Reunião de informação

Reunião de informação desempenha um papel crucial na preparação para qualquer compromisso profissional de engenharia social. A coleta de informações é a fase mais demorada e trabalhosa do ciclo de ataque, mas é muitas vezes um determinante importante do sucesso ou fracasso do engajamento. O profissional
engenheiro social deve estar ciente se o seguinte:

  • Ferramentas de recolha de informação livremente disponíveis online
  • Localizações online que albergam dados valiosos
  • Software para ajudar a encontrar e recolher os dados
  • O valor ou uso de dados aparentemente insignificantes que foram recolhidos online, por telefone, ou pessoalmente

Como recolher informações

Há muitas formas diferentes de obter acesso a informações sobre uma organização ou indivíduo. Algumas dessas opções requerem habilidades técnicas, enquanto outras requerem as habilidades de “soft hacking” humano. Algumas opções podem ser usadas de qualquer local com acesso à Internet. Enquanto outras só podem ser feitas pessoalmente em um local específico. Há opções que não requerem mais equipamentos do que uma voz, opções que requerem apenas um telefone, e ainda outras que requerem gadgets sofisticados.

Um engenheiro social pode combinar muitas pequenas informações coletadas de diferentes fontes em uma imagem útil das vulnerabilidades de um sistema. As informações podem ser importantes quer venham do escritório do zelador ou do CEO; cada pedaço de papel, funcionário falado ou área visitada pelo engenheiro social pode somar informações suficientes para acessar dados sensíveis ou recursos organizacionais. A lição aqui é que todas as informações, não importa quão insignificantes o funcionário acredite que sejam, podem ajudar a identificar uma vulnerabilidade para uma empresa e uma entrada para um engenheiro social.

Fontes “tradicionais” são tipicamente fontes de informação abertas, disponíveis publicamente, que não requerem nenhuma atividade ilegal para serem obtidas. Enquanto que as fontes “não-tradicionais” ainda são legais, mas menos óbvias e frequentemente negligenciadas fontes de informação como o mergulho em lixeiras. É possível que tais fontes possam fornecer dados que um programa corporativo de conscientização de segurança não levaria ou não poderia levar em conta. Por último, existem formas ilegais de obter informações, tais como malware, roubo e personificação da aplicação da lei ou agências governamentais. Como você pode imaginar, discutimos com cuidado esta última categoria em todo o Framework. Só apoiamos atividades legais conduzidas no contexto de um teste de penetração sancionado.

Pesquisa/Fontes

Begin com a definição do seu objetivo de sucesso. Um objetivo claro determinará que informação é relevante e o que você pode ignorar. Depois disto, recolher informação para apoiar os exercícios de engenharia social é muito semelhante à pesquisa que você faz para qualquer outra coisa. Isto é válido não só para o tipo de informação, mas também para a forma como você a reúne.

As fontes de informação são limitadas apenas pela relevância da informação que eles podem legalmente fornecer. Ao realizar pesquisas para engenharia social, você pode se encontrar revendo uma ampla gama de fontes (técnicas ou físicas) a fim de obter um pouco de inteligência de cada fonte. Estes bits são como peças de puzzle. Individualmente não parecem muito, mas quando são combinados, emerge uma imagem maior e mais coerente. Para uma exploração mais detalhada das fontes, visite as páginas de recolha de informação técnica e física.

Image
https://wall-street.com/better-information-gathering-professionals/

Deixe uma resposta

O seu endereço de email não será publicado.