发掘 OSINT 金矿——实习生和交际媒体 | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

发掘 OSINT 金矿——实习生和交际媒体

申博_安全预警 申博 24次浏览 已收录 0个评论

菲律宾Sunbet菲律宾Sunbet原创新闻资讯平台的新生代趣闻工厂,菲律宾Sunbet 内容涵盖社交网络热点, 娱乐八卦, 美妆、时尚,影视,生活等类别.用户可以第一时间了解最热的原创资讯,将致力于成为娱乐资讯的原创内容生产者。等专业报道。

,

话说我看到了一个绝佳的时机: 某个员工正在进入平安事情地区。 当我试图随着他时,他转过身来,看着我问道: “我可以看看你的工牌吗? ” ,我带着自信的笑容,把手伸进钱包,取出一个工牌给他看。 当我戴着冒充的员工工牌进入平安事情区时,他笑了笑,向我表示谢谢,然后走开了。这一切都要谢谢他们公司的一位练习生在交际媒体上宣布的一个帖子。

我是怎样走到这一步的? 让我从头说起。

发掘 OSINT 金矿——实习生和交际媒体

黑掉人类,暴露平安盲点

我是 X-Force 红队的一位特地黑人的黑客,这是 IBM 平安团队内部的一个由资深黑客构成的自治团队,受雇突入各个构造,揭破犯罪分子可以为了个人利益而应用的平安风险。 我收集公司或员工无意中在网上暴露的信息,应用社会工程压服人们给我更多的信息或接见权限,直到我们终究到达目的。 一般,这意味着我要鬼鬼祟祟地进入公司的实体办公室。

经由历程我的履历,我学到了寻觅能协助我进入一家公司的谍报的最好所在,那就是交际媒体,这但是一座金矿。 约莫75% 的状况中,经由历程交际媒体搜刮会在几个小时内找到我想要的信息。 关于大公司来讲特别云云,由于在交际媒体宣布内容的职位大多来自练习生或新员工。

让我们以平安为价值迎接练习生吧

关于门生和应届毕业生来讲,练习多是他们斟酌在全职事情中取得珍贵事情履历的绝佳门路。 但是,Z世代(译者注:Z世代是美国及欧洲的盛行用语,意指在1995-2009年间诞生的人)在交际媒体上过分分享的偏向,加上练习时期松弛的平安培训,在涉及到平安和贸易风险时,是致使灾害的泉源。 从上传他们工牌的照片,到在办公室宣布生活中的一天视频博客,练习生和热忱的年青员工的交际媒体习气让他们成为黑客猎取雄厚信息的泉源。

让我们来看看个中的一些要素。 平安意识项目自身既不性感也不诱人。 因而,新员工入职历程当中的这一部份常常被完整无视,而且在许多状况下,一些政策在涉及到练习生时会放宽。 这些划定规矩可以包括封闭事情站、凭据同享和交际媒体限定,这些划定一般适用于一切其他员工。

除此之外,Z世代是迄今为止最热忱的一代交际媒体用户。 依据皮尤研究中心的数据,在1824岁的人群中,75% 的人在运用 Instagram73% 的人在运用 Snapchat76% 的人在运用 Facebook90% 的人在运用 YouTube 在没有交际媒体平安指南的状况下,让这群用户体验他们的第一次事情经历是一个庞大的风险,大多数公司都没有斟酌到这一点。

练习生并非黑客们汇集信息的唯一目的。 新的全职雇员也会带来风险。 关于那些没有把平安意识培训作为新员工入职培训内容的公司,新员工可以要比及下一轮全公司局限的培训,这可以须要一年的时候。 高兴的新员工常常经由历程一张带有标签(比方: #新事情 #在公司的第一天 #公司名称)的自照相宣布他们的帖子,夸耀他们的新办公环境,而疏忽了公司的敏感信息多是就在图片背景里。

不仅仅是练习生和员工的帖子会形成题目。 我常常发明,一个公司本身的交际媒体团队宣布的照片和视频也会暴露敏感内容,他们竞相展现一切风趣的东西,使他们的办公环境和项目看起来令人高兴和引诱,以吸收新的人材,这会将全部构造置于风险当中。

黑客的热点目的

当练习生和新员工忙于事情时,他们盼望进修和亲身动手,那些看着他们的人也是云云。 不幸的是,有大批外部的进击者等待着单击右键并将这些在差别频道上同享的照片保存到名为“[XXX 公司] OSINT 资本的文件夹中。

OSINT 是开源谍报的缩写,它经由历程交际媒体、博客文章、搜刮引擎、消息等公然的资本来搜刮信息。 作为你友爱的黑客旁友,让我和你分享一些在 OSINT 中可以用来收集关于雇员的主要信息吧。 剧透一下——我接下来要讲的内容可不是你立时就可以想到的!

Instagram OSINT 收集技能

虽然在一张又一张图片中转动浏览有点辛苦,但在图片上也可以包括一些轻易找到的细节,可以经由历程症结字举行搜刮。 练习生和员工一般会在他们的帖子上运用 #CompanyName, #WorkLife, #WorkFlow, #Intern 以及 #FirstDayofWork 等标签。 一般状况下,这些人会在一个典范的咖啡店为背景的图片中泄漏内部办公室规划、工牌图片、桌面应用程序、数字文件和 Outlook 日历。

关于那些千方百计侵入公司办公场合的黑客来讲,这是一个易如反掌的成功。 在随便浏览以后,X-Force 红队的成员发明了某个最快活的练习生的照片,在她的照片旁边有一张包括头像的小照片,上面印着一个公司的新工牌。 经由几分钟的图片编辑,我们可以用这张图片制造一个假工牌。 这类假工牌在门禁上可以不起作用,但当其他员工进入平安场合时,就可以够用这个假工牌跟随进入。

发掘 OSINT 金矿——实习生和交际媒体

 

Glassdoor

Glassdoor 是浩瀚店主批评网站之一,在这些网站上,你可以取得某公司的内部人员对员工怎样对待一个公司及其高管的实在意见、向管理层提出的发起、列出利害,以至表露薪酬局限和典范的口试题目等信息。 Glassdoor 是另一个进击者收集公司信息的网站。

应用这些信息,进击者可以捏造仿冒的电子邮件,依据特定公司员工的趋向,预备主题和内容。 不幸的是,员工很轻易被一封精心设想的电子邮件所疑惑,他们可以会遗忘搜检发件人的合法性。假如这个网站许诺供应一个像永远停车位如许有利可图的福利的话,他们以至会点击邮件中的一个链接,将他们的公司证件提交到一个冒充的网站上。

店主应当对员工举行培训,让他们在任何网站上宣布信息时都能坚持公司的平安,并注重公司的政策,纵然他们公然、匿名地评价本身的事情生活。 互联网上没有什么是真正匿名的,假如一家公司由于如许的帖子而遭到损伤,它也可以影响到员工。

YouTube

人们常说一图胜千言 假如这是真的,那末一个练习生决议把 GoPro 绑在他们的头上,在办公室里录制了一个 37分钟的一样平常生活小视频,又算什么呢? 好吧,我不肯定一个视频赛过若干个字,但我可以通知你它可以供应以下信息:

· 该公司遴选的防病毒软件

· 工牌的设想

CPDoS:Cache投毒DoS

CPDoS Cache-Poisoned Denial-of-Service (CPDoS) 是一种禁用web资源和网站的新类型的web缓存投毒攻击。 攻击原理 基本攻击流如下所示: 1. 攻击者发送含有针对web服务器提供的针对受害者资源的恶意header的简单HTTP请求。请求是由中间缓存处理的。 2. 缓存会转发请求到原始服务器,而且没有保存目标资源的新副本。在原始服务器上,由于请求中含有恶意header,处理请求时就会引发错误。 3. 因此,原始会返回缓存中保存的错误页而非请求的资源。 4. 攻击者在响应中提取错误页时就说明攻

· 修建规划

· 进入公司的历程

· 凭据

· 雇员着装请求或衣饰

· 员工事宜日历

· 员工午饭聚首

· 看管小屋

· 对外开放的大众所在

· 操作体系

· 停车场

· 电话号码

· 物理钥匙

· 抽烟区

· 生产力套件

· 敏感文件

· 那扇隐秘的门是我偷偷用的,他人不知道的,以防我忘带了工牌

· 十字转门

· 供应商

· 软弱的门禁

· 以及更多信息

寻觅公司信息的进击者只是在寻觅准确的视频,而这恰是 YouTube Vimeo 和其他网站可以供应他们正在寻觅的信息的处所。 练习生、员工,以至内部营销、大众关系和人材团队都可以在没有运营平安对其举行检察的状况下宣布视频

以这个例子为例:一个公司的交际媒体团队宣布了一个视频。他们遴选了一位练习生,从一天的最先到完毕都带着摄像机跟在背面。在第一个场景中,我们的团队一帧一帧地举行视频播放,直到他们发明了一个练习生在本身的小隔间登录笔记本电脑的画面。笔记本电脑上贴了一张便签,上面写着谁人练习生的新密码。这个看似友爱的视频却充满了许多内容,很轻易被用来损坏公司的平安。

来自阴郁面的症结要点

虽然交际收集确切各不雷同(每一个网站都有差别的形式和差别的可分享的文件范例,个中有些网站在世界上的某些处所要比其他处所更受迎接) ,但它们都有一个共同点,就是这些处所的用户都盼望分享。 这使得交际媒体平台成为进击者查找某公司内部信息和提拔风险的绝佳所在。

以下是一些发起,可以确保你的练习生、新员工以至老员工不会由于他们对交际媒体的热忱而暴露一些可以会协助黑客完成进击目的的内容:

· 不要省去平安培训——确保你的练习生和新员工都把这作为他们入职历程的一部份。 你可以经由历程协助他们明白黑客可以运用看似无害的信息的体式格局来让这个历程变得风趣和有用。

· 重新斟酌你的交际媒体平安政策——不要试图草拟一份人们不太可以浏览的冗杂政策。涵盖最主要的划定规矩,包括那些与防止平安风险相干的划定规矩——而不仅仅是隐私和行动最好实践。让员工浏览政策并亲身具名。

· 对主管和交际团队举行培训让他们发明风险——培训你的交际媒体和数字团队,经由历程平安团队检察宣布到交际收集或任何其他外部平台的视觉内容。关于管理者来讲,特别是那些监视新员工或练习生的主管,也应当接收这类培训。培训你的员工在浏览内容时问本身以下题目:“假如进击者看到了这个,会对他们的进击运动有什么协助?”

· 竖立一个特地照相片的平安地区——公司应当平安地分享员工事情时的照片。斟酌在办公室指定一个特地的地区,一切敏感信息都被移除——比方某一个休息室或一组沙发、桌子和书桌——作为平安的照相地区。当员工在这个地区照相时,提示他们摘掉工牌也无伤大雅。

· 回忆季节性的重点——让你的平安团队在练习的第一周以及员工可以宣布敏感信息的其他时候亲昵监控交际媒体动态。这些运动可以包括公司的大型运动或办公室的交际运动。经由历程如许做,团队可以在被将来的进击者发明之前疾速删除任何风险的帖子。

· 雇佣黑客——X-Force 红队的那些黑客一样,被某些公司雇佣来试图伤害他们的雇员、体系、应用程序和其他敏感资产。他们运用与罪犯雷同的东西、手艺和做法,可以协助肯定哪些员工点击了可疑链接,哪些员工在交际媒体渠道上宣布了太多信息,哪些员工为潜伏的进击者打开了大门。公司可以应用这些信息来革新他们的平安意识设计,供应基于角色的培训,并重新斟酌掌握来增强他们的平安。

本文翻译自:https://securityintelligence.com/posts/interns-and-social-media-a-goldmine-for-hackers/


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明发掘 OSINT 金矿——实习生和交际媒体
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址