leo_sosnine: (Default)
[personal profile] leo_sosnine
Любой инфобезник знает, что простейший путь через социальную инженерию унутрь компании это женщина.

Сегодня утром прочитал результаты типового пентеста, произошедшего когда-то там с кокойты компанией.

Чуваки специально выбрали группу в дозен человек, почти все женщины. Все устояли, кроме двух -- эти прокликали all the way to launching an embedded macro. Для справки, сначала нужно было согласиться открыть документ из недоверенного источника (энторнет, типа). Потом ещё раз чтобы запустить макросы. Каждый диалог стращает страшными карами и предупреждает о катаклизъмах.

Не удивлюсь, если пентестерские фирмы специально, шерстя линкедин, выбирают женщин. И если они так не делают, то поступают неправильно.

Основываясь на личном опыте, женщина с большей вероятностью кликнет на подозрительный диалог и согласится с предложенным, нежели мужчина.

Другим слабым звеном оказался индус из доменных админов. У болвана был одинаковый пароль на обычный аккаунт и на PA аккаунт. Вот есть мозг вообще или нет. Как дал бы, блядь.

Date: 2019-01-22 06:26 am (UTC)
balu: (Default)
From: [personal profile] balu
Колись працював у конторі, де у відділі збуту всі заходили під одним акаунтом. І там компи стояли не на кожному столі, а окремо. А тітоньки, які там працювали, підходили і починали працювати, як потрібно. У кожної був свій акаунт, але хто перший зайшов у систему, під тим і працювали. І стандартна відповідь була, що нам працювати потрібно, а не перелогінюватись. У мене були ідеї, як спростити їм перелогінювання, але замовник не захотів за це платити.
Тож це була мені наука, що або система безпеки прийнятна у простоті залогінитись, або нею ніхто не користується. Теж саме стосується і захисту від нецільового використання.

Date: 2019-01-22 10:04 am (UTC)
straktor: benders (Default)
From: [personal profile] straktor
вполне адекватное ситуации решение имеющейся модели угроз методом неуловимого джо -- и, видимо, работало?

если бы хоть одна титонька оказалась саботажницей и подставила с увольнением и возмещением, внезапно всем бы стало потребно логиниться
если тёток до 10 и они лично знают адреса друг друга, чтобы придти и морду разбить за подставу -- самое то

Date: 2019-01-22 07:38 am (UTC)
henry_flower: A melancholy wolf (Default)
From: [personal profile] henry_flower
> Основываясь на личном опыте, женщина с большей вероятностью кликнет на подозрительный диалог и согласится с предложенным, нежели мужчина.

у мене навпаки, ггг

колись давно, коли я підробляв сисадмінством, спочатку була держпідприємство, де було 100% жінок, потім була приватна контора, де було 80% чоловіків

я з теплим почуттям згадував 1шу контору, бо там ніхто не виябувався і всі слухали, що я казав; 2й контора була майже вщент наповнена дебілами, які звичайно завжди краще за мене знали як і шо--кожного разу зі сумними результами

Date: 2019-01-22 04:50 pm (UTC)
henry_flower: A melancholy wolf (Default)
From: [personal profile] henry_flower

ггг

але ж можна спробувати порахувати щось не тільки з персонального досвіду!

є дампи паролів з імейлами, які видобувають найпростішими методами хфішингу: відправляють імейл "це я, ваш рідний адмін, гайда сюди до вашого банку (http://rialny-hakir-vasia.amerike-skoro-kaput.ru) та негайно введіть логіну та паролю, інакше вас звільнять з роботи"

осьо наприклад 2016 дамп: https://publicdbhost.dmca.gripe/exploit.in.zip (~832MB)

який має 3 типи юзернеймів:

1) явно жіночі 2) явно чоловічи 3) хуй просциш чиї

(3) ігнорувати, а (1) та (2) порахувати

звичайно то є непросто, тя там гуляш з купи імен від різних країн, але теоретично є можливим

Page generated Aug. 15th, 2025 02:09 am
Powered by Dreamwidth Studios