Escolar Documentos
Profissional Documentos
Cultura Documentos
ACESSO ANTECIPADO
Machine Translated by Google
Bem-vindo à edição de Acesso Antecipado do ainda não publicado Practical Social Engineering de
Joe Gray! Como título de pré-publicação, este livro pode estar incompleto e alguns capítulos podem
não ter sido revisados.
Nosso objetivo é sempre fazer os melhores livros possíveis e estamos ansiosos para ouvir sua
opinião. Se você tiver quaisquer comentários ou perguntas, envie-nos um e-mail para
earlyaccess@nostarch.com. Se você tiver um feedback específico para nós, inclua o número da
página, o título do livro e a data da edição em sua nota, e nós iremos analisá-lo. Agradecemos sua
ajuda e apoio!
Enviaremos um e-mail assim que novos capítulos forem disponibilizados. Enquanto isso,
aproveite!
Machine Translated by Google
PRÁTICA SOCIAL
ENGENHARIA
JOE GREY
Edição de acesso antecipado, 14/06/21
No Starch Press e o logotipo No Starch Press são marcas registradas da No Starch Press, Inc. Outros
nomes de produtos e empresas aqui mencionados podem ser marcas comerciais de seus respectivos
proprietários. Em vez de usar um símbolo de marca registrada em todas as ocorrências de um nome
comercial, estamos usando os nomes apenas de forma editorial e para benefício do proprietário da marca
registrada, sem intenção de infringir a marca registrada.
Todos os direitos reservados. Nenhuma parte deste trabalho pode ser reproduzida ou transmitida de qualquer
forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou por qualquer sistema de
armazenamento ou recuperação de informações, sem a permissão prévia por escrito do proprietário dos direitos
autorais e do editor.
As informações contidas neste livro são distribuídas “como estão”, sem garantia. Embora todas as precauções
tenham sido tomadas na preparação deste trabalho, nem o autor nem a No Starch Press, Inc. terão qualquer
responsabilidade perante qualquer pessoa ou entidade com relação a qualquer perda ou dano causado ou
supostamente causado direta ou indiretamente pelo informações nele contidas.
Machine Translated by Google
CONTEÚDO
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . xix
PARTE I: O BÁSICO
. . . ... . . . ... . .
Apêndice A: Planilha de Definição de Escopo . . . . . 185
Apêndice B: Modelo de Relatório . . . . . ... . . . ... . . . . . . 189
Apêndice C: Planilha de coleta de informações . . . . . . . . . 195
Apêndice D: Amostras de pretexto. . . . . . . . . . . . . . . . . . . . 199
Apêndice E: Exercícios para melhorar sua engenharia social. 203
PARTE I
O BÁSICO
Machine Translated by Google
1
O QUE É ENGENHARIA SOCIAL?
Muitas das pessoas que estão lendo este livro provavelmente atenderam a uma
ligação de “The Microsofts” ou receberam um e-mail de um “príncipe nigeriano”. Muitas
pessoas, inclusive eu, receberam o phish de bitcoin de “sextortion” ou “ameaça de
bomba”.
Este livro ensinará os fundamentos da engenharia social do ponto de vista de
um testador de penetração. Os conceitos fornecidos aqui irão ajudá-lo a entender
melhor como conduzir a engenharia social de um ponto de vista ético, copiando as
táticas de um adversário mal-intencionado para descobrir falhas de segurança que
você pode corrigir posteriormente. Ao contrário dos verdadeiros criminosos, você terá
permissão para realizar ataques de engenharia social e não causará danos
intencionalmente aos seus alvos.
pretexto
De acordo com o Social Engineering Framework, o pretexto é o ato de se passar
por alguém. Você pode usar como pretexto um uniforme, uma história inventada
ou o contexto do contato, um termo que uso para me referir à sua desculpa para
falar com a vítima. Se você afirmasse trabalhar para a empresa de gerenciamento
de lixeiras enquanto segurava uma prancheta e usava o uniforme da empresa, por
exemplo, estaria usando um pretexto.
Inteligência de código
aberto Inteligência de código aberto (OSINT) são informações sobre o seu destino
coletadas de um recurso disponível publicamente. Fontes de OSINT incluem jornais,
mecanismos de busca, Comissão de Valores Mobiliários dos Estados Unidos (SEC)
ou outros registros de órgãos reguladores, mídia social, quadros de empregos e sites
de avaliação, apenas para citar alguns. OSINT ajuda você a inventar seu contexto para o
contato.
OSINT pode fazer ou quebrar seus esforços de engenharia social, porque para
ser bem sucedido, muitas vezes você precisará saber detalhes importantes sobre a
empresa-alvo e seus funcionários. Que tipo de rede privada virtual (VPN) eles estão
usando? Que outras tecnologias eles empregam? Qual é o layout físico do prédio da
organização? Saber essas informações pode ajudar o noivado a funcionar de forma
significativamente mais tranquila. Vários dos principais testadores de penetração me
disseram que a proporção apropriada de tempo gasto coletando OSINT para realmente
realizar o teste de penetração varia de 30/70 a 70/30.
4 Capítulo 1
Machine Translated by Google
Phishing
Provavelmente a forma mais comum de engenharia social, o phishing é o ato de enviar e-
mails fraudulentos para influenciar ou coagir um alvo a fornecer informações, abrir arquivos
ou clicar em links. Abordo a variedade de técnicas que você pode usar para fazer isso mais
adiante neste livro.
Os e-mails convencionais de phishing provavelmente não são endereçados a nenhum
destinatário. Em vez disso, eles normalmente são enviados para listas de endereços de
e-mail adquiridos por golpistas e criminosos. Isso significa que você provavelmente enviaria
o e-mail para um grande número de pessoas sem coletar OSINT sobre elas.
Por exemplo, com pouco ou nenhum contexto sobre o alvo, você pode colocar um e-mail
genérico que tenta fazer com que o usuário faça login em um site fraudulento ou baixe um
arquivo. Quando os alvos abrem o arquivo, um shell remoto pode abrir em seu computador
ou o alvo pode instalar malware. Uma vez que os invasores tenham o shell ou o malware
instalado, eles podem se comunicar interativamente com o sistema e realizar ataques pós-
exploração e escalonamento de privilégios para continuar comprometendo o sistema e a rede.
Às vezes, kits de exploração (software usado para perpetrar outros ataques e descartar
malware) usam phishing para espalhar seus softwares maliciosos. De acordo com o 2018
Symantec Internet Security Threat Report (ISTR), 0,5% de todo o tráfego de URL é phishing e
5,8% desse tráfego é malicioso. Isso é 1 em 224 de todos os URLs!
Dito isso, ataques de phishing simples como o descrito aqui não são comuns em
hackers éticos e testes de penetração. Se os clientes o contratarem para fazer um teste de
penetração, uma suposição segura pode ser que o cliente provavelmente tem maturidade de
segurança suficiente para evitar cair em um simples ataque de phishing.
Spear Phishing
Spear phishing é uma variação do phishing convencional em que o engenheiro social se
concentra em um alvo específico. Se você fosse um pescador usando uma lança em vez de
uma rede, provavelmente precisaria saber como cada espécie de peixe se comportava e como
abordá-la. Da mesma forma, como engenheiro social, você precisará coletar, sintetizar e armar
OSINT sobre sua empresa ou pessoa-alvo para capturá-los adequadamente.
Se você trabalhou como testador de penetração de engenharia social (ou como cônsul
importante para uma empresa, uma função na qual outras empresas pagam para você atuar
como consultor ou simular adversários), você provavelmente passaria a maior parte do tempo
simulando ataques de spear phishing. Esses são os ataques mais comuns enfrentados pelas
empresas e exigem o mínimo de interação direta, tornando-os mais acessíveis para clientes em
potencial.
Você começaria com uma investigação OSINT na empresa ou pessoa alvo. Isso pode
incluir aprender sobre os provedores de serviços que eles usam, por exemplo. Em seguida,
você pode criar um e-mail de phishing alegando, digamos, ser o
caça à baleia
vishing
Em um ataque de vishing , um invasor liga para um alvo e fala com ele pelo
telefone. O vishing costuma ser mais difícil do que o phishing, porque requer
habilidades de improvisação. Enquanto o phishing oferece a você tempo para pensar
sobre o que gostaria de dizer antes de enviar seu e-mail, o vishing envolve ter sua
história reunida desde o início e relembrar rapidamente detalhes abstratos dela. Você
também pode ter problemas para fazer as pessoas atenderem o telefone; entender mal
o layout do espaço de trabalho; ou cometer grandes erros, como se passar por pessoas
no cubículo ao lado de sua vítima, ou usar o sexo errado ou
sotaque.
6 Capítulo 1
Machine Translated by Google
Você pode dizer que foi contratado para fazer uma pesquisa ou alegar ser um cliente,
fornecedor ou cliente. Você pedirá a eles informações relevantes para o seu pré-texto e, em
seguida, documentará em seu relatório.
Seja cauteloso ao gravar essas chamadas. Alguns estados são estados de partido
único e outros são estados de dois partidos. Os estados de parte única exigem que apenas
uma pessoa ao telefone consinta em gravar a chamada. Estados bipartidários
exigir que ambas as partes concordem com a gravação. Se você estiver direcionando recursos
de propriedade do cliente, o cliente pode fornecer autorização para gravar a chamada como a
segunda parte. Se você estiver interagindo com os dispositivos pessoais de um alvo, o próprio
alvo deve consentir, o que anula o propósito do seu teste de penetração. Antes de fazer
qualquer teste dessa maneira, o testador prudente ou a empresa consultaria um advogado para
garantir que todas as atividades sejam legais.
Isca
Baiting é usar algum tipo de isca para fazer o alvo realizar uma ação. Isso geralmente envolve o
uso de dispositivos USB ou alternativas inovadoras, como códigos QR, para fazer com que os
alvos executem códigos de computador maliciosos. Para entender a eficiência dos códigos QR,
considere sua prevalência em 2020, quando os restaurantes começaram a usá-los para permitir
menus “sem toque”.
Você pode carregar documentos falsos em um pen drive USB ou Hak5 Rubber
Ducky e rotular esses documentos como demissões, aumentos, bônus ou propriedade do
CEO. (Um Rubber Ducky é um dispositivo com um computador de bordo, fechado em um
invólucro idêntico a muitas unidades USB, que funciona como um teclado e pode inserir dados
em um sistema como se o próprio usuário estivesse digitando.) Você então espalharia os
dados para um sistema. drives ou duckies ao redor do cam pus de destino para as pessoas
encontrarem.
Usar um Rubber Ducky tem vantagens. Se você estiver usando um Rubber Ducky, poderá
carregar scripts maliciosos no dispositivo junto com arquivos reais e legítimos. Quando alguém
o conecta a um computador, ele ignora todas as ferramentas de prevenção contra perda de
dados (soluções de software ou hardware que impedem que os arquivos sejam movidos para
fora do computador por meio de um dispositivo de armazenamento USB, e-mail ou protocolo
como FTP ou SCP), pois se apresenta como um teclado USB. Se você usar um dispositivo USB
comum, poderá ser interrompido por um software de prevenção contra perda de dados. Caso
contrário, o destino abrirá o arquivo e implantará a carga útil (o script ou ferramenta que ajuda a
produzir o resultado desejado).
Você pode usar baiting para obter acesso a um shell remoto em um sistema, o que permite
que você comece a interagir diretamente com o computador host. Mas a isca é complicada
porque é difícil garantir que a isca chegue ao local do alvo e que quaisquer projéteis, conexões
ou outras informações obtidas do computador de trabalho estejam dentro do escopo do
engajamento. As pessoas podem levar o drive para casa e conectá-lo a um computador
doméstico, que você não teria permissão para atacar.
Mergulhar na lixeira
Provavelmente, o tipo menos sexy de engenharia social é mergulhar no lixo, ou coletar sacos
de lixo do escritório-alvo e, em seguida, levá-los para fora do local para dissecar informações.
Você pode aprender mais sobre a organização e
encontrar exatamente o que você estava procurando. Pense nas coisas que você joga fora.
Alguns são incrivelmente pessoais. Outros, porém, serão completamente irrelevantes para o
seu envolvimento (por exemplo, os sacos de lixo que você coleta podem vir dos banheiros da
empresa).
Para esse tipo de envolvimento, você geralmente usa o pretexto de funcionário da
empresa de lixo do alvo e inventa uma história para levá-lo ao lixo.
Quando chegar lá, recolha alguns sacos de lixo, leve-os para fora do local e revise-os.
Influência
Influência é um termo neutro para direcionar o comportamento de uma pessoa para
causar um determinado resultado. A influência pode ser positiva ou negativa. Um médico
conversando com um paciente sobre suas condições médicas, as ações corretivas que
podem tomar e os riscos que enfrenta para inspirá-lo a viver um estilo de vida mais saudável
é um exemplo de influência.
Manipulação
Fora do mundo da psicologia, as pessoas normalmente definem manipulação da mesma
forma que definem influência. Mas dentro do campo, os termos têm significados distintamente
diferentes. A manipulação é uma implementação prejudicial de influência, normalmente
destinada a causar danos. Na engenharia social, tanto os malfeitores quanto as pessoas
bem-intencionadas costumam usar manipulação em vez de influência, seja por falta de
treinamento ou miopia.
Rapport
Rapport, em resumo, é confiança mútua. O dicionário Merriam-Webster define rapport como
“uma relação amigável e harmoniosa” e acrescenta que tal
8 Capítulo 1
Machine Translated by Google
O relacionamento geralmente é “caracterizado por acordo, compreensão mútua ou empatia que torna
a comunicação possível ou fácil”. A American Psychological Association (APA) se baseia nisso dizendo
que “o estabelecimento de relacionamento com um cliente em psicoterapia é frequentemente uma meta
mediata significativa para o terapeuta facilitar e aprofundar a experiência terapêutica e promover o
progresso e a melhoria ideais”.
Autoridade
As pessoas tendem a realizar uma determinada ação quando alguém em posição de autoridade
lhes diz para fazê-lo, ou quando são levadas a acreditar (verdadeiramente ou com falsa pretensão)
que uma figura de autoridade também está praticando essa ação. Eu gosto de usar apelos à autoridade
em vishing. Por exemplo, posso ligar e dizer que estou operando sob a autoridade do CEO, CISO ou de
uma lei específica.
Esta técnica pode ser muito eficaz. Tenha em mente, porém, que você nunca deve alegar ser
um agente do governo. Isso inclui qualquer membro do Federal Bureau of Investigation (FBI),
Organização Internacional de Polícia Criminal (INTERPOL), polícia estadual, polícia local ou
departamento do xerife; o Internal Revenue Service (IRS) ou outra entidade de cobrança de impostos;
Agência Central de Inteligência (CIA), Agência de Segurança Nacional (NSA) ou Agência Federal de
Gerenciamento de Emergências (FEMA), entre outras agências. Fazer isso é um crime!
Simpatia
As pessoas tendem a querer ajudar pessoas simpáticas. Você já conheceu um vendedor que não
tentou pelo menos ser simpático? Freqüentemente, eles elogiam seu traje, aparência e inteligência para
ganhar seu favor.
Urgência e Escassez
Os humanos naturalmente querem coisas que são poucas. Recentemente, aproveitei uma oferta em
uma academia local. Durante o processo de inscrição, um cronômetro apareceu alertando-me de que
eu tinha um minuto para concluir a transação ou seria removido do grupo de elegibilidade. passei pelo
processo
três vezes. Nas duas primeiras vezes, terminei com o mesmo endereço IP em um minuto.
Na terceira vez, perdi cerca de cinco minutos e o cronômetro era reiniciado toda vez que o
minuto acabava.
Moral da história: a academia tentou usar a urgência para me inscrever em algo que
pode ou não ter me beneficiado. O cronômetro dá aos clientes em potencial uma restrição
de tempo artificial e uma sensação de que eles perderão se não agirem rapidamente.
Compromisso e Coerência
Prova social
10 Capítulo 1
Machine Translated by Google
Reciprocidade
Todos nós tentamos ajudar as pessoas que nos ajudam. Freqüentemente, os engenheiros
sociais ajudam alguém em uma tarefa e, em seguida, pedem que façam algo em troca que
provavelmente não é do seu interesse. Um exemplo disso ocorreu quando visitei a Layer 8
Conference, uma conferência de engenharia social em Newport, RI. Ao lado de um píer, vi um casal
tentando tirar uma foto com um veleiro ao fundo. Eu me ofereci para tirar uma foto deles.
Eu tirei a foto. Nesse momento, outro outro majestoso barco passou diretamente
atrás deles. Eu disse a eles para esperar. “Deixe-me tirar uma foto sua com este barco ao
fundo”, eu disse.
Eles concordaram. "Isso seria incrível."
Tirei mais algumas fotos. Assim que terminei, entreguei-lhes o telefone para que pudessem
revisá-los e eles me agradeceram.
“Ei, de nada. Só por curiosidade, você tem um momento para me ajudar com a pesquisa
de antropologia que estou fazendo como parte das minhas aulas de verão?” Eu perguntei.
“Estou fazendo uma pesquisa sobre os padrões de migração das pessoas e como diferentes
grupos étnicos se misturam com outros grupos étnicos. Estou recebendo informações sobre nomes
e para onde viajam e modelos e tal. Tenho uma quantidade absurda de informações sobre o lado
paterno das famílias.
Qual era o nome da sua mãe antes de ela se casar? Observe que eu não disse: “Qual é o nome de
solteira de sua mãe?” porque essa pergunta dispara alarmes. Essa é uma pergunta comum sobre
redefinição de senha e as pessoas foram condicionadas a proteger essas informações.
Conclusão
A engenharia social pode ser uma ferramenta incrivelmente poderosa para obter
acesso. Este capítulo apresentou a você uma série de técnicas, muitas das quais
exploraremos com mais profundidade ao longo do livro.
Tenha em mente que o relacionamento é o nome do jogo. Depois de criar um
relacionamento, o resto do seu envolvimento é mais fácil. Compreender os conceitos
psicológicos e o comportamento humano subjacente é uma maneira útil de estabelecer
uma conexão com alguém. Além disso, quanto mais OSINT você coletar, mais
inteligentemente poderá falar sobre uma organização. Você pode encontrar dicas para
construir um relacionamento com os funcionários enquanto também aprende sobre
cultura, operações e tecnologias, o que pode facilitar as atividades posteriores em um
pentesting ou envolvimento da equipe vermelha. As informações irão ajudá-lo se você
estiver praticando phishing, vishing, spear phishing, caça às baleias, iscas ou mergulho em lixeiras.
12 Capítulo 1
Machine Translated by Google
2
CONSIDERAÇÕES ÉTICAS EM
ENGENHARIA SOCIAL
Estabelecendo limites
O seguinte não precisa ser dito: se as pessoas pedirem para você parar de falar com elas
ou se elas encerrarem a conversa, você deve parar. Além disso, embora você possa
visualizar as postagens públicas de um alvo nas mídias sociais e criar um perfil nelas, você
nunca deve fazer o seguinte:
Imagine que alguém continuamente faz perguntas sobre o trabalho quando você
está em casa. Você não gostaria, não é? O uso aceitável de mídia social para coletar
OSINT inclui a busca de dados públicos sobre o trabalho, menções de software ou
tecnologias específicas ou ocorrências de uma rotina
nome de usuário.
14 Capítulo 2
Machine Translated by Google
A prática para evitar problemas jurídicos é garantir que você esteja direcionando ativos de
propriedade de seu cliente, em vez de qualquer sistema BYOD (traga seu próprio dispositivo)
de propriedade de funcionários.
Alguns estados, como o Tennessee, têm leis que tornam ilegal a falsificação de
números de telefone. Se você estiver falsificando como uma emulação adversária autorizada
por contrato com a empresa cliente e se estiver visando apenas ativos de propriedade da
empresa, geralmente está claro. Quando se trata de gravar uma chamada, alguns estados
exigem que você tenha consentimento de duas partes, o que significa que você e a vítima
devem consentir, e outros exigem consentimento de uma única parte, o que significa que basta
você consentir. Se uma empresa pode servir como segunda parte do consentimento para
gravar seus funcionários em dispositivos de propriedade da empresa é uma área legal cinzenta.
A Tabela 2-1 lista os estados de duas partes. Se solicitado a gravar chamadas, consulte seu
advogado para obter mais esclarecimentos em seu local específico.
Tabela 2-1: Estados que exigem que ambas as partes concordem com a gravação de uma chamada telefônica
Califórnia
Connecticut Do ponto de vista dos casos criminais, é ilegal que alguém além do
remetente ou do destinatário grave a chamada. Do ponto de vista dos
casos civis, Connecticut é um estado de consentimento bipartidário.
Delaware
Flórida
Maryland
Massachusetts
Montana
Nevada Por lei, Nevada é um estado de partido único, desde que a parte
registradora participe da comunicação. Mas com base em um precedente
estabelecido pela Suprema Corte de Nevada em Lane v. Allstate, você
deve tratar Nevada como um estado bipartidário.
Nova Hampshire
Pensilvânia
Washington
Você também pode ter problemas se violar os termos de uso de um serviço. Em 2019,
Mike Felch, da Black Hills Information Security, publicou um par de
postagens de blog sobre como selecionar os serviços de software a serem usados ao phishing.
Intitulado “How to Purge Google and Start Over” partes 1 e 2, esses blogs discutem sua experiência
usando o G Suite (a plataforma de produtividade do Google agora chamada de Google Workspace)
como alvo e ferramenta de ataque. Felch explica como ele comprometeu as credenciais e usou o
CredSniper para contornar a autenticação multifator.
É aí que a história toma um rumo interessante. Ele foi detectado pelo cliente Security
Operations Center (SOC) e pelo SOC do Google. Como um subproduto, o Google não apenas
tomou medidas para desativar a conta que ele estava usando, mas também (presumivelmente
através do uso de algum OSINT e seus próprios algoritmos de detecção) começou a bloquear ele e
sua esposa fora de outras contas não relacionadas aos serviços do Google que eles usaram. A
moral da história é garantir que você coordene com quaisquer outros provedores que o cliente possa
usar antes do compromisso para garantir que você não fique bloqueado de tudo, incluindo, como no
caso de Mike, seu termostato.
funcionários estavam usando os nomes de seus cônjuges como senhas ou que você descobriu
facilmente informações sobre seus relacionamentos pessoais.
Uma maneira de lidar com essa questão ética é manter uma lista daqueles que
foram vítimas do noivado e como eles falharam na avaliação, enquanto ainda redigiam seus
nomes do relatório. Se o seu ponto de contato na organização solicitar essas informações, você
poderá fornecer nomes, desde que a empresa concorde em não demitir o funcionário. Essa negociação
às vezes pode ser uma cláusula utilizada em contratos entre engenheiros sociais e seus clientes. Se a
empresa não está treinando seus funcionários, não é justo demiti-los por falhas de segurança. Por
outro lado, seu relatório deve nomear as pessoas que impediram o sucesso do engajamento. Essas
pessoas agiram ativamente para proteger a organização e devem ser reconhecidas e recompensadas.
16 Capítulo 2
Machine Translated by Google
está na sala, então evite envergonhar as pessoas publicamente. Elogie em público e repita
em particular. Inspire as pessoas a serem mais vigilantes e relate os problemas às
pessoas apropriadas.
Proteção de dados
Você deve avaliar por quanto tempo reter os dados coletados, como destruir os dados, que
valor atribuir aos dados, qual seria o resultado da perda dos dados e como alguém poderia
tentar comprometer os dados.
A perícia digital e a aplicação da lei geralmente dependem do conceito de cadeia
de custódia ao lidar com dados. A cadeia de custódia busca
18 Capítulo 2
Machine Translated by Google
informações pessoais como resultado de uma violação de dados. A coleta de OSINT não é uma violação
de dados em si, mas como nenhum precedente legal ainda estabeleceu o resultado do GDPR e leis
semelhantes quando aplicadas a OSINT, você deve tratar essas leis como relevantes para suas atividades.
A partir de 25 de maio de 2018, o GDPR regulamenta o que você pode fazer com dados pertencentes a
cidadãos da UE. O regulamento visa proteger os cidadãos e residentes da UE relativamente à recolha e
utilização dos seus dados. Em essência, ele empoderou os cidadãos e residentes da UE como consumidores
para assumir o controle dos dados coletados deles e sobre eles. Depois que o GDPR foi aprovado em 2016,
as empresas tiveram dois anos para se tornarem compatíveis. 25 de maio de 2018 foi a data em que todas
as empresas, globalmente, tiveram que estar em conformidade com o GDPR. Uma empresa que violar o
GDPR pode enfrentar multas de 4% de sua receita anual global. Isso deve fornecer um incentivo para
proteger qualquer informação coletada sobre cidadãos da UE (na UE e no exterior) e pessoas que visitam a
UE.
O principal impacto do GDPR na engenharia social e no OSINT é que ele oferece às pessoas a
capacidade de limitar a coleta de outras informações pessoais (PI) e informações pessoais confidenciais
(SPI), o que, por sua vez, reduz a superfície de ataque do OSINT. Além disso, cria penalidades para
empresas que coletam e armazenam PI e SPI pertencentes a cidadãos da UE se esses dados forem
violados e as informações forem disponibilizadas ao público.
Se você estiver na aplicação da lei (federal, estadual, municipal ou outra) ou um investigador particular
licenciado, códigos específicos de ética e precedentes legais orientam os parâmetros pelos quais você
pode coletar e usar o OSINT. Revise todas as leis aplicáveis ou consulte um advogado antes de se envolver
em qualquer operação de coleta OSINT.
A American Civil Liberties Union (ACLU) publicou um documento em 2012 alertando sobre a
ladeira escorregadia associada ao uso de big data e outras técnicas, incluindo OSINT, para tentar
identificar criminosos em potencial antes que eles ajam. A ACLU discutiu a prática de coletar dados em
massa de agências de aplicação da lei sobre pessoas e, em seguida, usá-los para implicá-los em crimes
que podem não ter cometido, geralmente usando ciência de dados para fazer previsões. Jay Stanley, o autor
do artigo da ACLU, afirma que tal coleta e análise irão encorajar mais coletas, com ou sem justa causa. Isso
pode fazer com que as pessoas entrem no sistema de justiça criminal sem o devido processo legal.
Cidadãos comuns: você ainda não está fora de perigo. Alguns países e áreas têm leis que regem a
coleta OSINT para todos os cidadãos, mesmo fora da lei
execução. Por exemplo, no estado da Carolina do Sul, você deve ser um investigador
particular licenciado para que a pesquisa forense digital seja admissível no tribunal. A pesquisa
forense digital inclui qualquer coisa obtida da análise de um sistema de computador, seja o
disco rígido ou a rede.
Resumindo: você é responsável por conhecer as leis nas áreas onde você e seu
alvo estão localizados. Antes de praticar qualquer cobrança OSINT, é melhor que você
consulte um advogado em sua área com conhecimento específico de leis cibernéticas
relacionadas a negócios e consultoria, apenas por segurança.
Fingi conduzir uma pesquisa de transparência organizacional, algo que inventei para
me permitir fazer perguntas bastante intrusivas às vítimas sob a suposta autoridade do
CEO. Em vez de encontrar números de telefone via OSINT, a organização me forneceu uma
lista de números, sem nomes ou departamentos. Como ligar cegamente para um número
normalmente não leva ao sucesso, precisei fazer mais pesquisas. Dos números de telefone,
um era do despacho da polícia e os outros dois eram números de telefone do tribunal local.
Falei com meu gerente sobre isso e decidimos passar a vistá-los fora de
Cuidado.
Para fazer as ligações, falsifiquei meu número para refletir um número de telefone da
Nielsen, uma empresa que realiza pesquisas para outras organizações. Afirmei que estava
realizando uma pesquisa autorizada pelo chefe da organização-alvo para verificar o quanto os
funcionários sabiam sobre o local de trabalho e outros departamentos da organização. Eu fiz
um conjunto de perguntas semelhantes a estas:
20 Capítulo 2
Machine Translated by Google
Em seguida, liguei para um número de obras públicas. Uma simpática senhora de 60 anos atendeu.
Trocamos gentilezas e expliquei a pesquisa. Ela concordou em ajudar tanto quanto podia, mas me disse
que não era muito experiente em tecnologia.
"Nem eu", eu disse. “Estou fazendo esse trabalho em meio período enquanto estudo psicologia
no ACME Community College.” Nós compartilhamos uma risada e comecei a pesquisa.
Percorri a lista. Ela respondeu às seis primeiras perguntas, mas quando perguntei o nome da mãe
dela antes de se casar, ela me disse que eu estava pedindo uma pergunta de redefinição de senha, que
ela realmente não deveria contar a ninguém.
Eu concordei em seguir em frente, dizendo a ela que nem sempre gostava das perguntas que tinha que
fazer. Eu a lembrei que ela sempre poderia dizer não a uma pergunta. Quando pedi uma senha que ela
usava com frequência, ela hesitou, depois suspirou e me disse “leitelho”.
A mulher começou a soluçar. Quando perguntei se ela estava bem, ela me disse que pão de milho
com leitelho era a refeição favorita de seu falecido marido. Eu imediatamente me senti para baixo. Ela me
disse que o próximo Dia de Ação de Graças seria o aniversário dele e que ela o havia perdido cerca de
três anos antes, para o câncer.
O que você deve fazer em cenários como este? Optei por permanecer no personagem, mas
conversei com ela até ter certeza de que ela havia retornado a um bom lugar mentalmente. Teria sido
antiético desligar a ligação e seguir em frente. Relembramos nossos familiares falecidos, as pessoas em
sua área, o clima e outros assuntos de conversa fiada.
Principais conclusões:
•Sempre permita que as pessoas desistam do noivado. Você pode tentar influenciá-los a continuar, mas
não exagere. Se eles disserem não, siga em frente. Se você se sentir confiante, pergunte novamente
mais tarde, mas se eles disserem não novamente, desista. Ser enérgico não ajudará sua causa.
•Ao fazer perguntas delicadas, certifique-se de estar em um local tranquilo e seguro. Evite gravar a
chamada se fizer essas perguntas.
• Se você tiver indícios de que irritou alguém, reserve um tempo para interrogá-lo ou trazê-lo de volta a
um local estável, dependendo do que for apropriado para sua campanha.
•Comunique-se com sua gerência se você acabar em uma situação como a minha. Eles devem estar
cientes de que ocorreu um incidente caso o tar get os contate, mas também devem saber sobre
seu estado mental e qualquer coisa que possa afetar seu desempenho.
Conclusão
A engenharia social e o OSINT têm implicações para as pessoas associadas
ao trabalho, mesmo fora do local de trabalho. Nesse aspecto, é diferente do
teste de penetração convencional, que na maioria das vezes permite que as
vítimas saiam do trabalho. Ao realizar esses compromissos, tenha o devido
cuidado e diligência para garantir que a pessoa visada não sofra estresse
psicológico adverso ou seja prejudicada de outra forma. A melhor maneira de
fazer isso é definir limites específicos, como os descritos neste capítulo. Caso
contrário, meu melhor conselho para os praticantes é confiar em seu instinto.
Não hesite em entrar em contato com o advogado ao trabalhar com clientes
internacionais. Se o que você está fazendo com uma vítima do noivado é algo
que o aborrece, é provável que você não deva estar fazendo isso.
22 Capítulo 2
Machine Translated by Google
PARTE II
OFENSIVASOCIAL
ENGENHARIA
Machine Translated by Google
3
PREPARANDO-SE PARA UMA ATAQUE
As mentiras mais escandalosas que podem ser inventadas encontrarão
crentes se um homem apenas as contar com todas as suas forças.
—Mark Twain, carta ao jornal Alta California , São
Francisco, 1867
Escopo
Na fase de definição do escopo , você deve trabalhar com o cliente para determinar exatamente
como seu engajamento funcionará. Isso inclui descobrir quem será seu ponto de contato, bem
como considerações de tempo (como o número de horas orçadas para o compromisso; a hora do
dia, semana ou mês em que realizará o teste; e períodos de blecaute em que você não está
autorizado a testar). Você também deve discutir considerações legais, certificando-se de que o
contrato inclua uma linguagem que o proteja de questões legais. É por isso que é prudente
contratar um advogado. Você precisa de palavreado que irá protegê-lo de atos de Deus, desastres
naturais e outras circunstâncias imprevistas. Por fim, discuta o tamanho do seu envolvimento,
como o número de chamadas a serem feitas ou alvos de e-mail.
A fase de definição do escopo define o tom para todo o engajamento. A falha no escopo
adequado pode causar muita dor de cabeça para ambas as partes. Isso pode complicar o
compromisso desnecessariamente, fazendo com que você passe mais tempo ao telefone
posteriormente ou execute o trabalho de maneira inadequada. Também pode causar danos à
reputação de você como profissional, se a empresa para a qual você trabalha o considerar pouco
profissional. Para um processo repetível, consulte a planilha de escopo no Apêndice A, que pode
ajudá-lo a fazer as perguntas apropriadas para garantir que você tenha todas as informações
necessárias.
26 Capítulo 3
Machine Translated by Google
Definindo Objetivos
Depois de assinar um contrato e criar um SOW, discuta os objetivos do compromisso
com seu cliente. Esse teste será usado para justificar a adição de defesas aos negócios,
como novos produtos ou tecnologias?
Será usado para avaliar os requisitos de capital humano? O teste é apenas uma
forma de atender aos requisitos de conformidade? Ou o cliente o usará para avaliar a
equipe de segurança (por exemplo, como parte de uma avaliação de desempenho ou
para determinar aumentos)? As respostas a essas perguntas não devem afetar o
desempenho de seu engajamento, mas devem ajudá-lo a entender o que esperar e
como estruturar suas comunicações.
Definindo Métodos
Os métodos que você usa são uma consideração crítica para o seu engajamento. Você
será um erro de digitação ou invasão de domínio? Em outras palavras, você usará um
domínio semelhante ao do cliente que contém um erro tipográfico (uma estratégia
especialmente eficaz se a ortografia correta se prestar a erros ortográficos) ou comprará
um domínio disponível com o mesmo nome e nomes diferentes domínio de nível (como
nostarch.us em vez do legítimo nostarch.com)? Você se passará por um fornecedor,
cliente ou parceiro? Você atrairá downloads de documentos maliciosos ou apenas
coletará credenciais? Você vai encadear um vish e phish juntos? O cliente quer que você
use uma solução automatizada ou você deve ir um pouco mais manual, como discutiremos
no Capítulo 7?
Entender as tecnologias que seu cliente utiliza e os vetores que você está
mirando serão fatores essenciais para o sucesso do engajamento.
Para ir além, descubra se você pode enumerar a tecnologia da empresa publicamente
e, em seguida, faça você mesmo antes do compromisso. Essa abordagem realiza duas
coisas: fornece ao cliente um método para detectar e possivelmente atribuir quaisquer
ataques e valida que o cliente implementou adequadamente suas tecnologias. A última
conquista pode agregar valor ao seu cliente.
Triatlos Spartan Race e Tough Mudder, ou Iron Man/Woman? A organização tem um time de
boliche ou softball? Se sim, em quais ligas eles estão e onde jogam? Contra quem eles jogam?
Com base nas informações coletadas, construa seus cenários e pré-textos. Apresente
os três a cinco principais ao cliente e deixe-os escolher qual deles deseja que você use. Se
possível, confirme um período de tempo para realizar seu ataque, mas não um horário exato.
Isso mantém seus clientes em alerta e oferece um elemento surpresa.
Embora nenhum cliente deva informar os funcionários sobre os cenários que você escolher,
Eu encontrei o que parece ser apenas isso. Na contratação em questão, o cliente limitou os
possíveis pretextos e cenários, e então prescreveu o horário exato em que eu poderia enviar
e-mails de phishing e fazer chamadas de vishing. A ressalva: se me dissessem para ligar de
volta por qualquer motivo, eu poderia fazê-lo sem mais consentimento.
Felizmente, explorei essa advertência a meu favor. Quando liguei, criei muitos ruídos
de fundo muito altos e interrupções falsas. Entre o barulho e o “corte do telefone”, consegui fazer
com que cerca de dois terços das pessoas para quem liguei me pedissem para ligar de volta.
Como eu os chamei de volta do lado de fora da janela designada, seus guardas baixaram e eles
foram mais receptivos do que provavelmente teriam sido durante o período de chamada prescrito.
Além disso, o Trace Labs canadense sem fins lucrativos criou e mantém ativamente um
fork do Kali Linux (com a bênção e assistência da Offensive Security) que é projetado para ajudar
nas investigações do OSINT, especificamente em suas competições de Search Party usando
OSINT para encontrar pessoas desaparecidas. A máquina virtual (VM) pré-configurada da Trace
Labs possui uma variedade de ferramentas para investigações OSINT com foco em empresas e
pessoas. Está disponível para download gratuito em https:// www.tracelabs.org/ trace-labs-osint-
vm/.
28 Capítulo 3
Machine Translated by Google
e use uma ou mais VPNs para se conectar a ele. Veremos uma configuração de
infraestrutura para phishing no Capítulo 7.
Algumas ferramentas também funcionam no Windows. Algumas são ferramentas
baseadas na web (por exemplo, Netcraft, Hacker Target e OSINT Framework) que
você acessa principalmente de um navegador da web. Fazer isso em um Mac ou PC
pode ser mais conveniente do que no Linux. Ainda assim, entenda que é mais provável
que você seja pego se usar seu sistema pessoal ou mesmo um sistema de trabalho para
conduzir essas operações. Contanto que você tenha a permissão adequada para fazer
esses tipos de envolvimento, os piores cenários são (a) ser bloqueado e (b) ter seu
endereço IP adicionado a um feed de inteligência de ameaças (uma lista coletiva de
entidades maliciosas ou traços com atividades maliciosas ou arquivos como endereço de
e-mail, endereço IP, hash de arquivo ou domínio), o que significa que seus clientes ou
alvos em potencial podem ser avisados de que o IP que você está usando é considerado
“malicioso”. Usar um VPS para atacar permite que você use a configuração apenas uma
vez e depois a destrua.
Comunicando Escopo
Medição Reconhecimento
Detecção Design e
aprovação
Implementação
Reconhecimento
Na fase de reconhecimento, você tenta identificar os principais funcionários
da empresa; vendedores, parceiros, fornecedores, tecnologia utilizada;
domínios e subdomínios usados; endereços de e-mail e a sintaxe de
endereço de e-mail padrão da empresa (por exemplo, nomes e sobrenomes
separados por um ponto). Depois de assinar o contrato para realizar o
trabalho, você pode iniciar o reconhecimento dentro dos prazos definidos no
contrato. Além de aderir ao contrato e fazer o reconhecimento de maneira
consistente com seus objetivos de tempo (por exemplo, não gastar 12 horas
coletando OSINT em um único alvo em um engajamento com escopo de 4
horas), você normalmente não pode coletar excesso de OSINT. Dito isso,
algumas entidades apenas mantêm uma boa segurança de operações
(OPSEC): elas não usam mídias sociais ou podem até tomar medidas ativas
para colocar intencionalmente informações enganosas ou falsas em suas
contas para evitar tais ameaças. Chamamos esse processo de desinformação
e engano.
30 Capítulo 3
Machine Translated by Google
Projeto e Aprovação
Você deve gastar algum tempo garantindo que o OSINT que você reuniu seja
relevante e, em seguida, armazená-lo de uma forma que ajude os funcionários e a
organização-alvo a crescer e aprender. Afinal, mesmo que você esteja tentando
obter acesso a um sistema ou informação, você deve querer ser pego e deve
querer que seus clientes aprendam com suas atividades.
Implementação
Detecção
Medição
para detectar, quando as vítimas registraram uma denúncia, quantas denúncias foram
registradas e uma variedade de outras métricas. Depois de analisar essas informações,
você deve compilá-las em um relatório para o cliente. Discutiremos as técnicas de medição
no Capítulo 9.
Comunicando
Na fase de relatório, você pega as métricas coletadas e as reúne junto com o SOW,
um resumo executivo, uma sinopse de como foi o trabalho e quaisquer descobertas da
coleta OSINT ou desempenho do trabalho. Você pode usar um modelo como o do
Apêndice B para escrever seu relatório. Você apresentará isso ao cliente para seus
registros e revisão. Se você optar por manter uma cópia deste relatório, precisará proteger
o documento, pois as informações nele contidas podem ser mal utilizadas para atacar o
cliente.
Agir Observar
Decidir Orientar
Depois de ter dados suficientes, você pode decidir o que fazer com eles. Você deve se
envolver em phishing ou vishing ou precisa de mais informações para ter sucesso? Você tem
informações suficientes para perpetrar esta penetração
32 Capítulo 3
Machine Translated by Google
Conclusão
Dedicar um tempo para definir adequadamente o envolvimento com seu cliente é uma
ótima maneira de economizar tempo e esforço de ambos. Compreender as perguntas
certas a fazer certamente o ajudará. Prepare-se para o ataque seguindo o processo de
engenharia social. Alguns engenheiros sociais pregam que seu trabalho
é trazer o caos para uma empresa. Embora isso seja verdade em certo sentido, você
também deve ter um método para essa loucura para garantir que todos os envolvidos ganhem.
Você recebe o trabalho e continua a promover sua reputação, enquanto o cliente obtém o
que pediu e pagou de uma forma que agrega valor à sua organização e, esperançosamente,
significa novos negócios para você.
34 Capítulo 3
Machine Translated by Google
4
REUNIÃO DE NEGÓCIOS OSINT
atrasou seu voo em Newark. Essa informação aparentemente inofensiva me deu a desculpa perfeita para
contatá-lo.
Com esse conhecimento, adicionei o número de telefone dessa companhia aérea à minha lista de
números para visitar. Em seguida, obtive o nome, endereço de e-mail e número de telefone do executivo
e os adicionei à minha lista de alvos. Se esse fosse um envolvimento que permitisse phishing, eu teria
enviado um e-mail de desculpas que imitava o modelo da companhia aérea e, em seguida, feito um
telefonema, fingindo ser a companhia aérea. Então eu poderia ter confirmado as informações que já sabia
e feito “perguntas de segurança” para convencer o alvo de que eu era uma fonte confiável. Posso até ter
incorporado alguns sons do sistema operacional Windows para aumentar minha credibilidade. Finalmente,
eu teria feito a ele perguntas potencialmente letais sobre o ambiente operacional da empresa, como o status
das atualizações de equipamentos, cronogramas operacionais ou outros dados confidenciais específicos da
empresa.
Esses ataques seriam impossíveis se eu não tivesse descoberto primeiro a postagem do executivo
sobre seu voo atrasado. Raramente um ataque de engenharia social eficaz acontecerá sem uma
compreensão informada do alvo. Melhor OSINT faz melhor engenharia social.
OBSERVAÇÃO Como regra geral, não segmentarei explicitamente as contas pessoais de uma pessoa como parte de
um noivado. Posso coletar informações para usar, mas não tentarei contatá-los em uma conta pessoal do
Facebook, Twitter ou LinkedIn.
O OSINT pode ser usado para ativar a inteligência de ameaças cibernéticas (CTI) , que
geralmente envolve um trecho de código ou um adversário específico. Nós o usamos como um meio
para identificar o autor de um ataque e seus motivos. Por exemplo, você pode rastrear elementos de
código para determinar seu autor ou país. Ou você pode rastrear um endereço de e-mail ou número de
telefone que contatou seu
36 Capítulo 4
Machine Translated by Google
Business OSINT
Esta seção o ajudará a começar a coletar OSINT de negócios. Que contexto você pode
usar para criar relacionamento ao se comunicar com os funcionários de uma empresa?
Examinarei algumas ferramentas de coleta OSINT aqui.
38 Capítulo 4
Machine Translated by Google
Em seguida, está a guia Pessoas, que inclui funcionários importantes. Estes são
geralmente executivos que supervisionam determinadas áreas-chave ou pessoas
que tiveram impacto na história da organização. Por exemplo, a Figura 4-5 lista
Sam Walton, o fundador do Walmart, como “Fundador e Administrador” na Equipe
Atual e membro do Conselho de Administração, apesar de ter falecido em 1992.
A guia Tecnologia está quase sempre bloqueada, a menos que você tenha uma conta de nível Pro.
Se você tiver essa conta, esta guia mostrará estatísticas de tráfego da Web, métricas de aplicativos
móveis e informações limitadas sobre as patentes da empresa e outros registros de propriedade
intelectual. Esta informação pode ser encontrada em outro lugar na internet, portanto, ser bloqueado não
é um grande problema. Tente olhar para BuiltWith (https:// www.builtwith.com/), Wappalyzer (https://
www.wappalyzer.com/), ou Shodan (https:// www.shodan.io/).
A guia final, Signals & News, agrega notícias relevantes e mudanças de liderança (Figura 4-6).
Essa guia também lista eventos com os quais a organização tem alguma afiliação,
seja patrocinando-os ou fazendo com que os funcionários falem com eles. Este é um bom ponto
de partida, mas não substitui outras fontes de informação, incluindo registros públicos, comunicados à
imprensa e relatórios da mídia. (Discutiremos essas fontes nos próximos capítulos.) Essa guia também
pode sugerir possíveis termos de pesquisa que você pode inserir no mecanismo de pesquisa de sua
escolha.
40 Capítulo 4
Machine Translated by Google
Em seguida, observe que a transferência é proibida, o que significa que você provavelmente não conseguirá
para transferir esse domínio para um provedor diferente, uma atividade que as equipes
vermelhas costumam tentar. Observe também a idade do domínio. Isso ajuda a confirmar
que você está olhando para o alvo certo. Como alternativa, esse mesmo recurso pode
revelar que os domínios que você usa são falsos. É por isso que é uma boa ideia comprar
domínios e esperar de seis meses a um ano antes de usá-los.
Em seguida, estão os servidores de nome de domínio que o site usa. Estes podem alguns
horários indicam outros softwares empregados pela empresa. Por exemplo, o
Walmart usa Akamai e UltraDNS. A Akamai também fornece serviços de rede de distribuição
de conteúdo (CDN) (para permitir carregamento de página mais rápido e mitigar ataques
de DOS) e realiza proteção na Web e balanceamento de carga (mitigação adicional de
DOS). Isso é importante saber se você está se preparando para um teste de penetração.
Esteja ciente de que, desde 25 de maio de 2018, o Regulamento Geral de
Proteção de Dados da UE (GDPR) mudou a maneira como o WHOIS é tratado em
sua jurisdição. Isso levou a Corporação da Internet para Nomes e Números Atribuídos
(ICANN), órgão regulador do WHOIS, a alterar as informações apresentadas para
empresas e contatos localizados na UE.
Instalando Recon-ng
O Recon-ng vem pré-instalado nas versões Offensive Security e Trace Labs Kali. Para usar
o Recon-ng em um sistema Linux diferente, você precisará do Python 3, a ferramenta de
gerenciamento de pacotes pip3 e do Git. Então você pode instalá-lo no diretório /opt com os
seguintes comandos:
O Recon-ng permite definir áreas de trabalho separadas, o que é ótimo para manter
segmentadas as informações coletadas. Você pode definir o espaço de trabalho ao abrir o Recon-
ng e armazenar os dados coletados em seu próprio banco de dados SQLite exclusivo. Se eu
estiver procurando por várias entidades ou empresas como parte da mesma investigação, darei
a elas seu próprio espaço de trabalho para não me confundir ao revisar as informações coletadas.
Se você não definir um espaço de trabalho, o Recon-ng gravará todos os resultados no espaço de
trabalho padrão e no banco de dados associado.
Para usar um espaço de trabalho ao iniciar o Recon-ng, execute o seguinte:
42 Capítulo 4
Machine Translated by Google
recon-ng -w walmart
[recon-ng][wamart]
Se você já estiver no Recon-ng, poderá visualizar os espaços de trabalho disponíveis por emissão
ing o comando workspace list .
OBSERVAÇÃO Você não pode fazer isso enquanto um módulo estiver carregado, portanto, nessa situação, você precisará
executar o comando back .
Se você deseja carregar um espaço de trabalho existente, pode emitir este comando:
Depois que você não precisar mais de nenhuma informação em um espaço de trabalho
e seus requisitos de retenção foram aprovados, você pode removê-lo:
Em seguida, você deve habilitar e instalar os módulos. Vamos ver quais módulos estão disponíveis
usando a pesquisa de mercado:
Você pode instalar os módulos de duas maneiras: um por um ou todos de uma vez. Para instalar
um único módulo, digite o seguinte comando, substituindo import/ csv_file
com o caminho completo do módulo:
[!] Chave 'censysio_id' não definida. módulo censysio provavelmente falhará em tempo de execução. Consulte 'adicionar chaves'.
OBSERVAÇÃO Ignore os avisos sobre chaves de API ausentes. Importaremos chaves de API apenas para os módulos de
que precisamos.
Para que algumas das ferramentas acessem recursos externos, você precisará adicionar
chaves de API de vários sites. Cada site tem seu próprio processo para obter essas
chaves, e esses procedimentos tendem a mudar com frequência. Você pode encontrar
meu tutorial atualizado para obter essas chaves de API em https:// www.theosintion
.com/ practical-social-engineering/ ou verifique as páginas de chaves de API nos sites
de cada ferramenta.
Depois de obter as chaves, use a seguinte sintaxe no Recon-ng para adicioná-las:
lista de chaves
Se você conhece parte do nome do módulo, pode usar a função de pesquisa para
localizá-lo, assim:
44 Capítulo 4
Machine Translated by Google
Você também pode invocar um módulo diretamente com o comando modules load se souber
o nome do módulo ou o início do nome do módulo:
O módulo metacrawler pesquisa um site ou sites de destino para arquivos Microsoft Power
Point, Word, Excel e PDF. É o equivalente a fazer uma besteira do Google — escrever longas
consultas de pesquisa, como esta:
Por exemplo, para pesquisar nostarch.com para todos os tipos de arquivo, use o seguinte
comandos:
[*] Pesquisando no Google por: site:nostarch.com tipo de arquivo:pdf OU tipo de arquivo:docx OU tipo de
arquivo:xlsx OU tipo de arquivo:pptx OU tipo de arquivo:doc OU tipo de arquivo:xls OU tipo de arquivo:ppt
[*] https://www.nostarch.com/download/WGC_Chapter_3.pdf
[*] Produtor: Acrobat Distiller 6.0 (Windows)
[*] Título: Escreva um ótimo código
[*] Autor: (c) 2004 Randall Hyde
[*] Criador: PScript5.dll Versão 5.2
[*] Moddate: D:20041006112107-07'00'
[*] Data de criação: D:20041006111512-07'00'
[*] https://www.nostarch.com/download/wcss_38.pdf
[*] Produtor: Acrobat Distiller 5.0 (Windows)
[*] Título: wcss_book03.book
[*] Autor: Riley
[*] Criador: PScript5.dll Versão 5.2
[*] Moddate: D:20040206172946-08'00'
[*] Data de criação: D:20040116180100Z
Se Extrair for definido como Verdadeiro, esse comando gera todos os documentos no
site público do destino que estão nos formatos PDF ou Microsoft Office (Excel,
Word ou PowerPoint) com um link para o arquivo e metadados, incluindo o
autor, o software que o criou, a data de modificação, o software que o produziu e a data
em que foi criado. Se Extract for definido como False, a saída fornecerá apenas o nome
do arquivo e o link.
Dada esta informação, você pode fazer inúmeras coisas. do meta
dados, você pode enumerar usuários, sistemas operacionais e softwares usados.
Nos próprios arquivos, você pode encontrar informações que o alvo pretende manter em
sigilo, incluindo nomes, endereços de e-mail, números de telefone e fax, locais e assuntos
comerciais importantes.
46 Capítulo 4
Machine Translated by Google
O módulo mx_sfp_ip recupera o registro DNS mail exchanger (MX) para um domínio.
O registro MX define como o domínio processa o e-mail. Ele mostra os servidores de e-
mail usados e todos os registros do Sender Policy Framework (SPF)
que restringem os intervalos de IP dos quais o domínio pode receber e-mails, bem como
domínios que podem enviar e-mails para a organização sem escrutínio.
Usando o registro MX, um invasor pode aproveitar as informações que ele contém
para criar um ataque de falsificação de e-mail bem-sucedido. Por exemplo, o invasor pode
enumerar os intervalos de IP listados no registro e seus domínios associados. Isso pode
fornecer pistas sobre relacionamentos comerciais, fornecedores ou tecnologias usadas.
Por outro lado, a seguinte saída nos mostra que o Walmart usa SPF:
theHarvester path/discovery/googleCSE.py
theHarvester path/discovery/shodansearch.py
48 Capítulo 4
Machine Translated by Google
Freqüentemente, você precisará encontrar endereços de e-mail e o syn tax de endereço de e-mail de
uma empresa (o formato que a empresa usa para os endereços de e-mail de seus funcionários). Caçador
é uma excelente ferramenta para ajudar a enumerá-los. Sem fazer login, você pode obter a sintaxe
básica do endereço de e-mail usado na empresa. Depois de criar uma conta e fazer login, você pode
obter as sintaxes de endereço de e-mail mais comuns, endereços de e-mail completos da empresa e,
ocasionalmente, o cargo de uma pessoa.
A Figura 4-9 mostra a saída de uma pesquisa não autenticada.
Figura 4-9: Resultados de pesquisa do Hunter para um usuário não autenticado (Nota: Hunter censurou esses resultados.)
A Figura 4-10 mostra uma pesquisa autenticada que retorna um e-mail válido
endereços para o nosso domínio de destino, bem como onde foram encontrados.
Figura 4-10: Resultados do Hunter para um usuário autenticado. (Nota: o autor censurou esses resultados.)
Ao observar esses resultados, você pode deduzir a sintaxe dos endereços de e-mail da
empresa. Você pode, então, girar para o LinkedIn e o site corporativo para obter mais nomes
e, em seguida, juntar mais endereços de e-mail caso queira phishing essas pessoas.
A Hunter fornece vários níveis de serviço; no momento em que este livro foi escrito,
eles variam de gratuitos (100 solicitações por mês e nenhuma exportação de CSV) até US$
399 por mês, o que inclui 50.000 solicitações e permite exportações de CSV.
Você provavelmente já usou o Google Maps ou o Bing Maps para se orientar usando
visualizações de mapa, visualizações de satélite e visualizações tiradas da rua. Quando se
trata de coletar OSINT, os modos de visualização de satélite e rua geralmente são os mais
valiosos.
A visão de satélite pode mostrar portões, lixeiras, antenas parabólicas, entradas e
saídas, esquemas de estacionamento e instalações adjacentes. Você pode ampliar bastante
alguns sites para ajudá-lo a determinar esconderijos, entradas e áreas para fumantes.
A vista da rua permite que você veja o prédio e as instalações como você veria
se você andou ou dirigiu. Nessa exibição, você pode identificar o seguinte:
•Fornecedor de lixeiras (informações úteis para pretexto no local que podem ajudá-lo a
obter acesso ao prédio ou mergulho na lixeira)
50 Capítulo 4
Machine Translated by Google
• Portões, portas e cercas, e se eles são deixados abertos rotineiramente (e, às vezes, a presença
de guardas de segurança)
Durante o DerbyCon SECTF que mencionei no início deste capítulo, usei o Google Maps
para determinar os fornecedores de remessa para minha empresa-alvo, verificando quais
caminhões estavam dentro dos limites dos portões. Eu poderia ter usado essa informação para
obter acesso físico, talvez encontrando um uniforme em um brechó ou como um pretexto vishing
para ligar sobre uma remessa.
O uso do Google Maps e do Bing Maps pode fornecer informações melhores, pois a origem
dos dados dos aplicativos é diferente. Além disso, as imagens são coletadas em dias diferentes,
então você pode, por exemplo, encontrar um caminhão de entrega em um aplicativo, mas não em
outro, uma nova lixeira em uma foto mais recente ou nomes de fornecedores mal censurados.
Conclusão
Você pode seguir vários caminhos para coletar OSINT. Este capítulo apenas arranha a superfície
dos recursos dessas ferramentas e serve como ponto de partida para ajudá-lo a aplicar as técnicas
OSINT à engenharia social, teste de penetração ou qualquer outra aplicação ética. Por meio dos
exercícios deste capítulo, você coletou domínios, endereços IP, endereços de e-mail, nomes e
tecnologias associadas a empresas que usam ferramentas de código aberto.
O próximo capítulo aborda estratégias para coletar OSINT sem ferramentas sofisticadas. O
Capítulo 6 cobre as operações OSINT contra pessoas.
5
MÍDIA SOCIAL E
DOCUMENTOS PÚBLICOS
LinkedIn
O LinkedIn é uma excelente rede social profissional. Muitos de seus usuários são um pouco
abertos demais sobre sua experiência, revelando todas as tecnologias e processos usados
internamente. Ao pesquisar os funcionários da empresa no site, podemos preencher uma lista
de alvos para phishing, encontrar as tecnologias usadas na empresa e enumerar funções que
poderíamos desempenhar em ataques de vishing.
O LinkedIn é uma mina de ouro OSINT, especialmente para empresas menores com
pegadas online menores.
OBSERVAÇÃO Alguns dos recursos de análise discutidos aqui estão disponíveis apenas para usuários
do LinkedIn Premium, que no momento da redação deste artigo custa US$ 29 por mês. Lembre-
se de que os recursos (para qualquer produto ou serviço) mudarão para melhor e para pior.
Meu foco nestas seções é menos sobre as ferramentas e recursos e mais sobre as técnicas.
Vamos dar uma olhada na página de negócios do Walmart no LinkedIn (Figura 5-1). No topo da
página, podemos ver quantos seguidores o Walmart tem, quantas conexões dessa conta
funcionam no Walmart, um ticker da bolsa e uma visão geral da empresa. A seção Sobre nós
também fornece informações gerais sobre o Walmart.
54 Capítulo 5
Machine Translated by Google
Informação de trabalho
Empregados da Empresa
Uma página separada lista os usuários do LinkedIn que são funcionários da empresa. Use isso
para ver o papel que cada pessoa desempenha. Por exemplo, a Figura 5-3 mostra alguém com o
cargo de analista de invasão, uma função de segurança cibernética que sugere que a empresa
monitora ativamente seus sites e redes em busca de comportamento malicioso.
Podemos avaliar a segurança da empresa por meio do número de funcionários de
segurança da informação. Uma maneira fácil de fazer isso é procurar nos perfis dos funcionários
os acrônimos de certificação. Verificar CISSP, GPEN, OSCP, CEH e Security+ são bons pontos
de partida. Bons cargos para pesquisar incluem os termos segurança da informação, segurança
cibernética, intrusão e CISO.
Esses perfis de funcionários também nos informam sobre as tecnologias que a empresa
utiliza. Ao pesquisá-los, podemos detectar a presença de soluções de gerenciamento de
eventos e incidentes de segurança (SEIM), proteções contra malware, filtragem de e-mail ou
VPNs. Além disso, eles nos ajudam a criar uma lista de e-mail para mais perfis e phishing.
56 Capítulo 5
Machine Translated by Google
Outras coisas notáveis para procurar em postagens de emprego são menções de quais
gerente ao qual a função se reporta. Conhecer o organograma e quem ocupa cada função
pode ser útil na construção de pretextos em situações em que citar nomes ajudaria a sua
credibilidade. Também não limite isso às postagens atuais. Veja as postagens mais antigas
em sites como Indeed, Ladders e LinkedIn. Você também pode verificar https:// archive.org
para páginas mais antigas. Ao revisar postagens mais antigas, você pode ter uma ideia da
frequência com que a organização corrige ou atualiza seu software, bem como a cultura em
RH e segurança.
Facebook
O Facebook pode ser uma mina de ouro ou uma fossa, dependendo de quem você pergunta
e do que está procurando. Isso porque os dados são abundantes, mas minimamente
examinados, embora às vezes verificados. Muitas pessoas tendem a compartilhar demais
neste site (comportamento que exploraremos mais adiante no Capítulo 6). Nesta seção, nos
limitaremos a informações relacionadas a negócios sobre uma empresa e
seus clientes.
Para começar a analisar no Facebook, crie uma conta que você não usa por motivos
pessoais. Mesmo que criar uma conta falsa viole os Termos de Serviço do site, isso impedirá
que você apareça na guia Pessoas que você talvez conheça em seu perfil real. Você também
poderá postar em sua página publicamente sem confundir seus amigos legítimos e correr o
risco de tê-los fora de você. Tenha em mente que, após as controvérsias em torno do
envolvimento da Rússia nas eleições presidenciais dos EUA em 2016 e
Como outra camada de segurança, evite usar os aplicativos móveis do site, porque eles
normalmente têm acesso a todos os aplicativos em seu dispositivo móvel e podem identificar
uma conta como pertencente a você sem qualquer outra entrada. Você também pode receber
anúncios cada vez mais pessoais, o que pessoalmente considero alarmante.
Informações da
empresa Na página do Facebook de uma organização (consulte a Figura 5-5 para o Walmart),
procure informações de contato, quaisquer cronogramas relevantes ou comunicados à imprensa.
Para empresas menores, é comum encontrar notícias sobre prêmios conquistados ou listas em
que foram adicionados. Você também pode ver postagens sobre atividades e realizações de
funcionários, especialmente se estiver mirando em uma consultoria.
Veja a seção Sobre da página (Figura 5-6). É aqui que podemos encontrar números de
telefone, mesmo que sejam para um help desk, suporte ao cliente ou linha direta da empresa.
Podemos encontrar endereços de e-mail e quase certamente veremos o site deles.
58 Capítulo 5
Machine Translated by Google
Ao visitar uma empresa, uma das maneiras mais astutas de fazer um funcionário falar
com você é se passar por um cliente. Você pode encontrar uma miríade de clientes reais
observando a guia Comunidade do Facebook e lendo as avaliações. Na Figura 5-7, a
guia Comunidade do Walmart mostra várias postagens feitas na página pelo público em
geral. Estes devem ser tomados como um grão de sal e no contexto. Algumas dessas
postagens são preocupações legítimas, mas outras são teorias da conspiração, alegações
infundadas, tentativas de se tornar viral e relatos de páginas falsas ou falsificadas.
Instagram
O Instagram é um tesouro de OSINT. Em uma competição Social Engineering Capture
the Flag (SECTF) da qual participei, encontrei mais de 90% das informações contra minha
empresa-alvo usando o Instagram.
Seguidores e Hashtags
Mais interessante do que quem segue a conta comercial é quem a conta
comercial segue. As contas da empresa geralmente seguem executivos e
influenciadores relevantes, bem como equipes de marketing e relações públicas.
Por exemplo, dê uma olhada em quem o Walmart segue (Figura 5-8). A lista inclui as
marcas que eles vendem e LeBron James.
Figura 5-8: Lista de contas que a página do Instagram do Walmart está seguindo
Pesquise também as hashtags que o alvo segue. Isso nos fala sobre
o que o alvo considera importante. As hashtags podem ser relevantes para uma
promoção que a empresa está realizando, por exemplo, ou indicar se sua equipe
de mídia social é desleixada. As hashtags também podem ser sobre o
60 Capítulo 5
Machine Translated by Google
concorrentes da empresa. A partir das hashtags que o Walmart escolhe seguir (Figura 5-9),
aprendemos sobre iniciativas internas, incentivos ao cliente e possíveis jargões usados internamente.
Podemos recriar o código de barras do crachá. Embora o crachá não contenha nenhum
número útil para identificação, ele inclui uma data - potencialmente útil em um estratagema
inteligente para obter acesso.
Como alternativa, você pode fazer crachás falsos não funcionais. Você também
pode aprender como as pessoas se vestem no local, permitindo que você se misture. Por
exemplo, nas lojas do Walmart, os funcionários geralmente usam calças cáqui e uma
camisa azul escura com um avental e um distintivo. A Figura 5-11 mostra uma série de
fotos de crachás do Walmart, todas parecendo bastante inocentes até que um engenheiro
social ou agente mal-intencionado as utilize para obter acesso não autorizado às instalações.
62 Capítulo 5
Machine Translated by Google
Fotos de mesas podem nos dizer mais sobre as tecnologias que uma empresa usa.
A Figura 5-12 mostra a foto de um cubículo de funcionário. O funcionário (associado) estava
se gabando de um cartão que recebeu, mas a foto também mostra que eles estão usando
um MacBook com Photoshop, Microsoft Office 2016 e Cisco WebEx aberto no dock do macOS.
Pesquisando endereços IP
Figura 5-13: Enumeração Shodan de endereço IP e portas e serviços em execução com banners
Shodan também nos fala sobre o certificado TLS/SSL usado para criptografar o tráfego
da Web de e para o site. Se o certificado emprega cifras fracas, você pode contar isso como
um vetor de ataque para exploração técnica.
64 Capítulo 5
Machine Translated by Google
Pesquisando nomes de
domínio Se você digitar o nome de domínio da sua organização de destino no Shodan,
o sistema responderá com todos os hosts conhecidos. Isso ajudará você a obter
informações sobre portas e protocolos em uso, bem como banners de serviço e versões de serviço.
Esse método também nos ajuda a identificar os tipos de sistemas conectados à
Internet que eles usam (como NGINX, Apache e IIS), além de nomes de host e
endereços IP.
A Figura 5-14 mostra o resultado de uma pesquisa pelo domínio walmart.com com
o qualificador de que os hosts devem pertencer às lojas Walmart. Isso evita a
extração de domínios irrelevantes que contenham a frase walmart.com ou sites com
links para walmart.com.
Figura 5-14: domínio Shodan e enumeração de endereços IP filtrados pelas lojas Wal-Mart
66 Capítulo 5
Machine Translated by Google
é vital se você estiver coletando OSINT por motivos legais e usará a captura de tela como
prova no tribunal.
As empresas de capital aberto nos Estados Unidos devem produzir e enviar uma variedade
de documentos e formulários para manter a conformidade. Esses documentos provam à SEC
que todas as informações relatadas são verdadeiras e que a empresa não está infringindo
nenhuma lei. Como esses documentos estão disponíveis ao público, eles são uma ótima fonte
de OSINT.
Para encontrar os formulários SEC de uma empresa, navegue até o site SEC
EDGAR (https:// www.sec.gov/ edgar/ searchedgar/ companysearch.html). Você pode aprender
mais sobre os vários formulários da SEC na Investopedia, https:// www.investopedia.com/
artigos/ análise-fundamental/ 08/ sec-forms.asp.
Um formulário particularmente útil a ser observado é o Formulário 10-K da SEC, que é o
relatório anual da empresa. Ele fornece uma visão geral de como está a empresa
financeiramente, a equipe executiva, o conselho de administração, quaisquer problemas que
eles tiveram no ano passado e os riscos que os preocupam. O homem da SEC determina que
as empresas arquivem esses formulários dentro de 90 dias a partir do final do ano fiscal,
portanto, as datas de publicação podem variar.
Usando o 10-K do Walmart e o relatório anual de 2018, vamos examinar os pontos
de interesse para uma avaliação OSINT. Por exemplo, o relatório anual de 2018 do Walmart
diz o seguinte:
Isso nos permite saber duas coisas: a empresa chama seus funcionários de associados
e abriu academias de treinamento, informações que podem ser usadas para construir
relacionamento. Ao escrever um e-mail para um ataque de phishing, você pode até citar
diretamente tal relatório (consulte o Capítulo 7 para obter um exemplo dessa tática).
O formulário 10-K começa informando quando o ano fiscal termina, o que nos dá uma
ideia de quando será a maior urgência, em relação aos trimestres fiscais.
Um pouco mais abaixo no formulário, vemos onde a empresa está legalmente constituída;
seu endereço residencial, CEP e número de telefone principal; e seu número de identificação
do empregador (EIN).
No formulário 10-K de 2018 do Walmart, você pode encontrar os seguintes
em formação:
Uma declaração sobre a mudança do nome comercial de Walmart Stores, Inc. para
Walmart Inc.
68 Capítulo 5
Machine Translated by Google
Uma lista de sites que o Walmart usa para realizar negócios na internet
Aqui também vemos o que o Walmart considera ser seu concorrente. Na seção sobre
o Sam's Club, por exemplo, menciona a Costco.
Essa lista de funcionários de alto nível pode ser usada em ataques de caça e caça às
baleias. Também vemos as funções e idades dos funcionários, o que pode ajudar a
monitorar suas mídias sociais.
Isso nos permite ver como ela mitiga e percebe as ameaças associadas à sua
infraestrutura de tecnologia da informação.
Isso pode nos fornecer um contexto adicional sobre a forma como a empresa opera ou
nos ajudar a identificar alguém do departamento jurídico.
Isso nos fornece mais informações sobre como o Walmart faz negócios. Também nos
fornece informações que poderíamos usar para construir pretextos críveis para usar
contra seus associados.
Outros formulários que você deve procurar são 8-K (mudança no status do material)
e 10-Q (relatório trimestral). O 8-K normalmente envolve a concessão ou venda de ações. O
10-Q é uma versão incremental do 10-K produzido trimestralmente, mas com menos detalhes.
Conclusão
Este capítulo ilustrou a utilidade (e os perigos) das mídias sociais e outros recursos
disponíveis publicamente. As informações reunidas neste capítulo são uma boa base para
construir um ataque de engenharia social. Embora devamos armar apenas as informações de
que precisamos, é importante falar sobre o que encontramos, mas não usamos no relatório que
enviamos aos nossos clientes.
Afinal, estamos tentando ajudar nossas empresas clientes a se tornarem mais seguras.
Não queremos apenas obter acesso, bater no peito e repetir o exercício na próxima vez.
OSINT é mais do que coletar tudo o que existe sobre um determinado alvo. Parte
do OSINT está analisando dados e descobrindo maneiras de explorá-los. Para alguns,
OSINT é tanto um modo de pensar quanto uma capacidade técnica. Você não precisa
ser um hacker de elite (no sentido técnico) para ser bom, ótimo ou mesmo elite na
OSINT. O mesmo vale para a engenharia social.
70 Capítulo 5
Machine Translated by Google
6
COLETANDOOSINT
SOBRE PESSOAS
Todas essas informações são passadas pelo que chamo de OSINT Heartbeat. O
OSINT Heartbeat é o ato de expandir e contrair as informações que você coletou - tornando
possível focar no alcatrão em um nível micro e depois expandir para fora, para as pessoas, contas
e associações adjacentes em um nível macro . O aspecto mais vital do OSINT Heartbeat é discernir
quais informações têm um contexto de inteligência e quais não. Esse processo é importante para
evitar a visão de túnel resultante do foco muito próximo de um alvo, fazendo com que você perca
outros pontos de dados importantes.
Descobrir se um usuário foi violado com Have I Been Pwned Os módulos hipb_breach e
hibp_paste na pesquisa Recon-ng Troy Hunt's Have I Been Pwned (HIBP) website (https://
haveibeenpwned.com/) e bancos de dados associados para determinar se um endereço de e-mail
inserido esteve envolvido em alguma violação de dados.
Costumo usar esses módulos para construir um dossiê sobre como os funcionários da minha
a empresa-alvo usa seus e-mails de trabalho. Esta é uma boa indicação da maturidade do
programa de segurança da empresa. Por exemplo, algumas pessoas, como aquelas que
gerenciam contas de mídia social, podem precisar ter uma conta do Facebook ou LinkedIn
associada aos seus e-mails de trabalho. No entanto, o zelador ou o técnico de help desk de nível
associado provavelmente não.
Para usar os módulos HIBP no Recon-ng, basta carregar o módulo, definir o
SOURCE para o endereço de e-mail ou lista que você deseja pesquisar e digite o comando de
execução :
recon/contacts-credentials/hibp_breach
recon/contacts-credentials/hibp_paste
[recon-ng][padrão][hibp_breach] > executar
[*] bill@nostarch.com => Violação encontrada! Visto na violação Adapt que ocorreu em 05/11/2018.
[*] bill@nostarch.com => Violação encontrada! Visto na violação do AndroidForums que ocorreu em 2011-
10-30.
[*] bill@nostarch.com => Violação encontrada! Visto na violação do AntiPublic que ocorreu em 2016-12-
16.
72 Capítulo 6
Machine Translated by Google
somente se você puder confirmar que é o proprietário do e-mail por meio de um processo
de e-mail automatizado ou confirmar que é o proprietário de todo o domínio (ou é um
administrador de sistema autorizado). Para verificar todos os e-mails em um domínio inteiro,
você deve ser capaz de demonstrar a propriedade, geralmente por meio de um DNS TXT
registro. O hack do site de namoro Ashley Madison é um exemplo disso.
No momento em que este livro foi escrito, WhatsMyName verificava mais de 250
sites. Para restringir o número de sites verificados ou adicionar à lista, basta editar o
web_accounts_list.json com a sintaxe JSON adequada, como no exemplo a seguir:
{
"nome": "YouTube",
"check_uri": "https://www.youtube.com/user/{account}/videos",
"account_existence_code": "200",
"account_existence_string": "nome\" content=",
"
"account_missing_string": Este canal não existe",
"account_missing_code": "404",
"contas_conhecidas": ["teste"],
"categoria" : "vídeo",
"válido": verdadeiro
}
Se você quiser verificar um site que não está incluído no arquivo JSON, basta
pesquisar como o site processa as solicitações HTTP, incluindo os parâmetros que usa e os
códigos de resposta HTTP esperados. Você simplesmente copiaria a entrada para o arquivo.
Conforme você executa o script, um [+] deve aparecer ao lado de cada site no qual
WhatsMyName detecta uma conta.
74 Capítulo 6
Machine Translated by Google
Esses comandos irão clonar o código do GitHub para o seu sistema e, em seguida,
movê-lo para o diretório e executá-lo com o Python. Para criar sua lista para Pwdlogy, use
OSINT para coletar as seguintes informações sobre cada usuário:
•Aniversários
Como defensor, você pode restringir os usuários de usar qualquer variante de itens
desta lista como senhas e exigir que eles escolham algo diferente. Isso permitiria que você
reduzisse a probabilidade de alguém adivinhar as senhas do usuário, mas não faria nada
para reutilização de senha ou preenchimento de senha como resultado de violações de
dados fora de sua organização.
Como alternativa, você pode usar a lista em uma conversa ou phishing para obter
a atenção de um alvo. Por exemplo, pergunte o nome do cônjuge ou filho da vítima.
Um testador de penetração pode usar essas informações para pulverização de senha (um
ataque no qual você tenta as mesmas senhas com vários nomes de usuário, em oposição
à quebra de senha tradicional, que envolve tentar várias senhas possíveis para um único
usuário) ou outros meios técnicos para obter
acesso a uma conta.
Primeiro, olho para o primeiro plano, ou o que a imagem realmente pretende nos
dizer, seja sobre uma pessoa, uma cena ou qualquer outra coisa. Em seguida, eu olho
para o fundo. Por exemplo, existe um papel de parede de hotel cafona que possa vincular
esta imagem a um local ou rede específica? Eu então olho para o que está faltando na
foto. O que deveria estar aqui? Eu penso nisso como um daqueles desafios de comparação
de duas imagens. Algo foi photoshopado? Alguma coisa foi movida para fora do quadro?
Por fim, examino os dados EXIF (Exchangeable Image File) . O EXIF para mat é um
padrão para imagens estáticas que define as imagens, sons e outras marcas produzidas
por câmeras digitais, smartphones e outros sistemas. Como todas as câmeras e smartphones
têm a capacidade de produzir esses dados, podemos coletar vários níveis de OSINT sobre
as fotos e as pessoas que as tiraram.
Para analisar os dados EXIF, clique com o botão direito na imagem e selecione Obter informações
em um Mac. No Windows e no Linux, clique com o botão direito do mouse na imagem e selecione Propriedades.
Isso deve abrir uma janela com dados EXIF visíveis (Figura 6-2).
Aqui, vemos o tipo de imagem e quando a baixei. Obtemos as dimensões, a
marca e o modelo da câmera que a tirou - neste caso, um iPhone X. Na parte inferior,
vemos a latitude e a longitude do local onde a imagem foi tirada, informações que os
smartphones normalmente incluem .
ExifTool é uma ferramenta que pode analisar automaticamente os dados EXIF e fornecer
muito mais informações do que uma análise manual. Algumas dessas informações podem
ser particularmente úteis se você estiver criando o perfil de uma empresa no local,
aprendendo sobre a cultura da empresa ou direcionando um dispositivo móvel para exploração.
Outro aplicativo útil é se você estiver competindo em um dos CTFs do Search Party da
Trace Labs (https:// www.tracelabs.org/ getinvolved/ ctf/).
76 Capítulo 6
Machine Translated by Google
Alternativamente, você pode usar o Image Metadata Viewer de Jeffrey (http:// exif
.regex.info/ exif.cgi), uma versão online do ExifTool. Isso é útil se você estiver tentando evitar o download de um
arquivo ou estiver trabalhando explicitamente apenas com imagens online. Você pode fornecer à ferramenta um
arquivo ou um link e ela publicará os resultados
na tela.
Em seguida, após o tipo de arquivo, você verá a marca e o modelo da câmera, bem
como a orientação do dispositivo ao tirar a foto e que o flash não foi usado:
câmera --snip--
Programas : 12.3.1
Criar Data : 2019:08:03 11:39:02
--recorte--
Tipo de cena : Fotografado diretamente
renderização personalizada : Retrato HDR
78 Capítulo 6
Machine Translated by Google
Nas peças finais da análise, você pode ver quanto tempo o telefone
fora do carregador, a elevação e a latitude e longitude:
Tamanho da : 4032x3024
imagem : 12.2
Megapixels Fator de escala Para 35 mm Equivalente: 8,7
Data de criação : 1/163
da velocidade do obturador: 2019:08:03 11:39:02.291
Data/Hora Original : 2019:08:03 11:39:02.291
GPS Altitude : 16,6 m acima do nível do mar
GPS Latitude : 51 graus 22' 4,87" N
GPS Longitude : 0 graus 12' 37,68" E
Data/Hora de criação : 2019:08:03 11:39:02
Data/hora da criação digital : 2019:08:03 11:39:02
Isso permite que você confirme o local onde a foto foi tirada usando
um aplicativo de mapeamento. Por exemplo, se for uma foto de um
computador Windows 7 desbloqueado em uma mesa, você pode usar as
coordenadas para descobrir o endereço da instalação onde a foto foi tirada,
bem como uma possível empresa cujo escritório a foto foi tirada .
Vamos tentar isso agora. Pegue a latitude e a longitude e solte-as no
Google Maps, gerando a imagem mostrada na Figura 6-3.
Figura 6-3: Entrada do Google Maps para a latitude e longitude retiradas dos dados EXIF
Esta cena confirma que a foto foi tirada perto do Plow Inn ao longo
do rio Darent em Eynsford, Inglaterra.
Instagram
No Instagram, você pode ver com quem um alvo interage mais. Você também pode confirmar
a aparência de alguém além de suas fotos na cabeça e criar um dossiê que o ajudará a se
comportar como as pessoas com quem ela passa o tempo.
As pessoas não gostam de admitir, mas geralmente se associam a um tipo.
O Facebook pode permitir que você aprenda mais sobre uma pessoa do que você jamais
desejou ou, inversamente, pode ser como tentar tirar sangue de um nabo. Algumas pessoas
são extremamente conscientes da privacidade, e o Facebook oferece os controles de
privacidade mais granulares, com as configurações típicas Somente eu, Amigos específicos,
Somente amigos, Amigos de amigos e Público.
Se uma pessoa compartilhar publicamente no Facebook, você poderá aprender sobre
relacionamentos, viagens e afiliações políticas e religiosas. Mesmo se alguém tiver sua
privacidade definida como Amigos ou mais rígida, você ainda poderá ver tudo o que ela
postar ou comentar publicamente (como as notícias locais), a menos que ela tenha bloqueado você.
80 Capítulo 6
Machine Translated by Google
nome da Tammy
Tammy tinha três amigos no Facebook chamados Steven, mas apenas um deles
tinha uma mãe morando em Tulsa. Confirmei essa descoberta olhando as fotos e
cruzando as referências de Leif (um cachorro muito feio, por sinal).
Nas mãos erradas, essas informações podem servir de base para roubo de
identidade, invasão de domicílio ou coisa pior. Como isso poderia ter sido mitigado ou
evitado?
•Eu poderia não ter escutado. Mas uma vez que você entra no OSINT e na engenharia
social, torna-se meio difícil de desligar.
•Tammy e Wanda poderiam ter sido menos descritivas ou faladas mais calmamente.
Tammy, Dick, Steven e Wanda poderiam ter usado configurações de compartilhamento
e controles de privacidade melhores em suas mídias sociais. Todas as partes poderiam
ter sido mais vagas sobre o que disseram ou postaram ou usaram a desinformação para
despistar os engenheiros sociais.
Conclusão
O objetivo de coletar pessoas OSINT é entender melhor as ameaças que os funcionários
apresentam ao seu empregador e potencialmente construir um relacionamento com eles em
compromissos de engenharia social. Existem várias fontes de pessoas OSINT, incluindo
fotos, amigos, mídia social e coisas rotineiras, como endereços de e-mail, nomes de usuário
e endereços IP. Para usar essas ferramentas de forma ética, trate-as como um meio de
aprender mais sobre a empresa, não sobre a pessoa individualmente. Lembre-se: fique
longe de interagir com contas pessoais.
82 Capítulo 6
Machine Translated by Google
7
PHISHING
Não importa o que você faça em seu engajamento, você quase sempre precisará de uma
instância VPS. Por meio de um VPS, você poderá hospedar uma página de destino e
executar um servidor de e-mail, se desejar, tudo sem vincular seu ataque ao seu endereço IP.
Nesta seção, mostrarei como configurar um VPS seguro com a Digital Ocean, uma
empresa de infraestrutura em nuvem que permite usar seus serviços para pesquisa de
segurança. Droplets, que são instâncias VPS da DigitalOcean, começam com preços
mensais baixos e vêm com backups, instantâneos, volumes de armazenamento, DNS,
CDN, balanceamento de carga, aplicativos de um clique e paredes de incêndio de rede.
Você pode escolher entre uma variedade de sistemas operacionais Linux e BSD,
84 Capítulo 7
Machine Translated by Google
Observe que a DigitalOcean possui centros de dados em Nova York, São Francisco, Toronto,
Bangalore, Amsterdã, Frankfurt, Londres e Cingapura. Esses locais podem ser importantes, porque algumas
regiões filtram determinado conteúdo e algumas empresas filtram o tráfego com base no país. Além disso, se
você estiver lidando com cidadãos europeus e seus dados, procure aconselhamento jurídico sobre o GDPR
da UE.
Idealmente, você deve configurar seu VPS com seu domínio e servidor web pelo menos duas
semanas antes da contratação. Isso ocorre porque algumas plataformas de segurança de servidor de correio
rejeitam todas as mensagens de domínios com menos de duas semanas.
Para configurar um droplet da DigitalOcean, você precisa criar uma conta. Navegue até https://
www.digitalocean.com/ e siga as instruções de inscrição da página. Eu recomendo ativar a autenticação de
dois fatores para sua conta para impedir que alguém obtenha acesso caso comprometa sua senha.
Você deve ver o endereço IP do droplet assim que ele for criado. DigitalOcean vai
envie por e-mail a credencial raiz inicial do host, bem como o endereço IP. Se você fizer upload de um par
de chaves SSH, conforme descrito na próxima seção, poderá usar essas informações para fazer login. Caso
contrário, a DigitalOcean enviará por e-mail uma senha root temporária, mas você será solicitado a alterá-la
após seu primeiro login .
Ter um método de autenticação forte é importante, porque este servidor está voltado para a Internet.
Quando usei o DigitalOcean para executar honeypots – sistemas propositalmente vulneráveis criados com
o objetivo de serem atacados, permitindo que os pesquisadores estudassem as técnicas e o comportamento
dos invasores ou alertando os administradores sobre o comprometimento do sistema – os hosts foram
martelados por scanners e possíveis exploradores .
Para evitar que invasores forcem sua senha, crie um par de chaves SSH. Também conhecido como
par de chaves RSA, um par de chaves SSH é uma chave RSA pública e privada usada para efetuar login.
Você copiará a chave privada (id_rsa por padrão) para seu sistema remoto e copiará a chave pública
(id_rsa.pub por padrão) para o arquivo author_keys para permitir que o login ocorra. As chaves SSH permitem
desativar a autenticação por senha.
Phishing 85
Machine Translated by Google
ssh-keygen -t rsa
Digite o arquivo no qual deseja salvar a chave (/root/.ssh/
id_rsa): Digite a senha (vazio para nenhuma senha): Digite
a mesma senha novamente: Sua identificação foi salva em /
root/.ssh/id_rsa.
Sua chave pública foi salva em /root/.ssh/id_rsa.pub.
cat ./.ssh/id_rsa.pub > ./.ssh/authorized_keys
Você precisará acessar o par de chaves VPS no sistema que usará para controlar o VPS.
Para fazer isso, use o Secure Copy Protocol (SCP) ou um cliente SCP. Se você estiver em um
host Windows, poderá usar o WinSCP, que é um emulador de terminal que permite que os usuários
do Windows se conectem diretamente a hosts Linux por FTP, SSH e Telnet. Se você estiver em um
host Mac ou Linux, poderá usar um cliente SCP como o terminal nativo, iTerm2, Cyberduck ou
Termius. Isso permitirá que você mova as chaves RSA de e para o droplet. Você também pode usar
o cliente SCP posteriormente para mover artefatos, como arquivos, de e para o droplet.
Para copiar os arquivos usando WinSCP, faça login no VPS usando as credenciais
(senha ou par de chaves RSA) que você criou e arraste e solte os arquivos em qualquer
direção de dentro da GUI. Você precisará garantir que possui as permissões corretas para o arquivo.
Execute o comando chmod 600 nome do arquivo da chave privada para garantir que você tenha
as permissões adequadas definidas.
Depois de mover a chave RSA para sua estação de trabalho, instale um cliente que lhe dará
acesso remoto ao seu VPS. Você precisa de acesso remoto para configurar a página inicial e
configurar quaisquer serviços adicionais, como servidores de correio, no VPS.
86 Capítulo 7
Machine Translated by Google
Em seguida, carregue a chave na sessão PuTTY. Para fazer isso, adicione seu
nome de usuário ou o endereço IP do seu droplet nos campos Host Name (ou IP
Address) (Figura 7-3).
Phishing 87
Machine Translated by Google
88 Capítulo 7
Machine Translated by Google
Agora que você configurou o PuTTY para usar chaves SSH, insira sua frase secreta,
se você definir uma, para fazer login no VPS. Atualize todos os pacotes e execute todas as
atualizações de segurança pendentes para se proteger contra ataques na Internet pública.
Se você estiver acessando o VPS a partir de um sistema operacional macOS ou Linux, primeiro
terá que copiar a chave privada RSA, via SCP ou copiar e colar.
Você pode fazer isso a partir do terminal. Emita o seguinte comando para copiar a chave (eu
censurei o endereço IP neste exemplo):
Se você estiver usando uma ferramenta de acesso remoto como Termius, uma solução
paga que permite salvar sessões SSH, você não precisará copiar o arquivo, mas precisará
copiar e colar o conteúdo do arquivo em seu chaveiro. Para fazer isso, execute o seguinte
comando:
root@******:~#cat ./.ssh/id_rsa
Se estiver usando um terminal para conectar via SSH, execute o seguinte comando para
obter acesso:
senha Agora que você está conectado, tome medidas para garantir que seu VPS
permaneça seguro. Primeiro, remova a capacidade de fazer login no próprio sistema
usando uma senha. (Isso não afetará nenhum aplicativo da Web que você instalar
posteriormente.) Qualquer pessoa que fizer login neste VPS precisará da chave privada RSA,
que é extremamente difícil (se não impossível) de força bruta, ao contrário das senhas.
Certifique-se de que o arquivo authorised_keys contenha a chave pública que você criou
anteriormente executando o seguinte comando:
root@******:vi /etc/ssh/sshd_config
Phishing 89
Machine Translated by Google
Salve o arquivo; em seguida, reinicie o SSH. Você precisará definir a chave em seu
Comando ssh para conectar ao VPS:
Instalando um Firewall
Em seguida, você precisa de um firewall para limitar as portas no VPS que um aplicativo pode
acessar e os hosts que podem acessar o VPS. Isso evitará que bots de varredura de vulnerabilidade e
invasores se conectem ao VPS, evitando danos colaterais. Instale o Uncomplicated Firewall (ufw) se
ainda não estiver instalado:
Agora certifique-se de que você pode acessar o firewall emitindo ufw enable. As etapas a
seguir criam novas regras para controlar o fluxo de dados dentro e fora do seu VPS:
Você pode executar o firewall em uma porta específica, em oposição a todas as portas,
adicionando o número da porta ao endereço IP para origem ou destino.
Para configurar o firewall, faça login na DigitalOcean e navegue até o menu Net working no
painel esquerdo. Em seguida, selecione Firewalls. Se você já possui um firewall conectado à
DigitalOcean, selecione-o na lista, conforme mostrado na Figura 7-5.
90 Capítulo 7
Machine Translated by Google
Se você ainda não possui um firewall, clique no botão verde Criar e escolha Firewall
no menu suspenso. Isso deve levá-lo a uma página, mostrada na Figura 7-6, que solicita a
criação de regras de entrada. Uma regra de entrada determina como o VPS irá interagir com
as conexões que chegam a ele. Uma regra de saída determina como o VPS se comportará
ao tentar se conectar a outros hosts, às vezes também chamado de filtragem de saída.
Como você pode usar esse host para phishing, provavelmente deseja que o
servidor da Web seja acessível publicamente. Dependendo do seu contrato com o cliente,
você pode querer restringir isso aos hosts em seus intervalos de IP. Também é uma boa
ideia limitar os intervalos de IP se você estiver usando o servidor para hospedar scripts
maliciosos para uso em seu phishing. Isso impediria que os rastreadores da Web e as
empresas de inteligência de ameaças rastreassem seu site e o encontrassem - uma maneira
rápida de acabar em listas negras e em feeds de inteligência de ameaças ingeridos por
sistemas de detecção de intrusão, programas SIEM e outras tecnologias defensivas.
Para fornecer acesso apenas a um intervalo específico de endereços IP ao seu
servidor, crie uma regra de entrada para HTTP na porta TCP 80 e HTTPS na porta TCP
443, aceitando conexões de entrada de Todos os IPv4 e Todos os IPv6 , a menos que
as condições anteriores se apliquem. Certifique-se de criar uma regra de entrada que
permita que você se conecte ao host usando SSH de qualquer endereço IP que você usar.
A imagem do sistema do seu provedor VPS pode não estar totalmente atualizada.
Para atualizar um sistema Linux, execute os seguintes comandos:
Phishing 91
Machine Translated by Google
O comando apt-get update fornece uma lista dos pacotes atualizados, apt-get upgrade
executa as atualizações e apt-get dist-upgrade atualiza o kernel, bem como as
dependências de software. A opção -y responde sim à maioria dos prompts que você pode
receber.
Definido no RFC 5321. Usa a porta 25 por padrão. Também pode usar a porta 587 e
a porta 465.
Definido no RFC 3501. Usa a porta 143 (ou 993 para conexões SSL/TLS).
Definido no RFC 1939. Usa a porta 110 (ou 995 para conexões SSL/TLS).
Se você planeja falsificar seu e-mail, deve usar o SMTP. POP3 e IMAP4 não suportam
spoofing, mas funcionarão com squatting. Se você tiver autonomia para decidir qual servidor
de e-mail usar, poderá usar uma das seguintes opções:
pombal
92 Capítulo 7
Machine Translated by Google
Um dos clientes originais de correio da Internet, lançado pela primeira vez em 1983. Ele implementa
SMTP e atualmente é mantido pelo Sendmail Consortium e Proofpoint, uma empresa de
conscientização e prevenção de phishing. As mesmas considerações que são relevantes para o
Dovecot existem com o Sendmail.
Embora o Sendmail seja um software de código aberto, seus mantenedores tentam impedir o
phishing, o que pode deixar alguns engenheiros sociais desconfortáveis. Como o Sendmail usa
SMTP, você pode usá-lo para spoofing ou squatting.
Nuvem E-mail
Na minha experiência, o Google não permite que você envie malware (mesmo documentos
do Office habilitados para macro) por e-mail ou Google Drive. No entanto, o Google não irá
desligá-lo se você fizer phishing. No momento da redação deste artigo, você pode obter acesso
ao Google Workspace para seus domínios por meio de Namecheap, Bluehost, SiteGround ou
GoDaddy por cerca de US$ 6 por usuário por mês. A maioria dos domínios de phishing é usada com
base em burn-and-churn, o que significa que eles são usados para uma instância de phishing por
cliente. Se você for a única pessoa fazendo phishing, precisará pagar por apenas um usuário. Se for
esse o caso, você provavelmente não pagará mais de US$ 6 por cliente por um envolvimento de
phishing.
OBSERVAÇÃO Tecnicamente, usar esses provedores de nuvem como parte de ações de phishing é uma violação
de seus Termos de Serviço. Estabeleça um plano de contingência se você for pego e banido.
Phishing 93
Machine Translated by Google
Em terceiro lugar, as soluções automatizadas de phishing têm vários métodos para integrar
em serviços de e-mail como Dovecot, Sendmail ou provedores de nuvem. No entanto,
soluções automatizadas podem colocar código, marcas d'água ou assinaturas no e-mail que os
filtros e outras tecnologias defensivas para e-mail podem detectar.
Antes de configurar um servidor de e-mail, você precisa criar regras de firewall na
DigitalOcean para ele e atualizar o UFW em seu droplet com informações sobre os protocolos
(seja SMTP, IMAP ou POP3) que você está usando para permitir as comunicações. Use as
etapas em “Configurando o servidor da Web de phishing e infraestrutura” na página 90 para
criar as regras de firewall para o servidor de e-mail de sua escolha.
O domínio que você usará para enviar o e-mail precisa ser um dos domínios de nível
superior mais conhecidos, como .com, .net, .org, .io ou .us. Minha principal recomendação é
garantir que você compre um com privacidade de domínio habilitada, que .us
domínios não permitem. Privacidade de domínio é um serviço oferecido por registradores de
domínio que permite que você coloque dados anônimos como informações de contato WHOIS
do seu domínio. Dessa forma, as pessoas não poderão vinculá-lo ao domínio. Caso ocorra algo
que exija que você seja notificado, o registrador atuará como intermediário entre você e o
remetente. Você não quer que você ou seus nomes de empregadores sejam associados a um
domínio de phishing, ou os profissionais de inteligência de ameaças irão cavar incansavelmente
e enumerar todos os seus domínios e sites.
Depois de obter o domínio do qual você fará o phishing, anexe-o à plataforma de e-mail de
sua escolha em sua plataforma de hospedagem e siga as instruções para obter acesso a ele. Se
você estiver fazendo um envolvimento de phishing mais avançado, considere a implementação
de um controle de e-mail técnico (como SPF, DKIM ou DMARC) em seu domínio, pois você estará
ocupando em vez de falsificar.
94 Capítulo 7
Machine Translated by Google
bem sucedido para o seu ataque particular. Nesta seção, mostrarei como usar o
Apache, um pacote de software de servidor da Web gratuito e de código aberto. O
Apache é bem documentado e bastante simples de usar.
Para instalar o Apache, execute os seguintes comandos:
-- ------ ----
Agora que a instalação está concluída, desligue o Apache por enquanto com
estes comandos:
No Capítulo 8, você clonará uma página inicial realista para hospedar neste servidor.
Phishing 95
Machine Translated by Google
Usando pixels de rastreamento para medir a frequência com que seu e-mail é aberto
Se você estiver fazendo um teste não automatizado, como o descrito até agora neste capítulo,
talvez precise de um meio de ver quantas pessoas abrem seu e-mail.
Você pode fazer isso facilmente com rastreamento de pixels, que geralmente são imagens de
1 pixel por 1 pixel exclusivas para cada usuário e renderizadas de um site remoto de sua
propriedade. Você pode observar os logs de acesso para instâncias de cada ID conectando-se
ao servidor.
Adicione o seguinte trecho de HTML ao seu e-mail para configurar um pixel de
rastreamento:
<?php
// Cria uma imagem, 1x1 pixel de tamanho
$im=imagecreate(1,1);
// Define a cor de fundo
$white=imagecolorallocate($im,255,255,255);
// Aloca a cor de fundo
imagesetpixel($im,1,1,$branco);
// Define o tipo de imagem
header("tipo de conteúdo:imagem/jpg");
// Cria um arquivo JPEG a partir da imagem
imagejpeg($im);
// Libera memória associada à imagem
imagedestroy($im);
?>
96 Capítulo 7
Machine Translated by Google
em que as vítimas vão pousar. Embora você possa criar ambos dentro do Gophish, isso pode
aumentar suas chances de detecção. Sugiro configurar estas três regras de firewall para evitar
a detecção ou danos colaterais:
ufw habilitar
cd /opt/
git clone https://github.com/gophish/gophish
cd gophish
apt-get install golang -y
acesse github.com/gophish/gophish
vá construir
Configure o Gophish para ouvir no endereço IP público ou privado que você usará para
se conectar a ele:
root@********:/opt/gophish# vi config.json
"admin_server": {
"listen_url": "127.0.0.1:3333",
"use_tls": verdadeiro,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"phish_server": {
"listen_url": "0.0.0.0:80",
"use_tls": falso,
"cert_path": "example.crt",
"key_path": "example.key"
},
"db_name": "sqlite3",
Phishing 97
Machine Translated by Google
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"endereço de contato": "",
"exploração madeireira": {
"nome do arquivo": ""
}
}
Senha: gophish
98 Capítulo 7
Machine Translated by Google
Agora você sabe quem está enviando o e-mail, como ele está chegando ao
seu destino e o que você deseja que ele faça. É hora de criar o e-mail real. Uma
maneira de fazer isso é importar um e-mail existente — digamos, um e-mail que Erica,
do RH, recebeu há duas semanas — e usá-lo como modelo. O Gophish usará o
formato, estilo e idioma do e-mail que você importar. Você pode configurar isso na
guia Modelos de e-mail em Novo modelo de e-mail (Figura 7-9).
Phishing 99
Machine Translated by Google
Você tem tudo o que precisa. Vamos organizá-lo em uma campanha, que
junta todas as peças em que você trabalhou para enviar aos clientes. Você pode configurar
isso na guia Campanhas , em Nova campanha (Figura 7-10).
Depois de preencher este formulário, tudo o que você precisa fazer é lançar a campanha
e aguarde os resultados.
100 Capítulo 7
Machine Translated by Google
Alguns usuários procuram o cadeado verde associado a sites HTTPS como um teste decisivo
para ver se um site não faz parte de um ataque de phishing. Os invasores perceberam e
começaram a usar HTTPS em seus sites. Através do uso do Let's Encrypt, podemos fazer o
mesmo gratuitamente e oferecer aos nossos clientes uma experiência mais realista.
root@*********:~# cd /opt/
root@*********:~# wget https://dl.eff.org/certbot-auto
root@*********:~# chmod a+x certbot-auto
root@*********:~# ./certbot-auto certonly -d {seu domínio} --manual --preferred -challenges dns
Quando a instalação estiver concluída, siga as instruções na tela para concluir todas as
verificações no DNS e concluir a configuração.
O processo é semelhante se você estiver configurando manualmente seu ataque
de phishing. (Observe que a configuração não será renovada automaticamente. Você terá
que executar o script para renovar isso a cada três meses, supondo que você deixe por
tanto tempo.)
Após esta série de comandos, você será solicitado a inserir algumas informações.
Depois que todas as verificações tiverem ocorrido, execute este comando para verificar a
instalação:
sudo ls /etc/letsencrypt/live
Encurtadores de URL (como Bitly) podem tornar a página de destino menos obviamente
reconhecível. Ao decidir usá-los, considere o nível percebido de dificuldade do envolvimento
de phishing e a maturidade da organização-alvo. Algumas organizações tentam filtrar URLs
abreviadas de e-mails e outras treinam os usuários para evitar esses links. O uso de
encurtadores deve ser discutido com seu ponto de contato de segurança. Se você optar por
usá-los, entenda que eles podem ser removidos dos e-mails.
Phishing 101
Machine Translated by Google
AVISO Seja cauteloso e certifique-se de ter toda a autoridade adequada para gravar chamadas. Você não quer
ser o assunto de um estudo de caso em um livro sobre engenharia social. Em caso de dúvida,
procure aconselhamento jurídico profissional.
A linha de fundo? Não se apresse se não for necessário. Às vezes, seus clientes precisam
que você aja rapidamente, mas isso deve ser a exceção, não o padrão.
Em segundo lugar, escolha o dia e a hora para executar o noivado com cuidado.
Escolher o momento adequado exige pesquisa. Por exemplo, se você for vishing, poderá
bloquear seu número e silenciar sua linha e, em seguida, ligar no mesmo horário no mesmo
dia da semana todas as semanas por algumas semanas antes do noivado, para ver quem
atenderá. Preste atenção também se você está realizando seu engajamento durante o horário
de trabalho. Se você está se passando por um funcionário, independentemente de estar
falsificando ou ocupando, qual é o horário e os padrões de trabalho dessa pessoa? Se,
durante um ataque de phishing, você se passar por uma pessoa que trabalha em turnos de
10 horas, das 6h às 17h, de segunda a quinta-feira, enviando seu e-mail às 17h45 em
qualquer dia - ou, pior, no Sexta-feira - provavelmente não é uma boa ideia.
102 Capítulo 7
Machine Translated by Google
Phishing 103
Machine Translated by Google
Como você sabe, estarei substituindo Steve como CEO na próxima semana, após 37
anos de serviço dedicado, altruísta e devotado. Estes são sapatos enormes para
preencher, mas farei o meu melhor. <Insira aqui a citação direta do COO>.
Ao longo dos anos, tivemos altos e baixos e procuramos fazer melhor. Eu planejo
<pontos retirados de um comunicado de imprensa>. Como diz Steve, <citação direta
das entrevistas de mídia do CEO cessante sobre sua aposentadoria>.
Como alguns de vocês sabem, estou comprometido com a melhoria constante dos
processos para clientes, parceiros, fornecedores e, o mais importante, Proprietários-
Associados. É por isso que colaborei com o RH para configurar uma pesquisa da
SurveyMonkey para melhorar todos os aspectos da <Nome da empresa>. Use o link
abaixo para concluir esta pesquisa até o fechamento dos negócios na sexta-feira.
104 Capítulo 7
Machine Translated by Google
Com base nas informações que forneci, como esse ataque poderia ter sido
mitigado ou evitado?
•A empresa deveria ter treinado todos os usuários sobre como avaliar e-mails para
contextos suspeitos. Ensine-os a pedir ajuda ao segurança em caso de dúvida,
especialmente quando URLs abreviados estão envolvidos.
•A empresa deveria ter implementado o Proofpoint ou uma solução semelhante para
adicionar a palavra [Externo] no início da linha de assunto do e-mail.
•A empresa deve ter funcionários treinados para avaliar as URLs das páginas em que
navegam.
•Poderia ter ocorrido uma melhor coordenação entre as equipes de segurança e
rede. Uma comunicação melhor poderia ter evitado que o líder de rede enviasse
um e-mail à empresa sobre o e-mail, chamando a atenção para o e-mail em vez
de removê-lo silenciosamente da fila da caixa de entrada antes do e-mail.
Conclusão
Os compromissos de engenharia social bem-sucedidos exigem planejamento e
configuração técnica significativos. Este capítulo abordou como configurar um ataque
de phishing que coletava credenciais do usuário sem ser pego. Você primeiro
configurou um droplet da DigitalOcean, protegeu o droplet e configurou o firewall do
droplet. Em seguida, você aprendeu sobre as considerações para configurar um
servidor de e-mail realista.
Você terá que tomar muitas decisões no processo de phishing. Discutimos a
melhor forma de selecionar um domínio para sua conta de e-mail, bem como para a
página inicial para a qual você direcionará os usuários. Também discutimos
complementos como rastreamento de pixels, serviços automatizados de phishing,
suporte a HTTPS e encurtadores de URL. Igualmente importante no lado não técnico,
discutimos o momento do seu ataque.
No próximo capítulo, você configurará um clone realista de um site legítimo que
poderá usar para coletar credenciais de usuário e informações confidenciais — ou para
algum outro propósito tortuoso.
Phishing 105
Machine Translated by Google
8
CLONANDO PÁGINA AL ANDING
A página de login
A Figura 8-1 mostra a primeira página, denominada index.html.
Visualmente, a vítima pode captar algumas pistas para identificar esse phishing.
Perceba que falta o cadeado verde indicando o uso de HTTPS, pois renderizei direto
do arquivo no meu navegador sem usar o Apache. Em um phishing real, a URL não teria o
nome legítimo surveymonkey.
com/ <caminho para a pesquisa> , embora possa mencionar o SurveyMonkey em algum lugar
para enganar os usuários. Além disso, a SurveyMonkey normalmente não coloca logotipos na
página de login. Caso contrário, é difícil detectar esse phishing; o título mostrado na guia do
navegador é preciso, e passar o mouse sobre os links Cadastre-se ou Empresa Credenciada
BBB mostrará os links reais.
A Figura 8-2 nos mostra a primeira página (index.html) do nosso site, à qual nos
conectamos usando HTTPS sem erros. Esta é a página inicial para a qual enviaríamos as vítimas
e onde tentaremos coletar os endereços de e-mail e senhas das vítimas antes de passá-los para
a página question.html .
108 Capítulo 8
Machine Translated by Google
Figura 8-2: versão HTTPS do site (mostrando uma classificação de segurança clara)
Se você revisar o código-fonte HTML desta página, verá que é quase idêntico ao
código do site original. Você pode encontrar o código-fonte das páginas que clonamos,
bem como analisadores escritos em Python para as informações que podem ser
inseridas, em http:// sm-phish.seosint.xyz/.
Em index.html, alterei as linhas de código que definem o formulário de login e
seus campos. Também editei o código para que, quando os usuários enviarem o
formulário, sejam redirecionados para question.html:
Eu defini a ação 1 para dizer ao sistema que ele deve ir para a página
questions.html depois que o usuário enviar o formulário. Em seguida, defini o método
HTTP como get 2 para capturar dados de cada um dos campos do formulário. (Uma
explicação completa dos métodos HTTP está fora do escopo deste livro, mas você pode
encontrar muitos recursos que cobrem o tópico online.) Em seguida, criei os campos
input-id 3, textfield required 4 e type 5, que geram as caixas que será exibido na tela para
a vítima usar.
Você deve entender que HTTP GET não é um método seguro. Para
Embora este formulário pareça um login, não é. Ele apenas captura a entrada;
não o valida. Desde que cada campo contenha pelo menos um caractere, o usuário
passará para a próxima página. Se esse código realmente estivesse realizando a
autenticação, seria considerado inseguro, pois o site permitiria a entrada de todos.
110 Capítulo 8
Machine Translated by Google
Figura 8-3: A segunda página do site clonado, com os parâmetros de index.html passados na URL (questions.html)
A página de erro
A página final (Figura 8-4) informa aos usuários que houve um erro.
Você pode usar esta página final para uma variedade de propósitos. Por exemplo, muitas
vítimas podem se perguntar por que ocorreu um erro e tentar o processo novamente, inserindo
novas credenciais na tentativa de fazê-lo funcionar. As vítimas também podem relatar esse problema
ao departamento de TI, o que pode encerrar o envolvimento.
O HTML desta página contém um loop infinito que faz com que a página
recarregar-se para sempre. Quando escrevi esse código, por volta de 2017, os navegadores
deixavam esse loop rodar para sempre. Versões de navegadores lançadas após 2020 podem pará-lo
Depois de algum tempo.
Colhendo as informações
O loop causa um problema. Cada iteração dele grava uma linha no arquivo de log, o que torna a
coleta manual de senhas e outras informações confidenciais do arquivo um desafio. Em vez disso,
você pode usar alguns scripts Python para extrair apenas informações relevantes. Você pode
encontrar esses scripts em http:// sm phish.seosint.xyz/.
Cada linha fornece informações enviadas por um usuário. Ele nos informa a página na qual os
dados foram inseridos (questions.html ou error.html), bem como o ID e o valor do campo, como
pet=Dee-Oh-Gee&.
O script data_parser_index.py abrirá o arquivo de log, localizará cada campo que solicitamos
aos usuários inserir na página de login e, em seguida, exibirá o campo como uma matriz:
#!/usr/bin/env python3
importar re
user_pass = re.compile(r"\S.+username\=(?P<user_name>\S.+)\&(?P<senha>\S.+)\sHTTP\S.+")
log = open("/var/log/apache2/access.log", "r")
matriz = []
para l no log:
u = user_pass.findall(l)
se você:
imprimir(u)
senão:
saída
112 Capítulo 8
Machine Translated by Google
#!/usr/bin/env python3
importar re
perguntas = re.compile(r"\S.+pet\=(?P<pet>\S.+)\&escola\=(?P<escola>\S.+)\&nome\=(?P<mãe
>\S.+)\&\
lua de mel\=(?P<lua de mel>\S.+)\sHTTP\S.+")
log = open("/var/log/apache2/access.log", "r")
matriz = []
para l no log:
u = perguntas.findall(l)
se você:
imprimir(u)
senão:
saída
root@ossie:~# ./data_parser_index.py
[('Testing_Username', 'password=password123')]
Clonar um site
Agora você vai clonar um site. Para o propósito deste exercício, você criará uma cópia
simples, mas quase idêntica, de duas páginas da web No Starch Press. A instância do
Apache que você criou no capítulo anterior precisa de algum código para hospedar. Você
precisa de algo para renderizar na tela do usuário; caso contrário, você não estará fazendo
nada além de medir cliques.
usuário Vamos supor que você esteja mirando em uma empresa cujos funcionários, como
você sabe por meio de seus esforços OSINT, compram livros da No Starch Press com
frequência. Para roubar suas credenciais para o site, você copiará a página de login nostarch.com .
Visite esta página agora ou localize-a usando robots.txt, um arquivo que informa aos robôs de
indexação do mecanismo de pesquisa da Internet o que indexar (e o que não indexar). Frequentemente
usamos esse arquivo na coleção OSINT para identificar diretórios que não podem ser encontrados
usando mecanismos de pesquisa convencionais.
Você pode perceber que clicar no botão Login leva você a uma nova página da web: https://
nostarch.com/ user. Vamos clonar a página principal e esta página.
A ferramenta tem várias opções úteis. A opção –mirror faz uma cópia quase idêntica de um
site específico. A opção –update atualiza a cópia de um site existente; por exemplo, alterando o
código subjacente, links, rastreadores ou campos. A opção –continue continua espelhando um site
se o processo de espelhamento foi interrompido ou parado. A opção –skeleton copia apenas os
arquivos HTML do site. A opção -O permite especificar o diretório de saída.
A Figura 8-5 mostra a página clonada. Você pode visualizá-lo no diretório em que executou o
HTTrack. Navegue até a pasta apropriada para o domínio e, em seguida, para a estrutura de
diretórios. Neste caso, você está olhando index.html de nostarch.com.
114 Capítulo 8
Machine Translated by Google
Como está agora, qualquer coisa inserida no site clonado redirecionará o usuário para o site
real. Você precisa alterar esse comportamento para os campos de login.
Primeiro, vamos ver este código. A maneira mais simples é carregar o site real
e identificar os campos de login no código usando o recurso Inspecionar elementos do
navegador. Para fazer isso, clique com o botão direito do mouse em qualquer parte da
página e selecione Inspecionar. Agora passe o mouse sobre os campos de login e o
código à direita deve destacar esses elementos.
Nesse caso, o formulário de login é exibido. Aqui está o formulário da página original:
Como o formulário de login que discutimos anteriormente, este arquivo contém o nome de usuário 2
e senha 3 campos, e a captura funciona da mesma forma.
Após uma inspeção mais aprofundada, você pode ver que este site usa o método
HTTP POST em vez de GET, o que significa que você precisará reescrever essa linha 1
para poder roubar credenciais na URL, gravando-as no log do Apache Access. HTTP
POST e HTTP GET são métodos para obter informações do servidor para o cliente. A
principal diferença é que o método GET carrega os parâmetros na URL, o que é menos
seguro que os métodos HTTP POST, que usam o corpo da mensagem para transferir os
parâmetros.
Vamos aplicar isso ao nosso login No Starch e fazer algumas alterações para que
você pode alterar o tipo para GET e capturar as credenciais conforme planejado.
O arquivo que você está procurando está no diretório nostarch.com/ user em index.
html. Você pode localizar o arquivo usando o método Inspect Element ou baixando
manualmente e revisando o código-fonte.
Aqui está a parte do código existente que tem o formulário (que pode ser
encontrados pesquisando a forma da palavra ):
116 Capítulo 8
Machine Translated by Google
OpenID</a></li>
<li class="user-link"><a href="#">Cancelar login OpenID</a></li>
</ul><div class="form-actions form-wrapper form-group" id="edit-actions">
<button type="submit" id="edit-submit" name="op" value="Log in" class="btn btn-primary
form-submit icon-before">
<span class="icon glyphicon glyphicon-log-in" aria-hidden="true">Login</button>
</div></div></form>
Você primeiro altera a ação de formulário 1 e a tag href 2, que nos permite redirecionar o tráfego
desta página para nosso arquivo error.html . Em 3 você pode ver a parte do código que precisa
remover para que sua página falsa não redirecione a vítima para a página real.
Você terá que fazer sua própria versão do arquivo error.html referenciado neste arquivo, mas isso
não é difícil de fazer. Você pode fazer algo tão simples quanto copiar o arquivo existente e substituir o
formulário por uma declaração que diga algo como esta linha:
Você pode encontrar um exemplo de arquivo error.html para uma página da SurveyMonkey no
Repositório GitHub (http:// sm-phish.seosint.xyz/).
Agora teste esta cópia clicando duas vezes no ícone em um visualizador de arquivos ou navegando
até o host em um navegador (Figura 8-7).
Figura 8-7: Exibindo uma mensagem de erro personalizada em um clone da página de registro do No Starch
118 Capítulo 8
Machine Translated by Google
Conclusão
Configurar páginas de phishing não é muito difícil. Pode ser tedioso, porém, e
determinará seu sucesso. A qualidade de suas páginas de destino de phishing pode
fazer a diferença entre um phishing totalmente malsucedido, mesmo contra uma
empresa sem consciência de segurança, e repetir negócios por meio de um
relacionamento colaborativo.
Outra coisa a ter em mente é que as páginas devem ser tão realistas quanto seu
cliente deseja. Se eles quiserem que este exercício seja um 3 de 10, você pode deixar
de lado o suporte HTTPS, incluir links quebrados ou usar gramática ruim. Se pedirem
um 9, jogue tudo e a pia da cozinha neles. Seja o melhor engenheiro social de estado-
nação que você pode ser!
9
DETECÇÃO , MEDIÇÃO,
E RELATÓRIOS
Detecção
Embora os engenheiros sociais desejem, em parte, obter acesso não autorizado, os éticos também
devem esperar ser detectados. Os clientes não pagam para você intimidar seus funcionários. Em
vez disso, eles querem entender os pontos fracos de sua empresa, juntamente com conselhos para
superá-los.
Portanto, você deve aceitar um meio termo: desafie seu alcatrão, mas faça-o de
maneira justa. Parte desse meio reside em fazer com que o cliente treine a equipe, o que está fora
de seu controle. A terceira seção deste livro trata disso. A parte que você pode mudar é a estrutura
de seus compromissos. Ao usar ataques com níveis variados de dificuldade, você pode dar aos
funcionários a chance de detectá-lo e denunciá-lo.
Medição
Para avaliar o sucesso do seu engajamento, você precisa usar métricas. Mas quais métricas
importam? Como você os mede? Você precisa fazer um curso de estatística ou obter um diploma
em ciência de dados?
Ter algum conhecimento sobre estatísticas ajudará e, em certas situações - por exemplo, se
você quiser avaliar quais departamentos de uma empresa foram vítimas de ataques de engenharia
social com mais frequência ou quais esquemas e horários foram mais eficazes - entender os conceitos
de ciência de dados como regressão e análise de cluster certamente não vão doer. Na maioria dos
casos, no entanto, esse pano de fundo não é necessário. Lembre-se também de que, se você planeja
fazer essa pesquisa, precisará de um conjunto de dados substancial (milhares de e-mails de phishing,
senão milhões) e, mais importante, do consentimento do cliente.
122 Capítulo 9
Machine Translated by Google
Seleção de Métricas
Ao selecionar métricas, tente ser o mais prático possível. O que poderia colocar a
organização do cliente na metade superior da primeira página do jornal local, acima da
dobra? O que poderia colocá-lo em problemas legais? Na maioria das vezes, apenas abrir
um e-mail não causará um resultado negativo, portanto, essa métrica pode não ser muito útil
para medir. Clicar em links, fornecer informações ou deixar de relatar a vítima causa
consequências negativas.
Embora você possa ter suas próprias ideias sobre quais métricas devem se
preocupar, saber quais métricas o cliente considera importantes também é fundamental.
A partir deste ponto, você pode organizar os dados conforme necessário para ajudar o
cliente a entendê-los.
Por outro lado, a média é a média de todos os pontos de dados. Usando os mesmos três
compromissos, você pode somar todos os três valores e dividir o resultado por 3 (já que
existem três valores), obtendo uma média de 38,33.
Para falar do padrão como um todo, use o desvio padrão, a medida da variação de um
conjunto de valores. Simplificando, o desvio padrão fornece uma medida de quanto cada
valor difere da média. Eu poderia aborrecê-lo com a equação real, mas uma observação
positiva é que o Excel e a maioria dos aplicativos de planilhas calcularão para você. Um
desvio padrão baixo significa que os pontos de dados no conjunto são mais semelhantes do
que se o desvio padrão fosse alto.
Ter esses pontos de dados ajudará o cliente a entender o estado geral de uma
organização em termos de comportamento de seus funcionários. Por exemplo, se você
tiver o conjunto de dados 1, 1, 1, 1, 5, 7, 24, poderá gerar os seguintes valores:
• Mediana: 1
•Média: 5,714
• Desvio padrão: 8,420
A partir dessas estatísticas, você pode generalizar, para o cliente, como seus
funcionários se saíram no teste. Por exemplo, o desvio padrão de 8,420 neste exemplo
mostra que o conjunto de números é diverso, provavelmente indicando que as pessoas
se comportaram de maneira muito diferente umas das outras. Esse desvio padrão faz
sentido se você voltar aos dados originais e considerar a grande diferença entre o maior
número, 24, e o próximo maior, 7. Se mudarmos 24 para 12, reduzindo a variação no
conjunto de dados, o desvio padrão diminui significativamente, para 4,281.
124 Capítulo 9
Machine Translated by Google
para redirecionar os usuários para um local seguro quando clicarem nele). Um valor alto de
distância de denúncia aberta pode indicar que muitas pessoas abriram o e-mail antes de ela ser
denunciada, o que também dá menos tempo para a equipe de segurança agir, devido à
probabilidade de alguém clicar em um link e não denunciar, já que muitas pessoas já
demonstraram.
A taxa de relatórios abertos mede o envolvimento dos usuários em termos de
relatórios. Dos usuários que abriram o e-mail, quantos relataram à equipe de segurança? Essa
métrica indica se existe um relacionamento colaborativo entre os usuários e a equipe de
segurança. Ele também fala sobre a capacidade dos usuários de reconhecer uma tentativa de
phishing.
O número de cliques
O número de cliques no link do e-mail é uma das métricas mais influentes. Os cliques podem
levar a infecções por malware, uploads de arquivos ou vazamento de informações confidenciais,
como senhas, por meio de formulários falsos. Ainda assim, embora seja mais importante que a
abertura, essa métrica não é a mais importante.
Combinar cliques com outros dados, como a hora do primeiro clique
para o primeiro relatório ou medir as métricas de informações click-to-report e click-to-
input são muito mais valiosas. Isso porque é importante entender o quão bem uma
organização pode responder aos cliques, e não apenas se os usuários clicariam.
Embora seja verdade que os usuários não devam clicar nesses links para começar, é
mais uma vez responsabilidade da equipe de segurança protegê-los se o fizerem. A
administração do correio, as equipes de segurança da informação e os usuários devem
colaborar para que, se um link for clicado, o sistema proteja o usuário. A responsabilidade de
proteger a organização não deve recair totalmente sobre o usuário não treinado e não técnico.
Assim como a distância do relatório aberto, a distância do relatório de cliques mede o tempo
entre o clique no primeiro e-mail e o momento em que ele é relatado à equipe de segurança.
Essa métrica mais uma vez indica a quantidade de tempo que a equipe de segurança tem para
mitigar o impacto do phishing. Além disso, assim como a taxa de relatórios abertos, a taxa de
relatórios de cliques mede o envolvimento dos usuários em termos de relatórios.
taxa de relatórios abertos e um conjunto de dados mínimo para medir os relatórios de cliques.
Ter uma taxa de relatórios de cliques maior do que a taxa de relatórios abertos, ou taxas iguais,
indica que as pessoas estão abrindo os e-mails e clicando antes de relatar.
A natureza das informações que os usuários inserem nos formulários é outra das métricas mais
críticas. Os usuários podem inserir senhas, endereços de e-mail e outras informações
confidenciais neste formulário e, sem um robusto Centro de Operações de Segurança
monitorando ativamente os sistemas dos usuários, as atividades na Internet e as atividades da
Internet pública, a organização não saberia. Ao relatar essa métrica, evite compartilhar as
senhas ou dados reais coletados no relatório. Se você precisar compartilhar as informações,
tente fornecer apenas uma lista de usuários que devem redefinir suas senhas; também, é melhor
fazê-lo fora do relatório formal.
Calcular a taxa de validade exige que você conheça os hashes dos usuários
credenciais reais. Se a equipe de segurança do cliente estiver disposta a fornecer os
hashes para as senhas de seus usuários, você pode fazer o hash das informações inseridas
no formulário usando o mesmo algoritmo de hash e, em seguida, comparar os dois hashes
para ver se os usuários inserem informações válidas. Isso pode dizer o número de pessoas que
colocaram informações legítimas no site de phishing versus quantas pessoas não o fizeram, seja
por engano ou trollagem.
126 Capítulo 9
Machine Translated by Google
Tempo de Detecção
128 Capítulo 9
Machine Translated by Google
Na manhã seguinte, entrei no meu sistema para ver que 42% dos
a organização tinha informações de entrada; algumas pessoas até o fizeram duas
vezes ou mais. Por quê isso aconteceu? O administrador de rede que me bloqueou
encaminhou o e-mail para toda a organização sem bloquear ou afundar o link no e-mail.
Eles criaram uma espécie de efeito Streisand ; ao tentar alertar as pessoas sobre o e-
mail, eles expuseram mais pessoas a ele, e a curiosidade matou os gatos.
Classificações de risco
Quantificar o risco não é fácil, mas é importante, porque o relatório que você envia
ao seu cliente deve organizar suas descobertas com base na gravidade.
Várias metodologias podem ser usadas para classificar e quantificar o risco, tanto
qualitativamente (usando rótulos subjetivos como Crítico, Alto, Médio, Baixo e
Informativo) quanto quantitativamente (como em uma escala de 0 a 10). A Metodologia
de Classificação de Risco OWASP e o Sistema de Pontuação de Vulnerabilidade
Comum (CVSS) são duas dessas metodologias.
A menos que seu empregador ou cliente queira uma pontuação de risco
quantitativa, recomendo ficar com a qualitativa. Tentar realizar análises quantitativas
requer que todos os pontos de dados estejam em formato numérico, e realizar traduções
para alguns pontos de dados cria mais complexidade e complicações do que o
necessário. A maioria de nossas métricas é de natureza quantitativa, mas não podemos
traduzir facilmente as ações em valores numéricos. Por exemplo, encaminhar um e-mail
não está relacionado à exclusão de um e-mail. Se atribuirmos um valor numérico a
essas tarefas, implicamos a existência de uma relação entre elas, que não existe. Ao
determinar a gravidade do risco, considere a probabilidade e o impacto do incidente e,
em seguida, equilibre esses dois fatores para obter uma classificação única.
Em seguida, defina o que deve contar como Crítico, Alto, Médio, Baixo e
Informativo. A seguir estão as definições padronizadas que você pode usar em seu
relatório como achar melhor:
Crítico
Esses são os riscos que podem causar danos catastróficos, tempos de inatividade
prolongados ou o fim de todas as operações. Eles são imediatamente e facilmente
exploráveis. Eles geralmente são voltados para o público e têm impactos
significativos na capacidade de uma organização de fazer negócios. Eles também
podem ameaçar a vida humana. No caso da segurança da informação, isso também
pode incluir uma violação de dados regulamentados ou confidenciais, como
informações de identificação pessoal (PII) ou informações de saúde protegidas
(PHI), que foi o que ocorreu no Equifax, Escritório de Administração de Pessoal dos
EUA ( OPM), ou outras violações da mesma magnitude.
Alto
Baixo
Esses itens representam pouco risco para o cliente. Eles podem ter dependências
marginais, como acesso físico local, ou exigir que outro vetor de exploração já tenha sido
realizado. Esses riscos envolvem interrupção mínima se forem bem-sucedidos.
Informativo
Estes não representam nenhum risco atual, mas não aderem às melhores práticas ou podem se
tornar arriscados mais tarde.
Comunicando
Esta seção irá guiá-lo através da escrita do relatório de entrega para o seu cliente. Embora
não seja tão empolgante quanto o engajamento em si, o relatório é o que os clientes pagam
para você receber. Dito isso, torná-lo útil é um desafio. A verdade é que alguns clientes lerão
o relatório com atenção, enquanto outros o arquivarão para fins de conformidade sem olhar
para ele. Se as pessoas não lerem o relatório, como poderão corrigir os resultados? Esta
seção responde a essa pergunta analisando dois ângulos: o relatório de entrega que o cliente
deve ler e as situações que garantem que você pare o que está fazendo e ligue para o cliente.
O relatório não é sua única ferramenta para se comunicar com seu cliente. Ligue para o cliente
sempre que a vida humana ou os recursos críticos de computação estiverem em perigo.
Por exemplo, se você descobrir um ator mal-intencionado na rede do cliente ou outra condição
desagradável que possa ser sensível ao tempo, alerte o cliente imediatamente.
Para tudo o mais envolvido com o envolvimento e atividades associadas, sinta-se à
vontade para fornecer atualizações breves e incrementais por e-mail ou telefone, mas
certifique-se de esclarecer que nenhuma das informações nessas comunicações informais é
oficial. Não fazer isso pode levá-lo ao tribunal se uma atualização que você fornecer contradizer
as informações em seu relatório. O relatório deve ser a principal e, idealmente, única
comunicação oficial entre você e o cliente após a conclusão do processo de venda.
Escrevendo o relatório
Aconselho você a escrever o relatório à medida que avança, para não perder detalhes ou ter
que vasculhar as anotações para cobrir tudo. Emprestando alguma filosofia
130 Capítulo 9
Machine Translated by Google
de Chris Sanders, autor de Practical Packet Analysis (No Starch Press, 2017), seu relatório
deve ser claro e conciso, mas também deve contar uma história.
Usando a narrativa, você pode envolver os leitores de forma mais eficaz para encorajar—
talvez até mesmo transformá-los em engenharia social - para ler o relatório na íntegra.
O que quero dizer com contar histórias? Explique os passos que você deu e por que eles
foram importantes. Faça parecer que você estava agindo como um verdadeiro ator malicioso.
Fale sobre o que você viu, sua análise e os resultados. Para ajudá-lo a envolver os leitores, use a
voz ativa em vez da voz passiva. Por exemplo, os consultores enumeraram com sucesso que o site
está em voz ativa. A enumeração do site foi determinada como possível por voz passiva.
Dependendo se você é autônomo ou trabalha para uma empresa, esse tempo pode ser
cobrado a uma taxa faturável menor do que o próprio contrato ou pode ser não faturável. Não
use todo o tempo alocado apenas para usá-lo. Use apenas o necessário. Esse tempo também
deve ser contabilizado para revisões de documentos (como por editores, equipes jurídicas ou
garantia de qualidade).
Estruturando o Relatório
A próxima seção deve detalhar o OSINT que você encontrou. Para cada informação, inclua a
saída da ferramenta que você usou ou uma captura de tela de
Insira a totalidade de suas descobertas na próxima seção. Este é o lugar para ser
detalhado. Explique o problema, como você o encontrou, artefatos de sua localização,
referências explicando por que é um problema, como corrigi-lo totalmente e possíveis
atenuações se a correção completa não for uma opção. Esta seção reiterará o conteúdo
das seções de resumo executivo e conclusões. É aqui que você explica de forma coesa,
em formato de parágrafo (embora listas ocasionais possam ser úteis para destilar
informações) como corrigir os problemas que você descobriu. Em seguida, termine com a
seção de remediação e recomendações.
Defender treinamento, soluções técnicas ou outras mudanças culturais. A Parte 3 deste
livro discute essas proteções.
Tenha em mente que você está apenas recomendando. Você não tem autoridade
para exigir qualquer alteração, e o cliente pode ou não resolver o problema.
Embora você possa ter um senso de propriedade do projeto, em última análise, não é
problema seu se eles optarem por não seguir seu conselho.
Garantindo verbosidade e
precisão Recomendo que várias pessoas, sob acordos de confidencialidade (NDAs),
revisem o relatório antes de entregá-lo aos clientes. Uma pessoa deve revisar todos
os aspectos técnicos do relatório quanto à precisão, enquanto outra pessoa deve
revisá-lo quanto à gramática, mecânica e prosa. Seus revisores também devem avaliar
a verbosidade do relatório para garantir que seja detalhado o suficiente para transmitir
os pontos de forma adequada, mas não excessivamente prolixo. Como Frances Saux,
editora deste livro, pode atestar, isso é algo com o qual luto. Muitos engenheiros sociais o
fazem. E como meu editor Bill Pollock apontou
132 Capítulo 9
Machine Translated by Google
Fora, os engenheiros sociais confiam em sua capacidade de falar como um ponto forte.
Ao trabalhar com pessoas não técnicas e não relacionadas à segurança, essa força
se torna uma falha.
Conclusão
O relatório não é o aspecto mais divertido da engenharia social ou da coleção OSINT,
mas é um dos aspectos mais importantes. Faça o possível para transmitir à gerência não
apenas o que você realizou, mas também como os funcionários se saíram contra você,
juntamente com conselhos práticos para melhorar.
As métricas que você mede e a maneira como você as mede influenciarão
os processos de tomada de decisão de seu cliente e o sucesso geral de seus negócios.
Fornecer dados mal explicados ou distorcidos pode embaraçar o cliente, ou pior, colocá-lo
em problemas legais e você com um (ou mais) clientes a menos.
PARTE III
DEFENDENDO-SE CONTRA
ENGENHARIA SOCIAL
Machine Translated by Google
10
DEFESA PROATIVA
TÉCNICAS
Se você disser a verdade, não precisa se lembrar de nada.
—Mark Twain
Programas de conscientização
Os programas de conscientização são iniciativas da empresa projetadas para fornecer
orientação aos usuários em situações em que eles encontram - ou, infelizmente, são vítimas
de - um ataque de engenharia social. Esses programas são essenciais porque expõem os
usuários, que provavelmente já estão recebendo e-mails de phishing, a táticas que invasores mal-
intencionados podem usar sem o potencial resultado negativo.
Uma abordagem para conduzir esses treinamentos é ensinar os usuários sobre
tendências comuns na indústria de segurança. Oferecer esse tipo de conselho geral
raramente é suficiente. Espero que os capítulos anteriores deste livro tenham ajudado você a
entender que as diretrizes de segurança tradicionais – como procurar o cadeado verde na
barra de endereço do navegador da Web, prestar atenção à ortografia e à gramática em e-
mails e verificar os endereços dos links – não são mais suficientes. para evitar ataques de
phishing. Claro, alguns invasores ainda cometem esses erros. Mas os sofisticados capazes de
causar danos catastróficos a uma organização não são.
138 Capítulo 10
Machine Translated by Google
correntes ou responder a e-mails suspeitos sem primeiro falar com a equipe de segurança.
Embora não seja do seu interesse punir os erros das pessoas, é útil reforçar o bom
comportamento. Mais uma vez, no entanto, fazê-lo corretamente é um equilíbrio delicado.
A razão pela qual é delicado é que, ocasionalmente, as pessoas tentam burlar o sistema.
Para fornecer um exemplo de como a oferta de incentivos pode dar errado, considere
o que aconteceu com a Wells Fargo em 2016. Entre 2009 e 2015, a Wells Fargo estabeleceu
metas de vendas irrealistas para sua equipe. Mais tarde, o banco descobriu que essas
metas haviam incentivado 5.300 funcionários a criar contas falsas no Wells Fargo, em alguns
casos para familiares e amigos, mas em outros casos para estranhos. A administração
descobriu isso quando os estranhos começaram a cobrar taxas.
Para evitar que os funcionários joguem com o sistema, evite oferecer incentivos
para relatar a maioria das tentativas de phishing. Esses incentivos incentivariam os funcionários
mais velhos a colocar seus e-mails em listas de phishing, criando mais trabalho para a equipe de
segurança. Em vez disso, você pode incentivar relatórios inteligentes ou exclusivos
e-mails de phishing, passando todas as simulações de phishing ou relatando-as, ou algo nesse
sentido. A ideia é recompensar relatórios em geral, especialmente de tentativas de phishing
inteligentes ou exclusivas, em vez de recompensar a maior quantidade de relatórios. Se uma
organização basear as recompensas na quantidade e os funcionários propositadamente entrarem em
listas de phishing, eventualmente pode aparecer uma que pareça real e os usuários sejam vítimas;
enquanto isso, a equipe de segurança está ocupada analisando todos os outros e-mails encaminhados.
Aqui estão alguns prêmios gratuitos ou de baixo custo que você pode oferecer:
Fornecer qualquer coisa de valor percebido aos funcionários para fazer um bom
trabalho ajudará a reforçar o bom comportamento que você procura. Isso é um pouco de engenharia
social em si, mas visa trazer resultados positivos para os funcionários e para a organização.
140 Capítulo 10
Machine Translated by Google
Terceirização
Pela minha experiência, geralmente é melhor que terceiros lide com o OSINT
e o monitoramento de reputação. Quando terceiros coletam OSINT em seus
funcionários, você pode aliviar as preocupações de que a organização espiona os
funcionários. Ele também mantém a equipe de segurança de sua organização longe
de contas pessoais pertencentes a outros funcionários, o que reduz a chance
de acusações de perseguição ou assédio. Por fim, evita que o abuso real ocorra sob a
bandeira da segurança.
Além de evitar denúncias de assédio, fazer com que terceiros conduzam
O monitoramento OSINT permite que os investigadores operem com viés mínimo.
Eles são mais propensos a agir como uma peneira em vez de uma bomba, o que significa
que eles filtram as informações estranhas, irrelevantes para a segurança, geralmente
usando scanners da Web automatizados com pouca ou nenhuma intenção maliciosa e
fornecem à organização apenas informações relevantes.
Resposta a Incidentes
142 Capítulo 10
Machine Translated by Google
Lições Preparação
aprendido
Recuperação Identificação
Erradicação Contenção
Depois que tudo voltar ao normal, a fase de lições aprendidas é quando você
analise a causa raiz do incidente para determinar as lacunas existentes em seu
conhecimento e execução. Você corrigirá essas lacunas como parte da fase de preparação.
Este é o momento de ser introspectivo e decidir o que poderia ter sido feito melhor.
Respondendo a phishing
Agora que você entende os fundamentos da resposta a incidentes, precisa definir o
que os usuários devem fazer se forem vítimas de vários tipos de ataques de engenharia
social. Vamos começar com o phishing. Um e-mail de phishing que contém links ou arquivos
pode permitir que um invasor obtenha acesso aos seus sistemas.
Seu objetivo, então, deve ser acelerar a contenção e a erradicação.
Uma dica para possibilitar respostas rápidas é escolher uma única cor diferente do
preto para todos os cabos de rede. Isso permitirá que você instrua os funcionários a
desconectar o cabo colorido da parte traseira do computador ou da parede.
Lembre-se de que os sistemas ainda podem estar conectados à rede sem fio e você
também deve definir o comportamento para desconectar os dispositivos sem fio.
Peça aos usuários que relatem a hora aproximada em que o incidente
ocorreu. Esse detalhe ajuda a equipe de segurança a localizar os logs que devem
vasculhar, em vez de deixá-los sem pistas de onde procurar.
Ao serem vítimas do ataque, os usuários devem sair, bloquear a tela, desligar,
desconectar da rede ou hibernar o sistema. As ações que um usuário deve realizar
dependem dos recursos da organização e de sua possível resposta a um determinado
incidente. Por exemplo, se nenhuma análise forense ocorrer, não há motivo para hibernar o
sistema. Como alternativa, se a organização for reconstruir o sistema a partir de uma mídia
boa e conhecida, a ação correta pode ser apenas desligar o sistema após coletar os
artefatos.
O usuário também deve relatar o endereço de e-mail de origem ou o site do phishing,
quaisquer janelas e aplicativos abertos e se algo incomum aconteceu na tela.
Respondendo a Vishing
Embora semelhante ao phishing, o vishing apresenta desafios únicos. Na ausência
de monitoramento de todas as chamadas telefônicas, a capacidade de identificar e agir
sobre as chamadas de vishing depende do relato da equipe, bem como do conhecimento
prévio das ações a serem tomadas. Nenhum sistema de detecção de intrusão (IDSs) ou
SEIMs generalizado ou preciso abrange chamadas telefônicas. As empresas podem
monitorar o tráfego de internet de qualquer telefone conectado à rede Wi-Fi corporativa,
mas não chamadas telefônicas comuns ou seu contexto. Felizmente, um invasor não pode
(imediatamente) fazer login e assumir o controle de uma rede a partir de uma chamada telefônica.
Mesmo que alguém que esteja fazendo vishing obtenha informações, os controles técnicos
podem impedir que causem mais danos. Independentemente disso, você deve definir
ações para responder às tentativas de vishing.
144 Capítulo 10
Machine Translated by Google
Decida quais ações você deve bloquear. Os exemplos podem incluir o bloqueio de
usuários após um certo número de erros 404 causados por spidering; bloqueio ou limitação
de taxa de spidering para um certo número de eventos por segundo; bloquear qualquer
pessoa que baixe um certo número de arquivos públicos, usando uma string de agente de
usuário específica no navegador ou script; e bloqueando usuários que navegam para uma
página de mel.
plano. Forneça aos funcionários não autorizados um modelo de resposta para lidar com
essas consultas. Isso pode ser uma declaração simples como “Não estou autorizado a
discutir os detalhes do assunto de sua solicitação” ou um redirecionamento para o
representante de mídia designado na empresa.
As partes autorizadas a falar com a mídia devem entender
que tom adotar, como recusar-se a responder e com quem falar para saber os fatos que
compartilharão com os jornalistas. Defina também uma pessoa ou comitê para revisar e aprovar
quaisquer mensagens que o relações públicas fornecerá à mídia.
146 Capítulo 10
Machine Translated by Google
hash do arquivo e verifique os sistemas na rede em busca de arquivos que produzam o mesmo
hash. Ajuste o SEIM para alertá-lo sobre instâncias recebidas deste arquivo também.
Conclusão
Parte de manter sua organização segura é manter os usuários informados, conscientes e
alertas. Ao aplicar uma política não punitiva associada a incentivos para comportamento positivo
para reforçar as ações desejadas, você pode melhorar drasticamente a postura de segurança de
sua organização enquanto capacita os funcionários a tomar boas decisões. Depois que os usuários
são treinados, sabem o que procurar e entendem o que fazer quando são vítimas de ataques de
engenharia social, é hora de envolvê-los usando testadores internos ou externos para medir sua
adesão à orientação da organização.
Mesmo depois de treinar os usuários, ainda é necessário testá-los por meio de phishing
simulações e monitoramento OSINT. Às vezes, as pessoas querem compartilhar publicamente
ocasiões como promoções, seu último dia de trabalho ou seu primeiro dia de trabalho — e,
conforme discutido no Capítulo 5, elas não pensam em outras informações que estão incluindo
na moldura de suas fotos. . Da mesma forma, as pessoas querem compartilhar sua experiência
de trabalho para que possam demonstrar suas competências aos gerentes de contratação, mas
isso torna os detalhes técnicos listados em seus currículos pesquisáveis.
11
CONTROLES DE E-MAIL TÉCNICO
Padrões
À medida que o e-mail evoluiu, também evoluíram as tecnologias para protegê-lo. E à medida que
essas tecnologias evoluíram, também evoluíram os padrões de ataque, tornando-se, como acontece com
Machine Translated by Google
Campos “De”
Para entender como esses padrões funcionam, você precisa entender os vários tipos de
campos De em um e-mail. Além de um campo Responder para , os e-mails têm De
e MailFrom. O campo De , também chamado de 5322.From, exibe o remetente. O
campo MailFrom , ou 5321.MailFrom, é o serviço real que enviou o e-mail. Por exemplo,
se eu enviar e-mails usando o MailChimp, meu endereço de e-mail estaria no campo
5322.From e o servidor e o endereço do MailChimp estariam no 5321.
Campo MailFrom.
Os números anexados a esses campos vêm dos RFCs nos quais foram definidos.
Aqui está outra maneira fácil de pensar sobre isso: o campo 5321.MailFrom é o
equivalente a um endereço de retorno em um envelope enviado pelo serviço postal,
enquanto o campo 5322. De campo é o equivalente a um endereço de retorno no topo
de uma carta contida dentro do envelope.
Agora vamos cobrir esses três padrões em ordem cronológica, começando com
DKIM.
150 Capítulo 11
Machine Translated by Google
tags que você pode encontrar na mensagem de e-mail. A chave pública DKIM é a única parte da
estrutura visível para a população em geral, mas encontrá-la depende de conhecer o seletor, o
que você pode fazer apenas se receber um e-mail do domínio (ou conseguir força bruta).
O processo DKIM é o seguinte. Primeiro, você compõe um e-mail. À medida que o e-mail
é enviado, a chave privada associada à sua entrada DKIM cria duas assinaturas digitais que
comprovam a autenticidade do e-mail. Uma assinatura é para o próprio cabeçalho DKIM e a outra
é para o corpo do e-mail.
Cada e-mail tem um par único de assinaturas. As assinaturas são colocadas no cabeçalho e
enviadas junto com o e-mail. Uma vez recebida, e se o servidor de e-mail do destinatário tiver
DKIM configurado, o servidor verificará a autenticidade da mensagem usando a chave pública
publicada nos registros DNS. Se a chave conseguir descriptografar o e-mail com sucesso, o e-mail
é autêntico e não foi alterado.
Dito isso, o DKIM não costuma ser usado para autenticação. Em vez disso, nós principalmente
use-o para verificar a autenticidade e para algo chamado alinhamento DMARC, discutido em
“Autenticação, relatórios e conformidade de mensagens baseadas em domínio” na página XX. Uma
das deficiências do DKIM é que ele só é eficaz se o remetente e o destinatário o implementarem.
Além disso, mesmo que sua organização implemente o DKIM internamente, ela pode proteger seus
usuários apenas de atores externos que falsificam outros funcionários internos, o que é bom para sua
reputação, mas faz pouco para alcançar a segurança de outra forma.
Afinal, os atores podem falsificar um terceiro confiável. Porém, conforme mencionado anteriormente,
o destinatário deve ter seus servidores de e-mail configurados para verificar a autenticação DKIM,
que normalmente é realizada por meio da implementação do DMARC. Na ausência do DMARC, as
falhas de autenticação ainda são transmitidas ao destinatário.
O DKIM foi introduzido pela primeira vez no RFC 6376. Mais tarde, o RFC 8301 o corrigiu
com a seguinte especificação sobre o tipo de criptografia que o DKIM poderia usar:
Dois algoritmos são definidos por esta especificação neste momento: rsa-
sha1 e rsa-sha256. Os signatários DEVEM assinar usando rsa-sha256.
Os verificadores DEVEM ser capazes de verificar usando rsa-sha256. rsa-sha1 NÃO
DEVE ser usado para assinatura ou verificação.
Em 2018, outro RFC lidando com DKIM foi lançado; O RFC 8463 adicionou um novo
algoritmo de assinatura, ed25519, que usa SHA-256 e Edwards curve Digital Signature Algorithm
(EdDSA) no lugar de uma chave RSA.
Implementando DKIM
Para que o DKIM seja eficaz, você deve configurá-lo não apenas em seu servidor DNS, mas
também no servidor de correio. Caso contrário, ele atua como um impedimento na melhor das hipóteses.
Vamos ver como configurar o DKIM em um domínio hospedado no Google Workspace. Outros
servidores de correio têm recursos semelhantes.
O Gmail normal usa as chaves DKIM padrão do Google, assim como os domínios hospedados
no Workspace que não possui DKIM configurado. Você não pode configurar seu próprio DKIM
para uma conta do Gmail hospedada em gmail.com, mas pode, por um
152 Capítulo 11
Machine Translated by Google
Após esta etapa, entre no cPanel, uma ferramenta comum de gerenciamento de domínio
usada por muitos provedores de hospedagem. O cPanel deve incluir um DNS Zone Editor,
com uma caixa que permite que você insira sua chave pública em um registro TXT (Figura 11-5).
Observe que esses painéis podem limitar você a 255 caracteres: muito curto para
a chave de 2.048 bits recomendada pelos padrões da indústria. (Quando isso aconteceu
comigo, entrei em contato com o suporte e pedi que inserissem manualmente as informações
em meu nome, o que eles fizeram com relutância.)
Depois de salvar a chave, a propagação do registro pode levar até 48 horas. Você
precisará clicar em Iniciar autenticação no painel para verificá-la após a conclusão da
propagação. A propagação normalmente leva de 24 a 48 horas, mas às vezes até 72 horas,
dependendo da infraestrutura e do provedor.
154 Capítulo 11
Machine Translated by Google
Deficiências do DKIM
A criptografia usada no DKIM às vezes inclui vulnerabilidades. Até 2018, o DKIM permitia o uso do
algoritmo SHA-1 para assinatura e verificação. No entanto, a comunidade de segurança sabe que o
SHA-1 é inseguro desde 2010, antes mesmo de o padrão DKIM ser criado. Pesquisadores do CWI
Amsterdam e do Google desde então realizaram com sucesso um ataque de colisão no protocolo,
ponto no qual a maioria das partes nas comunidades de criptografia e segurança o desaprovaram. O
ataque de colisão permitiu que as partes pegassem hashes de dois arquivos que não correspondiam e
produzissem o mesmo hash a partir deles, fazendo parecer que eles correspondiam. Todos os principais
fornecedores de navegadores da web anunciaram que parariam de aceitar certificados SHA-1 em 2017.
É verdade que criar uma colisão no local preciso dentro do processo de operações
DKIM ainda exigiria muito poder computacional, portanto, apenas organizações
sofisticadas e bem financiadas, como estados-nação ou grandes empresas de
tecnologia, poderiam ter os recursos para realizar tal ataque. Afinal, o Google foi uma
das duas partes que produziram a colisão SHA-1 (e é improvável que o Google tente
enviar e-mails não autorizados para sua organização). Mas se você tiver autonomia para
isso, use o SHA-256 mais seguro.
Em segundo lugar, existem vulnerabilidades no RSA, usado como infraestrutura de chave pública
tura do padrão DKIM. Como mencionei anteriormente, a ferramenta DKIM do Google suporta dois
RSAs de 1.024 bits e 2.048 bits. O RSA de 2.048 bits é o padrão mínimo atual do setor. Há um debate
significativo sobre se o RSA é seguro, dados os avanços matemáticos, computacionais e criptográficos
desde a introdução do RSA. Vários acadêmicos e pesquisadores afirmaram ser capazes de quebrar o
RSA ou reduzir o criptosistema RSA. Reduzir o criptosistema é um método de enfraquecer sua força,
O uso de RSA de 1.024 bits certamente é uma vulnerabilidade no papel, enquanto o uso de
RSA de 2.048 bits é desencorajado, mas não proibido. Pragmaticamente, sem recursos
computacionais maciços ou acesso a recursos de computação quântica, nem o RSA de 1.024 nem
o de 2.048 bits pode ser quebrado em menos de dois milhões de anos em um único sistema. Versões
posteriores do DKIM adicionaram Ed25519-SHA256 como um algoritmo aceito, embora não tenha sido
amplamente adotado.
A fraqueza final no DKIM não é uma vulnerabilidade, mas sim uma falha. O DKIM é excelente
de implementar e pode proteger a reputação de uma organização, mas apenas se o servidor de e-
mail do destinatário estiver configurado para verificar a assinatura DKIM e tomar medidas contra e-
mails que alegam vir de um domínio com DKIM ativado; caso contrário, a reputação da sua organização
ainda pode ser prejudicada.
Como o DKIM, o Sender Policy Framework (SPF) procura impedir a falsificação usando registros TXT
do DNS. Nesses registros TXT, o SPF define os domínios, listas de hosts, domínios e endereços IP
e endereços IP permitidos para enviar e-mails de um ambiente de e-mail ou em nome de um domínio.
Para ver como isso funciona, imagine que alguém falsifica um e-mail de um domínio. O
destinatário verifica o registro SPF e observa que o domínio de envio possui falhas graves configuradas;
além disso, o remetente não está listado no registro.
Além disso, a política SPF está definida para passar. Nesse caso, o e-mail não chegará ao seu destino.
Se não houvesse um registro SPF, ou se a política fosse definida como nenhum ou configurada para
falha temporária, o e-mail teria sido bem-sucedido.
Como o SPF não requer criptografia, o SPF e o DKIM são complementares
mentar, não concorrentes. O SPF é baseado em lógica, pois compara os valores recebidos com
uma lista. O host, domínio ou endereço IP está no registro ou não. O DKIM emprega lógica e
criptografia na forma de assinaturas digitais. Você pode ler mais sobre o SPF na RFC 7208, que o
introduziu em 2014.
Implementando SPF
Em seguida, para esses domínios e endereços IP, escolha uma política para vários
situações:
Aprovado (+) Permite a passagem de todos os e-mails (não recomendado, a menos que seja
para uma breve solução de problemas)
Falha suave (~) Em algum lugar entre falha e neutro; geralmente esses e-mails são aceitos,
mas marcados
Como backups, você pode configurar algo como +all (não recomendado, pois permitiria
todos os e-mails), +mx (permite e-mails do host listado no registro MX; não recomendado se estiver
usando e-mail na nuvem como Google ou Office 365), ou +nostarch.com (que permitiria e-mails de
nostarch.com).
Depois de obter essas informações, você estará pronto para criar o registro. Para começar,
navegue até o editor de DNS do seu provedor de hospedagem e crie um novo registro TXT. Como
alternativa, edite quaisquer registros TXT existentes que tenham v=spf1 no corpo, conforme mostrado
aqui:
156 Capítulo 11
Machine Translated by Google
;; PSEUDOSECÇÃO OPT:
; EDNS: versão: 0, flags:; UDP: 65494
;; SEÇÃO DE PERGUNTAS:
;wamart. com. DENTRO TXT
;; SEÇÃO DE RESPOSTA:
walmart. com. 300 DENTRO TXT "v=spf1
include:_netblocks.walmart.com include:_smartcomm.walmart.com include:_vspf1.walmart.com
include:_vspf2.walmart.com include:_vspf3.walmart.com ip4:161.170.248.0/24
ip4:161.170.244.0/24 ip4 :161.170.241.16/30 ip4:161.170.245.0/24 ip4:161.170.249.0/24" " ~all"
--recorte--
;; Tempo de consulta: 127 ms
;; SERVIDOR: 127.0.0.53#53(127.0.0.53)
;; QUANDO: terça-feira, 08 de setembro 05:42:49 UTC 2020
;; TAMANHO MSG recebido: 1502
Defina o valor de tempo de vida (TTL) para o padrão de 14.400. O valor TTL
é o tempo que os resolvedores recursivos de DNS têm para armazenar em cache
nosso registro SPF antes de obter um novo (se alterado). Algumas coisas, como ativos
críticos e balanceadores de carga, funcionam melhor com um TTL muito pequeno. Ativos
que não devem mudar com frequência ou ter redundância incorporada (como registros
MX) são recomendados para ter valores TTL maiores. Isso é para tentar combater técnicas
como fluxo rápido ou registros DNS dinâmicos comumente usados em campanhas
sofisticadas de phishing e ataques contra sites de mídia social.
Em seguida, nomeie o registro TXT com o nome do domínio da organização. Para o
texto real, insira v=spf1, seguido pelos mecanismos e pela política, conforme discutido
anteriormente. Para definir esses mecanismos, você precisará conhecer os cinco tipos de
campos permitidos:
Agora, construa a string para inserir no DNS. Digamos que você permita que hosts
usando o registro MX do nostarch.com , além do MailChimp e um intervalo de endereço
IP privado e não roteável, com falha grave. O texto para entrar no DNS ficaria assim:
Você também pode escrever esse disco de uma maneira alternativa. No Capítulo 4,
você aprendeu que o No Starch usa o Google Workspace, então você pode substituir
a parte +mx com os servidores do Google (que podem ser encontrados no painel do
Workspace). Para manter isso em uma linha, você removerá o mecanismo de inclusão
MailChimp SPF. A entrada alternativa ficaria assim:
Depois de colar isso no registro DNS, aguarde até 72 horas para que ele se
propague. Leva tempo para que os vários servidores DNS na internet copiem as
informações atualizadas. Esse tempo depende muito dos tempos TTL, que direcionam os
servidores para armazenar informações em cache por um período de segundos antes da
atualização. Na minha experiência, o SPF pode se tornar válido quase imediatamente, ao
contrário do DKIM. Quer você use o Google como seu provedor de e-mail ou não, ainda
pode usar o site Google Admin Toolbox Check MX para validar as informações fornecidas.
Você pode encontrar a caixa de ferramentas em https:// toolbox.googleapps
.com/ apps/ checkmx/. Você pode encontrar instruções para configurar o SPF em outras
plataformas em http:// email-security.seosint.xyz.
Deficiências do SPF
Lembre-se do Capítulo 4 que o SPF permite que os invasores enumerem domínios,
endereços IP e intervalos de endereços IP que uma organização possui ou usa. Os
invasores também podem saber se o alvo tem uma falha de hardware ou falha de software
configurada verificando -all (falha de hardware), ~all (falha de software) ou ~? (neutro)
parte do registro TXT. Essas informações podem influenciar a decisão deles sobre falsificar
o domínio de sua organização ou talvez ocupar algo semelhante. Um engenheiro social
detalhista pode até mesmo configurar DKIM e SPF em seu domínio de phishing para
ignorar quaisquer verificações que uma organização possa ter em vigor, caso eles
realmente apliquem quaisquer políticas.
O SPF também pode alertar os invasores sobre suas relações de trabalho com
outras organizações. Se outros domínios precisarem de autoridade para enviar e-mails
em seu nome, talvez seja necessário criar registros SPF para eles. Exemplos de domínios
que precisarão de permissão para enviar e-mails em nome de uma organização são listas
de e-mail como MailChimp, Mailgun ou Constant Contact. Considere também outros
provedores que enviam e-mails em nome da organização, como GoToMeeting ou
plataformas de colaboração semelhantes.
O aspecto final do SPF não é uma vulnerabilidade, mas sim uma deficiência.
Assim como o DKIM, o SPF é bom de implementar e pode proteger a reputação de uma
organização, mas apenas se o servidor de e-mail do destinatário estiver configurado para
verificar os registros SPF e aplicar a política definida. Não fazer isso, no entanto, pode
prejudicar a reputação da sua organização.
158 Capítulo 11
Machine Translated by Google
Aqui está o que acontece quando uma comunicação usa DMARC. Primeiro, um usuário
escreve um e-mail. O servidor de e-mail de envio insere um cabeçalho DKIM nele e o envia ao
destinatário. A partir daí, para que o e-mail atravesse uma organização com uma política DMARC
implementada, duas coisas devem acontecer. Primeiro, o e-mail deve passar por verificações de
assinatura DKIM (5322.From, com validação usando uma chave pública contida no DNS). Em
segundo lugar, ele deve passar por verificações SPF (5322.From) e registros TXT. Dependendo do
resultado dessas verificações, o registro DMARC especificará que o servidor deve aceitar ou rejeitar
o e-mail. Relatórios ocorrerão para falhas.
O e-mail passa por quaisquer processos ou filtros decretados pelo destinatário e, se tudo passar,
chega na caixa de entrada do destinatário.
O DMARC é amplamente utilizado. Várias estruturas de conformidade exigem isso,
juntamente com as agências federais dos EUA, conforme orientado pela Diretriz Operacional
Vinculante 18-01 do Departamento de Segurança Interna. Se você acompanhar os materiais de
marketing do fornecedor, deve se lembrar da enxurrada de fornecedores que usaram essa diretiva
para vender DMARC e ferramentas de segurança de e-mail em 2017. Mas essas implementações
são inúteis sem uma política aplicada ou uma configuração técnica que direcione as ações para
ocorrer com o mínimo intervenção humana. Além disso, o destinatário deve realmente verificar os
registros e aplicar a política que eles têm em vigor.
Existem dois RFCs para atualizar o DMARC: RFC 8553, que aborda o uso
sublinhados em nomes de nó; e RFC 8616, que aborda o uso de caracteres ASCII em SPF,
DKIM e DMARC quando eles não abordam caracteres usados internacionalmente.
Implementando DMARC
A versão do DMARC (v) A versão do DMARC em uso. Atualmente é 1, indicado por v=DMARC1.
A política de subdomínio (sp) Política que é aplicável apenas a subdo mains do domínio
de envio, como e-mails de info@us.nostarch.com
mas não info@nostarch.com. Na ausência de um campo sp ou qualificador, a organização
aplicará o campo p principal .
A tag rua O endereço de e-mail para o qual os relatórios são enviados. Os coletores OSINT
podem ler e armar isso, então um alias é recomendado.
Você também pode adicionar opções de relatório forense e um endereço para encaminhar
relatórios forenses. A tag de relatório de falha forense (fo) determina quais eventos gerarão
relatórios forenses. Possui quatro opções: 0, que cria um relatório de falha se todos os mecanismos
falharem; 1, que cria um relatório de falha se algum mecanismo falhar; d, que cria um relatório de
falha de DKIM se o DKIM falhar, independentemente do alinhamento; e s, que cria um relatório de
falha do SPF se o SPF falhar, independentemente do alinhamento. A tag ruf especifica o endereço
de e-mail para o qual os relatórios forenses são enviados. Como a tag rua , os coletores OSINT
podem ler e armar isso, então use um alias.
Isso pode parecer muita informação. Para colocá-lo em uso, vamos configurar um registro
DMARC para nostarch.com:
Este registro possui uma política de quarentena apenas para domínios. Aplica-se a 95 por
cento dos e-mails, e qualquer falha causa relatórios forenses, com relatórios forenses indo para
soc@nostarch.com. Você definirá o endereço de e-mail para receber os relatórios gerais do DMARC
para dmarc@nostarch.com.
Depois de redigir isso, adicione-o a um registro TXT no nostarch.com
Arquivo de zona DNS com o nome dmarc e um TTL de 14400.
Deficiências do DMARC
Além das mesmas divulgações de informações presentes no SPF e do fato de que seus destinatários
de e-mail podem não verificar SPF ou DKIM, o próprio DMARC não apresenta problemas ou
vulnerabilidades significativos.
Dito isso, simplesmente criar os registros DNS TXT para DMARC não o torna imediatamente
seguro. Por exemplo, você pode facilmente configurar incorretamente sua implementação do
DMARC. Ao configurar inicialmente o DMARC, evite rejeitar e-mails, pois isso remove a capacidade
de as pessoas revisarem a validade do e-mail e pode causar interrupções nos negócios ou
comunicações mal direcionadas.
Mitigar isso é simples: comece definindo a política DMARC inicial como nenhum e revise 100
por cento dos e-mails (p=nenhum; pct=100;). À medida que o tempo avança, diminua o campo pct
gradualmente até se sentir confortável com os relatórios e o desempenho. Depois de atingir um bom
nível, altere a porcentagem de revisão para um valor gerenciável, mas realista. Eu recomendo
160 Capítulo 11
Machine Translated by Google
O maior problema com o STARTTLS é que ele é oportunista, o que significa que
usa criptografia apenas se disponível. Na ausência de criptografia disponível ou suporte
para ela, a mensagem será enviada em texto simples. Outro problema com o STARTTLS
é que o próprio handshake de criptografia ocorre em texto sem formatação, o que permite
que possíveis invasores roubem as informações da sessão ou modifiquem as mensagens
por meio de ataques man-in-the-middle. Você pode ver esses dois problemas explorados
em ataques STRIPTLS, em que um invasor desabilita o comando STARTTLS real ou faz
parecer que o TLS está indisponível. Ao configurar o SMTP para exigir TLS para conexões
de saída, você pode reduzir o STRIPTLS, mas pode perder os serviços de e-mail de saída
se configurar incorretamente o TLS ou se o destinatário não estiver configurado para
receber e-mails TLS/bloquear a porta.
esforço, como com qualquer coisa em entradas de DNS públicas, pois um adversário
pode consultar registros de DNS e fazer inferências das entradas. Embora essa
mitigação em si seja simples de implementar, o DNSSEC em geral não é, então não
vimos sua adoção generalizada.
Na mesma época em que o DANE estava sendo desenvolvido, uma solução
diferente para o mesmo problema (STRIPTLS) estava sendo elaborada: SMTP MTA
Strict Transport Security (MTA-STS).
MTA-STS
SMTP MTA Strict Transport Security (MTA-STS) é outra maneira de implementar o
TLS para proteger as comunicações por e-mail. Nesse método, as duas partes
negociam o handshake TLS usando registros DNS TXT, bem como arquivos
carregados em diretórios específicos em um subdomínio predefinido e acessível ao
público do domínio de envio.
Este padrão se aplica apenas ao tráfego SMTP entre servidores de correio. o
a comunicação entre cliente e servidor é realizada usando HTTP Strict Transport Security
(HSTS). Devido à complexidade da implementação do MTA-STS, não abordarei o processo aqui.
Você pode encontrar links para tutoriais em http:// email-security.seosint.xyz.
TLS-RPT
SMTP TLS Reporting (TLS-RPT) é um método de coleta de estatísticas sobre
possíveis falhas ao negociar TLS e domínios associados. Pense nisso como comparável
ao DMARC, se o MTA-STS fosse o elemento DKIM. Você pode usar essas informações
para solução de problemas ou inteligência de ameaças.
A configuração do TLS-RPT é relativamente fácil, pois requer apenas um registro
DNS TXT com _smtp._tls. domain.tld e um endereço de relatório no corpo. Se ocorrer
um erro com um e-mail usando um método criptografado (DANE ou MTA STS), o e-
mail de denúncia receberá uma notificação. O seguinte é um exemplo para nostarch.com:
_smtp._tls.nostarch.com 300
"v=TLSRPTv1;rua=mailto:soc@nostarch.com"
162 Capítulo 11
Machine Translated by Google
provavelmente exigirão que você faça alterações em seus registros públicos de DNS, e
você pode descobrir essas relações usando técnicas OSINT, conforme discutido
anteriormente.
Muitas configurações e produtos estão por aí. Ao escolher um fornecedor, considere a
taxa de transferência de e-mails por minuto ou segundo. Decida também se deseja manter
a filtragem de e-mail por meio de software, um dispositivo ou um serviço de nuvem. Cada
opção apresenta desafios únicos, principalmente com relação à implementação, suporte,
disponibilidade e geração de relatórios, e cada uma oferece recursos diferentes. A filtragem
de e-mail pode ser mais fácil de implementar em instâncias de nuvem, pois elas protegeriam
melhor a disponibilidade de e-mail. No entanto, qualquer decisão que exija configuração,
especialmente além dos registros DNS, pode gerar oportunidades de falha, interrupção ou
segurança deficiente. Se você optar por usar um provedor de nuvem, também dependerá do
SLA e do seu contrato com o fornecedor. Dito isso, eles simplificam o processo; você será
responsável apenas por atualizar seu registro MX no arquivo de zona DNS e selecionar as
opções apropriadas.
Outras proteções
Como profissionais de segurança, devemos construir nossos sistemas para que eles
possam não apenas lidar com o uso comum, mas também resistir ao abuso de uma forma
que contenha as ações por tempo suficiente para que possamos detectá-los e respondê-
los. Este é o cerne do livro de Winn Schwartau Time Based Security (Impact PR, 1999).
Ao proteger seus sistemas contra phishing, considere a implementação de controles
além daqueles usados apenas para e-mail. Embora não os discutamos neste capítulo,
implemente proteção contra malware, seja antivírus, detecção e resposta de ponto final
(EDR) ou qualquer outro produto antimalware.
A maioria dos malwares chega às redes por e-mail quando os usuários baixam de um
phishing bem-sucedido.
Duas outras tecnologias podem evitar resultados catastróficos de phishing:
sistemas de monitoramento de integridade de arquivo (FIM) e prevenção de perda de
dados (DLP). FIM monitora um conjunto de arquivos para modificação. Você pode
escrever uma solução FIM simples que pegue um hash criptográfico de cada arquivo e o
armazene em algum lugar. Ele então validaria se os arquivos não foram alterados e, se
tivessem, verificaria se a alteração foi autorizada. Isso é importante para detectar agentes
mal-intencionados que já estão na rede. Se o conteúdo do arquivo for alterado sem
autorização, isso pode indicar novos aplicativos em execução ou sendo instalados,
ransomware ou alguém adulterando arquivos importantes.
O DLP visa impedir que os usuários enviem arquivos por e-mail para fora da
organização, carreguem arquivos para a Internet pública e sites de compartilhamento de
arquivos (como Google Drive, Box e DropBox) e salvem dados em dispositivos USB não autorizados
(se houver). Muitas soluções DLP também têm a capacidade de impedir que os usuários
compartilhem dados confidenciais ou regulamentados, como dados PCI (Payment Card
Industry), PHI e PII. Isso é importante porque evita que os usuários entreguem segredos
comerciais, propriedade intelectual e joias da coroa. Isso também elimina muitos dos motivos
pelos quais eles teriam que conectar uma unidade USB em suas estações de trabalho,
reduzindo a probabilidade de um ataque de isca bem-sucedido.
Conclusão
Neste capítulo, você tomou medidas para tornar sua organização um pouco mais segura.
Você aprendeu sobre os três padrões de segurança de e-mail que visam reduzir a
falsificação de e-mail, bem como as deficiências de cada um. (Se você é como eu,
desenvolveu um ódio especial pelas letras RFC.)
Usando as informações deste capítulo, você pode aplicar os conceitos e padrões à
sua organização para criar camadas de defesa. Você pode ter que explicar ao gerenciamento
que SPF, DKIM e DMARC não são soluções absolutas para phishing e que, mesmo quando
estiverem em vigor, a organização deve considerar a instalação de mais controles, como
soluções de filtragem de e-mail.
Depois que a organização escolher a solução de filtragem de e-mail mais adequada às
suas necessidades de conformidade e orçamento, reserve um tempo para implementar a
solução adequadamente. Em seguida, teste-o com simulações de phishing. Se as simulações
forem pegas, ótimo. Em seguida, você pode liberá-los da quarentena para testar os usuários.
Se as simulações passarem, trabalhe com o fornecedor para determinar por que e como
corrigir o problema.
164 Capítulo 11
Machine Translated by Google
12
PRODUZINDO AMEAÇA
INTELIGÊNCIA
Uma vez que a organização tenha os indicadores no formato desejado, ela pode
procurá-los imediatamente usando o método de sua escolha – scripts personalizados,
YARA, STIX, TAXII ou algo semelhante.
Isso permitirá que a organização identifique e responda a ameaças conhecidas.
166 Capítulo 12
Machine Translated by Google
organizações das mesmas dores de cabeça mais tarde? Aqui está a resposta simples:
produzir inteligência de ameaças.
Saber por onde começar é uma das barreiras significativas à entrada. Como este é
um único capítulo de um livro sobre engenharia social e OSINT, pouparei você das
justificativas filosóficas para produzir inteligência de ameaças.
Em vez disso, vamos fazer um exercício.
Primeiro, você precisa de alguns dados sobre os quais produzir inteligência.
Pode ser um e-mail, um site ou um arquivo. Para cobrir todos os três aspectos, vamos
supor que a organização receba um e-mail direcionando os usuários a um site que
solicita que eles insiram as credenciais e, em seguida, baixe e tente executar um arquivo
quando o usuário enviar as credenciais. Você pode usar o arquivo chamado invoice.eml
no repositório do GitHub em https:// cti.seosint.xyz.
Criando um pulso
Faça login no OTX e selecione Create Pulse no painel OTX, que é onde você chegará
sempre que fizer login (Figura 12-1). No OTX, um pulso é um conjunto de indicadores de
comprometimento para um ataque específico.
Você deve ter algumas opções para criar o pulso (Figura 12-2). Você pode
importar texto ou um site ou inserir manualmente os indicadores.
168 Capítulo 12
Machine Translated by Google
Assim que o e-mail for aberto como fonte, você deverá ver algo como
o trecho na Figura 12-4. Esta é a trilha subjacente de dados que são transmitidos
quando você envia um e-mail, incluindo todas as verificações realizadas e a origem e
os destinos do e-mail. Você pode visualizar qualquer e-mail para download dessa
maneira, às vezes até no próprio cliente de e-mail. Por exemplo, no Gmail, você clicaria
nos três pontos no canto superior direito de um e-mail e selecionaria Mostrar original.
Indicadores de entrada
Agora que você obteve as informações da fonte, está pronto para importar alguns
indicadores. Indicadores são pontos de dados relacionados à atividade que você
está capturando no pulso. A Tabela 12-1 lista os indicadores que a OTX aceita.
(contínuo)
nome de anfitrião O nome do host ou subdomínio do servidor de e-mail de origem ou site que hospeda o
phishing ou malware
PEHASH Portable Executable Hash (peHash) método de hashing fuzzy, que em vez de
hashing o arquivo inteiro realiza hashing byte a byte pegando várias variáveis de
dentro do executável e fazendo hash delas.
IMPASH Hash de Importação; semelhante ao peHash, mas rastreia as DLLs e outros arquivos
que o código importa
Caminho de arquivo Um local exclusivo dentro da estação de trabalho onde os arquivos maliciosos são
descobertos. Isso mostra o comportamento da uniformidade, provavelmente por meio de
um script.
170 Capítulo 12
Machine Translated by Google
Como você pode ver na Figura 12-6, o analisador extraiu cinco indicadores
do e-mail que você colou.
Você precisa verificar se esses indicadores pertencem ao pulso. Como você sabe, pela
inspeção da origem do e-mail, que o e-mail listado é do remetente, não é necessário verificá-lo
novamente. Mas você precisa verificar os domínios e endereços IP. Para conseguir isso, vamos
fazer um pouco de OSINT.
Você precisa determinar o seguinte: Quem é o proprietário de cada domínio e endereço
IP? O domínio e o endereço IP servem a um propósito legítimo? O proprietário do domínio tem
algum controle sobre os dados passados por seus serviços? Os endereços IP pertencem a
provedores de e-mail? Ou nós possuímos o domínio ou endereço IP?
Os possíveis IOCs na Figura 12-7 não são peças valiosas de informações sobre ameaças
ligence, portanto, se o OTX não, você precisará excluí-los. Você fará isso mais tarde no
processo, para evitar analisá-los duas vezes.
Agora, você passa para a lista de IOCs excluídos. Você repete o processo usado para
os IOCs incluídos para cada item na lista de IOCs excluídos. De cara, você pode dizer que
alguns deles não pertencem à lista de indicadores.
Dessa extração, vá em frente e remova o seguinte: três endereços óbvios da
Microsoft (by5pr19mb3713.namprd19.prod.outlook.com,
by5pr19mb3970.namprd19.prod.outlook.com e nam12-mw2-obe.outbound.protection.outlook.
com); dois endereços óbvios do Google (mail-sor-f41.google.com e mx.google.com); uma série
de endereços GoDaddy (p3plibsmtp01-08.prod.phx3.
secureserver.net, p3plsmtp21-01-26.prod.phx3.secureserver.net e p3plsmtp21-01.
prod.phx3.secureserver.net); e 10.186.134.206, que é um endereço IP interno Classe A,
privado, não roteável.
172 Capítulo 12
Machine Translated by Google
Além de uma máquina virtual, recomendo garantir que você tenha proteção contra
malware instalada (se aplicável), um firewall ativado no nível do host e da rede, o uso de
uma VPN e (se estiver familiarizado com isso), o navegador Tor (ou Brave - que oferece uma
funcionalidade semelhante), embora você tenha que selecionar Abrir uma nova janela
privada com o Tor. Você pode se ver lidando com algumas coisas desagradáveis e não quer
se ver do lado errado da lei ao tentar conduzir uma pesquisa de segurança legítima.
Instale o Burp Suite no seu host. Burp é um proxy da web que permite interceptar
e alterar os dados transmitidos entre você e o site. Isso permitirá que você veja as
chamadas feitas do seu sistema para o site e as respostas. Você também pode controlar
quaisquer pop-ups e muitas ações não intencionais, como redirecionamentos para sites
maliciosos. Para instalar o Burp, baixe uma cópia da Community Edition gratuita em https://
portswigger.net/ burp/ communitydownload.
Isso incluirá um script semelhante a burpsuite_community_linux_v<#>_#_##.sh.
Insira a versão mais recente nos comandos mostrados aqui:
Depois de instalado, você pode usar a GUI para abrir o Burp clicando no ícone Burp
ou digitando Burp no menu do sistema operacional. Burp solicitará que você crie um projeto.
Clique em Avançar e você deverá aceitar as configurações padrão do Burp ou carregar um
arquivo de configuração. Ficar com os padrões deve ser bom.
Em seguida, você deve rotear o tráfego do seu navegador através do Burp. Para fazer
isso, abra o Firefox, clique no ícone Menu e role até o final. Clique em Configurações de
rede. Você deve ser solicitado a inserir informações sobre seu proxy, conforme mostrado na
Figura 12-8. Selecione Configuração de proxy manual e insira o endereço IP 127.0.0.1 como
Proxy HTTP e 8080 como Porta.
Selecione a opção de usar este servidor proxy para todos os protocolos.
Agora que você tem o Burp instalado e o Firefox configurado para rotear seu
tráfego através do Burp, abra o Burp e verifique se ele está configurado para interceptar
o tráfego. Para fazer isso, selecione a guia Proxy e, em seguida, Interceptar. Por fim,
certifique-se de que o Intercept esteja ativado, conforme mostrado na Figura 12-9.
Figura 12-9: Garantindo que o Burp esteja configurado para interceptar o tráfego
174 Capítulo 12
Machine Translated by Google
Depois de verificar se o Burp está configurado corretamente, você pode usá-lo para
interceptar o tráfego do seu navegador. Enquanto o Intercept estiver ativado, você precisará
escolher se deseja encaminhar ou descartar cada solicitação da web. Isso significa que
você pode descartar tráfego malicioso (ou legítimo) em vez de enviá-lo para o seu navegador.
Agora, vamos visitar o site encontrado no e-mail. Ao encaminhá-lo usando o Burp,
um documento que se parece com um PDF é carregado. Isso afirma ser do Office 365, mas
na Figura 12-10, você deve identificar facilmente que não é legítimo: observe o inglês
quebrado e os espaços incorretos em Jonathan Shea (jshea@plac erprocess.com) enviou
um arquivo, clique no botão abaixo para visualizar o documento.
Esta campanha de phishing não incluiu nenhum arquivo para download. Mas e se isso acontecesse?
Vamos discutir brevemente analisá-los. Para começar, você precisará obter hashes criptográficos
desses arquivos. Ter os hashes criptográficos dos arquivos permite que você compare os arquivos
em estados conhecidos com outras versões para ver se algo mudou. Quando um arquivo é criado
(ou no caso de malware, observado), você obtém um hash criptográfico do arquivo para ajudá-lo a
pesquisá-lo mais rapidamente. Você compara os hashes de arquivos em seus sistemas com o
arquivo ruim conhecido (no caso de malware) e alerta sobre qualquer correspondência. Em alguns
casos, o arquivo muda sozinho e, portanto, o hash não permanecerá o mesmo. Chamamos isso de
malware polimórfico e é uma discussão para um livro completamente diferente.
Você pode hash um arquivo usando uma variedade de ferramentas. Alguns, como os seguintes,
já vem instalado no Linux. Às vezes, vale a pena inserir vários tipos de hash, porque alguns
sistemas verificam os arquivos usando apenas um algoritmo.
176 Capítulo 12
Machine Translated by Google
Em seguida, adicione cada hash ao OTX. Se você optar por escrever este incidente
e publicar um relatório, você pode importar o pulso do URL e listar o
URL como um recurso.
Nas seções a seguir, analisaremos mais detalhadamente o nohumanmark.xyz
domínio.
OTX não é o único recurso que você pode usar para analisar links ou e-mails maliciosos.
Nesta seção, exploraremos alguns outros. Você pode reconhecer algumas dessas ferramentas
e técnicas dos capítulos OSINT deste livro. Aqui, você usará esses recursos para descobrir se
um site é prejudicial.
Pesquisa VirusTotal
Um site de propriedade da Chronicle Security, https:// www.virustotal.com/, permite que
pesquisadores e profissionais de inteligência de ameaças analisem se um arquivo está listado
como malicioso em mais de 60 plataformas antivírus sem ter que comprar cada uma delas. Ele
também permite que você verifique o status de qualquer URL.
O VirusTotal também possui uma API para análise com script. Sua função de pesquisa GUI
baseada na web aceita os seguintes tipos de entrada: o arquivo real carregado, uma URL, um
endereço IP, um domínio ou um hash de arquivo.
178 Capítulo 12
Machine Translated by Google
Como você pode ver na Figura 12.15, a pesquisa não retorna nada. Isso não
significa que não é uma tentativa de phishing, apenas que ninguém a denunciou.
Como o site está fora do ar, farei a denúncia, mas não enviarei
o relatório. Para iniciar o relatório, clique em Adicionar ao tanque? link abaixo da
declaração que diz que nada é conhecido. Em seguida, insira a URL do phish.
Neste caso, você precisará colar o corpo do e-mail em três relatórios para o Tanque
(caso esteja enviando) para associar os três domínios utilizados. Você também
seleciona a Microsoft como a organização mencionada no e-mail, já que afirma ser do
Office 365. Depois de concluído, clique em Enviar.
180 Capítulo 12
Machine Translated by Google
Nesta visualização, você pode ver como vários sistemas, hashes, domínios e outros
recursos interagem com nosso sistema de interesse. Isso pode ser muito útil ao criar um
programa de inteligência de ameaças cibernéticas ou mergulhar profundamente em um
adversário em potencial. A saída gráfica também cria alguns artefatos excelentes ao escrever
relatórios.
182 Capítulo 12
Machine Translated by Google
Conclusão
A inteligência de ameaças é mais do que óleo de cobra e mais do que apenas
consumir feeds de fornecedores. Ele permite que você analise suas próprias
experiências e colete inteligência de ameaças acionável que não apenas ajuda você,
mas pode ajudar seus clientes, parceiros e a comunidade como um todo. Ao longo
deste capítulo, você consumiu e produziu inteligência sobre ameaças usando OTX e
depois fez a transição para usos defensivos de WHOIS, ThreatCrowd, ThreatMiner,
VirusTotal e muito mais. Este deve ser o início de seus esforços de inteligência de
ameaças. Ainda assim, é uma base sólida para você ser capaz de ver além do hype
do fornecedor, bem como produzir materiais de alta qualidade para aumentar a
segurança da sua organização.
UMA
PLANILHA DE ESCOPO
Organização Alvo
Título
Operações solicitadas? (Circule conforme apropriado.) OSINT, phishing, vishing, no local, físico, isca, mergulho no lixo
Horas orçadas
Avaliar
Estimativa cotada
186 Apêndice A
Machine Translated by Google
Jurídico
Artigo S/N
Certifique-se de que o contrato e a SOW mencionem a
empresa e todos os testadores como viáveis.
Dimensionamento e Desempenho
Artigo Resposta
Phishing: o cliente fornecerá endereços de e-mail para atacar?
O cliente deseja algum dos itens a seguir? (Circule todos os que Obter acesso ao sistema, métricas de cliques, queda de malware,
se aplicam.) coleta de credenciais
Cronometragem
Artigo Resposta
188 Apêndice A
Machine Translated by Google
B
MODELO DE RELATÓRIO
<DATA>
Introdução
<Nome do cliente> contratou <você ou sua empresa> para realizar um teste de
segurança da informação para incluir (incluir tudo o que for relevante) phishing,
vishing, dumpster dump, coleta de inteligência de código aberto, baiting, teste de
segurança física e <outros em -escopo testes>. As datas de apresentação foram
de <Start Date> a <End Date>.
Machine Translated by Google
Sumário executivo
A equipe realizou os seguintes testes <da introdução> contra <nome do cliente>.
Os seguintes resultados foram observados:
Declaração de trabalho
Use esta seção para explicar o que é o trabalho. Muitas vezes, isso é melhor realizado copiando e colando
toda ou parte da declaração de trabalho real no contrato. Isso é para reiterar o que foi pedido à sua equipe e por
que você fez o que fez.
Alcance
O escopo do envolvimento de engenharia social, incluindo OSINT, phishing e vishing entre <nome do cliente> e
<você ou sua empresa> inclui <horas de OSINT>, phishing para incluir <número de cenários> cenários de <até>
| <não menos que> <número de e-mails> a serem enviados durante <período de engajamento (dias e horários)>,
e vishing para incluir <número de cenários> cenários de <até> | <não menos que> <número de ligações> a
serem feitas durante <período de engajamento (dias e horários)>.
<itens no escopo>
Data de conclusão
Todo o trabalho deve ser concluído até <data>, com um relatório final e uma reunião de esclarecimento ou
convocação a serem fornecidos dentro de 10 dias úteis a partir da data de conclusão.
Local de Trabalho
<Local ou locais de trabalho>
<O trabalho de endereços IP será executado a partir de>
190 Apêndice B
Machine Translated by Google
<Local 1>
<Local 2>
Ferramentas e Metodologias
Fale sobre quais ferramentas você usou e como analisou o que encontrou. Não se aprofunde muito no que
você realmente encontrou ainda.
Métricas
É aqui que você faz um certo nível de análise matemática ou numérica para ajudar o cliente a entender
como as descobertas se somam e onde melhorar. Não precisa ser muito complicado, mas fornecer
proporções, porcentagens ou até tabelas ou gráficos pode ser incrivelmente valioso e fará com que o cliente
o contrate novamente.
Phishing
O número de vezes que o e-mail foi reportado dividido pelo número de aberturas
Taxa de entrada
O número de vezes que as informações são inseridas (em um formulário, por exemplo) dividido
pelo número de cliques
O número de vezes que as informações são inseridas dividido pelo número de relatórios
Razão de validade
Proporção comprometida
O número de usuários com dados em Have I Been Pwned que inseriram informações dividido pelo
vishing
Taxa de solicitação
O número de vezes que a informação é fornecida quando solicitada em uma chamada dividido pelo
número de chamadas
O número de vezes que a informação é fornecida quando solicitada em uma chamada dividido pelo
número de relatórios
192 Apêndice B
Machine Translated by Google
Descobertas
Chave de gravidade
Alto
Esses riscos podem causar paralisações dispendiosas ou graves, danos ou interrupção das
operações. A barreira à entrada para exploração e impacto é baixa.
Esses riscos têm alto impacto e podem envolver dados sensíveis ou dados regulados, embora
em menor quantidade do que os riscos críticos.
Médio
Baixo
Esses itens representam pouco risco para o cliente. Eles podem ter dependências marginais,
como acesso físico local, ou exigir que outro vetor de exploração já tenha sido realizado. Esses
riscos envolvem interrupção mínima se forem bem-sucedidos.
Informativo
Estes não representam nenhum risco atual, mas não aderem às melhores práticas ou podem se
tornar arriscados mais tarde.
Discussão
O que você encontrou.
Problema
Por que é um problema.
Validação
Saídas de ferramentas e/ ou capturas de tela para provar que é um problema.
Resultados potenciais
O que poderia acontecer (seja realista).
Mitigação ou Remediação
Como resolver o problema. Cite quaisquer padrões aplicáveis da indústria.
Recomendações
Como o cliente pode melhorar e evitar outros ataques de phishing bem-sucedidos.
Conclusão
Resuma todo o relatório.
Sites Descobertos
empresa.tld1
empresa.tld2
correio.empresa.tld1
E-mails descobertos
John.doe@company.tld1
Jdoe@company.tld1
Pretextos Usados
194 Apêndice B
Machine Translated by Google
C
OBTENDO INFORMAÇÕES
PLANILHA
Físico Resposta
Tem cercas?
Tem portões?
Técnico Resposta
196 Apêndice C
Machine Translated by Google
Técnico Resposta
Você consegue encontrar sinais de uso de rede sem fio (WiGLE.net,
LinkedIn e páginas de carreiras)?
Empresa Resposta
Pessoas Resposta
OSINT Enumerou as pessoas mencionadas
nos documentos do site (metacrawler e buscas
no Google)?
198 Apêndice C
Machine Translated by Google
D
AMOSTRA DE PRETEXTO
Funcionário confuso
Mantém o pretexto de funcionário desajeitado, desta vez confuso com o serviço de
alimentação da empresa e ligando para o RH para pedir ajuda. Ligue usando um
número interno falsificado (provavelmente um número de fax para evitar confusão se
o tar get tentar retornar a ligação).
Machine Translated by Google
Em seguida, diga que você está no final do intervalo e precisa marcar o ponto com urgência
de volta ao trabalho.
Inventário de TI
Depois de falsificar um número de TI interno, faça um inventário dos ativos da empresa.
Explique que a empresa tem uma auditoria futura e você precisa garantir que suas
informações estejam corretas. Comece perguntando quando a pessoa começou na empresa
e se gostou. Pergunte sobre a programação deles. Então pergunte o seguinte:
200 Apêndice D
Machine Translated by Google
Pesquisa de Transparência
Ligue para um funcionário da empresa de um número interno para realizar uma
pesquisa de transparência com 10 perguntas. Diga que o foco da pesquisa é saber o
quanto a empresa é transparente e o quanto os funcionários conhecem sobre o negócio.
Pergunte o seguinte:
Por fim, tente fazer com que eles naveguem até seu site de phishing. Então
agradecê-los e desligar abruptamente.
E
EXERCÍCIOS PARA MELHORAR VOCÊ
ENGENHARIA SOCIAL
nome ao formular como "qual era o nome da sua mãe antes de ela se casar?" Isso
tende a contornar a regra do firewall mental sobre o nome de solteira da mãe.
improvisar
A comédia improvisada é ótima para melhorar o raciocínio rápido.
Ao fazer avaliações físicas e vishing no local, você deve pensar rapidamente. Nada nunca
sai como planejado. Ter experiência em improvisação ajuda você a se acostumar a se
adaptar a situações constrangedoras, que podem ocorrer sem aviso prévio nesses
engajamentos. Lembre-se da regra da improvisação: nunca diga não.
Comédia em Pé
Assim como a improvisação, a comédia stand-up ajuda na engenharia social. A
diferença entre as duas disciplinas é que uma é ensaiada e a outra não. O benefício para a
comédia stand-up que falta na improvisação é que você tem tempo para criar toda a sua
história de fundo com antecedência. Mas o stand-up normal falha e a improvisação é bem-
sucedida ao inventar coisas na hora. Ambos são importantes, mas oferecem experiências
diferentes.
Oratória/Toastmasters
Falar sempre ajudará. Ficar confortável na frente de um grupo de tamanhos variados é
uma vantagem. Como fazer improvisação, as coisas vão dar errado. Você terá que resolver
e contornar os problemas para ter sucesso. Você também se acostumará a se comunicar
com clareza e a ter mais maneiras de transmitir um ponto.
Por exemplo, a primeira vez que dei minha palestra “Social Forensication” foi no
BSides Orlando em 2018. Três slides na apresentação, meu computador encontrou uma
tela azul da morte. Eu entrei em panico. Depois de levar cerca de 30 segundos para
recuperar a compostura, expliquei o problema para o público, e um amigo subiu no palco e
cuidou do meu computador quando ele voltou a funcionar. Fui honesto sobre esta ser minha
primeira vez apresentando a palestra e expliquei que iria improvisar de memória. O sistema
voltou a funcionar e pude percorrer meus slides para cobrir todo o meu material no tempo
previsto.
Tive que interromper minha demonstração, mas me ofereci para fazê-la no corredor, e
cerca de 15 pessoas saíram para vê-la. Notavelmente, essa não é minha pior experiência
como palestrante, apenas uma que me ajudou a crescer.
204 Apêndice E
Machine Translated by Google
desafiador. Para que valha a pena para aqueles que nos permitem coletar
OSINT sobre eles, forneça um relatório do que você encontrar. Não precisa
ser formal ou no modelo do Apêndice B, mas deve ser algo que comprove o
que você encontrou, onde o encontrou, por que é um problema e como removê-
lo (se possível).