В одной из последних статей мы рассуждали об изменениях в сценариях социальной инженерии, которые спровоцировала мировая пандемия COVID-19. Разумеется, все тонкости рассмотреть в рамках одной публикации невозможно, поэтому сегодня продолжим нашу беседу и расскажем об особенностях физического проникновения злоумышленника на территорию компании. Не лишним будет еще раз напомнить о мерах безопасности, которые должен предпринимать каждый, чтобы не стать невольной жертвой.



Подчеркнем, что хотя наши рекомендации направлены на поддержание бдительности сотрудников компаний, общественности их также стоит взять на вооружение.

При упоминании термина “социальная инженерия” у многих возникают ассоциации с Кевином Д. Митником и его книгами. Работы Митника были опубликованы более пятнадцати лет назад, однако описанные в них сценарии проникновения работают до сих пор, несколько видоизмененные и адаптированные под реалии текущего времени (а некоторые и вовсе в том же виде).

Разумеется, это лишь капля в море. Для каждой компании может использоваться как “шаблонный”, так и уникальный сценарий, учитывающий конкретные особенности предприятия.
Поставив себе задачу проникнуть внутрь компании, злоумышленник будет анализировать такие факторы как:

  • сфера деятельности компании;
  • особенности физической защиты периметра офисного здания (заборы, камеры, посты охраны и т.п.);
  • особенности здания, где располагается офис (целый ли БЦ занимает компания или только часть, местоположение постов охраны, расположение основных и запасных входов и выходов);
  • особенности окружающего ландшафта (наличие вокруг здания кустов, скамеек, мусорных контейнеров, куда злоумышленник может спрятать свои устройства);
  • распорядок дня сотрудников и их привычки;
  • возможность проникновения 3-х лиц на территорию;
  • фотографии пропусков, планы этажей, расписания мероприятий и иную информацию, которую можно найти в открытом доступе.

Физическое проникновение подразумевает высокий риск деанонимизации для самого злоумышленника. Так зачем же атакующему идти на такой опасный шаг? Чтобы упростить и удешевить реализацию атаки. Злоумышленник может незаметно закрепиться во внутренней сети и на протяжении некоторого времени получать конфиденциальную информацию, в том числе и об устройстве необходимой ему системы.

Спектр целей, которые преследует злоумышленник, может быть довольно широк: от хищения техники и другого офисного имущества до кражи конфиденциальных и критичных данных. Это чревато финансовыми и репутационными рисками для компании.

В условиях выхода из пандемии возможностей для социального инженера стало больше. Бурные изменения на рынке труда стали причиной оттока работников из одних компаний и притока в другие. Это привело к тому, что многие сотрудники знакомы со своими новыми коллегами исключительно через мессенджеры и электронную почту. Особенно такая ситуация актуальна для крупных компаний, где работает большое количество людей.

Разумный шаг для руководства в таких условиях – сблизить новых и старых сотрудников. Это послужит не только укреплению общего командного духа, но и безопасности предприятия, вне зависимости от профиля деятельности. При этом мы прекрасно понимаем, что для больших компаний перезнакомить всех работников между собой – это далеко не первостепенная, а иногда даже невозможная задача, но в рамках отделов/департаментов ее можно успешно решить.

Какие лица имеют высокий кредит доверия и не вызывают подозрений, находясь у входа в здание компании?

Вне (?) подозрения


1. Технический персонал


Электрики, монтеры, уборщицы – все те, кто носят униформу. Униформа всегда вызывает доверие, и мало кто озадачится вопросом: “Что здесь делает этот человек?” А делать он может что угодно, в том числе оставлять технические “закладки” и изучать устройство инфраструктуры.
Нельзя не вспомнить про недавний громкий случай, когда из Третьяковской галереи неизвестные в одежде рабочих вынесли картину Куинджи. И никто, включая смотрителя, их не остановил.

2. Обслуживающий персонал


Работники, заменяющие ковры, ухаживающие за растениями, обслуживающие вендинговые аппараты… Опять же, зависит от специфики работы конкретного предприятия. На людей, которые обеспечивают функционирование офиса, мало кто обращает внимание. А очень зря, ведь злоумышленник может притвориться представителем такого персонала, чтобы пройти в нужный ему участок здания. Если же ему еще и удастся скопировать пропуск сотрудника или настоящего представителя обслуживающей фирмы, то перемещение по территории компании облегчится в разы.

3. Доставка еды


В пандемию службы доставки еды вышли на новый уровень, и, похоже, сдавать позиции не собираются. Злоумышленник может сделать вид, что ждет заказчика на проходной, и в это время установить фейковую точку доступа Wi-Fi, скопировать пропуски сотрудников и т.п.

Что делать в таком случае?


Если вы точно знаете, что представителям службы доставки еды не разрешено проходить на территорию предприятия, предупредите охрану о постороннем. Так же следует поступить, если вызывающий подозрение курьер обнаружился в холле и не уходит достаточно долгое время.

4. Курьерские службы


Политика безопасности предприятия в принципе не должна позволять посторонним, в том числе и курьерам, заходить дальше, чем на проходную. В противном случае компания сама открывает двери злоумышленнику, который всегда может притвориться курьером.



Что делать в таком случае?


Доставка любых документов и грузов должна ограничиваться постом охраны или стойкой администрации компании. Это касается и доставки крупногабаритных грузов. Если же без помощи посторонних никак не обойтись, обязательно следует назначить сопровождающего, который проводит посторонних на выход по завершении работ.

И снова повторим: ключевое звено социальной инженерии – психология. Если злоумышленник решит взаимодействовать с сотрудниками компании, то постарается, чтобы инициатива помощи исходила с их стороны. Так сценарий будет выглядеть наиболее естественно. Если в случае фишинговых рассылок упор делается в основном на любопытство и боязнь авторитетов, то в данной ситуации злоумышленник сыграет на вежливости, взаимовыручке и желании помочь.

Означает ли это, что никому нельзя придерживать двери или показывать короткий путь в библиотеку? Конечно же да нет. Вежливость и взаимовыручка никогда не бывают лишними. Это лишь означает, что не стоит терять бдительность, какой бы естественной ситуация ни казалась. Лучше перестраховаться, чем сыграть на руку злоумышленнику своей невнимательностью.

Как могут проникнуть в здание?


1. Я на собеседование


Злоумышленник может заранее договориться о собеседовании, чтобы получить легитимный гостевой пропуск и пройти на территорию компании. Если недостаточно внимательно отнестись к процедуре сопровождения незнакомого человека, то это даст злоумышленнику возможность исследовать интересующие его помещения и осуществить свои идеи и задумки.

Что делать в таком случае?


Если вы поймали на этаже подозрительного человека, то спросите, к кому конкретно он пришел. Не получив вразумительного ответа, не спешите с выводами. Предложите вместе пройти на пост охраны или ресепшен, где обязательно помогут найти нужный кабинет или дозвониться до рекрутера. Также следует отметить, что приглашенный на собеседование человек в принципе не должен искать нужный ему кабинет в одиночестве. При нем всегда должен находиться сотрудник, в том числе и при выводе с территории предприятия.

Расскажем про одну атаку с физическим проникновением, где аудитор выступал в качестве кандидата на открытую вакансию тестируемой компании.

Во время проведения разведки и сбора информации он использовал HR-ресурсы для поиска сотрудников, чтобы найти открытые вакансии компании. После аудитор составил резюме, которое максимально соответствовало требованиям вакансии, и стал ждать приглашения на собеседование в офис или прохождения первичного удаленного интервью.

Получив приглашение на собеседование, он провел разведку внутренней планировки офиса, рассмотрел планы этажей и расположение переговорных комнат, как расположены столы, сетевые розетки, источники питания и пр. Стало понятно, что ничего не стоит найти возможность «отлучиться в туалет» или «ответить на важный звонок» во время собеседования, чтобы разместить технические устройства или вставить «флешку» Rubber Duck/HID в чей-нибудь не заблокированный компьютер. Также вполне можно было бы использовать актерские навыки и попросить сотрудников распечатать с «флешки» сертификат или резюме. В таком случае аудитор (читай: злоумышленник) получил бы удаленный доступ в сеть компании.

2. Игра в переодевание


Злоумышленник может облачиться в платье горничной рабочую одежду или спецовку и сделать вид, что он пришел из организации-подрядчика заниматься ремонтными или техническими работами. Под этим прикрытием он может, например, получить физический доступ к внутренней сети предприятия или установить свое оборудование для того, чтобы собрать как можно больше информации об интересующей его системе.

Приведем пример из нашей практики. В ходе аудита безопасности стало известно, что в здании тестируемой компании идет ремонт, поэтому аудитор переоделся в рабочую одежду и попытался пройти без пропуска через турникеты БЦ. Сотруднику охраны он сказал, что пришел забирать строительный мусор по приказу начальства, а пропуска у него нет, потому что понесет в руках тяжелые коробки. После этого сотрудник охраны пропустил аудитора. Через некоторое время аудитор вышел, но, так как коробок у него не было, он объяснил, что еще ничего не готово, и ему было велено вернуться вечером. Далее развивать вектор атаки мы не стали, поскольку цель была достигнута – проникновение на территорию прошло успешно.

Что делать в таком случае?


Обратить внимание охраны или соответствующего отдела на подозрительную ситуацию. Если вы видите, как некий рабочий что-то колдует над сетевыми коммуникациями, уточните у представителя IT-отдела: планировались ли на сегодня какие-либо работы?

3. Опоздание на встречи


Этот сценарий можно разыграть с охранниками, если они недостаточно внимательно относятся к выполнению рабочих обязанностей. Злоумышленник делает вид, что опаздывает на важную встречу, оперирует знакомыми именами, требует пропустить его, поскольку нет времени на оформление пропуска или на поиск нужного человека. При должном уровне актерской игры и убедительности сценарий сработает, и злоумышленник проникнет на внутреннюю территорию компании.

Что делать в таком случае?


Если вы стали свидетелем такой ситуации, предложите сопровождение до пункта назначения. А если же вы представитель охранной организации, то помните, что первостепенной важностью для вас обладают все же ваши рабочие обязанности, и как бы ни пытался человек вас разжалобить или подавить авторитетом, нельзя нарушать служебные инструкции.

4. Вход через курилку


Если у компании место для курения находится возле отдельного входа в здание (а так бывает очень часто), то злоумышленник может дождаться, пока сотрудники интересующей его фирмы закончат перерыв, и зайти в здание за ними, притворившись одним из работников. Для усиления эффекта доверия он может оставаться без верхней одежды, с документами в руках, с коробками и т.п. Или даже с бананом. Ведь человек с бананом просто так по улице не ходит, значит, он точно работает где-то здесь ;)



Что делать в таком случае?


Уточнить у человека, куда конкретно он идет или как зовут начальника его отдела. Если подозрения не оправдаются, вы познакомитесь с новым коллегой. А вот если человек не сможет ответить, не лишним будет предупредить охрану о постороннем на территории.

5. Копирование пропусков


Скопированный пропуск может позволить злоумышленнику не только проникнуть в помещения, вход в которые разрешен ограниченному числу работников, но и в целом свободно перемещаться по территории предприятия под чужой личиной. Вычислить сотрудников нужной компании помогут опознавательные знаки вроде ланъярдов или брендированных ретракторов. Для копирования достаточно всего пару секунд постоять вплотную к жертве. Злоумышленник может осведомиться о кратчайшем пути в библиотеку, попросить прикурить или помочь сориентировать по гугл-картам и найти нужный корпус.

Что делать в таком случае?


Не носить пропуски на виду вне офиса – на шее или на поясе. Убирайте пропуск в карман, сумку или бумажник. Хотя это не так удобно, чем иметь пропуск в зоне быстрой досягаемости, но тем самым вы в разы усложните злоумышленнику задачу. Не выкладывать фотографии пропусков в социальные сети – тем самым вы помогаете злоумышленнику изготовить правдоподобную подделку.

6. Физические носители


В отдельный пункт мы решили вынести технику road apple, когда злоумышленник разбрасывает носители информации в местах общего доступа: туалетах, парковках, столовых и т.п. Движимый любопытством сотрудник может открыть вредоносный файл на носителе, тем самым позволив злоумышленнику, к примеру, получить контроль над своей рабочей станцией.

Что делать в таком случае?


Не запускать подозрительный носитель информации в рабочей среде, используйте для этого виртуальную машину. А лучше вообще не запускать носители неизвестного происхождения. Но если очень хочется узнать, что же на нем находится, то отдайте находку в IT-отдел или отдел безопасности, обязательно уточнив, где вы это нашли.

Это лишь верхушка айсберга. При этом иногда злоумышленнику необязательно проникать непосредственно на территорию предприятия. Например, для проведения атаки типа evil twin он может поднять копию беспроводной точки доступа в вестибюле здания.

Вот пример из нашей практики, где сочетаются элементы нескольких описанных выше сценариев.

В социальной сети Instagram был выполнен поиск по тегу с названием нужной компании. Далее из полученных фото, сделанных в офисе, была извлечена геопозиция. Поиск по геопозиции позволил подобрать ряд фотографий пропусков-бейджей, хорошего качества и разрешения. Таким образом, аудиторы смогли понять, как внешне выглядят пропуски компании.



В холле центрального входа в офис в непосредственной близости от входных дверей располагались кресла для посетителей. Аудиторы положили в крайнее кресло рюкзак с оборудованием для клонирования пропусков. Это дало им возможность находиться от входящих в офис сотрудников на минимальном расстоянии. Так удалось клонировать пропуск одного из сотрудников для получения доступа в офис и сделать его физическую копию, которая внешне выглядела как настоящий пропуск.

Так аудиторы получили неограниченную возможность беспрепятственного входа и выхода на территорию различных корпусов офиса компании для проведения разведки, сбора информации, размещения собственных устройств и других действий с целью симуляции нанесения существенного финансового и репутационного ущерба компании.

Они смогли посетить все этажи корпусов, не вызывая подозрения охраны и сотрудников различных подразделений компании (включая бухгалтерию, HR, департамент разработки, рекламных подразделений различных проектов и т.д.), разместить 3 устройства для обеспечения сетевого доступа во внутреннюю сеть компании, а успешная реализации атаки evil-twin на корпоративный Wi-Fi позволила получить доступ к учетным данным сотрудников.

Рекомендации


Для компаний:


  • Проводить обучение охраны. Все заходящие на территорию люди должны либо пользоваться пропусками, либо вручную заноситься в журналы. В той или иной форме следует фиксировать сведения о перемещениях по территории.
  • Иметь гостевые пропуски для посетителей с ограниченным радиусом действия. Если возможно, реализовать систему man's trap.
  • Внедрить СКУД, которая не подвержена атаке клонирования, например на основе HID iclass se или mifare desfire.
  • Проводить тренинги для сотрудников. Сотрудники должны понимать, в какой момент можно стать мишенью и какие есть способы затруднить работу злоумышленника.
  • Сохранять баланс между «корпоративной культурой» и задачей защитить компанию.


Это важный пункт, поскольку неосмотрительные действия компании могут поспособствовать возникновению новой угрозы – появлению внутреннего нарушителя в лице обиженного или недовольного сотрудника. Он может совершать деструктивные действия, похищать критичную информацию с целью ее продажи или заниматься саботажем, и вычислить такого сотрудника может быть достаточно сложно.

Поэтому, если во время тренингов или тестирования по социальной инженерии ваши сотрудники попались на фишинг, не нужно применять к ним карательные меры. Мы советуем внести в эту ситуацию элемент игры или шутки, особенно если сотрудник не в первый раз проваливает проверку: пожурить, рассказать, что господин N попался, но не переходить черту.

В качестве штрафа такой сотрудник может пройти дополнительный тренинг, но уж точно не стоит в качестве наказания урезать зарплату или премии.

Для сотрудников:


  • Не нужно стесняться разговаривать с людьми. В большинстве случаев вы поможете человеку решить его проблему, однако не стоит в это время забывать о базовых мерах предосторожности.
  • Сомневаетесь, но не хотите показаться невежливым, пропуская подозрительную личность за собой “паровозиком”? Замешкайтесь, сделайте вид, что читаете сообщение в телефоне, и посмотрите, куда пойдет этот человек и что он будет делать.
  • Не бойтесь показаться параноиком, обращая внимание других на подозрительную активность.
  • Следуйте указаниям службы безопасности/IT-отдела. Помните, что тренинги по безопасности проводятся не просто так, а политика ИБ – это не очередной документ, который можно прочитать и забыть.
  • Нужно понимать, что никто вас не просит ловить подозрительного человека за рукав и лично тащить к начальству. Это (если обратного не утверждает трудовой договор) не ваша обязанность. Ответственность за поимку возможного преступника лежит на охране объекта, ваше дело – обратить внимание на подозрительную активность и предупредить об этом.
  • Отключайте Wi-Fi на телефонах, если он вам не нужен. Особенно это касается владельцев Android-устройств, поскольку они более уязвимы к атакам типа evil-twin ввиду особенностей работы этой ОС.

Вывод


Атаки с использованием средств социальной инженерии могут показаться не самыми опасными, поскольку они подразумевают непосредственное, неудаленное присутствие злоумышленника в процессе подготовки или осуществления атаки. Однако подобная мнимая простота их обнаружения гораздо чаще играют на руку самому атакующему.

Социальные инженеры – люди изобретательные и хитрые. Они прекрасно знают, как использовать не только уязвимости системы, но и слабые стороны человека, которым сотрудник компании в любом случае остается на протяжении всего своего рабочего дня. Не особенно важно, какую должность он занимает, – злоумышленник всегда может найти способ использовать его неосторожность, скромность, доверчивость, а также иные как положительные, так и отрицательные качества личности в своих интересах.

Вполне очевидно в данном случае, что единственный эффективный способ превентивного противодействия атакам социальных инженеров является заблаговременное информирование сотрудников. Это подразумевает как знакомство работников с регламентом поведения на рабочем месте, так и культивирование у них привычек, способствующих безопасному для ресурсов компании разрешению описанных выше ситуаций.

Сотрудники не должны забывать, что вежливость и осторожность никак не исключают друг друга. Даже будучи настороже, вы все равно остаетесь человеком и живете обществе. Однако достаточная информированность и внимательность позволят вам сделать то, чего злоумышленник часто не ожидает, – стать гораздо большей угрозой для него самого, чем он для вас и для компании, в которой вы работаете.

Комментарии (27)


  1. wmgeek
    03.06.2021 08:44
    +2

    1. Видеоаналитика

    2. Неклонируемый пропуск

    3. Двухфакторная аутентификация

    4. IDS (Intrusion Detection)

    5. WiFi Off Channel Scanning (Rogue identification) и 802.11w (Protected Management Frames)


    1. todoman
      03.06.2021 13:20
      +5

      Это всё делится на ноль зелёной курткой курьера, например, и «девушка, вы здесь работаете? проведите меня по своему пропуску, пожалуйста, мне на пятый этаж, пицца остывает».


      1. forkyforky Автор
        03.06.2021 13:22
        +2

        Вот именно такие просьбы и стоит пресекать, никаких курьеров и доставщиков еды на территорию офиса пропускать не нужно.


      1. unsignedchar
        03.06.2021 13:26

        Всё зависит от мотивации тех, кто турникет охранять поставлен.


      1. boojum
        03.06.2021 17:05

        Может всё же не делится, а умножается )


  1. Aquahawk
    03.06.2021 08:55

    Совершенно непонятным для меня является то, что очень много где системы пропуска не пытаются понять зашёл ли человек уже внутрь. Т.е. по одному пропуску можно войти хоть 10 раз, а потом 10 раз выйти.


  1. sshikov
    03.06.2021 09:06
    +3

    А вы точно социальный инженер? :) Во всех компаниях, где я работал, курьеров никогда не пускали дальше проходной. Поэтому курьер внутри офиса для меня выглядит нонсенсом, и сразу вызовет подозрения. В банке это будет 100% так. Поэтому пример именно с курьером какой-то… ну не очень удачный. Сантехник, электрик, кондиционерщик — будет гораздо ближе к истине, они всегда есть, и их никто никогда не знает в лицо.


    1. Revertis
      03.06.2021 12:26
      +1

      Так ведь пример с курьером описывал ситуацию, когда курьер стоит на проходной, и делает вид, что ждёт клиента.


      1. sshikov
        03.06.2021 19:22
        +1

        Так и пусть дальше ждет. А за попытку провести курьера в офис у нас вполне и уволить могут. В общем, пример конечно имеет право на жизнь, но мне кажется нифига не реалистичным. Впрочем, у нас тут пропуск по морде лица, потому текущая ситуация далеко не типичная, скорее всего.


        1. forkyforky Автор
          03.06.2021 19:56

          «Курьер» может, например, привезти коробки с пиццей на корпоратив, и тогда невнимательный сотрудник его вполне может впустить на территорию, чтобы он их занес.

          Другое дело, что в таком случае нужен сопровождающий, чтобы довести до нужной комнаты и отвести обратно, убедиться, что человек никуда попутно не забрел и действительно вышел через проходную. Все зависит от того, как в компании поставлены процессы безопасности.


          1. sshikov
            03.06.2021 20:03
            +1

            Ну, я же выше написал — это личный опыт. Нигда за последние примерно 15 лет курьеров не пускали дальше проходной. Пицца там, не пицца — никого не волнует. Нужно принести пиццу — сходите вдвоем или втроем, принесете сами.

            Во многих местах, включая текущее, за попытку провести курьера легко могут уволить. Даже за попытку провести коллегу по своему пропуску я лично наблюдал наказание.

            Ну т.е. это нужен не просто невнимательный сотрудник, а сотрудник, который готов явно нарушить правила, при том что охрана находится рядом.


  1. sbnur
    03.06.2021 09:33
    -3

    В советское время, учась в 10 классе (выпускной в то время), я решил вникнуть в суть марксизма-ленинизма и внимательно прчитал книгу Ленина "Государство и революция", где была описана технология построения коммунизма. В результате обнаружилось, что суть заключается, что люди должны постепенно привыкнуть к коммунистическим принципам.
    прошло более 70 лет, но устойчивого привыкания не возникло, несмотря на широкомасштабную пропаганду.
    Поэтому "единственный эффективный способ превентивного противодействия атакам социальных инженеров является заблаговременное информирование сотрудников" не сработает.


    1. Revertis
      03.06.2021 12:28
      +2

      Просто сложно заставить людей наслаждаться рабством и бедностью.


  1. unsignedchar
    03.06.2021 10:04

    image


  1. Shaman_RSHU
    03.06.2021 10:09
    -1

    Пока… не клюнет…


  1. iiwabor
    03.06.2021 10:38
    +4

    Самое уязвимое звено в системе безопасности, всегда было есть и будет — это человек. Лет 15 назад был случай, когда хакер прикинулся корреспондентом телевидения (камера, микрофон, все дела) и проводил опрос людей, выходящих из банка. Вопрос был простой — какое сочетание логина и пароля вы считаете оптимальным? 70% назвали ему пароль/логин от своего банковского аккаунта.


    1. todoman
      03.06.2021 14:18

      Вы уже писали этот комментарий 25 февраля 2021.
      Других ссылок на эту историю я не нашёл.


      1. Format-X22
        04.06.2021 07:14
        +2

        А вдруг это он и был…


      1. dynamicult
        04.06.2021 13:17

        Просто тем корреспондентом был iiwabor


  1. saboteur_kiev
    03.06.2021 10:50
    +2

    Стало понятно, что ничего не стоит найти возможность «отлучиться в туалет» или «ответить на важный звонок» во время собеседования, чтобы разместить технические устройства или вставить «флешку» Rubber Duck/HID в чей-нибудь не заблокированный компьютер.


    Собеседования должны проводиться не в опенспейсе, а в переговорках, где компьютер с заблокированными USB в гостевой сети, и вход в переговорки — из коридора, а не из чьего-то кабинета или опенспейса.
    А еще лучше — по удаленке =)


    1. forkyforky Автор
      03.06.2021 13:19

      Вы правы, но, к сожалению, такие вот случаи, как в нашем примере, до сих пор встречаются, и с этим нужно бороться.


      1. saboteur_kiev
        04.06.2021 19:32
        -1

        и с этим нужно бороться.

        Не факт, что ВСЕ компании должны прямо вот так защищаться от хакеров, чтобы обеспечивать полный периметр. У всех не хватит бюджета на все-все-все. И скорее всего они и не делают чего-то слишком уж секретного.

        Если поставить задачу взломать кого-то можно взломать кого угодно.
        Если поставить задачу взломать и получить с этого прибыль, а точнее достаточную прибыль, то 99% компаний никому не интересны.


    1. Sn0wsec
      07.06.2021 12:27
      +1

      Исходя из личного опыта, описанные меры относительно расположения переговорных комнат на отдельном этаже и сопровождение кандидатов на вакансии от входа до выхода, к сожалению далеко не идеальны. Простой пример из практики, после интервью сопровождающий сотрудник «эскортирует» кандидата до выхода из офиса. И практически у самой двери кандидат с выражением лица кота из м/ф Шрек, спрашивает про уборную (стресс на интервью, переволновался, перенервничал, тошнит и пр.) Кто же сможет отказать в такой естественной и невинной просьбе. И на практике никто из сопровождающих, ни разу не ждал у дверей туалета дольше 5 минут)) «Выход сами найдете?» «Конечно, большое спасибо!» А далее наклеиваем накладные усы переодеваем футболку и уже по списку задач))
      PS: Спасибо за отличную статью!


      1. unsignedchar
        07.06.2021 12:37

        Даже если собеседование проводить на совсем нейтральной территории — что мешает кандидату его пройти, и зайти на территорию совсем легально? А потом уволиться, конечно.


        1. Sn0wsec
          07.06.2021 14:23

          Абсолютно согласен! Более того существует «эзотерический» формат работ по проведению тестирований на проникновение — Black Team, который включает подобную стратегию, в частности для проверки эффективности механизмов противодействия угрозам из cерии Insider Threat. В отличии от Red Team, в основном скоупе работ этого формата приоритет отдан получению физического доступа любыми возможными способами)


  1. Yar56
    03.06.2021 13:20

    Если видишь человека с таким лицом как этих фото… то он точно что то задумал


  1. Yoooriii
    19.10.2021 23:50

    Проникнуть в офис компании зачастую не просто, а очень просто. Случай с курилкой уже описали. Добавлю от себя еще вход через парковку. А на парковку, проще всего въехать на велике: входить туда пешком -- подозрительно, а на велик обычно и не смотрят. Если дело происходит утром, то масса сотрудников приезжает, можно вместе со всеми сесть в служебный автобус. Как правило водитель не проверяет пропуск или не имеет кард ридера, ему можно просто показать левый пропуск. Как вариант, можно устроить маленький пожар, потоп, утечку газа и проникнуть на место "аварии" как представитель спец служб. А можно просто, вырубить сотрудника фирмы и завладеть его пропуском; сделать это проще всего на корпоративе; но это уже явный криминал. А еще проще, как уже говорилось, официально придти на собеседование, как минимум, а как максимум, устроиться в эту контору и копать изнутри, что и безопаснее и эффективнее в разы.

    Для того чтобы скопировать пропуск, достаточно закрепить читалку поверх штатного кард ридера на пару дней и считывать все пропуска подряд, также можно туда и камеру вставить и фоткать пропуска.

    Кстати, собирать не публичную информацию о компании можно в публичных сетях, типа фейсбук и линкедин, куда сотрудники эту информацию выкладывают, не особо задумываясь.

    По поводу прогулок с бананом -- как вариант, годится; хотя если вспомнить классика (42), то это должно быть полотенце.

    В общем: кто ищет, тот всегда найдёт, а зачастую и искать не нужно, все и так на виду.