Для начала определим цель, чтобы понять зачем и когда знание СИ может потребоваться в распространении вирусов. Установим цель - попасть на компьютер к человеку. Например у нас есть стиллер, который соберёт все нужные данные с его машины, сервера и прочая инфараструктура уже готова. Нам же остаётся только придумать как подвести человека к запуску незнакомого ему exe файла. Или это может быть не exe, а, к примеру, вордовский документ. Вообще есть разные способы скрыть вирус, но это тема другого курса, а в СИ у нас есть чёткие этапы, которые я упомянул ранее.
- Мониторинг ресурсов
- Сбор актуальных новостей и определение N-нного количества жертв
- Проработка каждой жертвы. Сбор информации
- Поиск подхода
- Создание дружественного контакта
- Атака
- Отработка
1. Мониторинг ресурсов + 2. Сбор актуальных новостей и определение N-нного количества жертв.
Первостепенно надо выбрать популярное направление, и ресурсы вокруг которых интересующиеся люди собираются. Выбрать лучше 5-6 ресурсов, проанализировать все тренды. Этот пункт можно связать автоматически со вторым. Выбирать лучше темы те, во круг которых есть деньги. Это например криптовалюта, трейдинг, майнинг. Эти примеры не самые хорошие, потому что в какой-то степени хайп по ним прошел, да и слишком уж они на виду. Ну если брать не такие очевидные темы, то ICO Telegram. Многие только и делают что говорят о нем, какие плюсы будут от него, какие фишки, какие заработки, а главный вопрос, как купить часть? Или такой пример: на криптовалютном форуме идут разногласия по поводу новой монеты, нового аппаратного кошелька. Или даже возросий спрос на программистов, которые умеют писать под блокчейн. Это всё примере тем, интерес с которым сейчас очевидно повышен, а значит там перспективно выбирать контингент для атак.
Определение ресурсов.
Необходимо выбрать наиболее платежеспособные ресурсы, у которых есть потенциальные держатели криптовалюты. Игровые форумы и форум будущих мам, нас не интересуют. Вообще аудитория с игровых форумов представляет интерес, например при распространении майнера, но это не этот пример.
Для нас лучше всего подойдут
- Даркнет ресурсы
- Забугорные ветки криптовалютных энтузиастов
- Платформы сигналов
- Торговые ветки
* Лучше всего искать на торговой ветке, где люди хотят что либо купить/продать, в вопросах новичков, объявлениях о поиске сотрудников/предоставлении услуг
Берем один ресурс и мониторим потенциальных жертв, люди которые хотят купить софт/инструмент/заказать сайт/продать домен/продать аккаунт и многое другое.
После определения потенциальных жертв. Обязательно стоит просмотреть комментарии если это форум. Проанализировать что писал человек, чем интересуется, есть ли активность. По комментариям можно понять, есть деньги у него или нет. Составить психологический портрет, возраст, платежеспособность, интересы. Если есть дополнительные контакты, стоит их прогуглить, может был засвечен емейл или номер телефона на смежных ресурсах. Эта информация даст более обширный портрет жертвы.
Для реализации такого, необходимо завести тхт файл и записывать туда для удобства анализа. Мы будем иметь примерно следующее:
Заметки:
Актуальные хайпы
Время, когда они стартуют
Оцененная сумму вокруг темы
Анализ:
1. Название форума. Линк на тему (купли/продажи, найма и тд. Любая тема, с денежным замыслом)
2. Ник, контакты жертвы
3. Платежеспособность
4. Интересы
5. Ресурсы, где засветился персонаж
# Пункт 5 и 6 добавляем, после выполнения №3 нашей структуры
6. О чем мы с ним разговаривали
7. С каких контактов мы с ним вели общение
На подобный анализ уйдет не меньше 3-5 дней. По концовке у вас в тхт будет порядка 50 жертв.
3. Проработка каждой жертвы. Сбор информации
В игру вступает конкретная соц инженерия. После комплексного анализа, у нас есть достаточно информации в тхт. По нему мы и будем просматривать каждую жертву, искать точки на которые можно надавить. Для некоторых людей найти подход получается в 2 счета, даже нечего выдумывать не надо. Если не получилось напрямую написать, то надо искать другие подходы. Ориентир на предыдущие комментарии, интересы, все согласно нашему досье, которое мы собрали.
К примеру, мы определили жертву, с криптовалютного форума. Согласно анализу нам удалось выяснить, что он держит не меньше 10 биткоинов. Его контакты засветились на автомобильном форуме. Стоит завязать с ним разговор на тему автомобилей. Прощупать его. Как идет на контакт? Построение дружественной атмосферы. Очень важно тут не торопить излишне события, и не перепрыгивать за день с автомобильных разговоров на предложение скачать какой-то файл. Но есть такие случаи, когда жертва закрыта от внешнего мира, а выгода в случае успеха маленькая. На этом этапе стоит отсеить такие варианты.
4. Поиск подхода + 5. Создание дружественного контакта
После выполнения 3 пункта нашей структуры, наше досье уже стало меньше. Каких то жертв мы откинули, кто то не платежеспособен, у кого то криптовалюта на холодном хранении. С 50 жертв останется 10-15. В игру вступает анализ информации согласно вашей переписки, о чем вы с ним общались. Наша цель, найти подход, под каким предлогом закинуть ему стиллер. К примеру, примером выше, криптовалютный держатель, по совместительству любитель авто - желает прошить свой автомобиль, но как не странно, у вас есть знакомый который предоставит софт для прошивки автомобиля (мультимедии или чего-нибудь еще) Вы ему об том говорите. Но не настойчиво. Учитывайте те факты, которые были в первой лекции. Нужно подвести разговор так, чтоб он ненавязчиво сам, вас попросил. По концовке, мы имеем то, что мы с легкостью скинем ему софт для прошивки. Обычно можно использовать уже сушествующие программы, но с "доработками", или софт, который в открытом доступе найти сложно, и клеить к нему вирус.
6. Атака
К этому пункту должно быть понимание того, какую программу будет проще отправить человеку. Подготавливаем легенду под неё, чтобы жертва клюнула, вставляем туда вирус и можно кидать. Техники склейки и как сделать так, чтобы антивирус ничего не заподозрил будет в вирусологии.
7. Отработка
Выбирается время для отработки логов, допустим если ваша жертва бывает в онлайне исключительно ночью. И анализ так же показал что активность с 9 утра до 16 00 совершенно нулевая. Это подходящее время для отработки жертвы.
Выше была рассмотрена точечная атака, потенциальных богатых жертв. Помимо всего этого, советую просматривать актуальные новости. В социальной инженерии самое главное - информация. Чем больше вы информированы, тем больше будет толку.
Советую еще просматривать новости по подобным хищениям. К примеру, ребята залили на торренты стиллер, который был встроен в инсталятор winrar. Тем самым они добились порядка 5000 установок. Просматривайте подобные хищения и модернизируйте схемы. Стройте свои схемы на основе найденных и дорабатывайте их, в итоге с опытом начнёт получаться находить предлоги для любой загрузки.