Mi è stata presentata un'opportunità per eseguire un "vero attacco hacking" in uno show televisivo. L'obiettivo è attaccare il quartier generale della TV e causare il maggior caos possibile. L'idea è mostrare come un'azienda deve migliorare la propria sicurezza o "possono accadere cose veramente brutte".
La direzione sarà a conoscenza dell'attacco e tutti i documenti legali corrispondenti saranno firmati e approvati in anticipo. Gli altri dipendenti non ne avranno idea.
Ci sarà una registrazione della telecamera sull'ufficio attaccato (nascosto, quindi i dipendenti non diventano sospettosi), e un altro registrando "l'attaccante".
Alcune cose possono essere "simulate" per effetti drammatici, ma vogliamo mostrare come si presenta un vero attacco. Ci sarà un "giorno di pegno" dove alle 12:00 AM avrà luogo l'attacco
Ho 2 mesi per prepararlo. Ho avuto una precedente esperienza di test di penetrazione, principalmente web-app e wi-fi. Nessuna esperienza diretta con malware o phishing, ma conosco la teoria.
Ho pensato a quali attacchi mostrare ed eseguire:
Prima del "giorno del prestito":
- Invia una campagna di phishing con un documento excel allegato con malware
- Usa LinkedIn per trovare il nome del CEO e inviare le e-mail di phishing spoofing il suo account di posta elettronica per la credibilità
- Utilizzare l'ingegneria sociale e infiltrarsi come "riparatore". Bloccato "male USB "ovunque, tutto questo mentre si indossa una telecamera nascosta.
Durante l'attacco "Giornata pegno":
- Le macchine infettate da malware provenienti dalla campagna di phishing bloccheranno lo schermo con un messaggio umoristico
- Le macchine infettate con malware dalle cattive USB bloccheranno lo schermo con un messaggio umoristico diverso
- Un "bombardiere postale" riempirà le caselle di posta in arrivo di tutti
- Un "skype bomber" chiamerà tutti in ufficio allo stesso tempo
- Strong DDOS del sito web
Le mie domande sono le seguenti:
- Quali altri attacchi posso eseguire che sono "visivi" per uno show televisivo?
- Qualche suggerimento sull'implementazione degli attacchi?
- È realistico? Come professionisti ed esperti, cosa ti piacerebbe vedi?
Ricorda che l'intenzione è educativa per il vasto pubblico, ma non dovrebbe mostrare elementi inventati che allarmino i professionisti di InfoSec.