9月10日、Krok Companyは、 Kevin Mitnikが講演者となる会議を開催しました。
私にとって、この人は偶像であり伝説である(私は彼の本から一部卒業証書を書いた)ので、彼の演技を手に入れることは私にとって名誉なことでした。
カンファレンスの開始3日前にカンファレンスについて知り、正式にカンファレンスに参加することができませんでした。
まあ、私はMitnikから多くのことを学んだので、 ソーシャルエンジニアリングを使用して、物理的なアクセスを行いました(保護された境界線を貫通する)。
猫の下でパフォーマンスの短い要約
まず、Kevinは、攻撃者がソーシャルエンジニアリングを使用した1000万ドルの盗難の話をしました。
サンプルテキストはこちら
少しの理論と統計
ケビンは、10年間で従業員の非識字の分野ではほとんど変化がないと述べました。
ロンドンでは、 イースターエッグと引き換えに10人中7人がパスワードを入力します
10年前、10人中9人がパスワードを明らかにしました。
デモンストレーション
Kevinは、攻撃ツールの動作を実証しました。
フォカ
メタデータ(OSバージョン、ソフトウェア、ユーザーリストなど)を収集するためのプログラム
「 ゴミ箱でのダイビング 」
「一部の人にとってゴミとは、他の人にとっての宝物です」
ケビンは、すべての役人の名前と連絡先が記載された企業名簿を示しました。彼はそれをゴミ箱に「捕まえて」、ソーシャルエンジニアにとって大きな価値がありました。
ネットワーク全体のトポロジを識別するためのP2Pネットワークの分析。
Kevinは、そのようなネットワークのトポロジ図を示しました。 それから彼は、このネットワークの名前-ペンタゴンの碑文を示しました。 私は彼女に写真を撮らないように頼みました。
「バトル」フラッシュドライブと「バトル」PDF
Mitnikは、立ち往生したフラッシュドライブ(特に攻撃者が目立つ場所に置いたもの)または開いたPDFファイルが、ハッカーが被害者のコンピューターを完全に制御できることを示しました。
Javaアプレット
Kevinは、VTB24に似た悪意のあるサイトを示しました( リンクをクリックするときは注意してください )
スプーフィング
Kevinは、このリンクでのサービスの仕組みを実際に示しました(パスワードで保護されています)
mitnicksecurity.com/sms.php
彼は、妻に代わって観客から人にSMSを送信する方法を明確に示しました。 SMSのテキストは次のとおりです。「ケビンにすべてのパスワードを教えてください」
偽の銀行技術サポート電話番号によるフィッシング 。
ケビンは中間攻撃の男を示します
人は銀行のテクニカルサポートに偽の番号を呼び出すように求める手紙を受け取り、攻撃者は被害者の電話のボタンを押すシーケンスを受け取ります。
スマートカードリーダー/コピー機。
Kevinは、非接触型スマートカードの複製を可能にするフリーキングデバイスを実際に示しました
スピーチの最後に、ケビンは次のような質問に答えました。 従業員に対して「警戒訓練」を実施する必要がある頻度。 Mitnikによると-少なくとも半年に1回。
幸運な10人は、「元」ハッカーの伝説的な名刺をマスターキーのセットの形で入手しました。
推奨リソース:
詐欺の芸術
侵略の芸術
「ネット上のゴースト」
チャルディーニによる影響の心理学
trustedsec.com
KnowBe4.com
mitnicksecurity.com
追伸 プレゼンター(スピーチの最後):「 ライダーでは、ケビンは写真、オーディオ、ビデオが禁止されていることを発表するように言われましたが、ライダーはそれが発表されるべきだったときは言いませんでした。」
PPP
「神だけが信頼できる。 他の誰もが不審です。」 ケビン・ミトニック
ハブレのハッカー伝記habrahabr.ru/post/68273