Shromažďování informací

Shromažďování informací hraje zásadní roli v přípravě na jakoukoli profesionální činnost sociálního inženýrství. Shromažďování informací je časově nejnáročnější a nejpracnější fází cyklu útoku, ale často rozhoduje o úspěchu či neúspěchu zapojení. Profesionální
sociální inženýr si musí být vědom, zda:

  • Nástroje pro sběr informací, které jsou volně dostupné online
  • Internetová místa, na kterých se nacházejí cenné údaje
  • Software, který pomáhá při vyhledávání a třídění údajů
  • Cena nebo využití zdánlivě bezvýznamných údajů, které se shromažďují online, po telefonu nebo osobně

Jak shromažďovat informace

Existuje mnoho různých způsobů, jak získat přístup k informacím o organizaci nebo jednotlivci. Některé z těchto možností vyžadují technické dovednosti, zatímco jiné vyžadují měkké dovednosti lidského hackingu. Některé možnosti lze v pohodě použít z jakéhokoli místa s přístupem k internetu. Zatímco jiné lze provést pouze osobně na určitém místě. Existují možnosti, které nevyžadují více vybavení než hlas, možnosti, které vyžadují pouze telefon, a ještě jiné, které vyžadují sofistikovaná zařízení.

Sociální inženýr může spojit mnoho drobných informací získaných z různých zdrojů do užitečného obrazu zranitelnosti systému. Informace mohou být důležité bez ohledu na to, zda pocházejí od uklízeče nebo z kanceláře generálního ředitele; každý kousek papíru, zaměstnanec, s nímž sociální inženýr hovořil, nebo oblast, kterou navštívil, může dát dohromady dostatek informací pro přístup k citlivým datům nebo organizačním zdrojům. Z toho plyne poučení, že všechny informace, bez ohledu na to, za jak bezvýznamné je zaměstnanec považuje, mohou pomoci při identifikaci zranitelnosti společnosti a vstupu pro sociálního inženýra.

„Tradiční“ zdroje jsou obvykle otevřené, veřejně dostupné zdroje informací, k jejichž získání není třeba žádné nezákonné činnosti. Zatímco „netradiční“ zdroje jsou stále legální, ale méně zřejmé a často přehlížené zdroje informací, jako je například dumpster diving. Je možné, že takové zdroje mohou poskytnout údaje, které by firemní program zvyšování povědomí o bezpečnosti nechtěl nebo nemohl vzít v úvahu. A konečně existují i nelegální způsoby získávání informací, jako jsou malware, krádeže a vydávání se za orgány činné v trestním řízení nebo vládní agentury. Jak si dokážete představit, o této poslední kategorii v celém Rámci pečlivě diskutujeme. Podporujeme pouze legální činnosti prováděné v rámci schváleného penetračního testu.

Výzkum/zdroje

Začněte s definováním cíle úspěchu. Jasný cíl určí, které informace jsou relevantní a které můžete ignorovat. Poté je shromažďování informací na podporu cvičení sociálního inženýrství v podstatě stejné jako výzkum, který provádíte pro cokoli jiného. To platí nejen pro typ informací, ale také pro způsob jejich shromažďování.

Informační zdroje jsou omezeny pouze relevancí informací, které mohou legálně poskytnout. Při provádění výzkumu pro účely sociálního inženýrství se může stát, že budete prověřovat širokou škálu zdrojů (technických nebo fyzických), abyste z každého zdroje získali alespoň malou část informací. Tyto kousky jsou jako kousky skládačky. Jednotlivě nevypadají nic moc, ale když se spojí, vznikne větší, ucelenější obraz. Podrobnější průzkum zdrojů naleznete na stránkách věnovaných shromažďování technických a fyzických informací.

Obrázek
https://wall-street.com/better-information-gathering-professionals/

.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna.