Topic: "Analysis of IT infrastructure security, social engineering"
Our company "OKO" is a subsidiary of the Intercity Association of detectives.
Our scope of opportunities includes:
-Wi-Fi Pentest
-WebApp Pentest
-OSINT research
-Intranet Pentest
-Social Pentest
-Check for wiretapping
-Technical protection
-Special services for business
Social engineering - a method of obtaining the necessary access to information based on the peculiarities of human psychology. The main goal of social engineering is to gain access to confidential information, passwords, banking data and other protected systems.
There are quite a few methods of social engineering (phishing, vishing, "cow mine", legend, etc.), but the main point is that it is necessary to lie, lie and lie again.
Case 1 "Enemy in the company"
Type of work
- Search for vulnerabilities
- OSINT
- SI
results
- Data leak detected
- Work carried out on awareness of employees
The gene. director of one of the largest companies with the task of identifying the leakage of project data.
- After analyzing the security of the company's IT infrastructure, no significant problems and obvious traces of data leakage were identified.
- Based on the results of an interview with the management, a decision was made to search for insiders, the starting point was to search for employee resumes on job search sites.
- Having selected the circle of persons with access to information, a call was made from a rival company with a job offer
- Using SI methods, information was received from the top manager of the company on his work on projects, moreover, it was proposed to send them to US, as a result of further conversation it was revealed that he had previously sent this information to a certain Andrey, having received his full data, it was revealed that this employee is a specialist rival security services
- As a result of the conversation with him, we received information about the existing facts of disclosing information
Case 2 "Forum"
Carrying out testing forum educational institution
Type of work
-Check employee awareness
results
-Got full access to the forum
-Access to the administrator's workstation is obtained
- Phishing emails for the forum have been prepared
- Links were posted on the forum with the use of legend, as a result of which the members of the forum were navigated through them.
Case 3 "Defense order"
Testing a defense enterprise
Type of work
- Checking the awareness of employees
- Security audit
- Checking the work of the information security service
results
- Gained access to the AWP of the general director, leading accountant, head of the Department, project manager
- An analysis of the organization's contingent was carried out (OSINT)
- Phishing letters have been prepared with a link to the media with the following topics - changes in the calculation of pensions for military personnel, changes in the rules for holding a tender
- Accessing an organization? letters were sent over the internal network, under the user registered in the network
- The security service did not react
Attachments
Original message
Тема: «Анализ защищенности IT инфраструктуры, социальная инженерия»
Наша компания «ОКО» является дочерним предприятием Междугородного объединения детективов.
В сферу наши х возможностей входит:
-Wi-Fi пентест
-WebApp пентест
-OSINT исследование
-Intranet пентест
-Социальный пентест
-Проверка на прослушку
-Техническая защита
-Специальные услуги для бизнеса
Социальная инженерия – метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Основной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам.
Методов социальной инженерии довольно много (фишинг, вишинг, «коровья мина», легендирование и т.д), но основная суть заключается в том, что необходимо – врать, врать и еще раз врать.
Кейс 1 «Враг в компании»
Тип работ
- Поиск уязвимостей
- OSINT
- СИ
Результаты
- Обнаружена утечка данных
- Проведена работа по осведомленности сотрудников
С запросом в нашу организацию обратился ген. директор одной из крупных компаний с задачей – выявить утечку данных о проектах.
- Проведя анализ защищенности IT инфраструктуры компании, существенных проблем и явных следов утечки данных выявлено не было.
- По результатом собеседования с руководством было принято решение по поиску инсайдеров, отправной точкой было выбрано- поиск резюме сотрудников на сайтах по поиску работы.
- Выбрав круг лиц имеющих доступ к информации был осуществлён обзвон от компании – соперника с предложением работы
- Используя методы СИ была получена информация от ТОП менеджера компании над его работой над проектами, более того предложено их отправить НАМ, в результате дальнейшей беседы выявлено, что он уже ранее отправлял данную информацию некому Андрею, получив его полные данные выявлено, что данный сотрудником является специалистом службы безопасности конкурирующей организации
- По итогом проведения беседы с ним получили информацию о имеющихсчя фактах разглашения информации
Кейс 2 «Форум»
Проведение тестирования форума образовательного учреждения
Тип работ
-Проверка осведомленности сотрудников
Результаты
-Получен полный доступ к форуму
-Получен доступ к АРМ администратора
- Подготовлены фишинговые письма для форума
- С использованием легендирования размещены ссылки на форуме в результате чего был осуществлен переход по ним сотрудникамии форума
Кейс 3 «Оборонный заказ»
Проведение тестирования оборонного предприятия
Тип работ
- Проверка осведомленности сотрудников
- Аудит защищенности
- Проверка работы службы ИБ
Результаты
- Получен доступ к АРМ ген.директора, ведущего бухгалтера, начальника Управления, руководителя проекта
- Проведен анализ контингента организации (OSINT)
- Подготовлены фишинговые письма с ссылкой на СМИ с темами – изменение расчета пенсий военнослужащим, изменение правилf проведения тендера
- Получив доступ к организации? письма разосланы по внутренней сети, под пользователем зарегистрированным в сети
- Служба безопасности не среагировала