6 Июля, 2014

Соц.сеть глазами пентестера

Игорь Агурьянов
Попала мне на глаза интересная статья " Фейсбук глазами хакера ", где команда исследователей делилась опытом одного пентеста, который они проводили (статья от 2009 года). В основу легли социальная инженерия и фишинг... но как же хитро ребята все это проделали.
name='more'>

Сотрудники пен-тест лаборатории запустили на Facebook'е поиск работников анализируемой компании и начали изучать их профили. Оказалось, что люди часто делятся рабочими моментами довольно часто - кто фотки с корпоратива выложит, кто на жизнь нелегкую пожалуется, кто просто проникнувшись корпоративным духом не вполне осознанно занимается социальным маркетингом своей компании, рассказывая какие они (их компания) молодцы. Более того, была обнаружена неофициальная страница компании для неформального общения. В результате пен-тестеры сформировали "типичный портрет" работника этой компании.

Т.к. "типичным" работником оказался мужчина 20-40 лет ребята создали профиль 28 летней девушки с симпотичной аватаркой, которая работала в их компании (но, надо думать, в филиале, в котором не было представлено в соц.сети работников). Сразу же получив "одобрение" на вступление в неофициальную группу вирутальная девушка стала общаться с другими работниками. Не знаю даже, не было у них корпоративного портала с перечнем всех работников или "Штирлиц не был близок к провалу" по другим причинам, но общение протекало весьма успешно. Спустя короткое время в "друзьях" у нашего профиля оказалось более 200 работников от низов до топов.

И вот в один прекрасный день наш заслуженный членом корпоративного сообщества в соц.сети, публикует ужасающую надпись «что за фигня, не могу зайти на портал – это только у меня так?» со ссылкой на "их" корпоративный портал. Далее несколько комментариев, что тоже почему-то доменная аутентификация не проходит... причем несколько из них от людей с весьма обширными "удаленными" полномочиями (даже от одного, кто был в курсе, что в отношении их компании проводится пен-тест) - и "вуаля" - привет утечки информации и не только.
comments powered by Disqus