Zbieranie informacji odgrywa kluczową rolę w przygotowaniu do każdego profesjonalnego przedsięwzięcia z zakresu inżynierii społecznej. Zbieranie informacji jest najbardziej czasochłonną i pracochłonną fazą cyklu ataku, ale często w dużym stopniu decyduje o sukcesie lub porażce przedsięwzięcia. Profesjonalny
inżynier społeczny musi być świadomy następujących rzeczy:
- Narzędzia do zbierania informacji swobodnie dostępne online
- Lokalizacje online, w których znajdują się cenne fragmenty danych
- Oprogramowanie pomagające w znajdowaniu i zestawianiu danych
- Wartość lub wykorzystanie pozornie nieznaczących danych, które zebrane online, przez telefon, lub osobiście
Jak zbierać informacje
Istnieje wiele różnych sposobów, aby uzyskać dostęp do informacji na temat organizacji lub osoby. Niektóre z tych opcji wymagają umiejętności technicznych, podczas gdy inne wymagają miękkich umiejętności hakowania ludzi. Niektóre opcje są w porządku do wykorzystania z dowolnego miejsca z dostępem do Internetu. Podczas gdy inne mogą być wykonane tylko osobiście w określonym miejscu. Istnieją opcje, które nie wymagają więcej sprzętu niż głos, opcje, które wymagają tylko telefon, a jeszcze inne, które wymagają wyrafinowanych gadżetów.
Inżynier społeczny może połączyć wiele małych kawałków informacji zebranych z różnych źródeł w użyteczny obraz słabych punktów systemu. Informacja może być ważna niezależnie od tego, czy pochodzi z biura dozorcy, czy prezesa firmy; każda kartka papieru, rozmowa z pracownikiem lub obszar odwiedzony przez inżyniera społecznego może złożyć się na wystarczającą ilość informacji, aby uzyskać dostęp do poufnych danych lub zasobów organizacyjnych. Wniosek z tego taki, że każda informacja, bez względu na to, jak mało istotna według pracownika, może pomóc w zidentyfikowaniu słabych punktów firmy i wejścia dla inżyniera społecznego.
„Tradycyjne” źródła to zazwyczaj otwarte, publicznie dostępne źródła informacji, których zdobycie nie wymaga żadnych nielegalnych działań. Natomiast źródła „nietradycyjne” to nadal legalne, ale mniej oczywiste i często pomijane źródła informacji, takie jak dumpster diving. Możliwe jest, że takie źródła mogą dostarczyć danych, których korporacyjny program świadomości bezpieczeństwa nie chciałby lub nie mógłby wziąć pod uwagę. Wreszcie, istnieją nielegalne sposoby pozyskiwania informacji, takie jak złośliwe oprogramowanie, kradzież i podszywanie się pod organy ścigania lub agencje rządowe. Jak możecie sobie wyobrazić, ostrożnie omawiamy tę ostatnią kategorię w dokumencie Framework. Wspieramy tylko legalne działania prowadzone w kontekście usankcjonowanego testu penetracyjnego.
Badania/źródła
Zacznij od zdefiniowania swojego celu. Jasny cel określi, które informacje są istotne, a które można zignorować. Następnie, zbieranie informacji w celu wsparcia ćwiczeń socjotechnicznych jest bardzo podobne do badań, które przeprowadzasz dla czegokolwiek innego. Dotyczy to nie tylko rodzaju informacji, ale także sposobu ich zbierania.
Źródła informacji są ograniczone jedynie przez istotność informacji, które mogą legalnie dostarczyć. Prowadząc badania na potrzeby inżynierii społecznej, możesz znaleźć się w sytuacji, w której przeglądasz szeroki zakres źródeł (technicznych lub fizycznych) w celu uzyskania niewielkiego fragmentu informacji z każdego z nich. Te fragmenty są jak kawałki układanki. Pojedynczo nie wyglądają na wiele, ale kiedy się je połączy, wyłania się większy, bardziej spójny obraz. Dla bardziej szczegółowej eksploracji źródeł, odwiedź strony o technicznym i fizycznym zbieraniu informacji.
Image
https://wall-street.com/better-information-gathering-professionals/
.