Piensan que soy su departamento de TI ... ¿Qué hacer al respecto?

4

Se me ha pedido que pruebe los agujeros de seguridad de una empresa. Creé una cuenta de correo electrónico que se parece a la dirección de su departamento de TI y todo el mundo está cumpliendo :) Solo les he pedido que me envíen algunas cosas simples como sus IP de WAN. Sin embargo, quiero ir un paso más allá, ¿quizás algún acceso de puerta trasera? o algunos archivos de su computadora? Nada malicioso, cosas de sombrero blanco, etc.

¿Qué me recomiendan en el próximo correo electrónico?

    
pregunta Duclaws 28.06.2013 - 23:28
fuente

1 respuesta

9

Primero que nada, lo que estás haciendo suena como un bolígrafo. prueba / prueba de seguridad. Es muy importante al hacer este tipo de prueba para asegurarse de que tiene un documento de alcance firmado por alguien con autoridad en la empresa que está realizando la prueba, ya que sin eso podría hacer algo con lo que la empresa no estaría contenta. Además, sin la autorización de la empresa, algunas acciones infringirán las leyes locales sobre delitos informáticos.

Suponiendo que tenga una autorización general para los ataques de estilo de "ingeniería social", dependerá de su objetivo.

  • Pedirle a un usuario que abra un archivo que le dé acceso a la red interna sería una opción (usar algo como SET o Metasploit para generar la carga útil
  • Pida a un usuario que proporcione su contraseña. De acuerdo con su alcance, si es exitoso, puede usar esto para acceder a sistemas de correo web para demostrar que los atacantes pueden obtener acceso no autorizado a la información de la compañía de esta manera.
respondido por el Rоry McCune 28.06.2013 - 23:34
fuente

Lea otras preguntas en las etiquetas