Комментарии 12
Для этого вам понадобится фейковое письмо о том, что исполнителя (пентестера) позвали на собеседование в целевую компанию от имени HR-сотрудника.Вот потому со времён Екатерины отдел кадров располался вне охраняемой территории.
Мне всегда больше нравилось в кино - хоп и за 5 мин у них план коммуникаций здания, все входы/выходы с точными метрами (прям кадастр). Тут в целом изложена более-менее правдоподобная картина. Хотя, я думаю, что все действия лучше проделывать разными людьми, что бы конечный проникающий не засветился раньше времени.
Интересная статья, после работы почитать очень даже.
Здравствуйте! Возможно, глупый вопрос - но, учитывая удалёнку, когда масса сотрудников сидит по домам - не проводится ли физический пентест удаленщиков, в их личных пространствах? Дома люди расслабленно себя чувствуют, о безопасности рабочего места не особо задумываются. Адреса сотрудников найти можно, забраться в квартиру, представившись, например, сотрудником управляющей компании тоже. Теоретически, этим вполне можно воспользоваться?
Работодатель способен в рамках договора разрешить проникновение на территорию офиса и взаимодействие с техникой компании для сбора пруфов и демонстрации векторов проникновения, но личные пространства и устройства сотрудников неприкосновенны и разрешить пентестеру их использование способен только сам пользователь (маловероятно, правда?).
Если удалённые сотрудники используют корпоративную технику, то есть достаточное количество нефизических социальных векторов на проверку, но проникновение в жилище неприемлемо.
На внешнем периметре можно дрон запустить поснимать обьект.
все достаточно банально, поэтому действительно может сработать.
а как обстоят дела с более-менее технологичными устройствами? тем более сейчас это все гораздо более доступно и старые методы обретают новые краски:
подглядеть пароль в кафе или другом открытом месте, где сотрудники, бывает, удаленно работают с рабочими ноутбуками
для удаленных сотрудников в общедоступных местах (или дома) попробовать предоставить фековый WiFi?
попробовать через окно нацелить камеру или дрона с камерой на монитор/клавиатуру?
доставить дроном камеру на потолок помещения (или на полку) - такой декор, если он стал внешене не активным, в ИТ-среде вполне может и не насторожить никого, а в дизайне класса лофт еще и незаметно вписаться в интерьер
Или хитрые шнурки для зарядки - вроде даже на хабре проскальзывала информация о том, что шнурок для зарядки вполне может быть "умным" устройством
Был забавный эксперимент, люди переоделись в рабочую форму и шли куда то с лестницей и их везде пропускали вообще без проблем и вопросов.
И еще, если что-то заносить, это охрана воспринимает лучше чем когда выносят. Если еще видно что люди корячатся, то и вопросов совсем не возникает.
Анекдот - как вынести титан с завода? Делаем ведра, наполняем, идем. -Стой кто идет, что несет? -Дистиллированнуй воду! -Долгие переговоры со старшим, нет, совсем нельзя, выливайте, проходите!
если говорить про места общения с сотрудниками, то лучше всего для этого подходят курилки: непринужденная обстановка позволяет легко вступить в диалог с незнакомцем.
Как вариант, во время разговора в курилке положить в карман сотрудника BadUSB, возможно даже с наклейкой "Биткоин-кошелёк" или "Мы со Светой на море". Большая вероятность, что человек может поддаться любопытству, несмотря на неизвестное появление накопителя в кармане. Если Света красивая дама, а жертва социальной инженерии одинокий парень, вероятность стремится к спутнику Starlink. Да и время тратить не придётся на изучение поэтажных планов и наблюдение, только OSINT.
Миссия выполнима: знакомимся с физическим пентестом