопасная, никакого вреда компьютеру не принесет, во-вторых, я уже все дела сделал, отчеты сдал, и сижу переписываюсь от нефиг делать, да и вообще иди нахрен отсюда, не мешай работать".
    Естественно, у гендиректора дерьмо в глотке вскипело от такой наглости, но он мужик был толковым, и понимал, что да, по сути дела Кукуев в чём-то прав, и если его просто лишить премии, или просто наказать за дерзость-то это не будет уроком ни для Кукуева, ни для всех остальных, да и лучше от этого никому не будет.Но вот если Кукуева озалупить, причём на глазах у всех остальных, то резон от этого будет точно!
    Сел значит генеральный директор за компьютер, да и нашел пентестеров, которые за символические деньги согласились принять участие в озалупливании Кукуева, в назидание всем остальным сотрудникам фирмы.Нет, вы не подумайте, что гендиректору не было чем заняться, отнюдь.Ну переживал просто мужик, мало ли, вдруг этот Кукуев через асечку вирусы какие-то поймает, и конфиденциальные документы попадут не в те руки.
    И пентестеры взялись за дело.
    Перво-наперво, парни решили выяснить, на какой емейл была зарегана асечка.Что-бы уже потом от чего-то отталкиваться.Ибо бывает проще хакнуть почту, а через неё восстановить пароль к аське, нежели аську саму брутом угонять, или фейк засылать, или трой.
    И каково же было удивление парней, когда при попытке восстановить аккаунт, им вылезла почта типа [email protected]
    Ребята поняли, что Кукуев если не долпаёп, то как минимум, очень интересная личность.Ведь асечку он зарегал много лет назад, когда подтверждение по почте не требовалось, и не мудрствуя лукаво, ввел произвольную почту.Беспечность Кукуева убила..
    Всё что потребовалось пентестерам-это зарегистрировать домен "psdvot.se", создание почтового сервера на этом домене, и создании учетной записи "lsgjetm".После всех проделанных манипуляций, у пентестеров оказалась в руках почта "[email protected]", на которую и была зарегистрирована асечка.
    Затем всё совсем просто.Запрос восстановления пароля по почте, на почту высылается пароль, у хакеров появлется доступ к асечке Кукуева.Всё это было провернуто посредством социальной инженерии, методом ебли мозга техподдержке асечки через почту.Мол "Я этот пароль юзал ещё много где, мне надо его знать, а то забыл"
    Затем, пентестеры передают пароль и почту заказчику(гендиректору).
    Гендиректор собирает совещание, публично при всех со своего ноутбука заходит в асечку под учетной записью Кукуева, демонстрирует это всё публике, попутно распекая Кукуева, мол "Ты дурак, и аська твоя дурацкая, мои ребята её за сутки взломали, иди работай лучше".
    Урок усвоен, Кукуев больше в асечке на рабочем месте не сидит, сотрудники задумались тоже.
    Пропитан ты пылью и бытом?Заходи сюда
    История номер два.
    В одной организации, которая занималась(а может и занимается, хрен их знает), был очень нервный генеральный директор.Был он даже не нервным человеком, а просто, если можно так выразиться, галимым паникёром.Посторонние на территорию предприятия не допускались ни под каким видом, на всей территории установлено видеонаблюдение, была круглосуточная охрана(старший смены, и 4 охранника, которые усиленно шароёбились по территории), сотрудники были проинструктированы ни под каким предлогом никому не выдавать "сверхсекретные данные конторы", ни под угрозой подкупа, ни под угрозой шантажа или провокаций.Генеральный директор изредка устраивал проверки, и шантажировать по соцсетям сотрудников пытался, но они уже были выдрочены так, что просто так их не возьмёшь.
    И всё равно генерал нервничал сильно по поводу безопасности данных.
    Обратился он в фирму по пентестингу, и дал задание-любым путем спиздить хоть какие-то файлы с рабочих компьютеров организации.И пообещал щедрую награду.
    Призадумались пентестеры.
    Попытались хакнуть вай-фай и пролезть в локалку-не вышло.На территорию тоже просто так не проникнешь-охрана шарится.Попытались сконтачиться по соцсетям с сотрудниками-тоже ничего не вышло, никто на контакт не идёт.Сайт атаковали, атаковали почты, всё равно, нифига не получилось.
    Однако предложенные несколько штук баксов настолько взбудоражили фантазию пентестеров, что произвели они следующую схему.
    За офисом предприятия было установлено наружное наблюдение.Были составлены списки сотрудников, и было выяснено, кто где живёт, кто с кем гуляет, и кто где срёт.Путём анализа открытых источников(сайтов, форумов), было выяснено, что некий сотрудник фирмы под фамилией Колесников дико любит мексиканские народные песни.Вот прям прётся.И во вконтактике у него фотки с мексиканской народной балалайкой, маракасами, и сомбреро, и песенки в аудиозаписях.
    В общем, был создан сайт, посвященный проведению определенного фестиваля по мексиканским народным песням.
    Был отпечатан буклет, в котором было написано "Трамтарарам, такого то числа фестиваль, подробности на сайте".
    А сайт тот предполагал регистрацию, не зарегаешься-инфы не увидишь.
    Колесников, разумеется, регистрируется на сайте, и вводит туда привычный пароль.
    Который, о чудо, подходит к корпоративной почте.
    Отчёт подан гендиректору, гендиректор в бешенстве, Колесников сурово выебан без вазелина, оштрафован, и лишен премии.Пентестеры получили четырехзначную сумму в долларовом эквиваленте, и красиво ушли в закат.
    bdf.ms-уйди в закат красиво.
    А на сегодня пока всё, ждите ещё весёлых историй!
    Ваш Пластик
    Нарушитель номер один
    Консультации по манимейкингу-

    Обучение взлому VK-


     

Поделиться этой страницей