Социальная инженерия на практике. Проектный опыт «Перспективного мониторинга»

YOUTUBE · 29.11.2025 04:00

Ключевые темы и таймкоды

Введение

0:06
  • Максим представляет компанию "Перспективный мониторинг", занимающуюся информационной безопасностью, финтеамом тестирования на проникновение, анализом защищенности, разработкой программного обеспечения и спецпроектами для спецзаказчиков.

Социальная инженерия

1:47
  • Социальная инженерия - взаимодействие с людьми для получения информации, не только в области информационной безопасности, но и в физической, экономической и противоправной деятельности.
  • Понимание, как люди думают и зачем, является ключевым аспектом работы социального инженера.
  • Примеры использования социальной инженерии: проникновение на военные заводы, вузы, конференции и другие мероприятия.

Примеры использования социальной инженерии

7:27
  • Проникновение на военные заводы через систему доставки водки.
  • Проникновение в вузы через студенческие билеты.
  • Проникновение на конференции через использование студенческих билетов.
  • Проникновение на мероприятия через использование знакомых, которые не могут себе позволить билеты.

Социальная инженерия на заводах

11:16
  • Злоумышленники могут использовать социальную инженерию для проникновения на режимные предприятия, например, через аренду или услуги.
  • Примеры: использование "крестиков" для доступа к секретным цехам, использование спецовки для доступа к подсобкам и телефонам.

Экономическая безопасность и социальная инженерия

16:43
  • Цель: противодействие мошеннической деятельности, получение конкурентного преимущества и конкурентная разведка.
  • Примеры: проверка контрагентов мошенничества на госторгах, получение информации о конкурентах и заказчиках.

Аудит информационной безопасности и социальная инженерия

19:17
  • Цель: проверка эффективности работы систем контроля сотрудников, проверка работы службы информационной безопасности.
  • Примеры: получение доступа к конфиденциальной информации, проверка работы систем контроля сотрудников и службы информационной безопасности.

Проверка осведомленности сотрудников

23:33
  • Сотрудники часто нарушают регламенты, например, размещают конфиденциальную информацию на мониторах или рассказывают незнакомым людям секретные вещи.
  • Фишинг-атаки: получение аутентификационных данных через рассылку анкет или использование клик-джекинга.

Подготовка к аудиту защищенности

25:11
  • Определение целей аудита, типов атак и категорий сотрудников.
  • Время проведения работы и возможные юридические проблемы.

Техническая часть аудита защищенности

30:42
  • Сбор информации из открытых источников, использование социальной инженерии и методов пентестера.
  • Взаимодействие между различными направлениями работы: осинтовскими, пинтестерскими и социальными инженерами.

Социальная инженерия

32:27
  • Социальная инженерия основывается на общении и требует понимания психологии людей.
  • Важными аспектами являются уверенность, знание контекста, обращение к авторитету, эксплуатация эмоций (страх, лень, жадность), контроль внимания, заторапливание и сенсорная перегрузка.

Создание вспомогательных материалов

41:21
  • Создание зеркал сайта для клин джекинга, зараженные документы и флешки для отстукивания на центральный сервер.
  • Специалисты по социальной инженерии просят коллег подготовить материалы для легендирования.

Понимание общей работы

42:13
  • Понимание работы предприятий физической безопасности и использование ультимативной отговорки "я в столовую" для прохода через систему контроля управления доступом.

Итеративный сбор информации

43:26
  • Итеративный сбор информации позволяет продвинуться в социальной инженерии и получить сведения о сотрудниках.
  • Спир фишинг - целевой фишинг, использование конкретных знаний о сотруднике для получения информации.

Фишинг, клик джейкинг и обратная социальная инженерия

44:25
  • Фишинг - рассылка писем с целью получения данных о сотрудниках.
  • Клик джейкинг - создание вредоносных страниц для кражи кликов.
  • Обратная социальная инженерия - помещение пользователя в ситуацию, когда он сам обратится к социальному инженеру за помощью.

Примеры кейсов

46:13
  • Проверка осведомленности сотрудников в области информационной безопасности.
  • Проверка осведомленности администраторов форума.
  • Аудит защищенности, проверка работы службы информационной безопасности.
  • Массовая рассылка писем с целью проверки осведомленности и сбора информации.
  • Анализ сайта заказчика для получения информации о сотрудниках.

Социальная инженерия и ее методы

53:33
  • В ходе работы были проанализированы группы в социальной сети Вконтакте, связанные с компанией, обнаружены группы, которые могут использоваться злоумышленниками.
  • Проведена фишинговая атака, в ходе которой были разосланы сто адресов, получены ответы от шестидесяти четырех адресатов, из которых десять попытались открыть приложенный документ.

Противодействие социальной инженерии

1:00:24
  • В докладе представлен полный список известных мер противодействия социальной инженерии, которые считаются эффективными.
  • В ходе подготовки к проведению социальной атаки с помощью социальной инженерии, сбор материалов обычно занимает неделю, планирование - один день.

Тестирование внутри компании

1:03:42
  • В компании проводились тестирования методом инженерии, результаты зависят от специфики компании и навыков сотрудников.
Похожие пересказы
Тренировка перспективного вратаря хоккейной лиги WHL
YOUTUBE 29.11.2025
Панель мониторинга показателей эффективности продаж в Excel | Учебное пособие #1
YOUTUBE 01.12.2025
Вебинар 1 - Реализация мониторинга питания обучающихся общеобразовательных организаций г. Казань
YOUTUBE 30.11.2025
Система мониторинга слепых зон (BCW & BCA)
YOUTUBE 28.11.2025