Escolar Documentos
Profissional Documentos
Cultura Documentos
ACESSO ANTECIPADO
Machine Translated by Google
SOCIAL PRÁTICO
ENGENHARIA
JOE GREY
Edição de acesso antecipado, 14/06/21
No Starch Press e o logotipo No Starch Press são marcas registradas da No Starch Press, Inc. Outros
nomes de produtos e empresas mencionados aqui podem ser marcas registradas de seus respectivos
proprietários. Em vez de usar um símbolo de marca registrada em cada ocorrência de um nome de
marca comercial, utilizamos os nomes apenas de forma editorial e em benefício do proprietário da marca
registrada, sem intenção de violar a marca registrada.
Todos os direitos reservados. Nenhuma parte deste trabalho pode ser reproduzida ou transmitida de qualquer
forma ou por qualquer meio, eletrônico ou mecânico, incluindo fotocópia, gravação ou por qualquer sistema de
armazenamento ou recuperação de informações, sem a permissão prévia por escrito do proprietário dos direitos
autorais e do editor.
As informações contidas neste livro são distribuídas “como estão”, sem garantia. Embora todas as precauções
tenham sido tomadas na preparação deste trabalho, nem o autor nem a No Starch Press, Inc. terão qualquer
responsabilidade perante qualquer pessoa ou entidade com relação a qualquer perda ou dano causado ou
supostamente causado direta ou indiretamente pelo informações nele contidas.
Machine Translated by Google
CONTEÚDO
Introdução . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . XIX
PARTE I: O BÁSICO
PARTE I
O BÁSICO
Machine Translated by Google
1
O QUE É ENGENHARIA SOCIAL?
Muitas das pessoas que estão lendo este livro provavelmente atenderam uma
ligação dos “Microsofts” ou receberam um e-mail de um “príncipe nigeriano”. Muitas
pessoas, inclusive eu, receberam o phishing de bitcoin de “sextorsão” ou “ameaça de
bomba”.
Este livro ensinará os fundamentos da engenharia social do ponto de vista de
um testador de penetração. Os conceitos fornecidos aqui ajudarão você a entender
melhor como conduzir a engenharia social do ponto de vista ético, copiando as táticas
de um adversário malicioso para descobrir pontos fracos de segurança que você
poderá corrigir posteriormente. Ao contrário dos verdadeiros criminosos, você terá
permissão para realizar ataques de engenharia social e não causará danos
intencionalmente aos seus alvos.
Pretextando
De acordo com a Estrutura de Engenharia Social, pretextar é o ato de se passar
por alguém. Você poderia pretextar com um uniforme, uma história inventada ou o
contexto do contato, um termo que uso para me referir à sua desculpa para falar
com sua vítima. Se você afirmasse trabalhar para a empresa de gerenciamento de
lixeiras enquanto segurava uma prancheta e usava o uniforme da empresa, por
exemplo, estaria usando um pretexto.
Inteligência de código
aberto Inteligência de código aberto (OSINT) são informações sobre seu alvo
coletadas de um recurso disponível publicamente. As fontes de OSINT incluem
jornais, mecanismos de busca, a Comissão de Valores Mobiliários dos Estados
Unidos (SEC) ou registros de outros órgãos reguladores, mídias sociais, quadros de
empregos e sites de avaliação, apenas para citar alguns. OSINT ajuda você a inventar seu contexto pa
contato.
OSINT pode fazer ou quebrar seus esforços de engenharia social, porque para
ter sucesso, muitas vezes você precisará saber detalhes importantes sobre a empresa-
alvo e seus funcionários. Que tipo de rede privada virtual (VPN) eles estão usando?
Que outras tecnologias eles empregam? Qual é o layout físico do prédio da
organização? Conhecer esta informação pode ajudar o envolvimento a decorrer de
forma significativamente mais tranquila. Vários testadores de penetração líderes
me disseram que a proporção apropriada de tempo gasto coletando OSINT para
realmente realizar o teste de penetração varia de 30/70 a 70/30.
4 Capítulo 1
Machine Translated by Google
Phishing
Phishing de lança
Se você trabalhou como testador de penetração em engenharia social (ou como cônsul
(o que é importante para uma empresa, uma função na qual outras empresas pagam
para você atuar como consultor ou simular adversários), você provavelmente passaria a
maior parte do tempo simulando ataques de spear-phishing. Esses são os ataques mais
comuns que as empresas enfrentam e exigem o mínimo de interação direta, o que os
torna mais acessíveis para clientes em potencial.
Você começaria com uma investigação OSINT sobre a empresa ou pessoa alvo. Isto
pode incluir aprender sobre os prestadores de serviços que utilizam, por exemplo. Então
você poderia criar um e-mail de phishing alegando, digamos, ser seu
Baleeira
desejando
Em um ataque de vishing , um invasor liga para um alvo e fala com ele por telefone. O
vishing costuma ser mais difícil do que o phishing, porque requer habilidades de
improvisação. Embora o phishing lhe dê tempo para pensar sobre o que gostaria de dizer
antes de enviar seu e-mail, vishing envolve ter sua história montada desde o início e
relembrar rapidamente detalhes abstratos dela. Você também pode ter problemas para
fazer as pessoas atenderem o telefone; interpretar mal o layout do espaço de trabalho; ou
cometa erros graves, como se passar por pessoas no cubículo ao lado de sua vítima,
ou usar o sexo ou sexo errado
sotaque.
6 Capítulo 1
Machine Translated by Google
Você pode dizer que foi contratado para fazer uma pesquisa ou afirmar ser um cliente,
fornecedor ou cliente. Você solicitará informações relevantes ao seu pré-texto e depois
documentará isso em seu relatório.
Tenha cuidado ao gravar essas chamadas. Alguns estados são estados de partido
único e outros são estados de partido duplo. Os estados de partido único exigem que
apenas uma pessoa ao telefone consinta em gravar a chamada. Estados bipartidários
exigir que ambas as partes concordem com a gravação. Se você estiver direcionando
recursos de propriedade do cliente, o cliente poderá fornecer autorização para gravar a
chamada como segunda parte. Se você estiver interagindo com os dispositivos pessoais de
um alvo, o próprio alvo deverá consentir, o que vai contra o propósito do seu teste de
penetração. Antes de realizar qualquer teste desta forma, o testador ou empresa prudente
consultaria um consultor jurídico para garantir que todas as atividades são legais.
Isca
Baiting é usar algum tipo de isca para fazer o alvo realizar uma ação. Isso normalmente envolve
o uso de dispositivos USB ou alternativas inovadoras, como códigos QR, para fazer com que
os alvos executem códigos de computador maliciosos. Para compreender a eficiência dos
códigos QR, considere a sua prevalência em 2020, quando os restaurantes começaram a
utilizá-los para permitir menus “sem toque”.
Você pode carregar documentos falsos em um pen drive USB ou Hak5 Rubber
Ducky e depois rotular esses documentos como demissões, aumentos, bônus ou propriedade
do CEO. (Um Rubber Ducky é um dispositivo com um computador integrado, encerrado
em um invólucro idêntico a muitas unidades USB, que funciona como um teclado e pode
inserir dados em um sistema como se o próprio usuário estivesse digitando.) Você então
espalharia o dirige ou patinhos ao redor do campus alvo para as pessoas encontrarem.
Usar um patinho de borracha tem vantagens. Se você estiver usando um Rubber Ducky,
poderá carregar scripts maliciosos no dispositivo junto com arquivos reais e legítimos.
Quando alguém o conecta a um computador, ele ignora quaisquer ferramentas de
prevenção contra perda de dados (soluções de software ou hardware que impedem que
arquivos sejam movidos do computador via dispositivo de armazenamento USB, e-mail ou
protocolo como FTP ou SCP), uma vez que se apresenta como um teclado USB. Se você
usar um dispositivo USB normal, poderá ser interrompido por um software de prevenção
contra perda de dados. Caso contrário, o destino abrirá o arquivo e implantará a carga útil (o
script ou ferramenta que ajuda a produzir o resultado desejado).
Você pode usar isca para obter acesso a um shell remoto em um sistema, o que permite
começar a interagir diretamente com o computador host. Mas a isca é complicada porque é
difícil garantir que a isca chegue ao local do alvo e que quaisquer conchas, conexões ou
outras informações obtidas do computador de trabalho estejam dentro do escopo do combate.
As pessoas podem levar a unidade para casa e conectá-la a um computador doméstico,
que você não teria permissão para atacar.
Mergulhar na lixeira
encontre exatamente o que você estava procurando. Pense nas coisas que você joga fora.
Alguns são incrivelmente pessoais. Outros, porém, serão completamente irrelevantes para o
seu envolvimento (por exemplo, os sacos de lixo que você coleta podem vir dos banheiros
da empresa).
Para esse tipo de envolvimento, você muitas vezes se apresentará como funcionário da
empresa de lixo do alvo e inventará uma história para levá-lo à lixeira.
Ao chegar lá, colete alguns sacos de lixo, leve-os para fora do local e revise-os.
Ao mergulhar no lixo, você provavelmente vai querer usar luvas e talvez até um
respirador. Você pode até estimular a economia local e contratar estudantes do ensino
médio ou universitários para fazer o trabalho sujo. Anote o que você vê, leia todos os
materiais escritos e cole todos os documentos picados novamente. Este pode ser o fim do
jogo ou um trampolim para algo maior.
Influência
Influência é um termo neutro para direcionar o comportamento de uma pessoa para
causar um resultado específico. A influência pode ser positiva ou negativa. Um médico
conversando com um paciente sobre suas condições médicas, as ações corretivas que eles
podem tomar e os riscos que enfrentam para inspirá-los a viver um estilo de vida mais
saudável é um exemplo de influência.
Manipulação
Fora do mundo da psicologia, as pessoas normalmente definem a manipulação da mesma
forma que definem a influência. Mas dentro da área, os termos têm significados
distintamente diferentes. A manipulação é uma implementação prejudicial de influência,
normalmente destinada a causar danos. Na engenharia social, tanto os maus atores como
as pessoas bem-intencionadas recorrem frequentemente à manipulação em vez da influência,
seja por falta de formação ou por miopia.
Relatório
Rapport, em suma, é confiança mútua. O dicionário Merriam-Webster define rapport como
“um relacionamento amigável e harmonioso” e acrescenta que tal
8 Capítulo 1
Machine Translated by Google
o relacionamento é geralmente “caracterizado por acordo, compreensão mútua ou empatia que torna a
comunicação possível ou fácil”. A Associação Americana de Psicologia (APA) baseia-se nisso
dizendo que “o estabelecimento de relacionamento com um cliente em psicoterapia é frequentemente
um objetivo mediato significativo para o terapeuta facilitar e aprofundar a experiência terapêutica e
promover o progresso e a melhoria ideais”.
Tal como os terapeutas, os engenheiros sociais tentam construir uma relação com os seus alvos
para ganhar a sua confiança. Para construir relacionamento, eles muitas vezes contam com
experiências compartilhadas (sejam reais ou blefadas), atendem aos interesses do alvo e enfatizam
seus próprios traços de personalidade. Você pode usar OSINT para aprender sobre o que o alvo gosta
e não gosta.
Em seu livro Influence: The Psychology of Persuasion (Harper, 1983), o psicólogo Robert Cialdini
detalha a relação entre influência e manipulação. Neste texto, o Dr. Cialdini descreve seis princípios
básicos de persuasão: autoridade, simpatia, urgência e escassez, compromisso e consistência,
prova social e reciprocidade.
Autoridade
As pessoas tendem a realizar uma determinada ação quando alguém em posição de autoridade
lhes diz para fazê-lo, ou quando são levadas a acreditar (verdadeiramente ou com falso pretexto) que
uma figura de autoridade também está realizando essa ação. Gosto de usar apelos à autoridade em
vishing. Por exemplo, posso ligar e dizer que estou operando sob a autoridade do CEO, do CISO ou de
uma lei específica.
Esta técnica pode ser muito eficaz. Tenha em mente, porém, que você nunca deve alegar ser
agente de um governo. Isto inclui qualquer membro do Federal Bureau of Investigation (FBI), da
Organização Internacional de Polícia Criminal (INTERPOL), da polícia estadual, da polícia local ou
do departamento do xerife; o Internal Revenue Service (IRS) ou outra entidade de arrecadação de
impostos; a Agência Central de Inteligência (CIA), a Agência de Segurança Nacional (NSA) ou a
Agência Federal de Gerenciamento de Emergências (FEMA), entre outras agências. Fazer isso é
um crime!
Simpatia
As pessoas tendem a querer ajudar pessoas simpáticas. Você já conheceu um vendedor que pelo
menos não tentou ser simpático? Freqüentemente, eles elogiarão seu traje, aparência e inteligência
para ganhar seu favor.
Urgência e Escassez
Os humanos naturalmente desejam coisas que são poucas. Recentemente aproveitei uma oferta em
uma academia local. Durante o processo de inscrição, um cronômetro apareceu me alertando que eu
tinha um minuto para concluir a transação ou seria removido do grupo de elegibilidade. eu passei
pelo processo
três vezes. Nas duas primeiras vezes, terminei com o mesmo endereço IP em um minuto. Na
terceira vez, perdi cerca de cinco minutos, e o cronômetro simplesmente zerava cada vez que
o minuto acabava.
Moral da história: a academia tentou usar a urgência para que eu me inscrevesse em
algo que pode ou não ter me beneficiado. O cronômetro dá aos clientes em potencial uma
restrição de tempo artificial e a sensação de que eles perderão se não agirem rapidamente.
Ao fazer phishing, muitos golpistas afirmam estar vendendo ou doando algo do qual
existe apenas uma quantidade pequena e finita. Para convencer as vítimas a agir, seja
clicando ou inserindo informações, elas oferecerão algo caro em um acordo que é bom
demais para ser verdade, com a ressalva de que as vítimas devem agir em pouco tempo.
Em outros casos, um criminoso pode tentar manipular a vítima para que pague um
resgate pelo ransomware, ameaçando dar à vítima apenas algumas horas para agir antes
de excluir, roubar ou liberar permanentemente os dados.
se eles planejam seguir em frente ou não. Os criminosos esperam assustar as vítimas e fazê-
las agir antes que elas tenham tempo de pensar sobre as coisas.
Compromisso e Consistência
As pessoas valorizam a consistência. Não gostamos de mudanças (na maioria das vezes).
Algumas vezes, os engenheiros sociais permanecem consistentes ou quebram a
consistência para influenciar os alvos. Um vendedor pode afirmar estar mais comprometido
com o sucesso de seu cliente do que com sua comissão, dizendo coisas como “Sempre
cuidei de meus clientes. Eu entendo você e sua organização. Eu sou o tipo de cara que ‘o que
você vê é o que você obtém’.” Isso é comum entre vendedores que dependem de
relacionamentos duradouros para trabalhar.
Prova Social
10 Capítulo 1
Machine Translated by Google
Reciprocidade
Conclusão
A engenharia social pode ser uma ferramenta incrivelmente poderosa para obter
acesso. Este capítulo apresentou uma série de técnicas, muitas das quais
exploraremos com mais profundidade ao longo do livro.
Tenha em mente que relacionamento é o nome do jogo. Depois de construir o
relacionamento, o resto do seu envolvimento será mais fácil. Compreender os conceitos
psicológicos e o comportamento humano subjacente é uma forma útil de estabelecer
uma conexão com alguém. Além disso, quanto mais OSINT você coletar, mais
inteligentemente você poderá falar sobre uma organização. Você pode encontrar dicas
para construir relacionamento com os funcionários e, ao mesmo tempo, aprender sobre
cultura, operações e tecnologias, o que pode facilitar atividades posteriores em um
pentesting ou no envolvimento da equipe vermelha. As informações irão ajudá-lo se você
estiver praticando phishing, vishing, spear phishing, caça à baleia, isca ou mergulho em lixeiras.
12 Capítulo 1
Machine Translated by Google
2
CONSIDERAÇÕES ÉTICAS EM
ENGENHARIA SOCIAL
Estabelecendo Limites
Não é preciso dizer o seguinte: se as pessoas pedirem para você parar de falar com elas
ou se elas encerrarem a conversa, você deve parar. Além disso, embora você possa
visualizar as postagens públicas de um alvo nas redes sociais e criar um perfil sobre elas,
você nunca deve fazer o seguinte:
14 Capítulo 2
Machine Translated by Google
A prática para evitar problemas legais é garantir que você esteja visando ativos de propriedade de seu
cliente, em vez de qualquer sistema BYOD (traga seu próprio dispositivo) de propriedade de funcionários.
Alguns estados, como o Tennessee, têm leis que tornam ilegal a falsificação de números de
telefone. Se você estiver fingindo ser uma emulação adversária autorizada por contrato com a empresa
cliente e se estiver visando apenas ativos de propriedade da empresa, geralmente você será claro. Quando
se trata de gravar uma chamada, alguns estados exigem que você tenha o consentimento de duas partes,
o que significa que você e a vítima devem consentir, e outros exigem o consentimento de uma única
parte, o que significa que é suficiente para você consentir. Se uma empresa pode servir como segunda
parte no consentimento para gravar seus funcionários em dispositivos de propriedade da empresa é uma
área jurídica cinzenta. A Tabela 2-1 lista os estados bipartidários. Se for solicitado a gravar chamadas,
consulte seu consultor jurídico para obter mais esclarecimentos em seu local específico.
Tabela 2-1: Estados que exigem que ambas as partes consintam na gravação de chamadas telefônicas
Califórnia
Connecticut Do ponto de vista dos casos criminais, é ilegal que alguém que não seja o
remetente ou o destinatário grave a chamada. Do ponto de vista dos casos
civis, Connecticut é um estado de consentimento bipartidário.
Delaware
Flórida
Maryland
Massachussets
Montana
Nevada Por lei, Nevada é um estado de partido único, desde que a parte gravadora
participe da comunicação. Mas com base num precedente estabelecido pela
Suprema Corte de Nevada no caso Lane v. Allstate, você deveria tratar
Nevada como um estado bipartidário.
Nova Hampshire
Pensilvânia
Washington
Você também poderá ter problemas se violar os termos de uso de um serviço. Em 2019, Mike Felch, da
Black Hills Information Security, publicou dois
postagens de blog sobre como selecionar os serviços de software a serem usados em caso de phishing.
Intitulados “Como limpar o Google e recomeçar”, partes 1 e 2, esses blogs discutem sua
experiência usando o G Suite (a plataforma de produtividade do Google agora chamada de Google
Workspace) como alvo e ferramenta de ataque. Felch explica como comprometeu credenciais
e usou o CredSniper para contornar a autenticação multifator.
É aí que a história toma um rumo interessante. Ele foi detectado tanto pelo cliente
Security Operations Center (SOC) quanto pelo SOC do Google. Como subproduto, o Google
não apenas tomou medidas para desativar a conta que ele estava usando, mas também
(presumivelmente através do uso de algum OSINT e seus próprios algoritmos de detecção)
começou a bloquear o acesso dele e de sua esposa a outras contas não relacionadas aos
serviços do Google que eles usaram. A moral da história é garantir que você coordene com
quaisquer outros fornecedores que o cliente possa usar antes do compromisso para garantir
que você não fique sem acesso a tudo, inclusive, como no caso de Mike, ao seu termostato.
16 Capítulo 2
Machine Translated by Google
Agora que estabeleci os limites legais e éticos para a engenharia social, deveríamos
fazer o mesmo com a OSINT. Muitas das mesmas considerações entram em jogo,
mas os riscos são geralmente menores, porque embora as informações que você encontra
através da coleta OSINT possam afetar o bem-estar de seus alvos, você não está interagindo
diretamente com eles. Ainda assim, isso não significa que você deva coletar todos os
dados existentes sobre cada alvo.
Protegendo Dados
Você deve avaliar por quanto tempo reter quaisquer dados coletados, como destruir os
dados, que valor atribuir aos dados, qual seria o resultado da perda dos dados e como
alguém poderia tentar comprometer os dados.
A perícia digital e a aplicação da lei baseiam-se frequentemente no conceito de
cadeia de custódia ao lidar com dados. A cadeia de custódia procura
18 Capítulo 2
Machine Translated by Google
informações pessoais como resultado de uma violação de dados. A coleta de OSINT não é uma violação
de dados em si, mas como nenhum precedente legal estabeleceu ainda o resultado do GDPR e de leis
semelhantes quando aplicadas à OSINT, você deve tratar essas leis como relevantes para suas atividades.
A partir de 25 de maio de 2018, o GDPR regulamenta o que você pode fazer com dados pertencentes a
cidadãos da UE. O regulamento visa proteger os cidadãos e residentes da UE no que diz respeito à recolha
e utilização dos seus dados. Em essência, capacitou os cidadãos e residentes da UE, enquanto
consumidores, a assumirem a responsabilidade pelos dados que são recolhidos deles e sobre eles. Após
a aprovação do GDPR em 2016, as empresas tiveram dois anos para se tornarem compatíveis. 25 de
maio de 2018 foi a data em que todas as empresas, globalmente, tiveram que estar em conformidade com
o GDPR. Uma empresa que viole o GDPR pode enfrentar multas de 4% de sua receita anual global. Isto
deverá constituir um incentivo para proteger qualquer informação recolhida sobre os cidadãos da UE (na UE
e no estrangeiro) e sobre as pessoas que visitam a UE.
Se você trabalha na aplicação da lei (federal, estadual, municipal ou outro) ou é um investigador particular
licenciado, códigos de ética e precedentes legais específicos direcionam os parâmetros pelos quais você
pode coletar e usar OSINT. Revise quaisquer leis aplicáveis ou consulte um advogado antes de iniciar
qualquer operação de coleta OSINT.
A União Americana pelas Liberdades Civis (ACLU) publicou um documento em 2012 alertando
sobre o terreno escorregadio associado à utilização de big data e outras técnicas, incluindo OSINT,
para tentar identificar potenciais criminosos antes de agirem. A ACLU discutiu a prática de recolher
dados em massa das agências de aplicação da lei sobre as pessoas e depois utilizá-los para implicá-las
em crimes que podem não ter cometido, muitas vezes recorrendo à ciência de dados para fazer previsões.
Jay Stanley, autor do artigo da ACLU, afirma que tal coleta e análise encorajarão mais coletas, com ou sem
justa causa. Pode fazer com que as pessoas entrem no sistema de justiça criminal sem o devido processo.
Cidadãos particulares: vocês ainda não estão livres. Alguns países e áreas têm leis que regem a
coleta OSINT para todos os cidadãos, mesmo fora da lei
aplicação. Por exemplo, no estado da Carolina do Sul, você deve ser um investigador
particular licenciado para que a pesquisa forense digital seja admissível em tribunal. A pesquisa
forense digital inclui qualquer coisa obtida da análise de um sistema de computador, seja ele
um disco rígido ou uma rede.
Resumindo: você é responsável por conhecer as leis nas áreas onde você e seu
alvo estão localizados. Antes de praticar qualquer coleta OSINT, é melhor consultar um
advogado em sua área com conhecimento específico de leis cibernéticas relacionadas a
negócios e consultoria, apenas por segurança.
Fingi realizar uma pesquisa de transparência organizacional, algo que inventei para
me permitir fazer perguntas bastante intrusivas às vítimas, sob a suposta autoridade do
CEO. Em vez de encontrar números de telefone via OSINT, a organização me forneceu uma
lista de números, sem nomes ou departamentos. Como ligar cegamente para um número
normalmente não leva ao sucesso, precisei fazer mais pesquisas. Dos números de telefone,
um era do despacho da polícia e outros dois eram números de telefone do tribunal local. Falei
com meu gerente sobre isso e decidimos deixar de visualizá-los.
Cuidado.
Para fazer as ligações, falsifiquei meu número para refletir um número de telefone da
Nielsen, empresa que realiza pesquisas para outras organizações. Afirmei que estava
conduzindo uma pesquisa autorizada pelo chefe da organização alvo para verificar o quanto os
funcionários sabiam sobre o local de trabalho e outros departamentos da organização. Fiz
um conjunto de perguntas semelhantes a estas:
20 Capítulo 2
Machine Translated by Google
Em seguida, liguei para um número de obras públicas. Uma simpática senhora de 60 anos atendeu.
Trocamos gentilezas e expliquei a pesquisa. Ela concordou em ajudar o máximo que pudesse, mas me
disse que não entendia muito de tecnologia.
“Eu também”, eu disse. “Estou fazendo esse trabalho em meio período enquanto vou para o
ACME Community College para estudar psicologia.” Nós rimos e comecei a pesquisa.
Eu examinei a lista. Ela respondeu às primeiras seis perguntas, mas quando perguntei o nome da
mãe dela antes de ela se casar, ela me disse que eu estava pedindo uma pergunta para redefinir a senha,
que ela realmente não deveria contar a ninguém.
Concordei em seguir em frente, dizendo a ela que nem sempre gostava das perguntas que tinha que
fazer. Lembrei-lhe que ela sempre poderia dizer não a uma pergunta. Quando lhe pedi uma senha que
ela usava com frequência, ela hesitou, depois suspirou e me disse “leitelho”.
A mulher começou a soluçar. Quando perguntei se ela estava bem, ela me disse que pão de milho
com leitelho era a refeição favorita de seu falecido marido. Imediatamente me senti deprimido. Ela me
disse que o próximo Dia de Ação de Graças seria o aniversário dele e que ela o havia perdido cerca de
três anos antes, devido ao câncer.
O que você deve fazer em cenários como este? Optei por permanecer no personagem, mas
conversei com ela até ter certeza de que ela havia retornado a um bom estado mental. Teria sido antiético
desligar a ligação e seguir em frente. Relembramos nossos falecidos familiares, as pessoas da região
dela, o clima e outros assuntos de conversa fiada.
Principais conclusões:
•Sempre permita que as pessoas optem por não participar do envolvimento. Você pode tentar influenciá-
los a continuar, mas não seja muito enérgico. Se eles disserem não, siga em frente. Se você se
sentir confiante, pergunte novamente mais tarde, mas se eles disserem não novamente, desista.
Ser enérgico não ajudará em sua causa.
•Ao fazer perguntas delicadas, certifique-se de estar em um local tranquilo e seguro. Evite gravar a
chamada se fizer essas perguntas.
•Se você tiver indícios de que atingiu alguém, reserve um tempo para interrogá-lo ou trazê-lo de volta a
um local estável, dependendo do que for apropriado para sua campanha.
•Comunique-se com sua gerência se você se encontrar em uma situação como a minha. Eles devem
estar cientes de que ocorreu um incidente caso o alvo os contate, mas também devem saber sobre
seu estado mental e qualquer coisa que possa afetar seu desempenho.
Conclusão
A engenharia social e a OSINT têm implicações para as pessoas associadas ao
envolvimento, mesmo fora do local de trabalho. Nesse aspecto, é diferente dos
testes de penetração convencionais, que em sua maioria permitem que as
vítimas saiam do trabalho. Ao realizar esses compromissos, tenha o devido
cuidado e diligência para garantir que a pessoa visada não sofrerá estresse
psicológico adverso ou será prejudicada de outra forma. A melhor maneira de
fazer isso é estabelecer limites específicos, como os descritos neste capítulo.
Caso contrário, meu melhor conselho aos profissionais é confiar no seu instinto.
Não hesite em entrar em contato com aconselhamento jurídico ao trabalhar com
clientes internacionais. Se o que você está fazendo com a vítima do noivado é
algo que o incomodaria, é provável que você não deveria fazer isso.
22 Capítulo 2
Machine Translated by Google
PARTE II
OFENSIVASOCIAL
ENGENHARIA
Machine Translated by Google
3
PREPARANDO-SE PARA UM ATAQUE
As mentiras mais ultrajantes que podem ser inventadas encontrarão
os crentes se um homem as contar com todas as suas forças.
—Mark Twain, carta ao jornal Alta California , São Francisco, 1867
Escopo
Na fase de definição do escopo , você deve trabalhar com o cliente para determinar exatamente
como seu envolvimento funcionará. Isso inclui descobrir quem será seu ponto de contato, bem
como considerações de tempo (como o número de horas orçadas para o trabalho; a hora do
dia, semana ou mês em que o teste será realizado; e períodos de indisponibilidade em que
você não está autorizado a testar). Você também deve discutir considerações legais,
certificando-se de que o contrato inclua linguagem que o proteja de questões legais. É por isso
que é prudente contratar um advogado. Você precisa de palavreado que o proteja de atos de
Deus, desastres naturais e outras circunstâncias imprevistas. Por fim, discuta o tamanho do seu
envolvimento, como o número de ligações a serem feitas ou metas a serem enviadas por e-mail.
26 Capítulo 3
Machine Translated by Google
Definindo Objetivos
Depois de assinar um contrato e criar um SOW, discuta os objetivos do envolvimento
com seu cliente. Esses testes serão usados para defender a adição de defesas ao
negócio, como novos produtos ou tecnologias?
Será utilizado para avaliar as necessidades de capital humano? O teste é apenas uma
forma de atender aos requisitos de conformidade? Ou o cliente irá utilizá-lo para avaliar
a equipe de segurança (por exemplo, como parte de uma avaliação de desempenho ou
para determinar aumentos)? As respostas a essas perguntas não devem afetar o
quão bem você realiza seu envolvimento, mas devem ajudá-lo a entender o que esperar
e como estruturar suas comunicações.
Definindo Métodos
Os métodos que você usa são uma consideração crítica para o seu envolvimento. Você
cometerá um erro de digitação ou uma ocupação de domínio? Em outras palavras, você
usará um domínio semelhante ao do cliente que contenha um erro tipográfico (uma
estratégia especialmente eficaz se a grafia correta for passível de erros ortográficos) ou
comprará um domínio disponível com o mesmo nome e nomes diferentes? domínio de
nível (como nostarch.us em vez do legítimo nostarch.com)? Você se apresentará como
fornecedor, cliente ou parceiro? Você atrairá downloads de documentos maliciosos ou
apenas coletará credenciais? Você encadeará um vish e um phishing juntos? O cliente
quer que você use uma solução automatizada ou você deveria usar um pouco mais
manual, como discutiremos no Capítulo 7?
Compreender as tecnologias que seu cliente utiliza e os vetores que você almeja
serão fatores essenciais para o sucesso do engajamento.
Para ir além, descubra se você pode enumerar publicamente a tecnologia da empresa e
faça você mesmo antes do compromisso. Essa abordagem realiza duas coisas: fornece
ao cliente um método para detectar e possivelmente atribuir quaisquer ataques e valida
se o cliente implementou adequadamente suas tecnologias. A última conquista pode
agregar grande valor ao seu cliente.
Se você tiver tempo suficiente, consiga alguns exemplares dos jornais locais. Se você
estão perto o suficiente, dê um passeio pela cidade e procure panfletos ou banners
anunciando tais eventos. Existe um interesse ou objetivo comum entre os alvos? Algum
dos funcionários gosta de caminhadas, corridas, corridas de obstáculos como
Com base nas informações que você coleta, construa seus cenários e pré-textos.
Apresente os três a cinco primeiros ao cliente e deixe-o escolher qual deseja que você use. Se
possível, confirme um período de tempo para realizar o ataque, mas não um horário exato. Isso
mantém seus clientes atentos e oferece um elemento surpresa.
Embora nenhum cliente deva informar os funcionários sobre os cenários que você escolher,
Eu encontrei o que parece ser apenas isso. No engajamento em questão, o cliente limitou os
pretextos e cenários possíveis, e então prescreveu o horário exato em que eu poderia enviar
e-mails de phishing e fazer ligações de vishing. A advertência: se me dissessem para ligar
de volta por qualquer motivo, eu poderia fazê-lo sem consentimento adicional.
Felizmente, explorei essa advertência a meu favor. Quando liguei, criei muitos ruídos
de fundo muito altos e interrupções fingidas. Entre o barulho e o “corte do telefone”, consegui
que cerca de dois terços das pessoas para quem liguei solicitassem que eu ligasse de volta.
Como os chamei de volta para fora da janela designada, seus guardas estavam abaixados e
eles foram mais abertos do que provavelmente teriam sido durante o período de chamada
prescrito.
Além disso, o Trace Labs canadense, sem fins lucrativos, criou e mantém ativamente
um fork do Kali Linux (com a bênção e assistência da Offensive Security) que é projetado para
ajudar nas investigações OSINT, especificamente em suas competições de Search Party usando
OSINT. para encontrar pessoas desaparecidas. A máquina virtual (VM) pré-configurada do
Trace Labs possui uma variedade de ferramentas para investigações OSINT com foco em
empresas e pessoas. Ele está disponível para download gratuito em https:// www.tracelabs.org/
trace-labs-osint-vm/.
28 Capítulo 3
Machine Translated by Google
e use uma ou mais VPNs para se conectar a ele. Veremos uma configuração de
infraestrutura para phishing no Capítulo 7.
Algumas ferramentas também funcionam no Windows. Algumas são ferramentas
baseadas na web (por exemplo, Netcraft, Hacker Target e OSINT Framework) que você
acessa principalmente a partir de um navegador da web. Fazer isso em um Mac ou PC
pode ser mais conveniente do que no Linux. Ainda assim, entenda que é mais provável
que você seja pego se usar seu sistema pessoal ou até mesmo um sistema de trabalho para
conduzir essas operações. Contanto que você tenha a permissão adequada para
realizar esses tipos de engajamento, os piores cenários são (a) ser bloqueado e (b) ter
seu endereço IP adicionado a um feed de inteligência de ameaças (uma lista de
crowdsourcing de entidades maliciosas ou características com atividades ou arquivos
maliciosos, como endereço de e-mail, endereço IP, hash de arquivo ou domínio), o que
significa que seus potenciais clientes ou alvos podem ser avisados de que o IP que você
está usando é considerado “malicioso”. Usar um VPS para atacar permite que você use a
configuração apenas uma vez e depois a destrua.
Comunicando Escopo
Medição Reconhecimento
Detecção Design e
aprovação
Implementação
Reconhecimento
Na fase de reconhecimento, você tenta identificar os principais funcionários
da empresa; vendedores, parceiros, fornecedores, tecnologia utilizada;
domínios e subdomínios utilizados; endereços de e-mail e a sintaxe de
endereço de e-mail padrão da empresa (por exemplo, nomes e sobrenomes
separados por ponto). Depois de assinar o contrato para realizar o trabalho,
você poderá iniciar o reconhecimento dentro dos prazos definidos no
contrato. Além de aderir ao contrato e fazer o reconhecimento de uma
maneira que seja consistente com seus objetivos de tempo (por exemplo,
não gastar 12 horas reunindo OSINT em um único alvo em um trabalho
com escopo de 4 horas), normalmente você não pode coletar muito
OSINT. Dito isto, algumas entidades apenas mantêm uma boa Segurança
de Operações (OPSEC): não utilizam redes sociais, ou podem até
tomar medidas activas para colocar propositadamente informações
enganosas ou falsas nas suas contas para evitar tais ameaças. Chamamos
esse processo de desinformação e engano.
30 Capítulo 3
Machine Translated by Google
Projeto e Aprovação
Você deve gastar algum tempo garantindo que o OSINT que você reuniu é
relevante e, em seguida, transformá-lo em uma arma que ajude os funcionários e
a organização-alvo a crescer e aprender. Afinal, mesmo que você esteja
tentando obter acesso a um sistema ou a informações, você deve querer ser
pego e querer que seus clientes aprendam com suas atividades.
Implementação
Detecção
Medição
para detectar quando as vítimas fizeram uma denúncia, quantas denúncias foram feitas e
uma variedade de outras métricas. Depois de analisar essas informações, você deverá
compilá-las em um relatório para o cliente. Discutiremos técnicas de medição no Capítulo
9.
Comunicando
Na fase de relatório, você pega as métricas coletadas e as reúne junto com o SOW,
um resumo executivo, uma sinopse de como foi o trabalho e quaisquer descobertas da
coleta OSINT ou do desempenho do trabalho. Você pode usar um modelo como o do
Apêndice B para escrever seu relatório. Você apresentará isso ao cliente para registro e
revisão. Se você optar por manter uma cópia deste relatório, precisará proteger o
documento, pois as informações contidas nele podem ser potencialmente utilizadas
indevidamente para atacar o cliente.
Agir Observar
Decidir Orientar
Depois de ter dados suficientes, você pode decidir o que fazer com eles. Você deve
praticar phishing ou vishing ou precisa de mais informações para ter sucesso? Você tem
informações suficientes para perpetrar essa penetração
32 Capítulo 3
Machine Translated by Google
Conclusão
Reservar um tempo para definir o escopo adequado do envolvimento com seu cliente é
uma maneira excelente de economizar tempo e esforço para vocês dois. Compreender
as perguntas certas a serem feitas certamente o ajudará. Prepare-se para o seu ataque
seguindo o processo de engenharia social. Alguns engenheiros sociais pregam que seu trabalho
é trazer o caos para uma empresa. Embora isso seja verdade em certo sentido, você também
deve ter um método para lidar com essa loucura para garantir que todos os envolvidos ganhem.
Você consegue o trabalho e continua a promover sua reputação, enquanto o cliente recebe o que
pediu e pagou de uma forma que agrega valor à sua organização e, esperançosamente,
significa repetir negócios para você.
34 Capítulo 3
Machine Translated by Google
4
REUNINDO OSINT DE NEGÓCIOS
NOTA Como regra geral, não segmentarei explicitamente as contas pessoais de uma pessoa como parte do
um noivado. Posso coletar informações para usar, mas não tentarei contatá-los por meio de uma
conta pessoal do Facebook, Twitter ou LinkedIn.
OSINT pode ser usado para habilitar inteligência contra ameaças cibernéticas (CTI) ,
que geralmente envolve um trecho de código ou um adversário específico. Nós o usamos como
um meio de identificar o autor de um ataque e seus motivos. Por exemplo, você pode rastrear
elementos de código para determinar seu autor ou país. Ou você pode rastrear um endereço
de e-mail ou número de telefone que entrou em contato com seu
36 Capítulo 4
Machine Translated by Google
OSINT empresarial
Esta seção irá ajudá-lo a começar a coletar OSINT de negócios. Que contexto você
pode usar para construir relacionamento ao se comunicar com os funcionários de
uma empresa? Examinarei algumas ferramentas de coleta OSINT aqui.
38 Capítulo 4
Machine Translated by Google
A seguir está a guia Pessoas, que inclui funcionários importantes. Estes são
normalmente executivos que supervisionam determinadas áreas-chave ou pessoas que tiveram impacto
na história da organização. Por exemplo, a Figura 4-5 lista Sam Walton, o fundador do Walmart, como
“Fundador e Administrador” da Equipe Atual e membro do Conselho de Administração, apesar de ter
falecido em 1992.
A guia Tecnologia fica praticamente bloqueada, a menos que você tenha uma conta de nível Pro.
Se você tiver essa conta, esta guia mostrará estatísticas de tráfego da web, métricas de aplicativos
móveis e informações limitadas sobre as patentes da empresa e outros registros de propriedade
intelectual. Essas informações podem ser encontradas em outros lugares na Internet, portanto, ficar
bloqueado não é um grande problema. Tente olhar para BuiltWith (https:// www.builtwith.com/),
Wappalyzer (https:// www.wappalyzer.com/), ou Shodan (https:// www.shodan.io/).
A aba final, Sinais e Notícias, agrega notícias relevantes e mudanças de liderança (Figura 4-6).
Esta guia também lista eventos aos quais a organização tem alguma afiliação,
seja patrocinando-os ou fazendo com que os funcionários falem com eles. Este é um bom ponto
de partida, mas não substitui outras fontes de informação, incluindo documentos públicos, comunicados
de imprensa e reportagens dos meios de comunicação social. (Discutiremos essas fontes nos
próximos capítulos.) Essa guia também pode sugerir possíveis termos de pesquisa que você pode
inserir no mecanismo de pesquisa de sua escolha.
40 Capítulo 4
Machine Translated by Google
A parte superior da página mostra domínios semelhantes ao domínio do alvo e que estão em leilão.
Eles podem ser úteis para invasão de domínio e outras tentativas de phishing ou isca. A falsificação é fácil de
detectar e a maioria dos clientes de e-mail possui proteções contra ela, enfraquecendo seu potencial como
engenheiro social. A ocupação de domínio ou de erro de digitação tem maior probabilidade de fazer com que os
e-mails passem por filtros e cheguem às caixas de entrada.
Em seguida, observe que a transferência é proibida, o que significa que você provavelmente não conseguirá
transferir esse domínio para um provedor diferente, uma atividade que as equipes vermelhas costumam tentar.
Observe também a idade do domínio. Isso ajuda a confirmar que você está olhando para o alvo certo.
Alternativamente, esse mesmo recurso pode revelar que os domínios que você usa são falsos. É por isso que é
uma boa ideia comprar domínios e esperar de seis meses a um ano antes de usá-los.
A seguir estão os servidores de nomes de domínio que o site usa. Estes podem alguns
vezes indicam outros softwares empregados pela empresa. Por exemplo, o Walmart usa Akamai e
UltraDNS. A Akamai também fornece serviços de rede de distribuição de conteúdo (CDN) (para permitir
carregamento mais rápido de páginas e mitigar ataques de DOS) e realiza proteção na Web e balanceamento de
carga (maior mitigação de DOS). É importante saber isso se você estiver se preparando para um teste de
penetração.
Esteja ciente de que, a partir de 25 de maio de 2018, o Regulamento Geral de Proteção de Dados
(GDPR) da UE mudou a forma como o WHOIS é tratado em sua jurisdição. Isto levou a Corporação da
Internet para Atribuição de Nomes e Números (ICANN), o órgão regulador do WHOIS, a alterar as informações
apresentadas para empresas e contactos localizados na UE.
Instalando o Recon-ng
O Recon-ng vem pré-instalado nas versões Offensive Security e Trace Labs Kali. Para usar o Recon-
ng em um sistema Linux diferente, você precisará do Python 3, a ferramenta de gerenciamento de
pacotes pip3 e do Git. Então você pode instalá-lo no diretório /opt com os seguintes comandos:
O Recon-ng permite definir espaços de trabalho separados, que são ótimos para manter segmentadas
as informações coletadas. Você pode definir o espaço de trabalho ao abrir o Recon-ng e armazenar os
dados coletados em seu próprio banco de dados SQLite exclusivo. Se eu estiver procurando por
diversas entidades ou empresas como parte da mesma investigação, darei a elas seu próprio espaço de
trabalho para não me confundir enquanto reviso as informações coletadas. Se você não definir um espaço
de trabalho, o Recon-ng gravará todos os resultados no espaço de trabalho padrão e no banco de dados
associado.
Para usar um espaço de trabalho ao iniciar o Recon-ng, execute o seguinte:
42 Capítulo 4
Machine Translated by Google
reconhecimento-ng -w walmart
Se você já estiver no Recon-ng, poderá visualizar os espaços de trabalho disponíveis por problema
usando o comando de lista de espaços de trabalho .
NOTA Você não pode fazer isso enquanto um módulo está carregado; portanto, nessa situação, você precisará emitir
o comando back .
Se quiser carregar um espaço de trabalho existente, você pode emitir este comando:
Depois que você não precisar mais de nenhuma informação em um espaço de trabalho
e seus requisitos de retenção foram aprovados, você pode removê-lo:
Em seguida, você deve habilitar e instalar módulos. Vamos ver quais módulos estão disponíveis usando
a pesquisa de mercado:
Você pode instalar módulos de duas maneiras: um por um ou todos de uma vez. Para instalar
um único módulo, insira o seguinte comando, substituindo import/ csv_file
com o caminho completo do módulo:
NOTA Ignore os avisos sobre chaves de API ausentes. Importaremos chaves de API apenas para os módulos necessários.
Para que algumas das ferramentas acessem recursos externos, você precisará adicionar chaves de API de vários
sites. Cada site tem seu próprio processo para obter essas chaves, e esses procedimentos tendem a mudar com
frequência. Você pode encontrar meu tutorial atualizado para obter essas chaves de API em https://
www.theosintion
.com/practical-social-engineering/ ou verifique as páginas de chaves de API nos sites de cada ferramenta.
Assim que tiver as chaves, use a seguinte sintaxe no Recon-ng para adicioná-las:
lista de chaves
Existem cinco tipos de módulos Recon-ng: descoberta, exploração, importação, reconhecimento e relatório.
Neste livro, usaremos os tipos de módulo de descoberta, reconhecimento e relatório.
Para ver os módulos relativos a um tipo específico, use o comando search, seguido do nome do tipo:
Se você souber parte do nome do módulo, poderá usar a função de pesquisa para localizá-lo, assim:
44 Capítulo 4
Machine Translated by Google
Por exemplo, para pesquisar todos os tipos de arquivo em nostarch.com , use o seguinte
comandos:
[*] https://www.nostarch.com/download/WGC_Chapter_3.pdf
[*] Produtor: Acrobat Distiller 6.0 (Windows)
[*] Título: Escreva um ótimo código
[*] Autor: (c) 2004 Randall Hyde
[*] Criador: PScript5.dll Versão 5.2
[*] Atualização: D:20041006112107-07'00'
[*] Data de criação: D:20041006111512-07'00'
[*] https://www.nostarch.com/download/wcss_38.pdf
[*] Produtor: Acrobat Distiller 5.0 (Windows)
[*] Título: wcss_book03.book
[*] Autor: Riley
[*] Criador: PScript5.dll Versão 5.2
[*] Atualização: D:20040206172946-08'00'
[*] Data de criação: D:20040116180100Z
Se Extract estiver definido como True, este comando gerará todos os documentos no
site público do destino que estejam nos formatos PDF ou Microsoft Office (Excel,
Word ou PowerPoint) com um link para o arquivo e metadados, incluindo o
autor, o software que o criou, a data de modificação, o software que o produziu e a data
em que foi criado. Se Extract estiver definido como False, a saída fornecerá apenas o
nome do arquivo e o link.
Com essas informações, você pode fazer inúmeras coisas. Da meta
dados, você pode enumerar usuários, sistemas operacionais e software usados.
Nos próprios arquivos, você poderá encontrar informações que o alvo pretendia manter
privadas, incluindo nomes, endereços de e-mail, números de telefone e fax, locais e
assuntos comerciais importantes.
46 Capítulo 4
Machine Translated by Google
O módulo mx_sfp_ip recupera o registro DNS mail exchanger (MX) para um domínio. O registro
MX define como o domínio processa email. Mostra os servidores de e-mail usados e quaisquer
registros do Sender Policy Framework (SPF)
que restringem intervalos de IP a partir dos quais o domínio pode receber mensagens, bem como
domínios que podem enviar e-mails para a organização sem escrutínio.
Usando o registro MX, um invasor pode aproveitar as informações que ele contém para criar um
ataque de falsificação de e-mail bem-sucedido. Por exemplo, o invasor pode enumerar os intervalos de
IP listados no registro e seus domínios associados. Isso pode fornecer pistas sobre relações
comerciais, fornecedores ou tecnologias utilizadas.
Por outro lado, o resultado a seguir nos mostra que o Walmart usa FPS:
Observe pphosted.com 1 listado como host. Isso indica o uso do Proofpoint, uma
tecnologia anti-spoofing que adiciona uma mensagem personalizada, geralmente a string
[EXTERNAL], à linha de assunto dos e-mails recebidos, facilitando a detecção de phishing ou
tentativas de comprometimento de e-mail comercial.
Alguns intervalos de rede também estão listados 2. Estes são o IP público do alvo
endereços, e os dois hosts listados são os principais servidores de correio. Você pode confirmar
isso usando outras ferramentas.
Assim como o Recon-ng, o theHarvester é uma ferramenta OSINT de linha de comando baseada em
Linux, disponível gratuitamente como parte do Kali e do Buscador. Você também pode encontrá-lo no GitHub.
Escrito por Christian Martorella, theHarvester requer chaves de API para Shodan e Google Custom
Search Engine (CSE). Você pode inserir essas chaves nos seguintes arquivos:
caminho do Harvester/discovery/googleCSE.py
caminho do Harvester/discovery/shodansearch.py
No Harvester, você pode usar interruptores para direcionar a ferramenta para executar
tarefas. A decisão de usar o Harvester em vez do Recon-ng é uma questão de preferência.
Mesmo se você usar o Recon-ng como sua ferramenta principal, você pode querer obter uma
segunda opinião usando o Harvester para ver se o Recon-ng perdeu alguma informação adicional.
48 Capítulo 4
Machine Translated by Google
Figura 4-9: Resultados da pesquisa do Hunter para um usuário não autenticado (Observação: o Hunter censurou esses resultados).
A Figura 4-10 mostra uma pesquisa autenticada que retorna emails válidos
endereços para nosso domínio de destino, bem como onde eles foram encontrados.
Figura 4-10: Resultados do Hunter para um usuário autenticado. (Nota: o autor censurou esses resultados.)
Observando esses resultados, você pode deduzir a sintaxe dos endereços de e-mail da
empresa. Você pode então acessar o LinkedIn e o site corporativo para obter mais nomes e,
em seguida, reunir mais endereços de e-mail, caso queira fazer phishing nessas pessoas.
Você provavelmente já usou o Google Maps ou o Bing Maps para se orientar usando
visualizações de mapas, visualizações de satélite e visualizações tiradas da rua. Quando se
trata de coletar OSINT, os modos de visualização de satélite e de rua são geralmente os mais
valiosos.
A visualização de satélite pode mostrar portões, lixeiras, antenas parabólicas, entradas e
saídas, esquemas de estacionamento e instalações adjacentes. Você pode ampliar bastante
perto de alguns locais para ajudá-lo a determinar esconderijos, entradas e áreas para
fumantes.
A vista da rua permite que você veja o edifício e as instalações como faria
se você caminhou ou dirigiu. A partir dessa visão, você pode identificar o seguinte:
•Vendedor de lixeiras (informações úteis para pretextos no local que podem ajudá-lo a obter
acesso ao prédio ou à lixeira)
50 Capítulo 4
Machine Translated by Google
•Portões, portas e cercas, e se eles são deixados abertos rotineiramente (e, às vezes, a presença
de guardas de segurança)
Durante a DerbyCon SECTF que mencionei no início deste capítulo, usei o Google Maps
para determinar os fornecedores de remessa da minha empresa-alvo, verificando quais
caminhões estavam dentro dos limites dos portões. Eu poderia ter usado essas informações para
obter acesso físico, talvez encontrando um uniforme em um brechó, ou como pretexto para
ligar sobre uma remessa.
Usar o Google Maps e o Bing Maps pode fornecer informações melhores, pois a fonte dos
dados dos aplicativos é diferente. Além disso, as imagens são coletadas em dias diferentes, então
você pode, por exemplo, encontrar um caminhão de entrega em um aplicativo, mas não em outro,
uma nova lixeira em uma foto mais recente ou nomes de fornecedores mal censurados.
Conclusão
Você pode seguir vários caminhos para coletar OSINT. Este capítulo apenas arranha a superfície
dos recursos dessas ferramentas e pretende ser um ponto de partida que o ajudará a aplicar
técnicas OSINT à engenharia social, testes de penetração ou qualquer outra aplicação ética. Através
dos exercícios deste capítulo, você coletou domínios, endereços IP, endereços de e-mail, nomes
e tecnologias associadas a empresas que usam ferramentas de código aberto.
O próximo capítulo aborda estratégias para coletar OSINT sem ferramentas sofisticadas. O
Capítulo 6 cobre as operações OSINT contra pessoas.
5
MÍDIA SOCIAL E
DOCUMENTOS PÚBLICOS
O LinkedIn é uma excelente rede social profissional. Muitos de seus usuários são um pouco
abertos sobre sua experiência, revelando todas as tecnologias e processos utilizados internamente.
Ao pesquisar os funcionários da empresa no site, podemos preencher uma lista de alvos de
phishing, encontrar as tecnologias usadas na empresa e enumerar as funções que poderíamos
desempenhar em ataques de vishing.
O LinkedIn é uma mina de ouro da OSINT, especialmente para empresas menores com menor
presença online.
NOTA: Alguns dos recursos de análise discutidos aqui estão disponíveis apenas para usuários do LinkedIn
Premium, que no momento da redação deste artigo custava US$ 29 por mês. Tenha em mente
que os recursos (de qualquer produto ou serviço) mudarão para melhor e para pior. Meu foco
nestas seções é menos nas ferramentas e recursos e mais nas técnicas.
Vamos dar uma olhada na página comercial do Walmart no LinkedIn (Figura 5-1). No topo da
página, podemos ver quantos seguidores o Walmart tem, quantas conexões dessa conta funcionam
no Walmart, um ticker da bolsa e uma visão geral da empresa. A seção Sobre nós também fornece
informações gerais sobre o Walmart.
54 Capítulo 5
Machine Translated by Google
Informação de trabalho
Funcionários da Empresa
Uma página separada lista os usuários do LinkedIn que são funcionários da empresa. Use isso
para ver o papel que cada pessoa desempenha. Por exemplo, a Figura 5-3 mostra alguém
com o cargo de analista de intrusão, uma função de segurança cibernética que sugere que a
empresa monitore ativamente seus sites e redes em busca de comportamento malicioso.
Podemos avaliar a segurança da empresa através do número de funcionários de
segurança da informação. Uma maneira fácil de fazer isso é procurar nos perfis dos funcionários
siglas de certificação. A verificação de CISSP, GPEN, OSCP, CEH e Security+ são bons
pontos de partida. Bons cargos para pesquisar incluem os termos segurança da informação,
segurança cibernética, intrusão e CISO.
Esses perfis de funcionários também nos falam sobre as tecnologias que a empresa
utiliza. Ao pesquisá-los, podemos detectar a presença de soluções de gerenciamento de eventos
e incidentes de segurança (SEIM), proteções contra malware, filtragem de e-mail ou VPNs.
Além disso, eles nos ajudam a criar uma lista de e-mail para criação de perfis e phishing
adicionais.
56 Capítulo 5
Machine Translated by Google
Outras coisas notáveis a serem procuradas em anúncios de emprego são menções de quais
gerente ao qual a função se reporta. Conhecer o organograma e quem ocupa cada função
pode ser útil na construção de pretextos em situações em que a divulgação de nomes ajudaria na
sua credibilidade. Também não limite isso às postagens atuais. Veja as postagens mais
antigas em sites como Even, Ladders e LinkedIn. Você também pode verificar https:// archive.org
para páginas mais antigas. Ao revisar postagens mais antigas, você pode ter uma ideia da
frequência com que a organização corrige ou atualiza seu software, bem como a cultura de
RH e Segurança.
Facebook
O Facebook pode ser uma mina de ouro ou uma fossa, dependendo de para quem você pergunta
e do que procura. Isso ocorre porque os dados são abundantes, mas minimamente
examinados, embora às vezes verificados. Muitas pessoas tendem a compartilhar demais
neste site (comportamento que exploraremos mais detalhadamente no Capítulo 6). Nesta
seção, nos limitaremos às informações relacionadas aos negócios sobre uma empresa e
seus clientes.
Para começar a analisar no Facebook, crie uma conta que você não usa por motivos
pessoais. Mesmo que a criação de uma conta falsa viole os Termos de Serviço do site, isso
impedirá que você apareça na guia Pessoas que você talvez conheça em seu perfil real. Você
também poderá postar publicamente em sua página sem confundir seus amigos legítimos e
correr o risco de expulsá-los de você. Tenha em mente que, na sequência das controvérsias
em torno do envolvimento da Rússia nas eleições presidenciais dos EUA em 2016 e
Como outra camada de segurança, evite usar os aplicativos móveis do site, porque eles
normalmente têm acesso a todos os aplicativos do seu dispositivo móvel e podem identificar
uma conta como pertencente a você sem qualquer outra entrada. Você também poderá receber
anúncios cada vez mais pessoais, o que pessoalmente considero alarmante.
Informações da
empresa Na página de uma organização no Facebook (veja a Figura 5-5 para o Walmart),
procure informações de contato, quaisquer cronogramas relevantes ou comunicados à
imprensa. Para empresas menores, é comum encontrar notícias sobre prêmios
conquistados ou listas às quais foram adicionados. Você também pode ver postagens
sobre as atividades e realizações dos funcionários, especialmente se estiver almejando uma consultoria.
Veja a seção Sobre da página (Figura 5-6). É aqui que podemos encontrar números de
telefone, mesmo que sejam de suporte técnico, suporte ao cliente ou linha direta da
empresa. Podemos encontrar endereços de e-mail e quase certamente veremos seus sites.
58 Capítulo 5
Machine Translated by Google
Ao visitar uma empresa, uma das maneiras mais astutas de fazer um funcionário
realmente falar com você é se passar por cliente. Você pode encontrar uma infinidade
de clientes reais olhando a guia Comunidade do Facebook e lendo comentários. Na
Figura 5.7, a aba Comunidade do Walmart mostra diversas publicações na página
feitas pelo público em geral. Isso deve ser considerado um grão de sal e contextualizado.
Algumas dessas postagens são preocupações legítimas, mas outras são teorias de
conspiração, alegações infundadas, tentativas de viralização e relatos de páginas falsas ou falsas.
Instagram
O Instagram é um tesouro da OSINT. Em uma competição Capture the Flag de Engenharia
Social (SECTF) da qual participei uma vez, encontrei mais de 90% das informações
contra minha empresa-alvo usando o Instagram.
Seguidores e hashtags
Mais interessante do que quem segue a conta empresarial é quem a conta
empresarial segue. As contas corporativas normalmente seguem executivos e
influenciadores relevantes, bem como equipes de marketing e relações públicas.
Por exemplo, observe quem o Walmart segue (Figura 5-8). A lista inclui as marcas
que vendem e LeBron James.
Pesquise também as hashtags que o alvo segue. Isto nos diz sobre
o que o alvo considera importante. As hashtags podem ser relevantes para uma
promoção que a empresa está realizando, por exemplo, ou indicar se sua equipe
de mídia social é desleixada. Hashtags também podem ser sobre o
60 Capítulo 5
Machine Translated by Google
concorrentes da empresa. A partir das hashtags que o Walmart escolhe seguir (Figura 5-9),
aprendemos sobre iniciativas internas, incentivos ao cliente e linguagem potencialmente
usada internamente.
As fotos dos crachás podem nos ajudar a identificar o fabricante e o design do crachá.
Em alguns casos, você poderá clonar crachás de cartão-chave para obter acesso às
instalações. Brent White e Tim Roberts fornecem uma boa folha de dicas para usar o clonador
de crachás Proxmark (e muito mais) em https://
wehackpeople.wordpress.com/ 2018/07/16/ proxmark-3-cheat-sheet-and-rfid-thief
instruções/ . Em outros casos, você poderá replicar o design do emblema. Por
exemplo, o crachá de fornecedor do Walmart na Figura 5.10 nos mostra a aparência dos
crachás de fornecedor, incluindo as fontes que eles usam e que possuem código de barras
e data de validade.
Talvez possamos recriar o código de barras do crachá. Embora o crachá não contenha
números úteis para identificação, ele inclui uma data – potencialmente útil em um estratagema
inteligente para obter acesso.
Alternativamente, você pode criar crachás falsos não funcionais. Você também
pode aprender como as pessoas se vestem no local, permitindo que você se misture. Por
exemplo, nas lojas do Walmart, os associados geralmente usam calças cáqui e uma
camisa azul escura com um avental e um distintivo. A Figura 5.11 mostra uma série
de imagens de crachás do Walmart, todas aparentemente inocentes até que um
engenheiro social ou ator malicioso as utilize para obter acesso não autorizado às instalações.
62 Capítulo 5
Machine Translated by Google
Fotos de mesas podem nos dizer mais sobre as tecnologias que uma empresa utiliza.
A Figura 5-12 mostra a imagem de um cubículo de funcionário. O funcionário (associado)
estava se gabando de um cartão que recebeu, mas a foto também mostra que eles estão
usando um MacBook com Photoshop, Microsoft Office 2016 e Cisco WebEx abertos no dock do
macOS.
Pesquisando endereços IP
Se você conhece um endereço IP ou intervalo, você pode consultá-lo no Shodan para
resolver o host, os serviços e os banners de serviço (Figura 5-13). Isso ajudará se você
estiver conduzindo este OSINT para se preparar para um teste de penetração.
Figura 5-13: Enumeração Shodan de endereço IP e portas e serviços em execução com banners
Shodan também nos fala sobre o certificado TLS/SSL usado para criptografar o tráfego
da web de e para o site. Se o certificado empregar cifras fracas, você poderá considerar
isso como um vetor de ataque para exploração técnica.
64 Capítulo 5
Machine Translated by Google
Pesquisando Nomes de
Domínio Se você inserir o nome de domínio da sua organização alvo no Shodan,
o sistema responderá com todos os hosts conhecidos. Isso o ajudará a obter
informações sobre portas e protocolos em uso, bem como banners e versões de serviços.
Esse método também nos ajuda a identificar os tipos de sistemas conectados à
Internet que eles usam (como NGINX, Apache e IIS), além de nomes de host e
endereços IP.
A Figura 5-14 mostra o resultado de uma pesquisa pelo domínio walmart.com com
o qualificador de que os anfitriões devem pertencer às lojas Walmart. Isso evita a
obtenção de domínios irrelevantes que contenham a frase walmart.com ou sites com
links para walmart.com.
Figura 5-14: Domínio Shodan e enumeração de endereço IP filtrada pelas lojas Wal-Mart
Depois de ativar o Hunchly, basta navegar pelo que você está investigando no
navegador Chrome. Quando terminar, desative a extensão Hunchly e clique no botão do
painel para ver o que você coletou (Figura 5-17).
66 Capítulo 5
Machine Translated by Google
é vital se você estiver coletando OSINT por motivos legais e usar a captura de tela como
prova em tribunal.
As empresas de capital aberto nos Estados Unidos devem produzir e enviar uma variedade
de documentos e formulários para manter a conformidade. Esses documentos provam à SEC
que todas as informações divulgadas são verdadeiras e que a empresa não está infringindo
nenhuma lei. Como esses documentos estão disponíveis ao público, eles são uma
excelente fonte de OSINT.
Para encontrar os formulários SEC de uma empresa, navegue até o site SEC
EDGAR (https:// www.sec.gov/ edgar/ searchedgar/ companysearch.html). Você pode aprender
mais sobre os vários formulários da SEC na Investopedia, https:// www.investopedia.com/
artigos/ análise fundamental/ 08/ sec-forms.asp.
Um formulário particularmente útil de se observar é o Formulário SEC 10-K, que é o
relatório anual da empresa. Ele fornece uma visão geral de como está o desempenho
financeiro da empresa, da equipe executiva, do conselho de administração, dos problemas
que tiveram no ano passado e dos riscos que os preocupam. A SEC determina que as
empresas apresentem esses formulários no prazo de 90 dias após o final do ano fiscal,
portanto, as datas de publicação podem variar.
Usando o relatório anual e 10-K do Walmart de 2018, vamos examinar os pontos
de interesse para uma avaliação OSINT. Por exemplo, o relatório anual de 2018 do
Walmart diz o seguinte:
Isso nos permite saber duas coisas: a empresa chama seus funcionários de associados
e abriu academias de treinamento, informações que podem ser usadas para construir
relacionamento. Ao escrever um e-mail para um ataque de phishing, você pode até citar
diretamente esse relatório (veja o Capítulo 7 para ver um exemplo dessa tática).
O formulário 10-K começa informando quando termina o ano fiscal, o que nos dá uma
ideia de quando será a maior urgência, em relação aos trimestres fiscais.
Um pouco mais abaixo no formulário, vemos onde a empresa está legalmente
constituída; o endereço do escritório residencial, CEP e número de telefone principal; e seu
número de identificação do empregador (EIN).
No formulário 10-K 2018 do Walmart, você pode encontrar o seguinte útil
Informação:
Uma declaração sobre a mudança do nome comercial de Walmart Stores, Inc. para
Walmart Inc.
68 Capítulo 5
Machine Translated by Google
Uma lista de sites que o Walmart usa para realizar negócios na Internet
Aqui também vemos o que o Walmart considera ser seu concorrente. Na seção sobre
sua associação ao Sam's Club, por exemplo, ele menciona Costco.
Esta lista de funcionários de alto nível poderia ser usada em ataques de pesca e caça
às baleias. Também vemos as funções e idades dos funcionários, o que pode
ajudar a monitorar suas redes sociais.
Isto permite-nos ver como mitiga e percebe ameaças associadas à sua infra-estrutura
de tecnologia da informação.
Isso pode nos fornecer um contexto adicional sobre a forma como a empresa opera ou
nos ajudar a atingir alguém do departamento jurídico.
Isso nos fornece mais informações sobre como o Walmart faz negócios. Também nos
fornece informações que poderíamos usar para construir pretextos credíveis para
usar contra os seus associados.
Outros formulários que você deve procurar são o 8-K (mudança no status do
material) e o 10-Q (relatório trimestral). O 8-K normalmente envolve a concessão ou venda
de ações. O 10-Q é uma versão incremental do 10-K produzida trimestralmente, mas com
menos detalhes.
Conclusão
Este capítulo ilustrou a utilidade (e os perigos) das redes sociais e de outros recursos
disponíveis publicamente. As informações coletadas neste capítulo são uma boa base para
construir um ataque de engenharia social. Embora devamos armar apenas as informações
de que precisamos, é importante falar sobre o que encontramos, mas não usamos no
relatório que enviamos aos nossos clientes.
70 Capítulo 5
Machine Translated by Google
6
GATHERINGOSINT
SOBRE PESSOAS
Todas essas informações são passadas através do que chamo de OSINT Heartbeat. O
OSINT Heartbeat é o ato de expandir e contrair as informações que você coletou – tornando possível
focar no alvo em um nível micro e depois expandir para fora, para as pessoas, contas e associações
adjacentes em um nível macro. . O aspecto mais vital do OSINT Heartbeat é discernir quais informações
têm um contexto de inteligência e quais não têm. Este processo é importante para evitar a visão de
túnel que resulta do foco muito próximo em um alvo, fazendo com que você perca outros pontos de
dados importantes.
Descobrindo se um usuário foi violado com Have I Been Pwned Os módulos hipb_breach e
hibp_paste na pesquisa Recon-ng Site Have I Been Pwned (HIBP) de Troy Hunt (https://
haveibeenpwned.com/) e bancos de dados associados para determinar se um endereço de e-mail inserido
esteve envolvido em alguma violação de dados.
Costumo usar esses módulos para criar um dossiê sobre como os funcionários da minha empresa
a empresa-alvo usa seus e-mails de trabalho. Esta é uma boa indicação da maturidade do programa
de segurança da empresa. Por exemplo, algumas pessoas, como aquelas que gerenciam contas de
mídia social, podem precisar ter uma conta do Facebook ou LinkedIn associada aos seus e-mails
de trabalho. No entanto, o zelador ou técnico de suporte técnico de nível associado provavelmente não o
faz.
Para usar módulos HIBP no Recon-ng, basta carregar o módulo, definir o
campo SOURCE para o endereço de e-mail ou lista que você deseja pesquisar e, em seguida, digite o
comando de execução :
recon/credenciais de contatos/hibp_breach
recon/credenciais de contatos/hibp_paste
[recon-ng][default][hibp_breach] > executar
[*] bill@nostarch.com => Violação encontrada! Visto na violação do Adapt que ocorreu em 05/11/2018.
[*] bill@nostarch.com => Violação encontrada! Visto na violação do AndroidForums que ocorreu em 2011-
10-30.
[*] bill@nostarch.com => Violação encontrada! Visto na violação do AntiPublic que ocorreu em 12/12/2016
16.
72 Capítulo 6
Machine Translated by Google
somente se você puder confirmar que é o proprietário do e-mail por meio de um processo
automatizado de e-mail ou confirmar que é o proprietário de todo o domínio (ou se for um
administrador de sistema autorizado dele). Para verificar cada e-mail em um domínio
inteiro, você deve ser capaz de demonstrar a propriedade, normalmente por meio de um DNS TXT
registro. O hack do site de namoro Ashley Madison é um exemplo disso.
No momento em que este artigo foi escrito, WhatsMyName verificava mais de 250
sites. Para restringir o número de sites verificados ou para adicionar à lista, basta editar o
web_accounts_list.json com a sintaxe JSON adequada, como no exemplo a seguir:
{
"nome": "YouTube",
"check_uri": "https://www.youtube.com/user/{account}/videos",
"código_existência_da_conta": "200",
"account_existence_string": "nome\" content=",
"
"account_missing_string": Este canal não existe",
"account_missing_code": "404",
"contas_conhecidas": ["teste"],
"categoria": "vídeo",
"válido": verdadeiro
}
Se quiser verificar um site que não está incluído no arquivo JSON, você pode
simplesmente pesquisar como o site processa solicitações HTTP, incluindo os parâmetros que
ele usa e os códigos de resposta HTTP esperados. Você simplesmente copiaria a entrada no
arquivo.
Execute WhatsMyName usando o seguinte comando:
À medida que você executa o script, um [+] deve aparecer ao lado de cada site em que
WhatsMyName detecta uma conta.
74 Capítulo 6
Machine Translated by Google
•Aniversários
Como defensor, você poderia então restringir os usuários de usar qualquer variante
de itens desta lista como senhas e exigir que eles escolhessem algo diferente. Isso permitiria
reduzir a probabilidade de alguém adivinhar as senhas dos usuários, mas não faria nada
para a reutilização ou preenchimento de senhas como resultado de violações de dados
fora da sua organização.
Alternativamente, você pode usar a lista em uma conversa ou phishing para capturar
a atenção de um alvo. Por exemplo, pergunte como está o cônjuge ou filho da vítima,
pelo nome. Um testador de penetração pode usar essas informações para pulverização de
senha (um ataque no qual você tenta as mesmas senhas com vários nomes de usuário,
em oposição à quebra de senha tradicional, que envolve tentar várias senhas possíveis para
um único usuário) ou outros meios técnicos para obter
acesso a uma conta.
Primeiro, olho para o primeiro plano, ou para o que a imagem realmente pretende
nos dizer, seja sobre uma pessoa, uma cena ou qualquer outra coisa. Em seguida, olho
para o fundo. Por exemplo, existe um papel de parede de hotel cafona que possa vincular
esta imagem a um local ou rede específica? Eu então olho para o que está faltando na
foto. O que deveria estar aqui? Penso nisso como um daqueles desafios de comparação de
duas imagens. Algo foi photoshopado? Alguma coisa saiu do quadro?
Por fim, examino os dados do Exchangeable Image File (EXIF) . O EXIF para mat é
um padrão para imagens estáticas que define as imagens, sons e outras tags que câmeras
digitais, smartphones e outros sistemas produzem. Como todas as câmeras e smartphones
têm a capacidade de produzir esses dados, podemos coletar vários níveis de OSINT
sobre as fotos e as pessoas que as tiraram.
Para analisar os dados EXIF, clique com o botão direito na imagem e selecione Obter
informações em um Mac. No Windows e Linux, clique com o botão direito na imagem e selecione Propriedades.
Isso deve abrir uma janela com dados EXIF visíveis (Figura 6-2).
Aqui vemos o tipo de imagem e quando a baixei. Obtemos as dimensões, marca e modelo
da câmera que a capturou – neste caso, um iPhone X. Na parte inferior, vemos a latitude e a
longitude do local onde a imagem foi tirada, que é uma informação que os smartphones normalmente
incluem .
76 Capítulo 6
Machine Translated by Google
Alternativamente, você pode usar o Image Metadata Viewer de Jeffrey (http:// exif
.regex.info/ exif.cgi), uma versão online do ExifTool. Isso é útil se você estiver tentando evitar o download de um
arquivo ou estiver trabalhando explicitamente apenas com imagens on-line. Você pode fornecer à ferramenta
um arquivo ou link e ela postará os resultados
na tela.
câmera --snip--
Programas : 12.3.1
Criar Data : 2019:08:03 11:39:02
--recorte--
Tipo de cena : Fotografado diretamente
Renderizado personalizado : Retrato HDR
78 Capítulo 6
Machine Translated by Google
Nas análises finais, você pode ver quanto tempo o telefone tem
estive fora do carregador, a elevação e a latitude e longitude:
Tamanho da : 4032x3024
imagem Fator : 12,2
Figura 6-3: Entrada do Google Maps para latitude e longitude retirada de dados EXIF
Esta cena confirma que a foto foi tirada perto do Plough Inn, ao longo
do rio Darent, em Eynsford, Inglaterra.
LinkedIn
No LinkedIn, verifique se o alvo é um LinkedIn Open Networker (LION),
ou alguém que aceitará todas as solicitações de conexão. Além disso, enumere seus
colegas. Observe as informações deles, que provavelmente incluirão algumas realizações.
Você também pode encontrar endereços de e-mail ou links para outros sites de mídia social.
Instagram
No Instagram, você pode ver com quem um alvo interage mais. Você também pode confirmar
a aparência de alguém além das fotos na cabeça e criar um dossiê que o ajudará a se
comportar como as pessoas com quem eles convivem.
As pessoas não gostam de admitir, mas costumam associar a um tipo.
Facebook
O Facebook pode permitir que você aprenda mais sobre uma pessoa do que você jamais
desejou ou, inversamente, pode ser como tentar tirar sangue de um nabo. Algumas pessoas
são extremamente preocupadas com a privacidade, e o Facebook oferece os controles de
privacidade mais granulares, com as configurações típicas Somente eu, Amigos específicos,
Somente amigos, Amigos de amigos e Público.
Se uma pessoa compartilhar publicamente no Facebook, você poderá aprender sobre
relacionamentos, viagens e afiliações políticas e religiosas. Mesmo que alguém tenha a
privacidade definida como Amigos ou mais restrita, você ainda poderá ver tudo o que ele
postar ou comentar publicamente (como notícias locais), a menos que você tenha sido bloqueado.
Twitter
Em termos de controles de privacidade, o Twitter tem apenas três opções: protegido/
bloqueado, bloqueado e padrão. Protegido/ bloqueado permite ao usuário aprovar quem pode
ver seus tweets. Isto é diferente de bloqueado; se um usuário bloquear outro usuário, mas
não tiver a configuração protegido/bloqueado, o usuário bloqueado ainda poderá ver os
tweets do outro usuário de outra conta. Se protegidos, eles terão que enviar uma solicitação
de aprovação. A configuração padrão mostra tudo para todos, a menos que estejam
bloqueados ou silenciados. O Twitter é especialmente útil para coletar informações sobre
figuras públicas, tecnólogos, pioneiros na adoção de tecnologias emergentes, especialistas
políticos e fãs de esportes.
80 Capítulo 6
Machine Translated by Google
Wanda perguntou a Tammy onde ela trabalhava, e Tammy respondeu com o nome da
empresa, e também como surgiu o nome (era uma variação do nome do proprietário). Ela
disse que trabalhava lá há cinco anos e depois explicou o que fazia pela empresa, revelando
que se tratava de uma padaria. Ela passou a desabafar sobre suas frustrações e falar sobre
seus triunfos.
Wanda perguntou a Tammy se ela já era casada. Tammy falou sobre seu ex-namorado,
Steven, e a custódia compartilhada de Leif. Ela também mencionou a mãe de Steven, que
morava em Tulsa, e depois disse a Wanda que a mãe de Chris tinha medo de Leif. Fiquei
me perguntando: que tipo de avó tinha medo do neto? Espere, pensei. Talvez Leif não fosse
uma criança humana. Com certeza, Wanda perguntou se Tammy queria filhos de verdade
e qual era a raça de Leif. Tammy respondeu com um comentário sobre sua imagem
corporal e alguns problemas de saúde, e então informou à amiga que Leif era um vira-lata
de um ano.
Por fim, Tammy falou sobre seu novo namorado, Dick, e sua carreira como comediante.
Wanda perguntou como Dick se sentia ao compartilhar a custódia de Leif, e Tammy respondeu
com uma história sobre Dick e Steven fazendo algumas coisas juntos com Leif e indo a shows
juntos.
Isso pode parecer bastante inócuo, mas usando esta conversa, aqui está
o que descobri e como:
O nome de Tammy
Nas mãos erradas, essas informações podem servir de base para roubo de
identidade, invasão de domicílio ou coisa pior. Como isso poderia ter sido mitigado
ou evitado?
•Eu poderia não ter ouvido. Mas uma vez que você entra no OSINT e na engenharia
social, fica meio difícil desligá-lo.
•Tammy e Wanda poderiam ter sido menos descritivas ou falado mais baixo.
Tammy, Dick, Steven e Wanda poderiam ter usado melhores configurações de
compartilhamento e controles de privacidade em suas redes sociais. Todos os
partidos poderiam ter sido mais vagos sobre o que disseram ou publicaram ou
usaram a desinformação para despistar os engenheiros sociais.
Conclusão
O objetivo da coleta OSINT de pessoas é compreender melhor as ameaças que os
funcionários apresentam ao seu empregador e potencialmente construir relacionamento
com eles em compromissos de engenharia social. Existem várias fontes de pessoas
OSINT, incluindo fotos, amigos, mídias sociais e coisas rotineiras como endereços de
e-mail, nomes de usuário e endereços IP. Para usar essas ferramentas de maneira
ética, trate-as como um meio de aprender mais sobre a empresa, e não sobre o
indivíduo. Lembre-se: evite interagir com contas pessoais.
82 Capítulo 6
Machine Translated by Google
7
PHISHING
A arquitetura adequada a ser usada para um ataque de phishing varia. Todas as ferramentas
de que você precisará dependem do escopo do trabalho, do SOW, do contrato e dos
desejos do cliente. Por exemplo, se o cliente quiser que você meça quantos funcionários
clicam em um link incompleto em um e-mail, tudo o que você precisa é de um servidor web
simples que capture solicitações HTTP GET e exiba uma página 404 ou de agradecimento
ao usuário. As respostas serão armazenadas em um log do Apache.
A partir daí as coisas ficam mais complicadas. O cliente quer que você falsifique ou
agache? Você pode falsificar um domínio legítimo, enviando um e-mail e manipulando as
informações exibidas ao destinatário para fazer com que pareçam vir de uma fonte legítima,
mas a falsificação é fácil de detectar.
O agachamento, uma técnica semelhante, é menos arriscado e é menos provável
que você seja pego. Envolve registrar um domínio semelhante ao do destinatário,
como .co.uk, no domínio .com de uma empresa . Isso faz com que seus e-mails pareçam
vir de um domínio legítimo – pelo menos para aqueles que não olham muito de perto.
Em seguida, seus clientes desejam que você colete credenciais de usuário ou outras
informações confidenciais, como perguntas sobre redefinição de senha? Nesse caso, seu e-
mail deverá direcionar para uma página web que solicite essas informações de forma
convincente. Ou seus clientes querem que você envie documentos maliciosos? Nesse caso,
você precisará criar esses documentos e encontrar um local para hospedá-los sem ser
sinalizado por ferramentas de segurança.
Eles querem que você use uma solução automatizada de phishing, como King
Phisher ou Gophish? Se você faz phishing regularmente, provavelmente já terá uma
configuração automatizada, mas mesmo que tenha, pode ser necessário fazer algumas
alterações ou inserir seus próprios designs de e-mail. Os engenheiros sociais mais
bem-sucedidos compreendem tanto os aspectos técnicos da arquitetura quanto o elemento
humano que faz com que seu ataque seja bem-sucedido.
Nesta seção, você configurará um ataque de phishing sofisticado projetado para
enganar os usuários e evitar a detecção. Ao configurar seu próprio VPS, servidor de e-
mail e página de destino, você poderá enviar e-mails que parecem vir de um endereço de
e-mail corporativo legítimo. Você incluirá um link no corpo do e-mail que direciona os
usuários para uma página da web, solicitando que eles insiram suas credenciais.
Não importa o que você faça em seu compromisso, quase sempre precisará de uma instância
VPS. Através de um VPS, você poderá hospedar uma landing page e executar um
servidor de e-mail, se desejar, tudo sem vincular seu ataque ao seu endereço IP.
Nesta seção, mostrarei como configurar um VPS seguro com a Digital Ocean, uma
empresa de infraestrutura em nuvem que permite usar seus serviços para pesquisas
de segurança. Droplets, que são instâncias DigitalOcean VPS, começam com preços
mensais baixos e vêm com backups, snapshots, volumes de armazenamento, DNS,
CDN, balanceamento de carga, aplicativos de um clique e firewalls de rede. Você
pode escolher entre uma variedade de sistemas operacionais Linux e BSD,
84 Capítulo 7
Machine Translated by Google
Observe que a DigitalOcean possui data centers em Nova York, São Francisco, Toronto, Bangalore,
Amsterdã, Frankfurt, Londres e Cingapura. Esses locais podem ser importantes porque algumas regiões
filtram determinado conteúdo e algumas empresas filtram o tráfego com base no país. Além disso, se estiver
a lidar com cidadãos europeus e com os seus dados, deverá procurar aconselhamento jurídico
relativamente ao RGPD da UE.
Idealmente, você deve configurar seu VPS com seu domínio e servidor web pelo menos duas
semanas antes do compromisso. Isso ocorre porque algumas plataformas de segurança de servidores de e-
mail rejeitam todos os e-mails de domínios com menos de duas semanas.
Para configurar um droplet DigitalOcean, você precisa criar uma conta. Navegue até https://
www.digitalocean.com/ e siga as instruções de inscrição da página. Recomendo ativar a autenticação de
dois fatores para sua conta para evitar que alguém obtenha acesso caso comprometa sua senha.
Você deverá ver o endereço IP do droplet assim que ele for criado. A DigitalOcean irá
envie-lhe por e-mail a credencial raiz inicial do host, bem como o endereço IP. Se você fizer upload de um
par de chaves SSH, conforme descrito na próxima seção, poderá usar essas informações para fazer login.
Caso contrário, a DigitalOcean enviará a você por e-mail uma senha de root temporária, mas você será
solicitado a alterá-la após seu primeiro login. .
Ter um método de autenticação forte é importante, porque este servidor está voltado para a Internet.
Quando usei o DigitalOcean para executar honeypots – sistemas propositalmente vulneráveis criados com
o objetivo de serem atacados, permitindo que os pesquisadores estudassem as técnicas e o
comportamento dos invasores ou alertando os administradores sobre um comprometimento do sistema
– os hosts foram atacados por scanners e possíveis exploradores. .
Para evitar que invasores forcem sua senha, crie um par de chaves SSH. Também conhecido como
par de chaves RSA, um par de chaves SSH é uma chave RSA privada e pública usada para fazer login. Você
copiará a chave privada (id_rsa por padrão) para o seu sistema remoto e copiará a chave pública
(id_rsa.pub por padrão) para o arquivoauthorized_keys para permitir que o login ocorra. As chaves SSH
permitem desabilitar a autenticação por senha.
Phishing 85
Machine Translated by Google
ssh-keygen -t rsa
Insira o arquivo no qual deseja salvar a chave (/root/.ssh/
id_rsa): Insira a senha (vazia se não houver
senha): Insira a mesma senha
novamente: Sua identificação foi salva em /root/.ssh/id_rsa.
Sua chave pública foi salva em /root/.ssh/id_rsa.pub.
gato ./.ssh/id_rsa.pub > ./.ssh/authorized_keys
Você precisará acessar o par de chaves VPS no sistema que usará para controlar o VPS.
Para fazer isso, use o Secure Copy Protocol (SCP) ou um cliente SCP. Se você estiver em um
host Windows, poderá usar o WinSCP, que é um emulador de terminal que permite aos usuários do
Windows se conectarem diretamente a hosts Linux por FTP, SSH e Telnet. Se você estiver em um
host Mac ou Linux, poderá usar um cliente SCP como o terminal nativo, iTerm2, Cyberduck ou
Termius. Isso permitirá que você mova as chaves RSA de e para o droplet. Você também pode
usar o cliente SCP posteriormente para mover artefatos, como arquivos, de e para o droplet.
Para copiar os arquivos usando WinSCP, faça login no VPS usando as credenciais
(senha ou par de chaves RSA) que você criou e arraste e solte os arquivos em qualquer
direção de dentro da GUI. Você precisará garantir que possui as permissões corretas para o seu
arquivo. Execute o comando chmod 600 filename da chave privada para garantir que você
tenha as permissões adequadas definidas.
Depois de mover a chave RSA para sua estação de trabalho, instale um cliente que lhe dará
acesso remoto ao seu VPS. Você precisa de acesso remoto para configurar a landing page e
configurar quaisquer serviços adicionais, como servidores de e-mail, no VPS.
86 Capítulo 7
Machine Translated by Google
Em seguida, carregue a chave na sessão PuTTY. Para fazer isso, adicione seu
nome de usuário ou o endereço IP do seu droplet nos campos Host Name (ou IP
Address) (Figura 7-3).
Phishing 87
Machine Translated by Google
88 Capítulo 7
Machine Translated by Google
Agora que você configurou o PuTTY para usar chaves SSH, insira sua senha, se tiver
definido uma, para fazer login no VPS. Atualize todos os pacotes e execute quaisquer atualizações
de segurança pendentes para se proteger contra ataques na Internet pública.
Se estiver acessando o VPS a partir de um sistema operacional macOS ou Linux, você terá que
copiar primeiro a chave privada RSA, via SCP ou copiar e colar.
Você pode fazer isso no terminal. Emita o seguinte comando para copiar a chave (censurei o
endereço IP neste exemplo):
Se você estiver usando uma ferramenta de acesso remoto como o Termius, uma solução
paga que permite salvar sessões SSH, você não precisará copiar o arquivo, mas precisará
copiar e colar o conteúdo do arquivo em seu chaveiro. Para fazer isso, execute o seguinte comando:
root@******:~#cat ./.ssh/id_rsa
Se estiver usando um terminal para conectar via SSH, execute o seguinte comando para obter
acesso:
Se tudo funcionar corretamente, você verá um prompt no VPS mostrando o último login e
todos os pacotes a serem atualizados. Se a chave não estiver configurada corretamente, você verá
um erro indicando o que deu errado.
senha Agora que você está conectado, tome medidas para garantir que seu VPS permaneça
seguro. Primeiro, remova a capacidade de fazer login no próprio sistema usando uma senha.
(Isso não afetará nenhum aplicativo da web que você instalar posteriormente.) Qualquer pessoa que
fizer login neste VPS precisará da chave privada RSA, que é extremamente difícil (se não
impossível) de força bruta, ao contrário das senhas.
Certifique-se de que o arquivoauthorized_keys contenha a chave pública criada anteriormente
executando o seguinte comando:
root@******:vi /etc/ssh/sshd_config
Phishing 89
Machine Translated by Google
Salve o arquivo; em seguida, reinicie o SSH. Você precisará definir a chave em seu
Comando ssh para conectar-se ao VPS:
Instalando um Firewall
Em seguida, você precisa de um firewall para limitar as portas do VPS que um aplicativo pode
acessar e os hosts que podem acessar o VPS. Isso impedirá que bots e invasores de verificação de
vulnerabilidades se conectem ao VPS, evitando danos colaterais. Instale o Firewall Descomplicado
(ufw) se ainda não estiver instalado:
Agora certifique-se de poder acessar o firewall emitindo ufw enable. As etapas a seguir criam
novas regras para controlar o fluxo de dados que entra e sai do seu VPS:
Você pode executar o firewall em uma porta específica, em vez de em todas as portas,
adicionando o número da porta ao endereço IP de origem ou destino.
Para configurar o firewall, faça login no DigitalOcean e navegue até o menu Internet no painel
esquerdo. Em seguida, selecione Firewalls. Se você já possui um firewall conectado ao
DigitalOcean, selecione-o na lista, conforme mostrado na Figura 7-5.
90 Capítulo 7
Machine Translated by Google
Se você ainda não possui um firewall, clique no botão verde Criar e escolha
Firewall no menu suspenso. Isso deverá levá-lo a uma página, mostrada na Figura 7-6,
que solicita a criação de regras de entrada. Uma regra de entrada determina como o VPS
irá interagir com as conexões que chegam a ele. Uma regra de saída determina como o
VPS se comportará ao tentar se conectar a outros hosts, às vezes também chamada de
filtragem de saída.
Como você pode usar este host para phishing, provavelmente deseja que o
servidor web seja acessível publicamente. Dependendo do seu contrato com o cliente,
você pode restringir isso aos hosts em seus intervalos de IP. Também é uma boa ideia
limitar os intervalos de IP se você estiver usando o servidor para hospedar scripts
maliciosos para uso em seu phishing. Isso evitaria que rastreadores da web e empresas
de inteligência de ameaças vasculhassem seu site e o encontrassem – uma maneira
rápida de acabar em listas negras e em feeds de inteligência de ameaças ingeridos por
sistemas de detecção de intrusões, programas SIEM e outras tecnologias defensivas.
Para fornecer acesso ao servidor apenas a um intervalo específico de endereços
IP, crie uma regra de entrada para HTTP na porta TCP 80 e HTTPS na porta TCP 443,
aceitando conexões de entrada de Todos os IPv4 e Todos os IPv6 , a menos que as
condições anteriores se apliquem. Certifique-se de criar uma regra de entrada que
permita conectar-se ao host usando SSH a partir de qualquer endereço IP que você
usar.
A imagem do sistema do seu provedor VPS pode não estar totalmente atualizada.
Para atualizar um sistema Linux, execute os seguintes comandos:
Phishing 91
Machine Translated by Google
O comando apt-get update fornece uma lista dos pacotes atualizados, o apt-get upgrade
executa as atualizações e o apt-get dist-upgrade atualiza o kernel, bem como as dependências
de software. A opção -y responde sim à maioria dos prompts que você pode receber.
mail Agora que você tem o VPS, você precisa escolher qual serviço usará para realmente
enviar seu e-mail. Embora você possa usar uma conta de e-mail gratuita do Yahoo! ou Gmail,
isso pode levantar suspeitas se você estiver se passando por uma figura de autoridade. Contas
de e-mail gratuitas podem funcionar para certos ataques, como aqueles direcionados ao RH, nos
quais você finge ser um candidato a contratação. Na maioria dos casos, porém, é melhor usar um
domínio que não seja gratuito e, portanto, você precisará configurar um servidor de e-mail.
Os serviços disponíveis utilizam diversos protocolos para envio de correio, cada um com seu
forças e fraquezas. Em termos de escolha de protocolos, a postagem do blog “Managed File
Transfer and Network Solutions” de John Carl Villanueva (http:// jscape.com/ blog/ smtp-vs-imap-
vs-pop3-difference/) é um recurso abrangente. Os protocolos de e-mail incluem o seguinte:
Definido na RFC 5321. Usa a porta 25 por padrão. Também pode usar a porta 587 e a porta
465.
Definido na RFC 3501. Usa a porta 143 (ou 993 para conexões SSL/TLS).
Definido na RFC 1939. Usa a porta 110 (ou 995 para conexões SSL/TLS).
Se você planeja falsificar seu e-mail, deverá usar SMTP. POP3 e IMAP4 não suportam
spoofing, mas funcionam com squatting. Se você tiver autonomia para decidir qual servidor de e-mail
usar, poderá usar uma das seguintes opções:
Pombal
Um servidor de e-mail IMAP e POP3 de código aberto para sistemas Linux/Unix. É leve,
o que significa que usa pouca memória e não requer muito processamento. Como acontece
com qualquer software, você deve manter uma configuração segura e manter o sistema
atualizado para permanecer seguro. Se você estiver praticando volumes baixos e esporádicos
de phishing, essa manutenção pode não valer o esforço e o tempo, mesmo que o software
seja gratuito.
Se você estiver fazendo phishing a partir de um grande conjunto de domínios ou
enviando e-mails várias vezes por dia, esta pode ser uma solução mais econômica. Como o
Dovecot não oferece suporte a SMTP, ele não oferece suporte a falsificação. Você pode usar
o Dovecot para ataques de cócoras.
92 Capítulo 7
Machine Translated by Google
Enviar correio
Um dos clientes originais de correio da Internet, lançado pela primeira vez em 1983. Ele implementa
SMTP e atualmente é mantido pelo Sendmail Consortium e pela Proofpoint, uma empresa de
conscientização e prevenção de phishing. As mesmas considerações relevantes para o Dovecot
existem no Sendmail.
Embora o Sendmail seja um software de código aberto, seus mantenedores tentam evitar o
phishing, o que pode deixar alguns engenheiros sociais desconfortáveis. Como o Sendmail usa
SMTP, você pode usá-lo para falsificação ou agachamento.
E-mail na nuvem
Na minha experiência, o Google não permite que você envie malware (mesmo documentos
do Office habilitados para macro) por e-mail ou Google Drive. No entanto, o Google não
irá desligar você se você fizer phishing. No momento em que este artigo foi escrito, você pode
adquirir acesso ao Google Workspace para seus domínios por meio de Namecheap, Bluehost,
SiteGround ou GoDaddy por cerca de US$ 6 por usuário por mês. A maioria dos domínios de
phishing são usados numa base de queima e abandono, o que significa que são usados para uma
instância de phishing por cliente. Se você for a única pessoa praticando o phishing, precisará pagar
por apenas um usuário. Se for esse o caso, você provavelmente não pagará mais do que US$ 6 por
cliente por um envolvimento de phishing.
NOTA Tecnicamente, usar esses provedores de nuvem como parte de atividades de phishing é uma violação dos
seus Termos de Serviço. Estabeleça um plano de contingência caso você seja pego e banido.
Phishing 93
Machine Translated by Google
94 Capítulo 7
Machine Translated by Google
bem-sucedido para seu ataque específico. Nesta seção, mostrarei como usar o Apache, um
pacote de software de servidor web gratuito e de código aberto. O Apache é bem documentado e
bastante simples de usar.
Para instalar o Apache, execute os seguintes comandos:
Assim que a instalação for concluída, verifique se o Apache está na lista UFW
de processos/serviços permitidos digitando o seguinte comando:
Agora, você precisa minimizar o intervalo de endereços IP que podem acessar a instância
do Apache para evitar que terceiros acessem seu servidor. Eu recomendo permitir o endereço
IP a partir do qual você se conectará ao VPS, quaisquer endereços IP de teste ou garantia de
qualidade e o intervalo de IP da sua organização alvo (de preferência, fornecido por escrito pelo
seu ponto de contato de segurança no contrato). Para restringir seu servidor a este intervalo,
execute os seguintes comandos:
root@********:~#ufw status
Estado: ativo
Para Ação De
-- ------ ----
Em PERMITIR ***.***.***.***
qualquer lugar ***.***.***.*** PERMITIR Em
22 PERMITIR qualquer lugar ***.***.***.***
Agora que a instalação foi concluída, desligue o Apache por enquanto com estes comandos:
Você ainda pode fazer alterações na configuração, vincular domínios e executar outras
tarefas de manutenção sem o Apache em execução. Desligar o Apache minimiza a possibilidade
de o servidor ser detectado em verificações de segurança ou spidering.
No Capítulo 8, você clonará uma landing page realista para hospedar neste servidor.
As etapas discutidas nesta seção não são obrigatórias para um bom phishing, mas fornecem
serviços que os clientes podem solicitar ocasionalmente.
Phishing 95
Machine Translated by Google
Usando pixels de rastreamento para medir a frequência com que seu e-mail é aberto
Se você estiver fazendo um teste não automatizado, como o descrito até agora neste capítulo,
poderá precisar de um meio para ver quantas pessoas abrem seu e-mail.
Você pode fazer isso facilmente com pixels de rastreamento, que geralmente são imagens
de 1 pixel por 1 pixel, exclusivas para cada usuário e renderizadas a partir de um site remoto
de sua propriedade. Você pode então observar os logs de acesso para instâncias de cada
ID conectando-se ao servidor.
Adicione o seguinte snippet HTML ao seu e-mail para configurar um pixel de
rastreamento:
<?php
// Cria uma imagem com tamanho de 1x1 pixel
$im=imagecreate(1,1);
//Define a cor de fundo
$branco=imagecolorallocate($im,255.255.255);
// Aloca a cor de fundo
imagesetpixel($im,1,1,$branco);
//Define o tipo de imagem
header("tipo de conteúdo:imagem/jpg");
//Cria um arquivo JPEG a partir da imagem
imagemjpeg($im);
//Libera memória associada à imagem
destruição de imagem($im);
?>
96 Capítulo 7
Machine Translated by Google
em que as vítimas pousarão. Embora você possa criar ambos no Gophish, isso pode
aumentar suas chances de detecção. Sugiro configurar estas três regras de firewall para
evitar detecção ou danos colaterais:
cd /optar/
clone do git https://github.com/gophish/gophish
cd gophis
apt-get instalar golang -y
acesse github.com/gophish/gophish
vá construir
Configure o Gophish para escutar o endereço IP público ou privado que você usará
para se conectar a ele:
root@********:/opt/gophish# vi config.json
"servidor_admin": {
"ouvir_url": "127.0.0.1:3333",
"use_tls": verdadeiro,
"cert_path": "gophish_admin.crt",
"key_path": "gophish_admin.key"
},
"servidor_phishing": {
"ouvir_url": "0.0.0.0:80",
"use_tls": falso,
"cert_path": "exemplo.crt",
"key_path": "exemplo.key"
},
"nome_bd": "sqlite3",
Phishing 97
Machine Translated by Google
"db_path": "gophish.db",
"migrations_prefix": "db/db_",
"endereço de contato": "",
"exploração madeireira": {
"nome do arquivo": ""
}
}
Senha: gophish
98 Capítulo 7
Machine Translated by Google
Agora você sabe quem está enviando o e-mail, como ele chega ao destino e o
que deseja que ele faça. É hora de criar o e-mail real. Uma maneira de fazer isso
é importar um e-mail existente (digamos, um e-mail que Erica, do RH, recebeu há
duas semanas) e usá-lo como modelo. Gophish usará o formato, estilo e idioma do
e-mail que você importar. Você pode configurar isso na guia Email Templates em
New Email Template (Figura 7-9).
Phishing 99
Machine Translated by Google
Você tem tudo que precisa. Vamos organizar isso em uma campanha, que
reúne todas as peças em que você trabalhou para enviar aos clientes. Você
pode configurar isso na aba Campanhas , em Nova Campanha (Figura 7-10).
100 Capítulo 7
Machine Translated by Google
Alguns usuários procuram o cadeado verde associado a sites HTTPS como um teste decisivo
para verificar se um site não fez parte de um ataque de phishing. Os invasores perceberam e
começaram a usar HTTPS em seus sites. Através do uso do Let's Encrypt, podemos fazer
o mesmo gratuitamente e proporcionar aos nossos clientes uma experiência mais realista.
root@*********:~# cd /opt/
root@*********:~# wget https://dl.eff.org/certbot-auto
root@*********:~# chmod a+x certbot-auto
root@*********:~# ./certbot-auto certonly -d {seu domínio} --manual --preferred-challenges dns
Assim que a instalação for concluída, siga as instruções na tela para concluir todas as
verificações no DNS e finalizar a configuração.
O processo é semelhante se você estiver configurando manualmente seu ataque
de phishing. (Observe que a configuração não será renovada automaticamente. Você terá
que executar o script para renovar a cada três meses, supondo que você deixe assim por
tanto tempo.)
Após esta série de comandos, você será solicitado a inserir algumas informações.
Depois que todas as verificações tiverem ocorrido, execute este comando para verificar a
instalação:
sudo ls /etc/letsencrypt/live
Encurtadores de URL (como o Bitly) podem tornar a página de destino menos reconhecível. Ao
decidir usá-los, considere o nível de dificuldade percebido do envolvimento de phishing e a
maturidade da organização alvo. Algumas organizações tentam filtrar URLs encurtados de
e-mails e outras treinam os usuários para evitar esses links. A utilização de encurtadores é
algo a ser discutido com seu ponto de contato de segurança. Se você optar por utilizá-los,
entenda que eles podem ser retirados dos e-mails.
Phishing 101
Machine Translated by Google
AVISO Seja cauteloso e certifique-se de ter toda a autoridade adequada para gravar chamadas. Você não
quer ser objeto de estudo de caso em um livro sobre engenharia social. Em caso de dúvida,
procure aconselhamento jurídico profissional.
102 Capítulo 7
Machine Translated by Google
Phishing 103
Machine Translated by Google
Como você sabe, substituirei Steve como CEO na próxima semana, após 37 anos de
serviço dedicado, altruísta e dedicado. São sapatos enormes para ocupar, mas farei o
meu melhor. <Insira aqui a cotação direta do COO>.
Ao longo dos anos, tivemos altos e baixos e procuramos fazer melhor. Estou
pensando em <pontos retirados de um comunicado à imprensa>. Como diz Steve,
<citação direta das entrevistas à mídia do CEO cessante sobre sua aposentadoria>.
Como alguns de vocês sabem, estou comprometido com a melhoria constante dos
processos para os clientes, parceiros, fornecedores e, o mais importante,
Proprietários-Associados. É por isso que colaborei com o RH na criação de uma
pesquisa da SurveyMonkey para melhorar todos os aspectos da <Nome da empresa>.
Use o link abaixo para responder a esta pesquisa até o final do expediente de sexta-
feira.
104 Capítulo 7
Machine Translated by Google
Com base nas informações que forneci, como esse ataque poderia ter sido
mitigado ou evitado?
•A empresa deveria ter treinado todos os usuários sobre como avaliar e-mails em
busca de contexto suspeito. Ensine-os a pedir ajuda à segurança em caso de
dúvida, especialmente quando URLs encurtados estão envolvidos.
•A empresa deveria ter implementado o Proofpoint ou uma solução similar para
adicionar a palavra [Externo] ao início da linha de assunto do e-mail.
•A empresa deveria ter funcionários treinados para avaliar as URLs das páginas que
navegam.
•Uma melhor coordenação poderia ter ocorrido entre as equipes de segurança e
de rede. Melhores comunicações poderiam ter evitado que o líder da rede
enviasse um e-mail à empresa sobre o e-mail, chamando assim a atenção
para o e-mail, em vez de removê-lo silenciosamente da fila da caixa de entrada
antes do e-mail.
•Deveria ter havido um melhor plano de resposta a incidentes para ataques de
engenharia social.
Conclusão
Engajamentos de engenharia social bem-sucedidos exigem planejamento e
configuração técnica significativos. Este capítulo abordou como configurar um ataque
de phishing que coletasse credenciais de usuários sem ser pego. Primeiro você
configurou um droplet DigitalOcean, protegeu o droplet e configurou o firewall do
droplet. Em seguida, você aprendeu as considerações para configurar um servidor
de e-mail realista.
Você terá que tomar muitas decisões no processo de phishing. Discutimos a
melhor forma de selecionar um domínio para sua conta de e-mail, bem como para a
página inicial para a qual você direcionará os usuários. Também discutimos
complementos como pixels de rastreamento, serviços automatizados de phishing,
suporte HTTPS e encurtadores de URL. Igualmente importante do lado não técnico,
discutimos o momento do seu ataque.
No próximo capítulo, você configurará um clone realista de um site legítimo que
poderá ser usado para coletar credenciais de usuários e informações confidenciais — ou
para algum outro propósito desonesto.
Phishing 105
Machine Translated by Google
8
CLONANDO A PÁGINA AL ANDING
A página de login
A Figura 8-1 mostra a primeira página, denominada index.html.
O logotipo da empresa
alvo pode ser
incluído para maior realismo.
Visualmente, a vítima pode captar algumas pistas para identificar esse phishing.
Observe que falta o cadeado verde indicando o uso de HTTPS, pois eu o renderizei
diretamente do arquivo para o meu navegador sem usar o Apache. Em um phishing real, o
URL não teria o surveymonkey legítimo.
com/ <caminho para pesquisa> , embora possa mencionar o SurveyMonkey em algum lugar
para enganar os usuários. Além disso, a SurveyMonkey normalmente não coloca logotipos na
página de login. Caso contrário, será difícil detectar esse phishing; o título mostrado na guia
do navegador é preciso e passar o mouse sobre os links Inscrever-se ou Empresa credenciada
BBB mostrará os links reais.
A Figura 8-2 nos mostra a primeira página (index.html) do nosso site, à qual nos
conectamos usando HTTPS sem erros. Esta é a página inicial para a qual enviaríamos as vítimas
e onde tentaremos coletar os endereços de e-mail e senhas das vítimas antes de passá-los
para a página questions.html .
108 Capítulo 8
Machine Translated by Google
Figura 8-2: Versão HTTPS do site (mostrando uma classificação de segurança clara)
Se você revisar o código-fonte HTML desta página, verá que ele é quase idêntico
ao código do site original. Você pode encontrar o código-fonte das páginas que clonamos,
bem como analisadores escritos em Python para as informações que podem ser
inseridas, em http:// sm-phish.seosint.xyz/.
Em index.html, alterei as linhas de código que definem o formulário de login e
seus campos. Também editei o código para que, quando os usuários enviarem o
formulário, sejam redirecionados para questions.html:
Eu defini a ação 1 para informar ao sistema que ele deveria passar para a
página questions.html após o usuário enviar o formulário. A seguir, defini o método HTTP
como get 2 para capturar dados de cada um dos campos do formulário. (Uma
explicação completa dos métodos HTTP está fora do escopo deste livro, mas você pode
encontrar muitos recursos que cobrem o tópico on-line.) Em seguida, criei os campos
input-id 3, campo de texto obrigatório 4 e tipo 5, que geram as caixas que será exibido
na tela para a vítima usar.
Você deve entender que HTTP GET não é um método seguro. Para
evitar que um adversário malicioso fora da rede do cliente a explore, garantir que um
firewall esteja instalado e que os únicos endereços IP permitidos sejam o seu e o do cliente.
Dito isso, usar o método HTTP GET para registrar entradas tem uma série de
vantagens. Primeiro, essa tática não requer um banco de dados backend, porque os dados
são armazenados diretamente no arquivo de log do Apache, localizado em /var/ log/
apache2/ access.log. Além disso, se a organização alvo monitorar seu tráfego de rede,
ela deverá receber alertas quando códigos como password=something
o parâmetro 6 ocorre em texto não criptografado, fornecendo à organização uma pista
de que está sendo atacada.
Passar credenciais de texto não criptografado em URLs ou outros canais
inseguros é um problema de segurança. Algumas plataformas codificam este texto, o
que também não é seguro; mesmo que o código usasse um hash como parâmetro, um
invasor com a capacidade de interceptar esse tráfego poderia realizar um ataque pass-
the-hash, no qual um adversário rouba a representação criptográfica de uma senha (o hash)
e a utiliza diretamente para acessar recursos sem saber a senha.
Adversários maliciosos podem usar essas senhas coletadas em diversos ataques. Por
exemplo, eles poderiam tentar espalhar senhas tentando usar uma senha em vários logins
associados ao funcionário e ao alvo.
110 Capítulo 8
Machine Translated by Google
Figura 8-3: A segunda página do site clonado, com os parâmetros de index.html passados na URL (questions.html)
A página de erro
A página final (Figura 8-4) informa aos usuários que ocorreu um erro.
Você pode usar esta página final para diversos fins. Por exemplo, muitas vítimas podem se
perguntar por que ocorreu um erro e tentar o processo novamente, inserindo novas credenciais na
tentativa de fazê-lo funcionar. As vítimas também podem denunciar este problema ao departamento
de TI, o que poderá pôr fim ao envolvimento.
O HTML desta página contém um loop infinito que faz com que a página
para recarregar-se para sempre. Quando escrevi esse código, por volta de 2017, os navegadores
deixavam esse loop rodar para sempre. Versões de navegadores lançadas após 2020 podem pará-lo
Depois de algum tempo.
Coletando as informações
O loop causa um problema. Cada iteração dele grava uma linha no arquivo de log, o que torna a
coleta manual de senhas e outras informações confidenciais do arquivo um desafio. Em vez disso,
você pode usar alguns scripts Python para extrair apenas informações relevantes. Você pode
encontrar esses scripts em http:// sm phish.seosint.xyz/.
Cada linha fornece informações enviadas por um usuário. Ele nos informa a página na qual os
dados foram inseridos (questions.html ou error.html), bem como o ID e o valor do campo, como
pet=Dee-Oh-Gee&.
O script data_parser_index.py abrirá o arquivo de log, encontrará cada campo que solicitamos
aos usuários na página de login e, em seguida, gerará o campo como uma matriz:
#!/usr/bin/env python3
importar re
user_pass = re.compile(r"\S.+nomedeusuário\=(?P<nome_usuário>\S.+)\&(?P<senha>\S.+)\sHTTP\S.+")
log = open("/var/log/apache2/access.log", "r")
matriz = []
para l no log:
você = user_pass.findall(l)
se você:
imprimir (você)
outro:
saída
112 Capítulo 8
Machine Translated by Google
#!/usr/bin/env python3
importar re
perguntas = re.compile(r"\S.+pet\=(?P<pet>\S.+)\&school\=(?P<school>\S.+)\&name\=(?P<mãe
>\S.+)\&\
lua de mel\=(?P<lua de mel>\S.+)\sHTTP\S.+")
log = open("/var/log/apache2/access.log", "r")
matriz = []
para l no log:
você = perguntas.findall(l)
se você:
imprimir (você)
outro:
saída
root@ossie:~# ./data_parser_index.py
[('Testing_Username', 'password=password123')]
Clonando um site
Agora você clonará um site. Para os fins deste exercício, você criará uma cópia simples,
mas quase idêntica, de duas páginas da web da No Starch Press. A instância do Apache
que você criou no capítulo anterior precisa de algum código para hospedar. Você precisa de
algo para renderizar na tela do usuário; caso contrário, você não fará nada além de medir
cliques.
usuário Vamos supor que você esteja almejando uma empresa cujos funcionários, como você
sabe através de seus esforços na OSINT, compram livros da No Starch Press com frequência.
Para roubar suas credenciais do site, você copiará a página de login do nostarch.com . Visite esta
página agora ou encontre-a usando o robots.txt, um arquivo que informa aos robôs de indexação
dos mecanismos de pesquisa da Internet o que indexar (e o que não indexar). Freqüentemente
usamos esse arquivo na coleção OSINT para identificar diretórios que não podem ser encontrados
usando mecanismos de busca convencionais.
Você pode perceber que clicar no botão Login leva você a uma nova página da web: https://
nostarch.com/ user. Vamos clonar a página principal e esta página.
A ferramenta possui várias opções úteis. A opção –mirror faz uma cópia quase idêntica de um
site específico. A opção –update atualiza a cópia de um site existente; por exemplo, alterando o
código, links, rastreadores ou campos subjacentes. A opção –continue continua espelhando um site
se o processo de espelhamento foi interrompido ou interrompido. A opção –skeleton copia apenas
os arquivos HTML do site. A opção -O permite especificar o diretório de saída.
A Figura 8-5 mostra a página clonada. Você pode visualizá-lo no diretório em que executou o
HTTrack. Navegue até a pasta apropriada para o domínio e depois para a estrutura de diretórios.
Nesse caso, você está vendo index.html de nostarch.com.
114 Capítulo 8
Machine Translated by Google
Do jeito que está agora, qualquer coisa inserida no site clonado redirecionará o usuário para o
site real. Você precisa alterar esse comportamento para os campos de login.
Primeiro, vamos visualizar este código. A maneira mais simples é carregar o site
real e identificar os campos de login no código usando o recurso Inspecionar Elementos
do seu navegador. Para fazer isso, clique com o botão direito em qualquer parte da página e
selecione Inspecionar. Agora passe o mouse sobre os campos de login e o código à direita
deverá destacar esses elementos.
Neste caso, o formulário de login aparece. Aqui está o formulário da página original:
Assim como o formulário de login que discutimos anteriormente, este arquivo contém o nome de usuário 2
e senha 3 campos, e a captura funciona da mesma forma.
Após uma inspeção mais aprofundada, você pode ver que este site usa o método
HTTP POST em vez de GET, o que significa que você precisará reescrever a linha 1 para
poder roubar credenciais na URL, gravando-as no log do Apache Access. HTTP POST e
HTTP GET são métodos para obter informações do servidor para o cliente. A principal
diferença é que o método GET carrega os parâmetros na URL, o que é menos seguro que
os métodos HTTP POST, que utilizam o corpo da mensagem para transferir os parâmetros.
Vamos aplicar isso ao nosso login No Starch e fazer algumas alterações para que
você pode alterar o tipo para GET e capturar as credenciais conforme planejado.
O arquivo que você está procurando está no diretório nostarch.com/ user em index.
HTML. Você pode encontrar o arquivo usando o método Inspect Element ou baixando e
revisando manualmente o código-fonte.
Aqui está a parte do código existente que tem o formato (que pode ser
encontrado pesquisando pela forma da palavra):
116 Capítulo 8
Machine Translated by Google
OpenID</a></li>
<li class="user-link"><a href="#">Cancelar login do OpenID</a></li>
</ul><div class="form-actions form-wrapper form-group" id="edit-actions">
<button type="submit" id="edit-submit" name="op" value="Login" class="btn btn-primary
ícone de envio de formulário antes">
<span class="icon glyphicon glyphicon-log-in" aria-hidden="true">Fazer login</button>
</div></div></form>
Primeiro você altera a ação 1 do formulário e a tag href 2, o que nos permite redirecionar o tráfego
desta página para nosso arquivo error.html. No 3 você pode ver a parte do código que precisa remover
para que sua página falsa não redirecione a vítima para a página real.
Você terá que criar sua própria versão do arquivo error.html mencionado neste arquivo, mas isso
não é difícil de fazer. Você poderia fazer algo tão simples quanto copiar o arquivo existente e substituir o
formulário por uma instrução que diga algo como esta linha:
<h5> Desculpe, mas nosso site está em manutenção. Verifique novamente em 24 horas. Lamentamos
qualquer inconveniente que isso possa causar.</h5>
Você pode encontrar um exemplo de arquivo error.html para uma página da SurveyMonkey na
Repositório GitHub (http://sm-phish.seosint.xyz/).
Agora teste esta cópia clicando duas vezes no ícone em um visualizador de arquivos ou navegando
até o host em um navegador (Figura 8-7).
Figura 8-7: Exibindo uma mensagem de erro personalizada em um clone da página de registro do No Starch
118 Capítulo 8
Machine Translated by Google
Conclusão
Configurar páginas de phishing não é muito difícil. Porém, pode ser entediante e
determinará seu sucesso. A qualidade de suas páginas de destino de phishing
pode fazer a diferença entre um phishing totalmente malsucedido, mesmo contra uma
empresa sem conhecimento de segurança, e a repetição de negócios por meio de um
relacionamento colaborativo.
Outra coisa a ter em mente é que as páginas devem ser tão realistas quanto o seu
cliente deseja. Se eles quiserem que este exercício seja 3 em 10, você pode deixar de
lado o suporte HTTPS, incluir links quebrados ou usar uma gramática ruim. Se pedirem
um 9, jogue tudo e a pia da cozinha neles. Seja o melhor engenheiro social de um
estado-nação que você puder ser!
9
DETECÇÃO , MEDIÇÃO,
E RELATÓRIOS
Detecção
Medição
Para avaliar o sucesso do seu engajamento, você precisa usar métricas. Mas quais
métricas são importantes? Como você os mede? Você precisa fazer um curso de
estatística ou obter um diploma em ciência de dados?
Ter algum conhecimento sobre estatística ajudará e, em certas situações – por
exemplo, se você quiser avaliar quais departamentos de uma empresa foram vítimas de
ataques de engenharia social com mais frequência, ou quais esquemas e horários foram
mais eficazes – compreender os conceitos de ciência de dados como regressão e análise
de cluster certamente não farão mal. Na maioria dos casos, porém, este contexto não é
de forma alguma necessário. Lembre-se também de que, se você planeja fazer tal
pesquisa, precisará de um conjunto de dados substancial (milhares de e-mails de phishing,
senão milhões) e, mais importante, do consentimento do cliente.
122 Capítulo 9
Machine Translated by Google
Seleção de Métricas
Ao selecionar as métricas, tente ser o mais prático possível. O que poderia colocar a
organização cliente na metade superior da primeira página do jornal local, acima da dobra? O
que poderia causar problemas legais? Na maioria das vezes, simplesmente abrir um e-
mail não causará um resultado negativo, então essa métrica pode não ser muito útil para
medir. Clicar em links, fornecer informações ou deixar de denunciar ter sido vítima causa
consequências negativas.
Embora você possa ter suas próprias ideias sobre quais métricas se preocupar, saber
quais métricas o cliente considera importantes também é fundamental.
A partir deste ponto, você pode organizar os dados conforme necessário para ajudar o
cliente a entendê-los.
Por outro lado, a média é a média de todos os pontos de dados. Usando os mesmos três
compromissos, você poderia somar todos os três valores e dividir o resultado por 3 (já que
são três valores), obtendo uma média de 38,33.
Para falar do padrão como um todo, use o desvio padrão, a medida da variação de um
conjunto de valores. Simplificando, o desvio padrão fornece uma medida de até que ponto
cada valor difere da média. Eu poderia aborrecê-lo com a equação real, mas uma
observação positiva é que o Excel e a maioria dos aplicativos de planilha irão calculá-la
para você. Um desvio padrão baixo significa que os pontos de dados no conjunto são mais
semelhantes do que se o desvio padrão fosse alto.
Ter esses dados ajudará o cliente a compreender o estado geral de uma organização
em termos do comportamento de seus funcionários. Por exemplo, se você tiver o conjunto
de dados 1, 1, 1, 1, 5, 7, 24, poderá gerar os seguintes valores:
• Mediana: 1
• Média: 5,714
•Desvio padrão: 8,420
124 Capítulo 9
Machine Translated by Google
para redirecionar os usuários para um local seguro quando clicarem nele). Um valor alto de
distância de abertura do relatório pode indicar que muitas pessoas abriram o e-mail antes de ele
ser denunciado, o que também proporciona menos tempo para a equipe de segurança agir,
devido à probabilidade de alguém clicar em um link e não denunciá-lo, já que muitas pessoas
já demonstraram.
A taxa de relatórios abertos mede o envolvimento dos usuários em termos de
relatórios. Dos usuários que abriram o e-mail, quantos relataram à equipe de segurança? Esta
métrica indica se existe um relacionamento colaborativo entre os usuários e a equipe de
segurança. Também fala da capacidade dos usuários de reconhecer uma tentativa de phishing.
O número de cliques
O número de cliques no link do e-mail é uma das métricas mais influentes. Os cliques podem
levar a infecções por malware, uploads de arquivos ou vazamento de informações confidenciais,
como senhas, por meio de formulários falsos. Ainda assim, embora mais importante do que as
aberturas, esta métrica não é a mais importante.
Combinar cliques com outros dados, como o tempo desde o primeiro clique
ao primeiro relatório, ou medir as métricas de informações clique para relatar e clicar
para inserir, são muito mais valiosas. Isso porque é importante entender até que ponto uma
organização pode responder aos cliques, e não apenas se os usuários clicariam.
Embora seja verdade que os usuários não deveriam clicar nesses links para começar,
é mais uma vez responsabilidade da equipe de segurança protegê-los caso o façam. A
administração de correio, as equipes de segurança da informação e os usuários devem
colaborar para que, se um link for clicado, o sistema proteja o usuário. O fardo de proteger a
organização não deve recair inteiramente sobre o usuário não treinado e não técnico.
Assim como a distância do relatório aberto, a distância do relatório de clique mede o tempo
entre o momento em que o primeiro e-mail é clicado e o momento em que ele é reportado à
equipe de segurança. Essa métrica indica mais uma vez quanto tempo a equipe de segurança
tem para mitigar o impacto do phishing. Além disso, assim como a taxa de relatórios
abertos, a taxa de relatórios de cliques mede o envolvimento dos usuários em termos de
relatórios.
Considere a discrepância entre relatórios de cliques e relatórios de abertura.
Idealmente, ter uma maior taxa de relatórios abertos é mais benéfico para a organização, uma
vez que fornece alertas à equipe de segurança mais cedo e proporciona uma maior
oportunidade de ação. Idealmente, as organizações teriam um alto
A natureza das informações que os usuários inserem nos formulários é outra das métricas mais
críticas. Os usuários poderiam inserir senhas, endereços de e-mail e outras informações
confidenciais neste formulário e, sem um Centro de Operações de Segurança robusto
monitorando ativamente os sistemas dos usuários, as atividades na Internet e as atividades
da Internet pública, a organização não poderia ser mais sábia. Ao relatar essa métrica, evite
compartilhar as senhas reais ou os dados coletados no relatório. Se você precisar compartilhar
as informações, tente fornecer apenas uma lista de usuários que devem redefinir suas senhas;
além disso, é melhor fazê-lo fora do relatório formal.
Calcular a taxa de validade requer que você conheça os hashes dos usuários
credenciais reais. Se a equipe de segurança do cliente estiver disposta a fornecer os
hashes para as senhas de seus usuários, você poderá fazer o hash das informações inseridas
no formulário usando o mesmo algoritmo de hash e, em seguida, comparar os dois hashes
para ver se os usuários inserem informações válidas. Isso pode indicar o número de pessoas
que colocaram informações legítimas no site de phishing versus quantas pessoas não o fizeram,
seja por erro ou trollagem.
126 Capítulo 9
Machine Translated by Google
Tempo de Detecção
Quanto tempo leva para a equipe de segurança da organização descobrir que ocorreu
uma tentativa de phishing? A organização foi informada disso por meio de relatórios
de usuários, de um aplicativo ou serviço de e-mail ou do sistema SEIM? O tempo
necessário para detectar o evento indica a maturidade da organização e suas
capacidades de segurança da informação. Quanto maior o tempo e se a detecção ocorre,
é um indicativo de quão catastrófico um ataque pode ser.
Dependendo do relatório que você lê e dos motivos do editor, pense
O tempo (a quantidade de tempo que um invasor pode executar ações em um
ambiente sem despertar a detecção ou outras medidas de mitigação) varia de dias a
anos. Tempos de permanência mais baixos significam menos tempo para um invasor
estabelecer uma fortaleza, criar resultados adversos para a organização ou gerar
publicidade negativa.
Discutimos métricas e comparações úteis para medir a detecção
tempo de discussão nas outras seções deste capítulo, por isso não vamos repeti-
las aqui.
Em um dos meus compromissos, fui bloqueado após enviar cerca de 50% dos
meus e-mails. Eu os enviava em lotes de 7 a 15 pessoas por vez.
Apenas cerca de 20% dos destinatários clicaram no meu link e apenas 6% inseriram
alguma informação. Eu pensei que estava frito.
128 Capítulo 9
Machine Translated by Google
Classificações de risco
Quantificar o risco não é fácil, mas é importante fazê-lo, porque o relatório que
você envia ao seu cliente deve organizar suas descobertas com base na gravidade.
Várias metodologias podem ser usadas para classificar e quantificar o risco, tanto
qualitativamente (usando rótulos subjetivos como Crítico, Alto, Médio, Baixo e
Informativo) quanto quantitativamente (como em uma escala de 0 a 10). A Metodologia
de Classificação de Risco OWASP e o Sistema Comum de Pontuação de
Vulnerabilidade (CVSS) são duas dessas metodologias.
A menos que seu empregador ou cliente queira uma pontuação de risco
quantitativa, recomendo manter a qualitativa. A tentativa de realizar análises
quantitativas exige que todos os pontos de dados estejam em formato numérico, e a
realização de traduções para alguns pontos de dados cria mais complexidade e
complicações do que o necessário. A maioria de nossas métricas é de natureza
quantitativa, mas não podemos traduzir facilmente ações em valores numéricos. Por
exemplo, encaminhar um e-mail não está relacionado à exclusão de um e-mail. Se
atribuirmos um valor numérico a essas tarefas, implicamos a existência de uma
relação entre elas, o que não existe. Ao determinar a gravidade do risco,
considere a probabilidade e o impacto do incidente e, em seguida, equilibre esses
dois fatores para obter uma classificação única.
A seguir, defina o que deve contar como Crítico, Alto, Médio, Baixo e
Informativo. A seguir estão as definições padronizadas que você pode usar em seu
relatório conforme achar adequado:
Crítico
Estes são os riscos que podem causar danos catastróficos, períodos de inatividade
prolongados ou o fim de todas as operações. Eles são imediatamente e
facilmente exploráveis. Muitas vezes, são voltados ao público e têm impactos
significativos na capacidade de uma organização fazer negócios. Eles
também podem ameaçar a vida humana. No caso da segurança da informação,
isto também pode incluir uma violação de dados regulamentados ou sensíveis,
como informações pessoalmente identificáveis (PII) ou informações de saúde
protegidas (PHI), que foi o que ocorreu no Equifax, Escritório de Gestão de
Pessoal dos EUA ( OPM), ou outras violações da mesma magnitude.
Alto
Baixo
Esses itens representam pouco risco para o cliente. Eles poderiam ter dependências
marginais, como acesso físico local, ou exigir que outro vetor de exploração já tivesse
sido realizado. Estes riscos envolvem perturbações mínimas se forem bem sucedidos.
Informativo
Estes não representam nenhum risco atual, mas não aderem às melhores práticas ou podem
tornar-se arriscados mais tarde.
Comunicando
Esta seção irá guiá-lo na redação do relatório de entrega para seu cliente. Embora não seja
tão empolgante quanto o envolvimento em si, o relatório é o que os clientes pagam para você
receber muito dinheiro. Dito isto, torná-lo útil é um desafio. A verdade é que alguns clientes
lerão o relatório com atenção, enquanto outros o arquivarão para fins de conformidade, sem
dar uma olhada nele. Se as pessoas não lerem o relatório, como poderão corrigir as
conclusões? Esta seção responde a essa pergunta analisando dois ângulos: o relatório de
entrega que o cliente deve ler e as situações que justificam que você pare o que está
fazendo e ligue para o cliente.
Escrevendo o relatório
Aconselho você a escrever o relatório à medida que avança, para não perder detalhes ou ter
que vasculhar anotações para cobrir tudo. Pegando emprestada alguma filosofia
130 Capítulo 9
Machine Translated by Google
de Chris Sanders, autor de Practical Packet Analysis (No Starch Press, 2017), seu relatório
deve ser claro e conciso, mas também deve contar uma história.
Usando a narrativa, você pode envolver os leitores de forma mais eficaz para encorajar:
talvez até mesmo fazer engenharia social para que leiam o relatório na íntegra.
O que quero dizer com contar histórias? Explique as etapas que você seguiu e por que elas
foram importantes. Faça parecer que você estava agindo como um verdadeiro ator malicioso.
Fale sobre o que você viu, sua análise e os resultados. Para ajudá-lo a envolver os leitores, use a
voz ativa em vez da voz passiva. Por exemplo, os consultores enumeraram com sucesso que o
site está em voz ativa. A enumeração do site foi considerada possível em voz passiva.
Dependendo se você trabalha por conta própria ou trabalha para uma empresa, esse
tempo pode ser executado a uma taxa faturável menor do que o contrato em si, ou pode ser não
faturável. Não use todo o tempo alocado só para usá-lo. Use apenas o que você precisa. Este
tempo também deve levar em conta as revisões de documentos (como por editores, equipes
jurídicas ou garantia de qualidade).
Estruturando o Relatório
A próxima seção deve detalhar o OSINT que você encontrou. Para cada informação, inclua o
resultado da ferramenta que você usou ou uma captura de tela do
Insira todas as suas descobertas na próxima seção. Este é o lugar para ser prolixo.
Explique o problema, como você o encontrou, os artefatos que você encontrou, referências
que explicam por que ele é um problema, como remediá-lo totalmente e possíveis
atenuações se a remediação completa não for uma opção. Esta seção reiterará o
conteúdo das seções de resumo executivo e conclusões. É aqui que você explica de
forma coesa, em formato de parágrafo (embora listas ocasionais possam ser úteis para
resumir informações) como corrigir os problemas que você descobriu. Em seguida,
termine com a seção de correções e recomendações.
Defenda treinamento, soluções técnicas ou outras mudanças culturais. A Parte 3 deste livro
discute essas proteções.
Lembre-se de que você está apenas recomendando. Você não tem autoridade para
exigir quaisquer alterações e o cliente pode ou não resolver o problema.
Embora você possa sentir um sentimento de propriedade do projeto, em última análise,
não será problema seu se eles decidirem não seguir seu conselho.
Garantindo Verbosidade e
132 Capítulo 9
Machine Translated by Google
Como resultado, os engenheiros sociais confiam na sua capacidade de falar como um ponto de força.
Ao trabalhar com pessoas não técnicas e não relacionadas à segurança, essa força
se torna uma falha.
Conclusão
Os relatórios não são o aspecto mais divertido da engenharia social ou da coleta OSINT,
mas são um dos aspectos mais importantes. Faça o possível para transmitir à gerência não
apenas o que você executou, mas também como os funcionários se saíram contra você,
juntamente com conselhos práticos para melhorar.
As métricas que você mede e a maneira como você as mede influenciarão
os processos de tomada de decisão do seu cliente e o sucesso geral do seu negócio.
Fornecer dados mal explicados ou distorcidos pode constranger o cliente ou, pior, colocá-lo
em apuros legais e você com um (ou mais) clientes a menos.
Lembre-se de que seu relatório geralmente é a única coisa que a equipe de gestão
do seu cliente vê do seu envolvimento. Eles não verão o quão bom você é em phishing ou
vishing e, mesmo que o fizessem, provavelmente não ficariam tão impressionados com isso
quanto seus colegas do setor de segurança. O que os impressionará é um relatório
profissional, escrito em termos que possam compreender, com conselhos que possam
implementar.
PARTE III
DEFENDENDO CONTRA
ENGENHARIA SOCIAL
Machine Translated by Google
10
DEFESA PROATIVA
TÉCNICAS
Se você disser a verdade, não precisará se lembrar de nada.
—Mark Twain
Programas de Conscientização
Os programas de conscientização são iniciativas da empresa projetadas para fornecer
orientação aos usuários em situações em que eles encontram — ou, infelizmente, são
vítimas de — um ataque de engenharia social. Esses programas são essenciais porque
expõem os usuários, que provavelmente já estão recebendo e-mails de phishing, a táticas que
invasores mal-intencionados podem usar sem o potencial resultado negativo.
Uma abordagem para conduzir esses treinamentos é ensinar aos usuários sobre
tendências comuns no setor de segurança. Oferecer esse tipo de conselho geral raramente
é suficiente. Esperamos que os capítulos anteriores deste livro tenham ajudado você a
entender que as diretrizes de segurança tradicionais – como procurar o cadeado verde
na barra de endereço do seu navegador, prestar atenção à ortografia e gramática nos e-
mails e verificar endereços de links – não são mais suficientes. para evitar ataques de phishing.
Claro, alguns invasores ainda cometem esses erros. Mas os sofisticados, capazes de
causar danos catastróficos a uma organização, não o são.
138 Capítulo 10
Machine Translated by Google
correntes ou responder a e-mails suspeitos sem primeiro falar com a equipe de segurança.
Embora não seja do seu interesse punir os erros das pessoas, é útil reforçar o bom
comportamento. Mais uma vez, porém, fazê-lo corretamente é um equilíbrio delicado. A
razão pela qual é delicado é que, ocasionalmente, as pessoas tentam manipular o sistema.
Para dar um exemplo de como a oferta de incentivos pode dar errado, consideremos
o que aconteceu ao Wells Fargo em 2016. Entre 2009 e 2015, o Wells Fargo estabeleceu
metas de vendas irrealistas para o seu pessoal. Mais tarde, o banco descobriu que estes
objectivos tinham incentivado 5.300 funcionários a criar contas falsas no Wells Fargo, em
alguns casos para familiares e amigos, mas noutros casos para estranhos. A administração
descobriu isso quando estranhos começaram a cobrar taxas.
Fornecer qualquer coisa de valor percebido aos funcionários por fazerem um bom trabalho
trabalho ajudará a reforçar o bom comportamento que você busca. Isso é um pouco de engenharia
social em si, mas visa trazer resultados positivos para os funcionários e para a organização.
140 Capítulo 10
Machine Translated by Google
Terceirização
Resposta a Incidentes
142 Capítulo 10
Machine Translated by Google
Lições Preparação
aprendido
Recuperação Identificação
Erradicação Contenção
Depois que tudo voltar ao normal, a fase de lições aprendidas é quando você
analise a causa raiz do incidente para determinar as lacunas existentes em seu
conhecimento e execução. Em seguida, você corrigirá essas lacunas como parte da fase
de preparação. Este é o momento de ser introspectivo e decidir o que poderia ter sido
feito melhor.
Respondendo ao Phishing
Agora que você entende os fundamentos da resposta a incidentes, precisa definir o
que os usuários devem fazer caso sejam vítimas de vários tipos de ataques de engenharia
social. Vamos começar com phishing. Um e-mail de phishing que contenha links ou
arquivos pode permitir que um invasor obtenha acesso aos seus sistemas.
O seu objectivo, então, deveria ser acelerar a contenção e a erradicação.
Uma dica para possibilitar respostas rápidas é escolher uma única cor diferente do
preto para todos os cabos de rede. Isso permitirá que você instrua os funcionários a
desconectar o cabo colorido da parte traseira do computador ou da parede.
Tenha em mente que os sistemas ainda podem estar conectados à rede sem fio e você
também deve definir o comportamento para desconectar dispositivos sem fio.
Peça aos usuários que relatem o horário aproximado em que o incidente
ocorreu. Esse detalhe ajuda a equipe de segurança a localizar os registros que devem
examinar, em vez de deixá-los sem pistas sobre onde procurar.
Ao serem vítimas do ataque, os usuários devem sair, bloquear a tela, desligar, desconectar
da rede ou hibernar o sistema. As ações que um usuário deve realizar dependem das
capacidades da organização e da sua resposta potencial a um determinado incidente. Por
exemplo, se não ocorrer nenhuma análise forense, não há razão para hibernar o sistema.
Alternativamente, se a organização for reconstruir o sistema a partir de mídias boas e
conhecidas, a ação correta pode ser simplesmente desligar o sistema depois de coletar os
dados.
artefatos.
O usuário também deve informar o endereço de e-mail ou site de origem do phishing,
quaisquer janelas e aplicativos que estavam abertos e se algo incomum aconteceu na tela.
Respondendo a Vishing
Embora semelhante ao phishing, o vishing apresenta desafios únicos. Na ausência de
monitorização de todas as chamadas telefónicas, a capacidade de identificar e agir de
acordo com as chamadas vishing depende do facto de o pessoal as reportar, bem como
de conhecer antecipadamente as ações a tomar. Nenhum sistema de detecção de intrusão
(IDSs) ou SEIMs difundido ou preciso abrange chamadas telefônicas. As empresas podem
monitorar o tráfego de Internet de qualquer telefone conectado à rede Wi-Fi corporativa,
mas não as chamadas telefônicas comuns ou seu contexto. Felizmente, um invasor não pode
(imediatamente) fazer login e assumir o controle de uma rede a partir de uma chamada telefônica.
Mesmo que alguém que esteja vishing obtenha informações, os controles técnicos podem
impedi-lo de causar mais danos. Independentemente disso, você deve definir ações
para responder às tentativas de vishing.
144 Capítulo 10
Machine Translated by Google
Decida quais ações você deve bloquear. Os exemplos podem incluir o bloqueio de
usuários após um certo número de erros 404 causados por spidering; bloquear ou limitar
a taxa de spidering a um certo número de eventos por segundo; bloquear qualquer
pessoa que baixe um determinado número de arquivos públicos, usando uma string
específica de agente de usuário no navegador ou script; e bloquear usuários que
navegam para uma página mel.
plano. Forneça aos funcionários não autorizados um modelo de resposta para lidar com
tais dúvidas. Isto pode ser uma declaração tão simples como “Não estou autorizado a
discutir os detalhes do assunto da sua solicitação” ou um redirecionamento para o
representante de mídia designado na empresa.
As partes autorizadas a falar com a mídia devem compreender
que tom adotar, como recusar responder e com quem falar para saber os factos que irão
partilhar com os jornalistas. Defina também uma pessoa ou comitê para revisar e aprovar
quaisquer mensagens que o relações públicas fornecerá à mídia.
Se você não informar aos usuários como eles devem relatar suspeitas de incidentes, eles
poderão bombardear um guarda do portão que não tem meios de resolver o problema.
Uma estratégia é criar um phishing@organization.com endereço de e-mail para coletar os e-
mails de phishing que os usuários recebem. Você também pode configurar cyber@organization.com
ou incidentes@organization.com como endereços genéricos que encaminham e-mails para
as partes apropriadas.
Quando um usuário é vítima de um phishing e pode ter introduzido malware no ambiente,
reportar por e-mail pode não ser a melhor abordagem.
Isso ocorre porque é possível que todo o sistema de e-mail tenha sido comprometido e que
invasores possam ler, bloquear ou alterar a mensagem. Dependendo do tamanho da
organização e se o usuário está no local ou remoto, você pode direcionar os usuários para
relatar o incidente pessoalmente, ligar para um número de telefone ou enviar uma
mensagem usando chat privado ou uma plataforma de mensagens de texto segura como o
Signal. , Wickr ou Fio.
146 Capítulo 10
Machine Translated by Google
hash do arquivo e verifique os sistemas na rede em busca de arquivos que produzam o mesmo hash.
Ajuste o SEIM para alertá-lo sobre as instâncias recebidas deste arquivo também.
Conclusão
Parte de manter sua organização segura é manter os usuários informados, conscientes e alertas.
Ao aplicar uma política não punitiva juntamente com incentivos ao comportamento positivo para
reforçar as ações desejadas, você pode melhorar drasticamente a postura de segurança da sua
organização e, ao mesmo tempo, capacitar os funcionários para tomarem boas decisões. Depois que
os usuários forem treinados, souberem o que procurar e entenderem o que fazer quando forem
vítimas de ataques de engenharia social, é hora de envolvê-los usando testadores internos ou
externos para medir sua adesão às orientações da organização.
11
CONTROLES TÉCNICOS DE E-MAIL
Padrões
À medida que o e-mail evoluiu, também evoluíram as tecnologias para protegê-lo. E à medida que
essas tecnologias evoluíram, também evoluíram os padrões de ataque, tornando-se, como acontece com
Machine Translated by Google
Campos “De”
Para entender como esses padrões funcionam, você precisa entender os vários tipos
de campos De em um email. Além de um campo Responder para , os e-mails têm De
e MailFrom. O campo De , também denominado 5322.From, exibe o remetente. O
campo MailFrom , ou 5321.MailFrom, é o serviço real que enviou o email. Por exemplo,
se eu enviasse e-mails usando MailChimp, meu endereço de e-mail estaria no campo
5322.From, e o servidor e endereço do MailChimp estariam em 5321.
Campo MailFrom.
Os números anexados a esses campos vêm dos RFCs nos quais eles foram
definidos. Aqui está outra maneira fácil de pensar sobre isso: o campo 5321.MailFrom
é equivalente a um endereço de retorno em um envelope enviado pelo serviço postal,
enquanto o 5322. O campo De é equivalente a um endereço de retorno na parte
superior de uma carta contida no envelope.
Agora vamos abordar esses três padrões em ordem cronológica, começando com
o DKIM.
150 Capítulo 11
Machine Translated by Google
tags que você pode encontrar na mensagem de e-mail. A chave pública DKIM é a única parte da
estrutura visível para a população em geral, mas encontrá-la depende de conhecer o seletor, o que
você só pode fazer se tiver recebido um e-mail do domínio (ou conseguir forçá-lo com força bruta).
O processo DKIM é o seguinte. Primeiro, você redige um e-mail. À medida que o email é
enviado, a chave privada associada à sua entrada DKIM cria duas assinaturas digitais que comprovam
a autenticidade do email. Uma assinatura é para o próprio cabeçalho DKIM e a outra é para o corpo
do e-mail.
Cada e-mail possui um par exclusivo de assinaturas. As assinaturas são colocadas no cabeçalho e
enviadas junto com o email. Depois de recebida, e se o servidor de e-mail do destinatário tiver o
DKIM configurado, o servidor verificará a autenticidade da mensagem usando a chave pública
publicada nos registros DNS. Se a chave conseguir descriptografar o e-mail com êxito, o e-mail é autêntico
e não foi alterado.
Dito isto, o DKIM não é frequentemente usado para autenticação. Em vez disso, nós principalmente
use-o para verificar a autenticidade e para algo chamado alinhamento DMARC, discutido em
“Autenticação, relatórios e conformidade de mensagens baseadas em domínio” na página XX. Uma das
deficiências do DKIM é que ele só será eficaz se tanto o remetente quanto o destinatário o
implementarem. Além disso, mesmo que sua organização implemente o DKIM internamente, ela poderá
proteger seus usuários apenas contra agentes externos que falsifiquem outros funcionários internos, o
que é bom para sua reputação, mas pouco contribui para alcançar a segurança.
Afinal, os atores podem falsificar um terceiro confiável. Mas, como mencionado anteriormente, o
destinatário deve ter seus servidores de e-mail configurados para verificar a autenticação DKIM, o que
normalmente é realizado através da implementação do DMARC. Na ausência do DMARC, as falhas
de autenticação ainda são repassadas ao destinatário.
O DKIM foi introduzido pela primeira vez na RFC 6376. Mais tarde, a RFC 8301 alterou-a com a
seguinte especificação em relação ao tipo de criptografia que o DKIM poderia usar:
Dois algoritmos são definidos por esta especificação neste momento: rsa-
sha1 e rsa-sha256. Os signatários DEVEM assinar usando rsa-sha256.
Os verificadores DEVEM ser capazes de verificar usando rsa-sha256. rsa-sha1 NÃO
DEVE ser usado para assinatura ou verificação.
Em 2018, foi lançada outra RFC que trata do DKIM; RFC 8463 adicionou um novo algoritmo
de assinatura, ed25519, que usa SHA-256 e algoritmo de assinatura digital de curva de Edwards (EdDSA)
no lugar de uma chave RSA.
Implementando DKIM
Para que o DKIM seja eficaz, você deve configurá-lo não apenas no servidor DNS, mas também no
servidor de e-mail. Caso contrário, funciona, na melhor das hipóteses, como um impedimento.
Vejamos como configurar o DKIM em um domínio hospedado pelo Google Workspace. Outros servidores
de e-mail possuem recursos semelhantes.
O Gmail normal usa as chaves DKIM padrão do Google, assim como os domínios hospedados
no Workspace que não possuem o DKIM configurado. Você não pode configurar seu próprio DKIM
para uma conta do Gmail hospedada em gmail.com, mas pode, por um
152 Capítulo 11
Machine Translated by Google
Observe que esses painéis podem limitar você a 255 caracteres: muito curto para
a chave de 2.048 bits recomendada pelos padrões do setor. (Quando isso aconteceu
comigo, entrei em contato com o suporte e pedi que inserissem manualmente as informações
em meu nome, o que eles fizeram com relutância.)
Depois de salvar a chave, a propagação do registro poderá levar até 48 horas. Você
precisará clicar em Iniciar autenticação no painel para verificá-la após a conclusão da
propagação. A propagação normalmente leva de 24 a 48 horas, mas às vezes até 72 horas,
dependendo da infraestrutura e do provedor.
154 Capítulo 11
Machine Translated by Google
Deficiências do DKIM
A criptografia usada no DKIM às vezes inclui vulnerabilidades. Até 2018, o DKIM permitia a utilização
do algoritmo SHA-1 para assinatura e verificação. No entanto, a comunidade de segurança sabe que
o SHA-1 é inseguro desde 2010, antes mesmo de o padrão DKIM ser criado. Desde então,
pesquisadores do CWI Amsterdam e do Google realizaram com sucesso um ataque de colisão
ao protocolo, momento em que a maioria das partes nas comunidades de criptografia e segurança o
descontinuaram. O ataque de colisão permitiu que as partes pegassem hashes de dois arquivos que
não correspondiam e produzissem o mesmo hash deles, fazendo parecer que correspondiam. Todos
os principais fornecedores de navegadores anunciaram que deixariam de aceitar certificados SHA-1
em 2017.
É verdade que criar uma colisão no local preciso dentro do processo de operações
DKIM ainda exigiria muito poder computacional, de modo que apenas organizações
sofisticadas e bem financiadas, como estados-nação ou grandes empresas de
tecnologia, poderiam ter a capacidade de realizar tal ataque. Afinal, o Google foi uma
das duas partes que produziu a colisão SHA-1 (e é improvável que o Google tente
enviar e-mails não autorizados para sua organização). Mas se você tiver autonomia para
isso, use o SHA-256, mais seguro.
Em segundo lugar, existem vulnerabilidades no RSA, usado como infraestrutura de chave pública
tura do padrão DKIM. Como mencionei anteriormente, a ferramenta DKIM do Google oferece
suporte a dois RSAs de 1.024 e 2.048 bits. O RSA de 2.048 bits é o padrão mínimo atual do setor. Há
um debate significativo sobre se o RSA é seguro, dados os avanços matemáticos, computacionais e
criptográficos desde a introdução do RSA. Vários acadêmicos e pesquisadores afirmaram ser
capazes de quebrar o RSA ou reduzir o sistema criptográfico RSA. Reduzir o criptossistema é um
método para enfraquecer sua força, identificando grandes números primos usados e fatorando.
Usar RSA de 1.024 bits é certamente uma vulnerabilidade no papel, enquanto usar RSA de
2.048 bits é desencorajado, mas não proibido. Pragmaticamente, sem enormes recursos
computacionais ou acesso a instalações de computação quântica, nem o RSA de 1.024 nem o de
2.048 bits podem ser quebrados em menos de dois milhões de anos num único sistema. Versões
posteriores do DKIM adicionaram Ed25519-SHA256 como algoritmo aceito, embora não tenha sido
amplamente adotado.
A fraqueza final do DKIM não é uma vulnerabilidade, mas sim uma deficiência. O DKIM é
excelente para implementar e pode proteger a reputação de uma organização – mas apenas se o
servidor de e-mail do destinatário estiver configurado para verificar a assinatura DKIM e tomar
medidas contra e-mails que alegam vir de um domínio com DKIM habilitado; caso contrário, a reputação
da sua organização ainda poderá ser prejudicada.
Assim como o DKIM, o Sender Policy Framework (SPF) busca evitar a falsificação usando registros
DNS TXT. Nestes registros TXT, o SPF define os domínios, listas de hosts, domínios e endereços
IP e endereços IP com permissão para enviar emails de dentro de um ambiente de email ou em nome
de um domínio.
Para ver como isso funciona, imagine que alguém falsifique um e-mail de um domínio. O
destinatário verifica o registro SPF e observa que o domínio de envio possui hard fail configurado; além
disso, o remetente não está listado no registro.
Além disso, a política SPF está definida para ser aprovada. Nesse caso, o e-mail não chegará ao
destino. Se não houvesse um registro SPF ou se a política estivesse definida como nenhuma ou
configurada para falha temporária, o email teria sido bem-sucedido.
Como o SPF não requer criptografia, o SPF e o DKIM são completos
secundários e não concorrentes. O SPF é baseado em lógica, pois compara os valores recebidos
com uma lista. O host, domínio ou endereço IP está no registro ou não. O DKIM emprega lógica e
criptografia na forma de assinaturas digitais. Você pode ler mais sobre o SPF na RFC 7208, que o
introduziu em 2014.
Implementando SPF
Então, para esses domínios e endereços IP, escolha uma política para vários
situações:
Passar (+) Permite a passagem de todos os e-mails (não recomendado, a menos que seja para
uma breve solução de problemas)
Falha suave (~) Em algum lugar entre falha e neutro; geralmente esses e-mails são aceitos,
mas marcados
Como backups, você pode configurar algo como +todos (não recomendado, pois permitiria
todos os e-mails), +mx (permite e-mails do host listado no registro MX; não recomendado se estiver
usando e-mail na nuvem como Google ou Office 365), ou +nostarch.com (que permitiria e-mails de
nostarch.com).
Depois de ter essas informações, você estará pronto para criar o registro. Para começar,
navegue até o editor DNS do seu provedor de hospedagem e crie um novo registro TXT. Como
alternativa, edite quaisquer registros TXT existentes que tenham v=spf1 no corpo, conforme mostrado
aqui:
156 Capítulo 11
Machine Translated by Google
;; OPTAR PSEUDOSECÇÃO:
; EDNS: versão: 0, sinalizadores:; UDP: 65494
;; SEÇÃO DE PERGUNTAS:
;walmart.com. EM TXT
;; SEÇÃO DE RESPOSTA:
walmart. com. 300 EM TXT "v=spf1
incluem:_netblocks.walmart.com incluem:_smartcomm.walmart.com
incluem:_vspf1.walmart.com incluem:_vspf2.walmart.com
incluem:_vspf3.walmart.com ip4:161.170.248.0/24 ip4:161.170.244.0/24 ip4 :161.170.241.16/30
ip4:161.170.245.0/24 ip4:161.170.249.0/24" "~todos"
--recorte--
;; Tempo de consulta: 127 ms
;; SERVIDOR: 127.0.0.53#53(127.0.0.53)
;; QUANDO: terça-feira, 08 de setembro, 05:42:49 UTC
;; Tamanho do MSG obtido: 1502
Defina o valor do tempo de vida (TTL) para o padrão de 14.400. O valor TTL
é o tempo que os resolvedores recursivos de DNS têm para armazenar em cache
nosso registro SPF antes de baixar um novo (se ele tiver sido alterado). Algumas
coisas, como ativos críticos e balanceadores de carga, funcionam melhor com um TTL
muito pequeno. Recomenda-se que ativos que não devem mudar com frequência ou
que tenham redundância incorporada (como registros MX) tenham valores TTL maiores.
O objetivo é tentar combater técnicas como fluxo rápido ou registros DNS dinâmicos
comumente usados em campanhas sofisticadas de phishing e ataques contra sites de mídia social.
Em seguida, nomeie o registro TXT com o nome do domínio da organização. Para o
texto real, insira v=spf1, seguido dos mecanismos e da política, conforme discutido
anteriormente. Para definir esses mecanismos, você precisará conhecer os cinco tipos de
campos permitidos:
Agora, construa a string para inserir no DNS. Digamos que você permitirá hosts
usando o registro MX do nostarch.com , além do MailChimp e um intervalo de endereços
IP privado e não roteável, com falha grave. O texto a ser inserido no DNS ficaria assim:
Você poderia escrever esse disco de uma forma alternativa também. No Capítulo 4,
você aprendeu que o No Starch usa o Google Workspace, então você pode substituir
a parte +mx com os servidores do Google (que pode ser encontrada no painel do
Workspace). Para manter isso em uma linha, você removerá o mecanismo de inclusão
do MailChimp SPF . A entrada alternativa ficaria assim:
Depois de colar isso no registro DNS, aguarde até 72 horas para que ele se
propague. Leva algum tempo para que os vários servidores DNS na Internet copiem as
informações atualizadas. Esse tempo depende muito dos tempos TTL, que direcionam
os servidores para armazenar informações em cache por um período de segundos
antes da atualização. Na minha experiência, o SPF pode tornar-se válido quase
imediatamente, ao contrário do DKIM. Quer você use o Google como seu provedor de e-
mail ou não, ainda poderá usar o site Google Admin Toolbox Check MX para validar as
informações fornecidas. Você pode encontrar a caixa de ferramentas em https:// toolbox.googleapps
.com/ apps/ checkmx/. Você pode encontrar instruções para configurar o SPF em outras
plataformas em http:// email-security.seosint.xyz.
Deficiências do FPS
Lembre-se do Capítulo 4 que o SPF permite que invasores enumere domínios, endereços
IP e intervalos de endereços IP que uma organização possui ou usa. Os invasores
também podem saber se o alvo tem falha grave ou falha suave configurada, verificando
a opção -all (falha grave), ~all (falha suave) ou ~? (neutra) parte do registro TXT. Essas
informações podem influenciar a decisão deles sobre falsificar o domínio da sua
organização ou talvez ocupar algo semelhante. Um engenheiro social detalhista pode
até configurar DKIM e SPF em seu domínio de phishing para ignorar quaisquer
verificações que uma organização possa ter em vigor, caso ela esteja realmente aplicando
alguma política.
O SPF também pode alertar os invasores sobre suas relações de trabalho com
outras organizações. Se outros domínios precisarem de autoridade para enviar e-mails
em seu nome, talvez seja necessário criar registros SPF para eles. Exemplos de domínios
que precisarão de permissão para enviar e-mails em nome de uma organização são
listas de e-mail como MailChimp, Mailgun ou Constant Contact. Considere também
outros provedores que enviam e-mails em nome da organização, como GoToMeeting ou
plataformas de colaboração semelhantes.
O aspecto final do SPF não é uma vulnerabilidade, mas sim uma deficiência.
Assim como o DKIM, o SPF é bom de implementar e pode proteger a reputação de uma
organização, mas somente se o servidor de e-mail do destinatário estiver configurado
para verificar os registros SPF e impor a política definida. Não fazer isso, entretanto,
pode prejudicar a reputação da sua organização.
158 Capítulo 11
Machine Translated by Google
Aqui está o que acontece quando uma comunicação usa DMARC. Primeiro, um usuário
escreve um email. O servidor de envio de e-mail insere um cabeçalho DKIM nele e o envia ao
destinatário. A partir daí, para que o e-mail atravesse uma organização com uma política DMARC
implementada, duas coisas devem acontecer. Primeiro, o e-mail deve passar pelas verificações
de assinatura DKIM (5322.From, com validação por meio de uma chave pública contida no DNS).
Em segundo lugar, ele deve passar nas verificações SPF (5322.From) e nos registros TXT.
Dependendo do resultado dessas verificações, o registro DMARC especificará que o servidor deve
aceitar ou rejeitar o email. Haverá relatórios para falhas.
O e-mail passa por algum processo ou filtro determinado pelo destinatário e, se tudo passar, ele
chega na caixa de entrada do destinatário.
DMARC é amplamente utilizado. Várias estruturas de conformidade exigem isso,
juntamente com agências federais dos EUA, conforme determinado pela Diretiva Operacional
Vinculativa 18-01 do Departamento de Segurança Interna. Se você acompanhar os materiais de
marketing dos fornecedores, poderá se lembrar da enxurrada de fornecedores que usaram esta
diretiva para vender DMARC e ferramentas de segurança de e-mail em 2017. Mas essas
implementações são inúteis sem uma política aplicada ou uma configuração técnica que direcione
as ações para que ocorram com o mínimo intervenção humana. Além disso, o destinatário deve
realmente verificar os registros e aplicar a política em vigor.
Existem duas RFCs para atualizar o DMARC: RFC 8553, que aborda usando
sublinhados em nomes de nós; e RFC 8616, que aborda o uso de caracteres ASCII em SPF,
DKIM e DMARC quando não abordam caracteres usados internacionalmente.
Implementando DMARC
A versão do DMARC (v) A versão do DMARC em uso. Atualmente é 1, indicado por v=DMARC1.
A tag rua O endereço de e-mail para o qual os relatórios são enviados. Os coletores OSINT
podem ler e transformar isso em arma, portanto, um alias é recomendado.
Você também pode adicionar opções de relatórios forenses e um endereço para encaminhamento
relatórios forenses. A tag de relatório de falha forense (fo) determina quais eventos gerarão
relatórios forenses. Possui quatro opções: 0, que cria um relatório de falha caso todos os mecanismos
falhem; 1, que cria um relatório de falha caso algum mecanismo falhe; d, que cria um relatório de
falha do DKIM se o DKIM falhar, independentemente do alinhamento; e s, que cria um relatório de
falha do SPF se o SPF falhar, independentemente do alinhamento. A tag ruf especifica o endereço
de e-mail para o qual os relatórios forenses são enviados. Assim como a tag rua , os coletores OSINT
podem ler e transformá-la em arma, então use um alias.
Isso pode parecer muita informação. Para colocá-lo em uso, vamos configurar um registro
DMARC para nostarch.com:
Este registro possui uma política de quarentena apenas para domínios. Aplica-se a 95% dos e-
mails, e qualquer falha causa relatórios forenses, com os relatórios forenses indo para soc@nostarch.com.
Você definirá o endereço de e-mail para receber os relatórios gerais do DMARC para dmarc@nostarch.com.
Depois de redigir isso, você deve adicioná-lo a um registro TXT no arquivo nostarch.com.
Arquivo de zona DNS com o nome dmarc e um TTL de 14400.
Deficiências do DMARC
Além das mesmas divulgações de informações presentes no SPF e do fato de que os destinatários de
seu e-mail podem não verificar SPF ou DKIM, o próprio DMARC não apresenta problemas ou
vulnerabilidades significativas.
Dito isso, a simples criação de registros DNS TXT para DMARC não torna você seguro
imediatamente. Por exemplo, você poderia facilmente configurar incorretamente sua implementação
DMARC. Ao configurar inicialmente o DMARC, evite rejeitar e-mails, pois isso elimina a capacidade de
humanos revisarem a validade do e-mail e pode causar interrupções nos negócios ou comunicações
mal direcionadas.
Mitigar isso é simples: comece definindo a política DMARC inicial como nenhuma e revise 100%
dos e-mails (p=nenhum; pct=100;). À medida que o tempo avança, diminua o campo pct
gradativamente até que você se sinta confortável com os relatórios e o desempenho. Depois de atingir
um bom nível, altere a porcentagem de revisão para um valor administrável, mas realista. Eu
recomendo
160 Capítulo 11
Machine Translated by Google
60 a 85 por cento para empresas, dependendo dos seus recursos. Em seguida, atualize o
registro DMARC TXT para refletir isso (p=quarentena; pct=75;).
Tenha em mente que os atores que usam e-mail para tentar obter acesso à
empresa da sua organização podem aproveitar ferramentas para aumentar sua
legitimidade, portanto, não confie apenas em SPF, DKIM e DMARC. Por exemplo, se
um ator comprometer outra organização com SPF, DKIM e DMARC configurados e,
em seguida, enviar um e-mail à sua organização através de canais legítimos, ele passará
em todas as verificações associadas a esses três padrões.
Outro vetor de ameaça não abordado pelo DMARC é a criptografia. Os três
padrões não fornecem meios para criptografar e-mails. Claro, o DKIM usa criptografia,
mas apenas para assinar e-mails. As próximas seções abordam como abordar essa
lacuna.
esforço, como acontece com qualquer coisa em entradas DNS públicas, já que um
adversário pode consultar registros DNS e fazer inferências a partir das entradas. Embora
esta mitigação em si seja simples de implementar, o DNSSEC em geral não o é, por
isso não vimos a sua adoção generalizada.
Na mesma época em que o DANE estava sendo desenvolvido, uma solução
diferente para o mesmo problema (STRIPTLS) estava sendo elaborada: SMTP MTA Strict
Transport Security (MTA-STS).
MTA-STS
SMTP MTA Strict Transport Security (MTA-STS) é outra maneira de implementar TLS para
proteger comunicações por e-mail. Nesse método, as duas partes negociam o handshake
TLS usando registros DNS TXT, bem como arquivos carregados em diretórios específicos
em um subdomínio predefinido e acessível ao público do domínio de envio.
TLS-RPT
O Relatório SMTP TLS (TLS-RPT) é um método de coleta de estatísticas sobre possíveis
falhas ao negociar TLS e domínios associados. Pense nisso como comparável ao DMARC,
se o MTA-STS fosse o elemento DKIM. Você pode usar essas informações para solução
de problemas ou inteligência sobre ameaças.
Configurar o TLS-RPT é relativamente fácil, pois requer apenas um registro DNS TXT
com _smtp._tls. domain.tld e um endereço de relatório no corpo. Se ocorrer um erro com
um e-mail usando um método criptografado (DANE ou MTA STS), o e-mail de relatório
receberá uma notificação. A seguir está um exemplo para nostarch.com:
_smtp._tls.nostarch.com 300
"v=TLSRPTv1;rua=mailto:soc@nostarch.com"
162 Capítulo 11
Machine Translated by Google
provavelmente exigirão que você faça alterações em seus registros DNS públicos, e você
poderá descobrir esses relacionamentos usando técnicas OSINT, conforme discutido
anteriormente.
Muitas configurações e produtos estão disponíveis. Ao escolher um fornecedor,
considere o rendimento de e-mails por minuto ou segundo. Decida também se deseja manter
a filtragem de e-mail por meio de software, dispositivo ou serviço em nuvem. Cada opção
apresenta desafios únicos, especialmente no que diz respeito à implementação, suporte,
disponibilidade e relatórios, e cada uma oferece recursos diferentes. A filtragem de e-mail
pode ser mais fácil de implementar em instâncias de nuvem, pois protegeria melhor a
disponibilidade do e-mail. No entanto, qualquer decisão que exija configuração, especialmente
além dos registros DNS, pode oferecer oportunidades de falha, interrupção ou segurança
deficiente. Se você optar por usar um provedor de nuvem, também dependerá do SLA e
do seu contrato com o fornecedor. Dito isto, simplificam o processo; você será responsável
apenas por atualizar seu registro MX no arquivo de zona DNS e selecionar as opções
adequadas.
Outras proteções
Como profissionais de segurança, devemos construir os nossos sistemas para que
possam não só lidar com o uso normal, mas também resistir ao abuso de uma forma que
contenha as ações durante tempo suficiente para que possamos detetá-las e responder-
lhes. Este é o cerne do livro de Winn Schwartau, Time Based Security (Impact PR, 1999).
Ao proteger seus sistemas contra phishing, considere implementar controles além
daqueles usados exclusivamente para e-mail. Embora não os discutamos neste capítulo,
implemente proteção contra malware, seja antivírus, detecção e resposta de endpoint (EDR)
ou qualquer outro produto antimalware.
A maior parte do malware chega às redes por e-mail quando os usuários o baixam de um
phishing bem-sucedido.
Duas outras tecnologias podem evitar resultados catastróficos de phishing:
sistemas de monitoramento de integridade de arquivos (FIM) e prevenção de perda de
dados (DLP). FIM monitora um conjunto de arquivos para modificação. Você poderia
escrever uma solução FIM simples que pegasse um hash criptográfico de cada arquivo e o
armazenasse em algum lugar. Em seguida, validaria se os arquivos não foram alterados
e, em caso afirmativo, verificaria se a alteração foi autorizada. Isto é importante para
detectar agentes maliciosos que já estão na rede. Se o conteúdo do arquivo for alterado
sem autorização, isso pode indicar novos aplicativos em execução ou sendo instalados,
ransomware ou alguém adulterando arquivos importantes.
O DLP visa impedir que os usuários enviem arquivos por e-mail para fora da organização,
carreguem arquivos na Internet pública e em sites de compartilhamento de arquivos (como
Google Drive, Box e DropBox) e salvem dados em dispositivos USB não autorizados.
(se houver). Muitas soluções DLP também têm a capacidade de impedir que os usuários
compartilhem dados confidenciais ou regulamentados, como dados do setor de cartões de
pagamento (PCI), PHI e PII. Isto é importante porque evita que os usuários entreguem
segredos comerciais, propriedade intelectual e joias da coroa. Isso também elimina muitos dos
motivos pelos quais eles teriam que conectar uma unidade USB em suas estações de
trabalho, reduzindo a probabilidade de um ataque de isca bem-sucedido.
Conclusão
Neste capítulo, você tomou medidas para tornar sua organização um pouco mais segura. Você
aprendeu sobre os três padrões de segurança de e-mail que visam coibir a falsificação de e-
mail, bem como as deficiências de cada um. (Se você é como eu, desenvolveu um ódio
especial pelas letras RFC.)
Usando as informações deste capítulo, você pode aplicar os conceitos e padrões à sua
organização para criar camadas de defesa. Talvez seja necessário explicar à gerência que SPF,
DKIM e DMARC não são soluções absolutas para phishing e que, mesmo quando estiverem
em vigor, a organização deve considerar a instalação de mais controles, como soluções de
filtragem de e-mail.
Depois que a organização escolher a solução de filtragem de e-mail que melhor se adapta
às suas necessidades de conformidade e orçamento, reserve um tempo para implementar a
solução adequadamente. Em seguida, teste-o com simulações de phishing. Se as simulações
forem detectadas, ótimo. Em seguida, você poderia liberá-los da quarentena para testar os usuários.
Se as simulações forem bem-sucedidas, trabalhe com o fornecedor para determinar por que e
como resolver o problema.
164 Capítulo 11
Machine Translated by Google
12
PRODUZINDO AMEAÇA
INTELIGÊNCIA
Embora alguns feeds de inteligência sobre ameaças sejam óleo de cobra, muitos
são produtos legitimamente úteis. Mas depender apenas de outra pessoa para
fornecer inteligência à sua organização, para ajudar a defender o ambiente que a
organização construiu e pelo qual é responsável, é ingénuo. Embora receber contributos
de especialistas que têm conhecimento das tendências e dos intervenientes seja uma
medida acertada, não deve ser a única.
Neste capítulo, percorreremos o processo de criação de inteligência contra ameaças
sobre um e-mail de phishing usando uma plataforma gratuita de compartilhamento de
inteligência: AT&T Alien Labs OTX, às vezes ainda chamada de AlienVault OTX.
Também reutilizaremos muitas das técnicas OSINT que você aprendeu anteriormente neste
livro, desta vez com o propósito muito diferente de verificar se uma URL ou e-mail é
malicioso.
Antes de prosseguir, recomendo configurar uma máquina virtual.
Dessa forma, você pode evitar a abertura de arquivos anexados e prevenir possíveis
infecções por malware em sua estação de trabalho.
Depois que a organização tiver os indicadores no formato desejado, ela poderá procurá-
los imediatamente usando o método de sua escolha – scripts personalizados, YARA, STIX,
TAXII ou algo semelhante.
Isso permitirá que a organização identifique e responda a ameaças conhecidas.
166 Capítulo 12
Machine Translated by Google
organizações das mesmas dores de cabeça mais tarde? Aqui está a resposta simples:
produza inteligência sobre ameaças.
Saber por onde começar é uma das barreiras significativas à entrada. Como este é um
único capítulo de um livro sobre engenharia social e OSINT, pouparei você das justificativas
filosóficas para a produção de inteligência sobre ameaças.
Em vez disso, vamos fazer um exercício.
Primeiro, você precisa de alguns dados sobre os quais produzir inteligência.
Pode ser um e-mail, um site ou um arquivo. Para cobrir todos os três aspectos, vamos
supor que a organização receba um e-mail direcionando os usuários a um site que solicita
que eles insiram credenciais e, em seguida, baixe e tente executar um arquivo quando
o usuário enviar as credenciais. Você pode usar o arquivo chamado fatura.eml no
repositório GitHub em https:// cti.seosint.xyz.
Criando um pulso
Faça login no OTX e selecione Criar Pulso no painel do OTX, que é onde você chegará
sempre que fizer login (Figura 12-1). No OTX, um pulso é um conjunto de indicadores de
comprometimento de um ataque específico.
Deverão ser apresentadas algumas opções para criar o pulso (Figura 12-2).
Você pode importar um texto ou um site ou inserir os indicadores manualmente.
168 Capítulo 12
Machine Translated by Google
Depois que o e-mail for aberto como fonte, você deverá ver algo como
o trecho na Figura 12-4. Esta é a trilha subjacente de dados que são transmitidos
quando você envia um e-mail, incluindo todas as verificações realizadas e a origem e
os destinos do e-mail. Você pode visualizar qualquer e-mail para download dessa forma,
às vezes até no próprio cliente de e-mail. Por exemplo, no Gmail, você clica nos três
pontos no canto superior direito de um e-mail e seleciona Mostrar original.
Inserindo Indicadores
Agora que você obteve as informações da fonte, está pronto para importar alguns
indicadores. Indicadores são pontos de dados relacionados à atividade que você
está capturando no pulso. A Tabela 12-1 lista os indicadores que o OTX aceita.
(contínuo)
nome de anfitrião O nome do host ou subdomínio do servidor de e-mail de origem ou site que hospeda o
phishing ou malware
PEHASH Método de hash executável portátil (peHash) de hash difuso, que em vez de fazer
o hash de todo o arquivo, realiza o hash byte por byte, pegando várias variáveis de
dentro do executável e fazendo hash delas.
IMPASH Importar Hash; semelhante ao peHash, mas rastreia as DLLs e outros arquivos que o
código importa
Caminho de arquivo Um local exclusivo na estação de trabalho onde os arquivos maliciosos são descobertos.
Isso mostra o comportamento da uniformidade, provavelmente por meio de um script.
CRIANÇAS
YARA é mais um acrônimo recursivo ou mais um analisador de expressão regular
(REGEX). Este é um meio de combinar padrões em arquivos e iterar em um ambiente
usando um SEIM ou uma ferramenta YARA personalizada, que oferece suporte a
Windows, macOS e Linux.
170 Capítulo 12
Machine Translated by Google
Como você pode ver na Figura 12.6, o analisador extraiu cinco indicadores
do e-mail que você colou.
Você precisa verificar se esses indicadores pertencem ao pulso. Como você sabe, ao
inspecionar a origem do e-mail, que o e-mail listado é do remetente, não é necessário verificá-
lo novamente. Mas você precisa verificar os domínios e endereços IP. Para conseguir isso,
vamos fazer um pouco de OSINT.
Você precisa determinar o seguinte: Quem é o proprietário de cada domínio e endereço
IP? O domínio e o endereço IP servem a um propósito legítimo? O proprietário do domínio tem
algum controle sobre os dados transmitidos por meio de seus serviços? Os endereços IP
pertencem a provedores de e-mail? Ou somos proprietários do domínio ou endereço IP?
Os possíveis IOCs na Figura 12-7 não são peças valiosas de informações sobre ameaças
negligência, portanto, se o OTX não o fizer, você precisará excluí-los. Você fará isso
posteriormente no processo, para evitar analisá-los duas vezes.
Agora, você passa para a lista de IOCs excluídos. Você repete o processo usado para
os IOCs incluídos para cada item na lista de IOCs excluídos. De cara, você pode dizer que
alguns deles não pertencem à lista de indicadores.
A partir desta extração, vá em frente e remova o seguinte: três endereços óbvios
da Microsoft (by5pr19mb3713.namprd19.prod.outlook.com,
by5pr19mb3970.namprd19.prod.outlook.com e nam12-mw2-obe.outbound.protec tion.outlook.
com); dois endereços óbvios do Google (mail-sor-f41.google.com e mx.google.com); uma
série de endereços GoDaddy (p3plibsmtp01-08.prod.phx3.
secureserver.net, p3plsmtp21-01-26.prod.phx3.secureserver.net e p3plsmtp21-01.
prod.phx3.secureserver.net); e 10.186.134.206, que é um endereço IP interno de Classe A,
privado, não roteável.
172 Capítulo 12
Machine Translated by Google
Além de uma máquina virtual, recomendo garantir que você tenha proteção contra malware
instalada (se aplicável), um firewall habilitado no nível do host e da rede, o uso de uma VPN e
(se você se sentir confortável com isso), o navegador Tor (ou Brave – que oferece uma
funcionalidade semelhante), embora você precise selecionar Abrir uma nova janela privada
com Tor. Você pode acabar lidando com coisas desagradáveis e não quer ficar do lado
errado da lei ao tentar conduzir pesquisas de segurança legítimas.
Instale o Burp Suite em seu host. Burp é um proxy web que permite interceptar e alterar
dados transmitidos entre você e o site. Isso permitirá que você veja as chamadas feitas do
seu sistema para o site e as respostas. Você também pode controlar pop-ups e muitas ações
não intencionais, como redirecionamentos para sites maliciosos. Para instalar o Burp, baixe uma
cópia da Community Edition gratuita em https://portswigger.net/burp/communitydownload.
Depois de instalado, você pode usar a GUI para abrir o Burp clicando no ícone do Burp
ou digitando Burp no menu do sistema operacional. Burp solicitará que você crie um projeto. Clique
em Avançar e você será solicitado a aceitar as configurações padrão do Burp ou carregar um
arquivo de configuração. Manter os padrões deve servir.
Em seguida, você deve rotear o tráfego do seu navegador através do Burp. Para fazer isso,
abra o Firefox e clique no ícone Menu e role até o final. Clique em Configurações de rede. Você
deverá ser solicitado a inserir informações sobre seu proxy, conforme mostrado na Figura 12-8.
Selecione Configuração manual de proxy e insira o endereço IP 127.0.0.1 como proxy HTTP
e 8080 como porta.
Selecione a opção para usar este servidor proxy para todos os protocolos.
Agora que você instalou o Burp e o Firefox configurado para rotear seu tráfego
através do Burp, abra o Burp e certifique-se de que ele esteja configurado para
interceptar tráfego. Para fazer isso, selecione a guia Proxy e depois Interceptar.
Finalmente, certifique-se de que o Intercept esteja ativado, conforme mostrado na Figura 12-9.
Figura 12-9: Garantindo que o Burp esteja configurado para interceptar o tráfego
174 Capítulo 12
Machine Translated by Google
Depois de verificar se o Burp está configurado corretamente, você pode usá-lo para
interceptar o tráfego do seu navegador. Enquanto o Intercept estiver ativado, você precisará
escolher se deseja encaminhar ou descartar cada solicitação da web. Isso significa que você
pode descartar tráfego malicioso (ou legítimo) em vez de enviá-lo para o seu navegador.
Agora, vamos visitar o site encontrado no e-mail. Quando você encaminha usando o
Burp, um documento que se parece com um PDF é carregado. Isso afirma ser do Office 365, mas
na Figura 12-10, você deve facilmente perceber que não é legítimo: observe o inglês
quebrado e os espaços ruins em Jonathan Shea (jshea@plac erprocess.com ) enviou um arquivo,
clique no botão botão abaixo para visualizar o documento.
Esta campanha de phishing não incluiu nenhum arquivo para download. Mas e se isso
acontecesse? Vamos discutir brevemente a análise deles. Para começar, você
precisará obter hashes criptográficos desses arquivos. Ter os hashes criptográficos
dos arquivos permite comparar os arquivos em estados conhecidos com outras
versões para ver se algo mudou. Quando um arquivo é criado (ou, no caso de malware,
observado), você obtém um hash criptográfico do arquivo para ajudá-lo a procurá-lo
com mais rapidez. Você compara os hashes dos arquivos em seus sistemas com o
arquivo inválido conhecido (no caso de malware) e alerta sobre quaisquer
correspondências. Em alguns casos, o arquivo muda sozinho e, portanto, o hash não
permanecerá o mesmo. Chamamos isso de malware polimórfico e é uma discussão para um livro comple
Você pode fazer hash de um arquivo usando uma variedade de ferramentas. Alguns, como os seguintes,
já vem instalado no Linux. Às vezes vale a pena inserir vários tipos de hash, porque
alguns sistemas verificam os arquivos usando apenas um algoritmo.
176 Capítulo 12
Machine Translated by Google
Em seguida, adicione cada hash ao OTX. Se você optar por escrever este incidente
e publicar um relatório, poderá importar o pulso da URL e listar os
URL como recurso.
Nas seções a seguir, analisaremos mais detalhadamente o nohumanmark.xyz
domínio.
Pesquisando VirusTotal
Um site de propriedade da Chronicle Security, https:// www.virustotal.com/, permite que
pesquisadores e profissionais de inteligência de ameaças analisem se um arquivo está listado
como malicioso em mais de 60 plataformas antivírus sem precisar comprar cada uma delas.
Também permite verificar o status de qualquer URL.
O VirusTotal também possui uma API para análise com script. Sua função de pesquisa GUI
baseada na web aceita os seguintes tipos de entrada: o arquivo real carregado, uma URL, um
endereço IP, um domínio ou um hash de arquivo.
178 Capítulo 12
Machine Translated by Google
Como você pode ver na Figura 12.15, a pesquisa não produz nada. Isso não
significa que não é uma tentativa de phishing – apenas que ninguém a denunciou.
Como o site está fora do ar, irei reportá-lo, mas não enviarei
o relatório. Para iniciar o relatório, clique no botão Adicionar ao tanque? link abaixo
da declaração que diz que nada se sabe. Em seguida, insira o URL do phishing.
Neste caso, você precisará colar o corpo do e-mail em três relatórios para o Tank
(caso tenha enviado) para associar os três domínios utilizados. Você também
seleciona Microsoft como a organização referenciada no e-mail, já que ela afirma ser
do Office 365. Quando terminar, clique em Enviar.
180 Capítulo 12
Machine Translated by Google
Nesta visualização, você pode ver como vários sistemas, hashes, domínios e outros
recursos interagem com nosso sistema de interesse. Isso pode ser muito útil ao desenvolver
um programa de inteligência contra ameaças cibernéticas ou ao analisar profundamente
um adversário em potencial. A saída gráfica também proporciona alguns artefatos
excelentes ao escrever relatórios.
182 Capítulo 12
Machine Translated by Google
Aqui está um dos recursos exclusivos do ThreatMiner: ele abre um painel no lado
esquerdo da tela que mostra resultados de pesquisa do Google possivelmente
relacionados. Lá, você deverá ver os dados WHOIS para o indicador enviado, se
apropriado. Mais abaixo na tela, você verá links para outros recursos, como RiskIQ,
PassiveTotal, VirusTotal, DomainTools, ThreatCrowd, OTX, SecurityTrails e Robtex.
Abaixo dos recursos relacionados, você notará que não há Notas APT para o
domínio. Nem há nenhum DNS passivo relacionado, subdomínios, URL associado,
Robtex ou amostras de malware relacionadas. Dado que o e-mail de phishing que
você analisou é antigo e o domínio foi registrado recentemente, isso faz sentido.
Para um indicador mais maduro ou um domínio que não foi removido, espere ver
mais informações aqui.
Agora, se o ThreatMiner pesquisa todos esses sites para você, por que esperei
até o final para mostrar suas capacidades? Para ajudá-lo a entender como realizar a
análise sozinho. Quando realizo análises de inteligência de ameaças em e-mails de
phishing, geralmente começo com duas janelas abertas: OTX e ThreatMiner. Para
usar as informações que o ThreatMiner identifica como relacionadas, basta clicar no
link.
Conclusão
A inteligência de ameaças é mais do que óleo de cobra e mais do que apenas
consumir feeds de fornecedores. Ele permite que você analise suas próprias
experiências e colete informações acionáveis sobre ameaças que não apenas
ajudam você, mas também podem ajudar seus clientes, parceiros e a comunidade
como um todo. Neste capítulo, você consumiu e produziu inteligência sobre ameaças
usando OTX e depois fez a transição para usos defensivos de WHOIS, ThreatCrowd,
ThreatMiner, VirusTotal e muito mais. Este deve ser o início dos seus esforços de
inteligência contra ameaças. Ainda assim, é uma base sólida para que você consiga
ver além do entusiasmo dos fornecedores, bem como produzir materiais de alta
qualidade para aumentar a segurança da sua organização.
A
PLANILHA DE ESCOPO
Organização alvo
Título
Operações solicitadas? (Circule conforme apropriado.) OSINT, phishing, vishing, no local, físico, isca, dumpster dive
Cronograma de Desempenho
Horas orçadas
Avaliar
Estimativa cotada
186 Apêndice A
Machine Translated by Google
Jurídico
Artigo S/N
Certifique-se de que o contrato e o SOW mencionem a
empresa e todos os testadores como viáveis.
Dimensionamento e desempenho
Artigo Resposta
Phishing: O cliente fornecerá endereços de e-mail para atacar?
O cliente deseja algum dos seguintes? (Circule todas as opções Obtenção de acesso ao sistema, métricas de cliques, queda de
aplicáveis.) malware, coleta de credenciais
Tempo
Artigo Resposta
Existem períodos específicos de restrição para contato
por telefone ou e-mail (dos participantes do trabalho,
não da gestão do trabalho)
188 Apêndice A
Machine Translated by Google
B
MODELO DE RELATÓRIO
<DATA>
Introdução
<Nome do cliente> contratou <você ou sua empresa> para realizar um trabalho de
teste de segurança da informação para incluir (incluir tudo o que for relevante) phishing,
vishing, dumpster dive, coleta de inteligência de código aberto, baiting, testes de
segurança física e <outros em - testes de escopo>. As datas de apresentação foram
<Data de início> a <Data de término>.
Machine Translated by Google
Sumário executivo
A equipe realizou os seguintes testes <from intro> em <nome do cliente>.
Os seguintes resultados foram observados:
Declaração de Trabalho
Use esta seção para explicar qual é o trabalho. Muitas vezes, isso é melhor conseguido copiando e colando
toda ou parte da declaração de trabalho real no contrato. Isso é para reiterar o que foi pedido à sua equipe e por
que você fez o que fez.
Escopo
O escopo do envolvimento de engenharia social, incluindo OSINT, phishing e vishing entre <nome do cliente>
e <você ou sua empresa> inclui <horas de OSINT>, phishing inclui <número de cenários> cenários de <até>
| <não menos que> <número de e-mails> a serem enviados durante <período de engajamento (dias e
horários)>, e desejando incluir <número de cenários> cenários de <até> | <não menos que> <número de
ligações> a serem feitas durante <período de engajamento (dias e horários)>.
<itens no escopo>
Data de conclusão
Todo o trabalho deverá ser concluído até <data>, com um relatório final e uma reunião ou chamada de
esclarecimento a serem fornecidos no prazo de 10 dias úteis a partir da data de conclusão.
Localização do Trabalho
190 Apêndice B
Machine Translated by Google
<Local 1>
<Local 2>
Ferramentas e Metodologias
Fale sobre quais ferramentas você usou e como analisou o que encontrou. Não se aprofunde muito no que
você realmente encontrou ainda.
Métricas
É aqui que você faz um certo nível de análise matemática ou numérica para ajudar o cliente a entender
como as descobertas se somam e onde melhorar. Não precisa ser muito complicado, mas fornecer
proporções, porcentagens ou até tabelas ou gráficos pode ser extremamente valioso e fará com que o cliente
o contrate novamente.
Phishing
O número de vezes que o e-mail foi reportado dividido pelo número de aberturas
Proporção de entrada
O número de vezes que a informação é inserida (em um formulário, por exemplo) dividido pelo
número de cliques
O número de vezes que as informações são inseridas dividido pelo número de relatórios
Razão de validade
Proporção comprometida
O número de usuários com dados em Have I Been Pwned que inseriram informações dividido
desejando
Sistema de solicitação
O número de vezes que a informação é fornecida quando solicitada em uma chamada dividido pelo
número de chamadas
O número de vezes que a informação é fornecida quando solicitada em uma ligação dividido pelo
número de relatos
192 Apêndice B
Machine Translated by Google
Descobertas
Chave de gravidade
Alto
Esses riscos podem causar paralisações dispendiosas ou graves, danos ou interrupções nas
operações. A barreira de entrada para exploração e impacto é baixa.
Estes riscos têm um impacto elevado e podem envolver dados sensíveis ou dados
regulamentados, embora em quantidades inferiores aos riscos críticos.
Médio
Baixo
Esses itens representam pouco risco para o cliente. Eles poderiam ter dependências
marginais, como acesso físico local, ou exigir que outro vetor de exploração já tivesse sido
realizado. Estes riscos envolvem perturbações mínimas se forem bem sucedidos.
Informativo
Estes não representam nenhum risco atual, mas não aderem às melhores práticas ou podem
tornar-se arriscados mais tarde.
Discussão
Problema
Validação
Resultados da ferramenta e/ ou capturas de tela para provar que há um problema.
Resultados potenciais
Mitigação ou Remediação
Recomendações
Como o cliente pode melhorar e evitar outros ataques de phishing bem-sucedidos.
Conclusão
Resuma todo o relatório.
Sites descobertos
empresa.tld1
empresa.tld2
mail.empresa.tld1
E-mails descobertos
John.doe@empresa.tld1
Jdoe@empresa.tld1
Pretextos usados
194 Apêndice B
Machine Translated by Google
C
COLETA DE INFORMAÇÕES
PLANILHA
Físico Resposta
Tem cercas?
Tem portões?
Você precisa apresentar algo além do crachá para entrar (ou seja,
PIN ou impressão digital)?
Técnico Resposta
196 Apêndice C
Machine Translated by Google
Técnico Resposta
Você consegue encontrar sinais do uso de redes sem fio (WiGLE.net, LinkedIn
e páginas de carreiras)?
Empresa Resposta
Pessoas Resposta
198 Apêndice C
Machine Translated by Google
D
AMOSTRA DE PRÉ-TEXTO
Funcionário confuso
Mantém o pretexto de funcionário desajeitado, desta vez confuso com o serviço de
alimentação da empresa e ligando para o RH para pedir ajuda. Ligue usando um
número falsificado interno (provavelmente um número de aparelho de fax para evitar
confusão se o tar get tentar ligar de volta).
Machine Translated by Google
Então diga que você está no final do intervalo e precisa cronometrar com urgência
de volta ao trabalho.
Inventário de TI
Depois de falsificar um número interno de TI, faça um inventário dos ativos da empresa.
Explique que a empresa terá uma auditoria futura e você precisa garantir que as
informações estejam corretas. Comece perguntando quando a pessoa começou na
empresa e como ela gostou. Pergunte sobre a programação deles. Então pergunte o
seguinte:
200 Apêndice D
Machine Translated by Google
Pesquisa de Transparência
Por fim, tente fazer com que eles naveguem até seu site de phishing. Então
agradeça e desligue abruptamente.
nome ao fraseá-lo como "qual era o nome da sua mãe antes de ela se casar?" Isso
tende a contornar a regra do firewall mental sobre o nome de solteira da mãe.
improvisação
Comédia em Pé
Assim como a improvisação, a comédia stand-up ajuda na engenharia social. A
diferença entre as duas disciplinas é que uma é ensaiada e a outra não. O benefício da
comédia stand-up que falta na improvisação é que você tem tempo para apresentar toda
a sua história de fundo com antecedência. Mas a trocação regular falha, e a improvisação
é bem-sucedida, quando se inventam coisas na hora. Ambos são importantes, mas
proporcionam experiências diferentes.
Oratória/Toastmasters
Falar sempre ajudará. Ficar confortável diante de um grupo de tamanhos variados é uma
vantagem para você. Assim como fazer improvisação, as coisas vão dar errado. Você terá
que resolver os problemas para ter sucesso. Você também se acostumará a se
comunicar com clareza e a ter mais maneiras de transmitir um ponto de vista.
Por exemplo, a primeira vez que dei minha palestra sobre “Forense Social” foi no
BSides Orlando em 2018. Após três slides da apresentação, meu computador encontrou
uma Tela Azul da Morte. Eu entrei em panico. Depois de levar cerca de 30 segundos para
recuperar a compostura, expliquei o problema ao público, e um amigo subiu ao palco e
cuidou do meu computador enquanto ele voltava a funcionar. Fui honesto sobre ser a
primeira vez que apresentava a palestra e expliquei que iria improvisar de memória. O
sistema voltou a funcionar e pude passar pelos slides para cobrir todo o material no tempo
previsto.
Tive que interromper minha demonstração, mas me ofereci para fazê-la no corredor e
cerca de 15 pessoas vieram assistir. Surpreendentemente, essa não é minha pior
experiência como orador, apenas uma que me ajudou a crescer.
204 Apêndice E
Machine Translated by Google
desafiante. Para que valha a pena para aqueles que nos permitem coletar OSINT
sobre eles, forneça um relatório do que você encontrar. Não precisa ser formal
ou estar no modelo do Apêndice B, mas deve ser algo que comprove o que você
encontrou, onde o encontrou, por que é um problema e como removê-lo (se possível).