Недавно мой коллега спросил у меня, а занимался ли я когда-нибудь Red Team’ингом? Я ответил, что «Да», но ничего не сказал конкретного. Немного о себе. Я работаю инженером кибер безопасности (blue team). Я не занимаюсь профессионально взломом, а лишь изучаю поведение противника, чтобы лучше его узнать. Как хакер я полное дно, это надо понимать, так как просто нет временем и задач на взлом. Я как раз таки «Мамкин хакер». И цель этой статьи показать, что даже мамкин хакер может быть потенциально опасен. Эта лишь один из случаев моей практики по взлому который наглядно показывает, что для того чтобы украсть данные достаточно минимальных знаний и смекалки.
В этой статье не будет ничего про pentest и описания различных утилит для взлома. Только социальная инженерия. Именно в этом случае социальная инженерия имеет очень важную роль. Поехали! Первым делом я зашёл в современный даркнет, он же Телеграм и скачал слитую базу. Этой базой оказалась база учёток сайта tecwallet.com. Данная площадка является платформой для продажи авторских курсов по разным направлениям. Слита эта база была в сентябре 2021 года. Примерно в это время я её и скачал. Открыв её я увидел примерно такую картину:
Пароли зашифрованы...или нет? 32 символа, нет спец символов, стало всё понятно – скорее всего это хэширование md5. Декриптор подтвердил мои догадки. После расшифровки паролей следующим вопросом был - как мне тестировать все эти учётки? Файл насчитывает более 4000 записей. Я заметил, что помимо распространенных почтовых сервисов в логине пользователя присутствуют также учётки домена tecwallet.com.
Именно эти учётки и вызывают у злоумышленника больший интерес, так как они могут содержать чувствительные данные или полезную информацию для плохих парней.
Моей целью было посмотреть, что же полезное может украсть злоумышленник. Логинившись под этими учётками я находил немало потенциально полезной информации. Давайте рассмотрим один из этих примеров.
Оказавшись на главной странице я увидел, что у данного персонажа можно изучить профиль, почитать его сообщения, а также посмотреть в левом меню чем обладает «жертва».
Изучив профиль я заметил, что вошел под аккаунтом некого IT Trainer. «Будет чем поживиться» – подумал я.
Мы видим много непрочитанных сообщений. Я не читаю личную переписку, но злоумышленник может оказаться не такой принципиальный как я и получить возможно полезную информацию из личных сообщений.
Все его труды злоумышленник может просто скачать, тем самым сведя его старания к нулю. Или может сам посмотреть и набраться опыта
Помимо этого тут есть купоны на приобретения его курсов
Здесь мы видим, что есть информация о доступных средствах в размере $181, и вывести их можно в один клик.
Помимо приведенной выше информации была и другая, однако я посчитал, что она не несёт пользы для злоумышленника и не стал отображать её в статье.
Этим примером я хотел лишь показать, что информационная безопасность играет важную роль в современных реалиях и для того, чтобы увести данные иногда достаточно быть обычным «мамкиным хакером», которому не требуются знания программирования для написания умных скриптов, не требуется знания и опыт работы со специализированными утилитами для взлома и даже банальный брутфорс не требуется использовать. Скачать "утечку" или купить её будет вполне достаточно.
Источник
автор @nejikir
В этой статье не будет ничего про pentest и описания различных утилит для взлома. Только социальная инженерия. Именно в этом случае социальная инженерия имеет очень важную роль. Поехали! Первым делом я зашёл в современный даркнет, он же Телеграм и скачал слитую базу. Этой базой оказалась база учёток сайта tecwallet.com. Данная площадка является платформой для продажи авторских курсов по разным направлениям. Слита эта база была в сентябре 2021 года. Примерно в это время я её и скачал. Открыв её я увидел примерно такую картину:
Пароли зашифрованы...или нет? 32 символа, нет спец символов, стало всё понятно – скорее всего это хэширование md5. Декриптор подтвердил мои догадки. После расшифровки паролей следующим вопросом был - как мне тестировать все эти учётки? Файл насчитывает более 4000 записей. Я заметил, что помимо распространенных почтовых сервисов в логине пользователя присутствуют также учётки домена tecwallet.com.
Именно эти учётки и вызывают у злоумышленника больший интерес, так как они могут содержать чувствительные данные или полезную информацию для плохих парней.
Моей целью было посмотреть, что же полезное может украсть злоумышленник. Логинившись под этими учётками я находил немало потенциально полезной информации. Давайте рассмотрим один из этих примеров.
Оказавшись на главной странице я увидел, что у данного персонажа можно изучить профиль, почитать его сообщения, а также посмотреть в левом меню чем обладает «жертва».
Изучение профиля
Изучив профиль я заметил, что вошел под аккаунтом некого IT Trainer. «Будет чем поживиться» – подумал я.
Чтение личных сообщений
Мы видим много непрочитанных сообщений. Я не читаю личную переписку, но злоумышленник может оказаться не такой принципиальный как я и получить возможно полезную информацию из личных сообщений.
Кража интеллектуальной собственности
Ну раз чувак является IT тренером, наверняка у него есть авторские курсы по IT. Бинго!
Все его труды злоумышленник может просто скачать, тем самым сведя его старания к нулю. Или может сам посмотреть и набраться опыта
Помимо этого тут есть купоны на приобретения его курсов
Кража денег
К сожалению информация о выручке за проданные курсы и доступ к самому кошельку также есть из личного кабинета.
Здесь мы видим, что есть информация о доступных средствах в размере $181, и вывести их можно в один клик.
Помимо приведенной выше информации была и другая, однако я посчитал, что она не несёт пользы для злоумышленника и не стал отображать её в статье.
Этим примером я хотел лишь показать, что информационная безопасность играет важную роль в современных реалиях и для того, чтобы увести данные иногда достаточно быть обычным «мамкиным хакером», которому не требуются знания программирования для написания умных скриптов, не требуется знания и опыт работы со специализированными утилитами для взлома и даже банальный брутфорс не требуется использовать. Скачать "утечку" или купить её будет вполне достаточно.
Источник
автор @nejikir
