Добавить в корзинуПозвонить
Найти в Дзене
Александр Сарапулов
5 подписчиков

Социальная инженерия на практике. Рассылка.

8
1 мин
📧 Вот мы и подошли к заключающему этапу — рассылке. Сразу оговорюсь, готовится к данному этапу можно бесконечно долго. Например: затачивать сценарий под определенного человека или группу людей, настраивать исполняемые нагрузки под установленное ПО, но рано или поздно наступает момент — контакт с твоей целью. ☝🏻 Рассылку можно вести аккуратно — рассылать по одному письму, пытаясь не поднять шум (если все сидят в одном офисе, то это важно). А можно отправить все письма сразу в надежде закрепиться в системе и выполнить все необходимые действия до того, как кто-то заподозрит неладное. ❗️ Если твоя цель — IT компания, будь осторожен. И запомни, всегда будет тот, кто умнее тебя. Это к тому, что ты можешь отправить письмо не тому кому нужно. ⁉️ Как подготовить письмо с аттачем ( вложением ) ? ➖ Почтовая рассылка с вредоносными аттачами — это один из классических приемов. Открытие и запуск приложения к письму станет триггером успешного срабатывания сценария, этаким бэкдором. Вот нес

📧 Вот мы и подошли к заключающему этапу — рассылке. Сразу оговорюсь, готовится к данному этапу можно бесконечно долго. Например: затачивать сценарий под определенного человека или группу людей, настраивать исполняемые нагрузки под установленное ПО, но рано или поздно наступает момент — контакт с твоей целью.

☝🏻 Рассылку можно вести аккуратно — рассылать по одному письму, пытаясь не поднять шум (если все сидят в одном офисе, то это важно). А можно отправить все письма сразу в надежде закрепиться в системе и выполнить все необходимые действия до того, как кто-то заподозрит неладное.

❗️ Если твоя цель — IT компания, будь осторожен. И запомни, всегда будет тот, кто умнее тебя. Это к тому, что ты можешь отправить письмо не тому кому нужно.

⁉️ Как подготовить письмо с аттачем ( вложением ) ?

➖ Почтовая рассылка с вредоносными аттачами — это один из классических приемов. Открытие и запуск приложения к письму станет триггером успешного срабатывания сценария, этаким бэкдором. Вот несколько советов о том, как лучше готовить письмо:

▪️ Добавь в письмо ссылку и регистрируй тех, кто кликнул по ней (дополнительно можно будет на сайте выдавать эксплойт или документ с нагрузкой).

▪️ Добавь телефонный вектор. Позвони сотруднику и скажи, что выслал важный документ и что дело не терпит!

▪️ Используй XSS/RCE с домена самой компании. Доверие к родному сайту выше. Годятся и локальные файлопомойки, если получится добыть доступ к ним.

▪️ Чтобы узнать, кто открыл документ, в нем можно использовать SSRF

📌 В результате успешно проведенных работ мы получаем несколько учёток от корпоративной сети — это может быть доступ к VPN, RDP, почте и так далее. Если удастся заразить несколько рабочих станций, это откроет большой потенциал для продолжения атаки.

👺 Фишинговая рассылка не новый и не единственный метод использования социальной инженерии, она хорошо работает и применима практически всегда. Но для успеха важна каждая деталь, полученная на каждом этапе который мы с тобой разобрали в предыдущих статьях.

(P.S. статьи эти только в ознакомительных целях, я не призываю никого к действиям)