Проникновение в компанию по средствам социальной инженерии

Discussion in 'Болталка' started by Lawr, 3 Mar 2016.

  1. Lawr

    Lawr New Member

    Joined:
    3 Mar 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Доброго времени суток, друг.
    Стоит такая задача: Есть корпоративная сеть. В этой сети есть три уровня. Все уровни и компьютеры подвязаны одной локалкой.
    Первый уровень - общедоступный. Доступ к компьютерам не составляет труда, и конечно же мониторится.
    Второй уровень - рабочие компьютеры под определённого человека, которые находятся в их кабинетах, естественно под ключом.
    Третий уровень - компьютеры системных администраторов.
    Суть задачи в том, чтобы украсть некоторые документы со второго уровня. Лучше всего получить удалённый доступ.
    Хочу посоветоваться с Вами, как это сделать?
    Нюансы такие, что лицо моё знают, и притвориться одним из сотрудников тех. поддержки не получится (Что бы под этим предлогом провести какие-либо манипуляции с компьютером.).
    И самый основной нюанс, что нахожусь в другой стране и пока что присутствуем языковой барьер (Понимаю, но говорю плохо.).
    Вернёмся к вопросу. Как это сделали бы Вы?
    Какие программы или аппараты бы использовали?
    Какой подход был бы?
    Но и конечно, самое главное, какой был бы у Вас план?
    Буду рад любым наброскам и идеям по возможным векторам атак, на какие аспекты бы упирались и вообще с чего бы Вы начали, и как шли.
    Если есть какой-то план по дефолту или есть какие-то вопросы - пишите в комментарии, буду признателен.
    Всем удачи!
     
  2. -=lebed=-

    -=lebed=- хэшкрякер

    Joined:
    21 Jun 2006
    Messages:
    3,857
    Likes Received:
    1,961
    Reputations:
    594
    самый основной вектор атак - неквалифицированный пользователь, его атаковать легче всего, а затем и его компьютер.
     
    Kapaso and 5maks5 like this.
  3. POS_troi

    POS_troi Elder - Старейшина

    Joined:
    1 Dec 2006
    Messages:
    1,574
    Likes Received:
    467
    Reputations:
    108
    Всё-же
    "Третий уровень" это начальники подразделений
    "Четвёртый" - Начальники начальников (замы)
    "Пятый" - директор
    Ну и последний это Админы :)
     
  4. Logatel

    Logatel Member

    Joined:
    6 Oct 2009
    Messages:
    59
    Likes Received:
    15
    Reputations:
    0
    Невольно вспомнил отрывок из истории столетней давности про си в котором упоминался запоминающийся случай - атакующий перед офисом компании разбросал носители с находящимся на них "вирусом", работники ,естественно, присвоили их себе и, при попытке воспользоваться, предоставили доступ к своим пк
     
    GuideLLp, veryx and Lawr like this.
  5. Lawr

    Lawr New Member

    Joined:
    3 Mar 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Делали ребята ещё круче. Подбрасывали флешки либо в сумки, либо в карманы курток.
    У них маршрутизаторы стоят в коридорах с трёх-пиновым замком. Есть ли какой вариант подключиться к ним? И какой софт али аппараты можно было бы использовать?
     
  6. marynli

    marynli Banned

    Joined:
    29 Jun 2015
    Messages:
    27
    Likes Received:
    7
    Reputations:
    0
    Может стоит попробовать отправить сотруднику на почту PDF/DOC с эксплойтом?
     
  7. rct

    rct Active Member

    Joined:
    13 Jun 2015
    Messages:
    359
    Likes Received:
    107
    Reputations:
    7
    Зависит от того, сколько ты готов вложить в это дело. Так как находишься ты в другой стране, то либо 1) прислать троян на почту 2) мутить что-то с физическим контактом. Понятно что тебе будет дешевле нанять исполнителя и остаться анонимным, можешь поискать на "опасных связях" исполнителя. Флешку под офисом... ну это такая уже классика, если не сказать баян. Даже в кинцо такое уже показывали. Если и подкидывать, то утром на связке ключей под падиком, предварительно выбрав и изучив "слабое звено". Какую-нибудь розовую флешку, предварительно забив купленными приватными фотками красивой бабы. Хотя и это все такая хрень. Если нет хорошего трояна, если нужно пробиться через человека, то все можно сделать гораздо проще. Так как тебя там знают, то очевидно и ты там кого-то знаешь. Выбери самое слабое, безвольное существо, закажи ему поджог автомобиля, пару сломаных ребер, етц, максимально проблем. А затем, когда оно уже будет на грани срыва, явись на белом коне и предложи N американских денег за запуск вот этой небольшой программы, никто не узнает же, а ему на ремонт/лечение. Ясно что он ничего не получит, но ты своего добьешься. Ну или предложи ему продать тебе какие там доки требуются. Все зависит от твоего бюджета.
     
  8. marynli

    marynli Banned

    Joined:
    29 Jun 2015
    Messages:
    27
    Likes Received:
    7
    Reputations:
    0
    Мы же не бандиты, зачем такое ухищрение?
     
  9. rct

    rct Active Member

    Joined:
    13 Jun 2015
    Messages:
    359
    Likes Received:
    107
    Reputations:
    7
    Чтоб получить необходимые документы?
     
  10. marynli

    marynli Banned

    Joined:
    29 Jun 2015
    Messages:
    27
    Likes Received:
    7
    Reputations:
    0
    Теперь что бы получить доступ к почте, нужно приехать и пытать утюгом?
     
  11. rct

    rct Active Member

    Joined:
    13 Jun 2015
    Messages:
    359
    Likes Received:
    107
    Reputations:
    7
    Ты где в моем посте увидел предложение пытать утюгом? Опять проекции фантазий.
     
  12. marynli

    marynli Banned

    Joined:
    29 Jun 2015
    Messages:
    27
    Likes Received:
    7
    Reputations:
    0
    Ок, а тогда про поджог автомобиля, пару сломанных ребер?
     
  13. afonn

    afonn Member

    Joined:
    10 Aug 2015
    Messages:
    117
    Likes Received:
    38
    Reputations:
    0
    Гораздо прозаичнее все я думаю, узнать чем балуються работники на компах своих когда начальство не видит я имею в виду сети,порнушки,,игрули всякие и т.д. и т.п.
     
  14. rct

    rct Active Member

    Joined:
    13 Jun 2015
    Messages:
    359
    Likes Received:
    107
    Reputations:
    7
    Таварищ сержант, это не руководство к действию, не надо тут пытаться раскрутить 167.
     
    afonn likes this.
  15. grimnir

    grimnir Members of Antichat

    Joined:
    23 Apr 2012
    Messages:
    1,108
    Likes Received:
    797
    Reputations:
    231
    Митника читайте , знакомтесь с девушкой, которая там работает и отвечает за безопасность, через несколько лет оформляйте брак и проникайте в компанию. :D
    Еще популярный вариант , ну это надо пристуствие рядом с конторой, раскидать рядом флэшки с трояном, како-ниибудь сотрудник все равно подберет и вставит
    Миллионы способов.
    Я бы наверное поехал к офису и там удалено снифал трафф, мож что выудил.
     
    _________________________
  16. aka dexter

    aka dexter Elder - Старейшина

    Joined:
    23 Jun 2006
    Messages:
    536
    Likes Received:
    774
    Reputations:
    74
    количество штата на данной фирме?
     
  17. Lawr

    Lawr New Member

    Joined:
    3 Mar 2016
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    Порядка 30-40 человек.
    Трое главных администраторов.
    Двое охранников.
    Все остальные простые работники
     
  18. trolex

    trolex Well-Known Member

    Joined:
    6 Dec 2009
    Messages:
    597
    Likes Received:
    1,393
    Reputations:
    6
    пздц ты злой как сатана:D сломать рёбра, пообещать денег на лечение и кинуть
    хочешь скачать там и поджог машины и ломание рёбер можно заказать? или это в другом месте надо искать?
     
  19. paranoy777

    paranoy777 Banned

    Joined:
    23 Jan 2016
    Messages:
    71
    Likes Received:
    24
    Reputations:
    10
    л

    да флешки раскидать или дист с бух отчетом забыть в лифте))) и вуаля.
     
  20. rct

    rct Active Member

    Joined:
    13 Jun 2015
    Messages:
    359
    Likes Received:
    107
    Reputations:
    7
    Это не руководство к действию, а всего лишь вектор возможных атак. Можно не ломать ребра, но устраивать мелкие пакости. Суть - вывести человека из зоны комфорта и подчинить.
    Таварищ сержант, я точно не знаю, ничего такого не заказывал, да и вам не советую. Ведь это нарушение закона, ну вы в курсе.
     
Loading...