Az információgyűjtés kulcsfontosságú szerepet játszik bármely professzionális social engineering feladatra való felkészülésben. Az információgyűjtés a támadási ciklus legidőigényesebb és legfáradságosabb fázisa, de gyakran nagyban meghatározza a megbízás sikerét vagy kudarcát. A professzionális
szociális mérnöknek tisztában kell lennie a következőkkel:
- Az interneten szabadon hozzáférhető információgyűjtő eszközök
- Az értékes adatokat tartalmazó online helyek
- Az adatok felkutatását és összeszedését segítő szoftverek
- Az online gyűjtött, látszólag jelentéktelen adatok értéke vagy haszna, telefonon vagy személyesen
Hogyan lehet információt gyűjteni
Egy szervezetre vagy személyre vonatkozó információkhoz való hozzáférésnek sokféle módja van. E lehetőségek némelyike technikai készségeket igényel, míg mások az emberi hekkeléshez szükséges puha készségeket. Egyes lehetőségek bármely internet-hozzáféréssel rendelkező helyről jól használhatók. Míg mások csak személyesen, egy adott helyszínen végezhetők el. Vannak olyan lehetőségek, amelyekhez nem kell több felszerelés, mint egy hang, vannak olyanok, amelyekhez csak egy telefonra van szükség, és vannak olyanok, amelyekhez kifinomult kütyükre van szükség.
A társadalmi mérnök sok apró, különböző forrásokból összegyűjtött információt tud összekapcsolni egy hasznos képpé egy rendszer sebezhetőségéről. Az információ fontos lehet, akár a gondnoktól, akár a vezérigazgató irodájából származik; minden egyes papírdarab, alkalmazott, akivel a szociális mérnök beszélt, vagy a meglátogatott terület elegendő információt adhat össze ahhoz, hogy hozzáférjen érzékeny adatokhoz vagy szervezeti erőforrásokhoz. A tanulság itt az, hogy minden információ, függetlenül attól, hogy az alkalmazott mennyire jelentéktelennek tartja, segíthet a vállalat sebezhetőségének és a társadalmi mérnök bejáratának azonosításában.
A “hagyományos” források jellemzően olyan nyílt, nyilvánosan elérhető információforrások, amelyek megszerzéséhez nem szükséges semmilyen illegális tevékenység. Míg a “nem hagyományos” források még mindig legális, de kevésbé nyilvánvaló és gyakran figyelmen kívül hagyott információforrások, mint például a kukabúvárkodás. Lehetséges, hogy az ilyen források olyan adatokat szolgáltatnak, amelyeket egy vállalati biztonságtudatossági program nem vesz vagy nem tud figyelembe venni. Végül, vannak illegális módjai is az információszerzésnek, mint például a rosszindulatú szoftverek, a lopás és a bűnüldöző vagy kormányzati szervek megszemélyesítése. Amint azt el tudja képzelni, ezt az utolsó kategóriát a Keretrendszerben óvatosan tárgyaljuk. Csak az engedélyezett behatolásvizsgálat keretében végzett legális tevékenységeket támogatjuk.
Kutatás/források
Kezdje a siker céljának meghatározásával. Egy világos cél határozza meg, hogy milyen információk relevánsak, és mit hagyhat figyelmen kívül. Ezt követően a social engineering gyakorlatok támogatására szolgáló információgyűjtés nagyjából ugyanolyan, mint a kutatás, amit bármi máshoz végez. Ez nemcsak az információ típusára igaz, hanem arra is, hogy hogyan gyűjti azt.
Az információforrásoknak csak az általuk legálisan szolgáltatható információk relevanciája szab határt. A social engineeringgel kapcsolatos kutatás során előfordulhat, hogy a források (technikai vagy fizikai) széles skáláját vizsgálja át annak érdekében, hogy minden egyes forrásból egy kis információhoz jusson. Ezek a bitek olyanok, mint a puzzle-darabkák. Külön-külön nem tűnnek soknak, de ha kombináljuk őket, egy nagyobb, összefüggőbb kép rajzolódik ki belőlük. A források részletesebb feltárása érdekében látogasson el a technikai és fizikai információgyűjtés oldalaira.
Kép
https://wall-street.com/better-information-gathering-professionals/