Махатма Ганди: "Земля предоставляет достаточно для удовлетворения нужд каждого человека, но не для удовлетворения каждой человеческой алчности."
Эту статью я решил написать как краткий обзор известных мне методов. Все перечисленные мной инструменты отлажены и неоднократно приносили результат как мне, так и моим партнерам. В основу статьи я положил текст, который был использован мной на закрытой конференции, организованной для дроповодов с нескольких известных вам форумов. В текст я внёс минимум изменений, поскольку обращаюсь к владельцам дроп-проектов. Надеюсь, что моя статья вызовет интерес и позволит взглянуть на привычную вам деятельность с новой стороны.За последние годы через нас прошли колоссальные объемы бигдаты, в ходе аудита мне каждый раз приходится сталкиваться с анализом почтовых файлов начиная от аутлук (.msg) и заканчивая распилом тяжелых PST массивов в которых содержится внутренняя корпоративная переписка между сотрудниками. Абсолютно в каждой компании я встречаю нарушения в том числе и корпоративной этики. Работники среднего и низшего звена постоянно жалуются на условия труда, низкую зарплату, расовую и половую дискриминацию, сексуальные домогательства на рабочем месте, стагнацию в карьере, бесконечные пенальти со стороны вышестоящего руководства и т.д. Зачастую, встречаются записи корпоративных психологов из которых следует, что подавляющее большинство персонала чувствуют себя угнетенно и недооценено. Причем, все это относится как к мелким компаниям, так и с прибылью в несколько миллиардов USD. Что это, как не инструмент социально-инженерного воздействия ?! Наверняка многие из них задумывались как отомстить боссам или поиметь часть той сверхприбыли которую они из года в год наблюдают трудясь в своей организации, но к которой не имеют никакого отношения. Разумеется не нужно питать иллюзий на счет вербовки топ-менеджмента, их завышенные бонусы и премии говорят сами за себя. Не стоит забывать, что нас не обязательно интересуют действующие сотрудники, это могут быть люди имеющие родственные связи или знакомства, те лица кто может предложить так называемое содействие. Промышленный шпионаж существовал за долгие годы до нашего с вами рождения и будет существовать всегда. Вся западная бизнес-модель пропитана алчностью, так же как и везде им не чужды коррупция, зависть и прочие "благодетели".
Более того, необходимо понимать все жесткие правила капиталистического общества, правовая система в совокупности с гос органами и банками давно создала условия при которых ты не имеешь права оступиться. Никто не нянчится... Нет возможности платить налог на землю или ЖКУ? - отбирают дом ! Не успел купить семейную мед страховку ? - Лечись за сотни тысяч или умри! Не накопил на колледж - твои дети застрянут в сфере обслуживания навсегда! Без вариантов!
Все эти тонкие нюансы западной жизни, заставляют их средний класс находится под постоянным психологическим прессингом и подталкивают к решительным действиям в погоне за прибылью. Автор стать знает о чем говорит, т.к. сам прожил довольно долго по ту сторону океана.
Вариант #1: Частичная реорганизация дроп-проекта.
Насколько мне известно, не редки случаи когда новый дроп при регистрации сразу говорит что понимает всю суть. С такими людьми можно начинать прямой диалог. Не от хорошей жизни они идут на прием wire/ach или карженого стафа с пересылом, как правило они имеют основную работу и не подозревают что могут быть полезны для более серьезных задач. Все что нужно, что бы ваш дроп имел доступ к любому из компьютеров организации. Начиная от кладовщиков, фасовщиков, продавцов и администраторов, заканчивая рецепшн отеля или ресторана, практически каждое рабочее место в США и ЕС компьютеризировано и автоматизировано. Возможно кому то из вас очевидно, но для понимания технической стороны не лишним напомнить, что даже самая отдаленная машина принадлежащая корпоративной сети, находящаяся в демилитаризованной зоне или в трастовом домене - может служить вполне качественной, первичной точкой доступа для начала атаки на всю сеть. Все упирается в ликвидность компании и скилы пентестера. На базе уже готового дроп-проекта вы можете провести опрос как среди уже зарегистрированных "адептов" так и с новоприбывшими, цель которого выяснить где в данный момент трудится человек и есть ли у него близкие друзья или родственники в крупных компаниях.
Как показывает практика, склонять к содействию долго не приходится, если человек намеренно идет на банковский фрод, уверяю ему будет очень интересно ваше предложение. Что бы заинтриговать, достаточно будет заранее приготовленного текста, в котором содержится инструкция по безопасности и примеры с громкими кейсами. Погуглив несколько статей в которых акцентируется внимание на суммах и безнаказанности злоумышленников, их алчность сделает за вас львиную долю работы.
Вариант #2: Выделенный проект без маскировки.
Предполагает под собой создание ресурса на onion домене (или на абузоустойчевом хостинге) для открытого предложения.
Раскрутка такого ресурса может осуществляться через банальный спам, посты в соц сетях или таргетированную рассылку сотрудникам компаний в ЛинкедИн и т.п. Особое внимание стоит уделить X (ака Твиттер) и Reddit. На данный момент их аккаунты, в том числе и прокаченные с огромным количеством подписчиков реально купить за скромные суммы. Антифрод минимальный (login + pwd + куки), пускает очень легко и самое главное на вышеупомянутых соц сетях существует колоссальное количество инфоцыган и комюнити посвященные торговли на фондовом рынке, аналитике и финансам. Мамкины инвесторы там пасутся толпами ожидая хайпа подобно GameStop. В идеале, этот вариант спустя какое то время должен раскручивать себя сам по принципу сарафанного радио. Все сводится к качественно приготовленной информационной бомбе в соц сетях. Первичное сообщение должно быть емким, не компрометировать, а просто вести человека на сайт для ознакомления. <Home> страница подробно излагает суть дела, будь то биржевой инсайд, хищение разработок или рансом с примерами кейсов и тех сумм что реально получить. Такими примерами могут служить множество статей по каждой из тематики, каких на просторах интернета более чем достаточно. Для наглядности и простоты понимания создать видео для YouTube в котором демонстрируется как это работает с закадровым голосом. В другом подразделе сайта предполагается ввод данных: имя компании в которой работает (имеет доступ) и данные для обратной связи, например qTox, jabber, telegram. Так же возможно иметь обратную связь непосредственно на самом сайте, в виде onion-чата.
Не лишним будет поместить ссылки на статьи о конфиденциальности использования этих месседжеров, а так же инструкции по безопасности включающие в себя такие ключевые пункты как:
- не связывайтесь с нами с вашего корпоративного рабочего места
- используйте предоплаченую SIM и девайс купленный за наличные
- подробные инструкции по регистрации jabber-а и настройке PGP/OTR
Все эти пункты говорят - "мы заботимся о вашей конфиденциальности и безопасности", что в свою очередь расположит их к ресурсу.
Вариант #3: Персональный шантаж.
Несколько лет назад была популярна схема шантажа на мелкие суммы. После ознакомления с почтовым ящиком или аккаунтом в соцсети, владелец получал сообщение с требованиями выкупа, под угрозой распространения интимных фото и других компрометирующих данных среди друзей и коллег.Вероятно, что вместо 500$ откупных жертва согласится запустить вредоносный код или исполнить powershell команду на одной из корпоративных машин. Не стоит недооценивать решимость и возможности людей загнанных в угол, когда под угрозу поставлена их репутация или личная жизнь, особенно когда речь идет о женском поле. В данном варианте, требуется реализовать автоматический поиск по ключевым словам внутри почтового ящика и соц. сетей компрометирующих материалов. Фактически, промышленный или государственный шпионаж с привлечением женщин - это вечная классика, вопрос упирается лишь в мотивацию, в нашем случае в давление. Недавний скандал с Puff Daddy является ярким тому подтверждением: один человек с помощью шантажа удерживал контроль над целой медиа-индустрией и долгие годы успешно извлекал из этого выгоду.
Вариант #4: Неразводные.
Наверняка у многих из вас есть так называемые "свои люди" в США и ЕС. Координаторы, кто привлекает новых дропов, обеспечивает оптовый шипинг или передачу наличных, прием СМС, изготавливает fake ID или пластик для дропов и т.д., иными словами партнеры работающие на передовой. Как правило это выходцы из ex-CCCР, довольно сообразительные люди готовые на многое ради хорошей прибыли с минимальным риском. Они достаточно давно живут в крупных городах и обзавелись множеством связей в разных кругах. Резонно предложить им организовать информационную цепочку, цель которой - донести до потенциального исполнителя наши цели (возможно не в полном объеме). Приведу пример из собственного опыта, именно таким способом мы выходили на крупных инвесторов (трейдеров) для торговли по инсайду. Наши партнеры связывались с управляющими различных заведений, таких как: гольф клубы, премиальные стрип-бары и рестораны, аэро-такси, яхт клубы, более того результаты принесли знакомства в среде VIP-эскорта. Общение в неформальной обстановке дает свои плоды. Стоит обратить внимание, управляющие в заведениях такого уровня не являются устойчивым средним классом и их зарплата не так высока. Они обладают максимально широким спектром знакомств, охотно идут на контакт и становятся посредниками. Уверяю вас, таргетированное сарафанное радио - более чем рабочий инструмент.
Вариант #5: Гибридизация с дейтинг скам.
В данном случае поле деятельности воистину не имеет границ, профессионалы в дейтинг скам знают несколько сотен отлаженных механизмов.
Например:
1) Во время переписки с жертвой мошенник постепенно узнаёт её распорядок рабочего дня. Через месяц, когда уровень доверия достиг нужного уровня, он экстренно пишет: «Я на важном собеседовании, документы не открываются. Можешь открыть их на своём компьютере и сфотографировать для меня?». Под видом документа мошенник отправляет склейку с вредоносом.
2) «Мой компьютер сломался, а мне срочно нужен доступ к рабочему документу. Можешь загрузить его и переслать мне?» — и передаёт ссылку на заражённый файл.
3) «У меня тут вышло обновление для одной программы, я не могу его скачать. Можешь установить его у себя и прислать отчёт?» — ссылка ведёт на вредоносное ПО.
Так же этот вариант отлично комбинируется с пунктом 3 (Персональный шантаж), а именно в ходе переписке злоумышленник получает интимные фото или видео высокопоставленного сотрудника, дальше процесс очевиден.
В заключение хочу добавить, что если у вас или ваших партнеров есть опыт по любому из вышеперечисленных вариантов, буду признателен, если вы отпишетесь мне в PM, при этом обращаю ваше внимание, что в данный момент мы очень плодотворно работаем по варианту #2.
Ознакомьтесь с другими статьями автора:
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/110431/ Конкурентная разведка - обзорная статья
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/123546/ Учимся определять финансовое состояние компании
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/77632/ Анализ финансовых и юридических уязвимостей для ведения переговоров
Эту статью я решил написать как краткий обзор известных мне методов. Все перечисленные мной инструменты отлажены и неоднократно приносили результат как мне, так и моим партнерам. В основу статьи я положил текст, который был использован мной на закрытой конференции, организованной для дроповодов с нескольких известных вам форумов. В текст я внёс минимум изменений, поскольку обращаюсь к владельцам дроп-проектов. Надеюсь, что моя статья вызовет интерес и позволит взглянуть на привычную вам деятельность с новой стороны.За последние годы через нас прошли колоссальные объемы бигдаты, в ходе аудита мне каждый раз приходится сталкиваться с анализом почтовых файлов начиная от аутлук (.msg) и заканчивая распилом тяжелых PST массивов в которых содержится внутренняя корпоративная переписка между сотрудниками. Абсолютно в каждой компании я встречаю нарушения в том числе и корпоративной этики. Работники среднего и низшего звена постоянно жалуются на условия труда, низкую зарплату, расовую и половую дискриминацию, сексуальные домогательства на рабочем месте, стагнацию в карьере, бесконечные пенальти со стороны вышестоящего руководства и т.д. Зачастую, встречаются записи корпоративных психологов из которых следует, что подавляющее большинство персонала чувствуют себя угнетенно и недооценено. Причем, все это относится как к мелким компаниям, так и с прибылью в несколько миллиардов USD. Что это, как не инструмент социально-инженерного воздействия ?! Наверняка многие из них задумывались как отомстить боссам или поиметь часть той сверхприбыли которую они из года в год наблюдают трудясь в своей организации, но к которой не имеют никакого отношения. Разумеется не нужно питать иллюзий на счет вербовки топ-менеджмента, их завышенные бонусы и премии говорят сами за себя. Не стоит забывать, что нас не обязательно интересуют действующие сотрудники, это могут быть люди имеющие родственные связи или знакомства, те лица кто может предложить так называемое содействие. Промышленный шпионаж существовал за долгие годы до нашего с вами рождения и будет существовать всегда. Вся западная бизнес-модель пропитана алчностью, так же как и везде им не чужды коррупция, зависть и прочие "благодетели".
Более того, необходимо понимать все жесткие правила капиталистического общества, правовая система в совокупности с гос органами и банками давно создала условия при которых ты не имеешь права оступиться. Никто не нянчится... Нет возможности платить налог на землю или ЖКУ? - отбирают дом ! Не успел купить семейную мед страховку ? - Лечись за сотни тысяч или умри! Не накопил на колледж - твои дети застрянут в сфере обслуживания навсегда! Без вариантов!
Все эти тонкие нюансы западной жизни, заставляют их средний класс находится под постоянным психологическим прессингом и подталкивают к решительным действиям в погоне за прибылью. Автор стать знает о чем говорит, т.к. сам прожил довольно долго по ту сторону океана.
Вариант #1: Частичная реорганизация дроп-проекта.
Насколько мне известно, не редки случаи когда новый дроп при регистрации сразу говорит что понимает всю суть. С такими людьми можно начинать прямой диалог. Не от хорошей жизни они идут на прием wire/ach или карженого стафа с пересылом, как правило они имеют основную работу и не подозревают что могут быть полезны для более серьезных задач. Все что нужно, что бы ваш дроп имел доступ к любому из компьютеров организации. Начиная от кладовщиков, фасовщиков, продавцов и администраторов, заканчивая рецепшн отеля или ресторана, практически каждое рабочее место в США и ЕС компьютеризировано и автоматизировано. Возможно кому то из вас очевидно, но для понимания технической стороны не лишним напомнить, что даже самая отдаленная машина принадлежащая корпоративной сети, находящаяся в демилитаризованной зоне или в трастовом домене - может служить вполне качественной, первичной точкой доступа для начала атаки на всю сеть. Все упирается в ликвидность компании и скилы пентестера. На базе уже готового дроп-проекта вы можете провести опрос как среди уже зарегистрированных "адептов" так и с новоприбывшими, цель которого выяснить где в данный момент трудится человек и есть ли у него близкие друзья или родственники в крупных компаниях.
Как показывает практика, склонять к содействию долго не приходится, если человек намеренно идет на банковский фрод, уверяю ему будет очень интересно ваше предложение. Что бы заинтриговать, достаточно будет заранее приготовленного текста, в котором содержится инструкция по безопасности и примеры с громкими кейсами. Погуглив несколько статей в которых акцентируется внимание на суммах и безнаказанности злоумышленников, их алчность сделает за вас львиную долю работы.
Вариант #2: Выделенный проект без маскировки.
Предполагает под собой создание ресурса на onion домене (или на абузоустойчевом хостинге) для открытого предложения.
Раскрутка такого ресурса может осуществляться через банальный спам, посты в соц сетях или таргетированную рассылку сотрудникам компаний в ЛинкедИн и т.п. Особое внимание стоит уделить X (ака Твиттер) и Reddit. На данный момент их аккаунты, в том числе и прокаченные с огромным количеством подписчиков реально купить за скромные суммы. Антифрод минимальный (login + pwd + куки), пускает очень легко и самое главное на вышеупомянутых соц сетях существует колоссальное количество инфоцыган и комюнити посвященные торговли на фондовом рынке, аналитике и финансам. Мамкины инвесторы там пасутся толпами ожидая хайпа подобно GameStop. В идеале, этот вариант спустя какое то время должен раскручивать себя сам по принципу сарафанного радио. Все сводится к качественно приготовленной информационной бомбе в соц сетях. Первичное сообщение должно быть емким, не компрометировать, а просто вести человека на сайт для ознакомления. <Home> страница подробно излагает суть дела, будь то биржевой инсайд, хищение разработок или рансом с примерами кейсов и тех сумм что реально получить. Такими примерами могут служить множество статей по каждой из тематики, каких на просторах интернета более чем достаточно. Для наглядности и простоты понимания создать видео для YouTube в котором демонстрируется как это работает с закадровым голосом. В другом подразделе сайта предполагается ввод данных: имя компании в которой работает (имеет доступ) и данные для обратной связи, например qTox, jabber, telegram. Так же возможно иметь обратную связь непосредственно на самом сайте, в виде onion-чата.
Не лишним будет поместить ссылки на статьи о конфиденциальности использования этих месседжеров, а так же инструкции по безопасности включающие в себя такие ключевые пункты как:
- не связывайтесь с нами с вашего корпоративного рабочего места
- используйте предоплаченую SIM и девайс купленный за наличные
- подробные инструкции по регистрации jabber-а и настройке PGP/OTR
Все эти пункты говорят - "мы заботимся о вашей конфиденциальности и безопасности", что в свою очередь расположит их к ресурсу.
Вариант #3: Персональный шантаж.
Несколько лет назад была популярна схема шантажа на мелкие суммы. После ознакомления с почтовым ящиком или аккаунтом в соцсети, владелец получал сообщение с требованиями выкупа, под угрозой распространения интимных фото и других компрометирующих данных среди друзей и коллег.Вероятно, что вместо 500$ откупных жертва согласится запустить вредоносный код или исполнить powershell команду на одной из корпоративных машин. Не стоит недооценивать решимость и возможности людей загнанных в угол, когда под угрозу поставлена их репутация или личная жизнь, особенно когда речь идет о женском поле. В данном варианте, требуется реализовать автоматический поиск по ключевым словам внутри почтового ящика и соц. сетей компрометирующих материалов. Фактически, промышленный или государственный шпионаж с привлечением женщин - это вечная классика, вопрос упирается лишь в мотивацию, в нашем случае в давление. Недавний скандал с Puff Daddy является ярким тому подтверждением: один человек с помощью шантажа удерживал контроль над целой медиа-индустрией и долгие годы успешно извлекал из этого выгоду.
Вариант #4: Неразводные.
Наверняка у многих из вас есть так называемые "свои люди" в США и ЕС. Координаторы, кто привлекает новых дропов, обеспечивает оптовый шипинг или передачу наличных, прием СМС, изготавливает fake ID или пластик для дропов и т.д., иными словами партнеры работающие на передовой. Как правило это выходцы из ex-CCCР, довольно сообразительные люди готовые на многое ради хорошей прибыли с минимальным риском. Они достаточно давно живут в крупных городах и обзавелись множеством связей в разных кругах. Резонно предложить им организовать информационную цепочку, цель которой - донести до потенциального исполнителя наши цели (возможно не в полном объеме). Приведу пример из собственного опыта, именно таким способом мы выходили на крупных инвесторов (трейдеров) для торговли по инсайду. Наши партнеры связывались с управляющими различных заведений, таких как: гольф клубы, премиальные стрип-бары и рестораны, аэро-такси, яхт клубы, более того результаты принесли знакомства в среде VIP-эскорта. Общение в неформальной обстановке дает свои плоды. Стоит обратить внимание, управляющие в заведениях такого уровня не являются устойчивым средним классом и их зарплата не так высока. Они обладают максимально широким спектром знакомств, охотно идут на контакт и становятся посредниками. Уверяю вас, таргетированное сарафанное радио - более чем рабочий инструмент.
Вариант #5: Гибридизация с дейтинг скам.
В данном случае поле деятельности воистину не имеет границ, профессионалы в дейтинг скам знают несколько сотен отлаженных механизмов.
Например:
1) Во время переписки с жертвой мошенник постепенно узнаёт её распорядок рабочего дня. Через месяц, когда уровень доверия достиг нужного уровня, он экстренно пишет: «Я на важном собеседовании, документы не открываются. Можешь открыть их на своём компьютере и сфотографировать для меня?». Под видом документа мошенник отправляет склейку с вредоносом.
2) «Мой компьютер сломался, а мне срочно нужен доступ к рабочему документу. Можешь загрузить его и переслать мне?» — и передаёт ссылку на заражённый файл.
3) «У меня тут вышло обновление для одной программы, я не могу его скачать. Можешь установить его у себя и прислать отчёт?» — ссылка ведёт на вредоносное ПО.
Так же этот вариант отлично комбинируется с пунктом 3 (Персональный шантаж), а именно в ходе переписке злоумышленник получает интимные фото или видео высокопоставленного сотрудника, дальше процесс очевиден.
В заключение хочу добавить, что если у вас или ваших партнеров есть опыт по любому из вышеперечисленных вариантов, буду признателен, если вы отпишетесь мне в PM, при этом обращаю ваше внимание, что в данный момент мы очень плодотворно работаем по варианту #2.
Ознакомьтесь с другими статьями автора:
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/110431/ Конкурентная разведка - обзорная статья
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/123546/ Учимся определять финансовое состояние компании
http://xssforum7mmh3n56inuf2h73hvhnzobi7h2ytb3gvklrfqm7ut3xdnyd.onion/threads/77632/ Анализ финансовых и юридических уязвимостей для ведения переговоров