Недавно в сети увидел видео, где мужчина притворялся
магом, и предлагал случайным (как позже окажется, не совсем) людям на улице прочитать
их мысли. После небольшого шоу и пары ответов на вопросы про имя, родных,
банковские счета, вдруг одна из ширм падала, и взору представала такая картина:
среди переплетений проводов, мониторов и системных блоков сидит несколько
хакеров в балаклавах, которые усердно делают вид, что набирают код, а на
главный экран выведена личная страничка жертвы, linkedin и фейсбук.
Это интересный урок не только для тех, кто
попался, но и для нас с вами. Не секрет, что большинство пользователей
перестали заботиться о собственной конфиденциальности среди этого
"веб-шума" всемирной паутины. Мы слишком много отдаем своих данных в
Сеть.
То, что происходит на видео, называется
социальной разведкой. Проводят её как часть аудита безопасности, или предоставляют
как отдельную услугу, часто в рамках конкурентной разведки. У каждого социального
инженера есть свои приемы и софт. Рассмотрим некоторые из них.
Сбор
информации
Первым делом составляем резюме цели, оно нам
необходимо для исследования. Наиболее полный профиль можно найти на сайтах
резюме. Linkedin
у нас не так популярен как на западе, но если целью является человек
профессии творческой или связанной с компьютерами, то можно поискать и там. В
остальных случаях нам помогут сайты для поиска работы. На них люди стараются
максимально подробно расписывать свое резюме. Там же можно найти почту и
телефон.
Нельзя
пропускать и социальные
сети, ведь тут есть
и фото, и
связи, и мысли, и
даже компрометирующие факты.
Обыскиваем VK, Одноклассники,
Facebook, Google+, Tumblr (связи, друзья, интересы, личная информация), Google
Images (фото), Twitter (заметки, мысли, цели), Pinterest, Flickr и Instagram
(можно получить фото, в некоторых случаях и компрометирующие), Ask.fm (узнаем
подробности из жизни), Meetup (контакты и встречи цели) и многие другие.
Практика показывает, что
нужно тщательно анализировать все открытые аккаунты.
Обратите внимание, куда ходит цель. Просмотрите
отметки в Forsquare
и iCloud, если
логин от него совпадает с ранее полученным e-mail
адресом. Адрес тоже можно узнать в открытых базах города, там же и
домашний телефон если нужно.
Автоматизируй!
Но это все ручной поиск. Для автоматизации есть
несколько готовых инструментов, которые облегчат нам сбор информации, и помогут
делать это в "промышленном" масштабе.
Программа, которую используют наиболее часто (судя
по имеющимся у автора данным) в ходе социальной разведки, называется Maltego. Это специализированное
разведывательное программное обеспечение, которое предназначено для сбора
информации с различных баз данных. Несомненным плюсом её является возможность
вывода информации в удобном графическом формате. Программа позволяет строить
основные связи между найденными компонентами, и установить ранее неизвестные
отношения между ними. С помощью неё можно «нарыть» информацию, и указать
взаимосвязи между людьми, их контактами, компаниями, вебсайтами, документами, и
много чем еще.
Программа написана на Java и отлично переносится
между другими OS, а
понятный и удобный GUI
позволяет легко и удобно управлять визуализациями взаимосвязей. Рассказывать о
её преимуществах и функциях можно бесконечно, но если кто-то заинтересовался,
можно посмотреть виде с её основными возможностями.
В заключение этой статьи хотелось бы сказать, что
спецсофт может очень сильно помочь специалисту по конкурентной разведке, но
никак не заменит ему прямые руки и светлую голову!
Защищайся
Как же нам можно защититься от этого, или хотя бы
уменьшить риски? Для этого в сети есть интересный бесплатный плагин Ghostery, который защищает
конфиденциальную информацию пользователей при посещении web-сайтов в интернете. С помощью него, можно
обнаруживать и контролировать так называемые web bugs – объекты, которые
встраиваются в веб страницы для сбора информации и являются невидимыми для
пользователя. После, о них сообщается пользователю и предоставляется выбор,
выключить их или нет. Таким образом, Ghostery
позволяет блокировать скрипты, изображения, фреймы от компаний,
которым вы не доверяете.
Подробнее о нем можно почитать здесь.
Конечно, в рамках одного поста можно лишь
сравнительно неглубоко копнуть тему социальной разведки, поэтому я буду
признателен вам за дополнения и ваш собственный опыт в комментариях.
Комментариев нет:
Отправить комментарий