Controllo realtà: crea il caos in un ufficio

4

Mi è stata presentata un'opportunità per eseguire un "vero attacco hacking" in uno show televisivo. L'obiettivo è attaccare il quartier generale della TV e causare il maggior caos possibile. L'idea è mostrare come un'azienda deve migliorare la propria sicurezza o "possono accadere cose veramente brutte".

La direzione sarà a conoscenza dell'attacco e tutti i documenti legali corrispondenti saranno firmati e approvati in anticipo. Gli altri dipendenti non ne avranno idea.

Ci sarà una registrazione della telecamera sull'ufficio attaccato (nascosto, quindi i dipendenti non diventano sospettosi), e un altro registrando "l'attaccante".

Alcune cose possono essere "simulate" per effetti drammatici, ma vogliamo mostrare come si presenta un vero attacco. Ci sarà un "giorno di pegno" dove alle 12:00 AM avrà luogo l'attacco

Ho 2 mesi per prepararlo. Ho avuto una precedente esperienza di test di penetrazione, principalmente web-app e wi-fi. Nessuna esperienza diretta con malware o phishing, ma conosco la teoria.

Ho pensato a quali attacchi mostrare ed eseguire:

Prima del "giorno del prestito":

  • Invia una campagna di phishing con un documento excel allegato con malware
  • Usa LinkedIn per trovare il nome del CEO e inviare le e-mail di phishing spoofing il suo account di posta elettronica per la credibilità
  • Utilizzare l'ingegneria sociale e infiltrarsi come "riparatore". Bloccato "male USB "ovunque, tutto questo mentre si indossa una telecamera nascosta.

Durante l'attacco "Giornata pegno":

  • Le macchine infettate da malware provenienti dalla campagna di phishing bloccheranno lo schermo con un messaggio umoristico
  • Le macchine infettate con malware dalle cattive USB bloccheranno lo schermo con un messaggio umoristico diverso
  • Un "bombardiere postale" riempirà le caselle di posta in arrivo di tutti
  • Un "skype bomber" chiamerà tutti in ufficio allo stesso tempo
  • Strong DDOS del sito web

Le mie domande sono le seguenti:

  • Quali altri attacchi posso eseguire che sono "visivi" per uno show televisivo?
  • Qualche suggerimento sull'implementazione degli attacchi?
  • È realistico? Come professionisti ed esperti, cosa ti piacerebbe vedi?

Ricorda che l'intenzione è educativa per il vasto pubblico, ma non dovrebbe mostrare elementi inventati che allarmino i professionisti di InfoSec.

    
posta Solzhenitsyn's Revenge 12.04.2018 - 18:53
fonte

1 risposta

2

La ricerca di Linkedin per l'amministratore delegato non è affatto necessaria, perché non chiedere semplicemente la gestione? Se hanno firmato i documenti, saranno disposti ad aiutarti. E tu dovresti inviare mail come supporto o risorse umane, il CEO di solito non spedisce i dipendenti.

Riempire le caselle di posta e bloccare i computer fa lo stesso del blocco del computer. Non c'è bisogno di farlo.

Non è necessario BadUSB (e non dovrebbe usarlo) per bloccare i computer, è sufficiente accedere al Domain Controller come amministratore di dominio. E le persone saranno sospettose se vedranno il "riparatore" inserire un'unità USB su ogni computer in ufficio. Nei 2 mesi, phish un amministratore e acquisisci le credenziali.

DDoS sul sito web non ha un bell'aspetto in TV e non è "vero hacking".

Bloccare i computer, squillare ogni telefono, controllare le lampade IoT e stampare i messaggi sarà migliore in TV.

    
risposta data 12.04.2018 - 23:41
fonte