Reality Check: crear caos en una oficina

4

Ha surgido una oportunidad para que realice un "ataque de piratería real" en un programa de televisión. El objetivo es atacar la sede de la televisión y causar el mayor caos posible. La idea es mostrar cómo una empresa necesita mejorar su seguridad o "pueden pasar cosas realmente malas".

La administración estará al tanto del ataque y todos los documentos legales correspondientes se firmarán y aprobarán de antemano. Otros empleados no tendrán idea.

Habrá una cámara grabando en la oficina atacada (oculta, para que los empleados no sospechen), y otra grabando "el atacante".

Algunas cosas pueden ser "falsificadas" para un efecto dramático, pero queremos mostrar cómo es un ataque real. Habrá un "día de empeño" en el que a las 12:00 AM se llevará a cabo el ataque

Tengo 2 meses para preparar esto. He tenido experiencia previa en pruebas de penetración, en su mayoría aplicaciones web y wi-fi. No tengo experiencia directa con malware o phishing, pero conozco la teoría.

He pensado en qué ataques mostrar y realizar:

Antes del "día de empeño":

  • Envíe una campaña de phishing con un documento Excel adjunto con malware
  • Use LinkedIn para encontrar el nombre del CEO y enviar los correos electrónicos de phishing falsificando su cuenta de correo electrónico para credibilidad
  • Usa la ingeniería social y infíltrate como un "reparador". Stuck "mal USB "en todas partes. Todo esto mientras llevas una cámara oculta".

Durante el ataque del "día de empeño":

  • Las máquinas infectadas con malware de la campaña de phishing bloquearán la pantalla con un mensaje de humor
  • Las máquinas infectadas con malware de los USB malvados bloquearán la pantalla con un mensaje humorístico diferente
  • Un "bombardero por correo" llenará las bandejas de entrada de todos
  • Un "bombardero de Skype" llamará a todos en la oficina al mismo tiempo
  • DDOS fuertes del sitio web

Mis preguntas son las siguientes:

  • ¿Qué otros ataques puedo realizar que sean "visuales" para un programa de televisión?
  • ¿Alguna sugerencia sobre la implementación de los ataques?
  • ¿Es realista? Como profesionales y expertos, qué les gustaría ¿Ves?

Recuerde que la intención es educativa para el público en general, pero no debe mostrar elementos inventados que alarmarían a los profesionales de InfoSec experimentados.

    
pregunta Solzhenitsyn's Revenge 12.04.2018 - 18:53
fuente

1 respuesta

2

No es necesario buscar en Linkedin el correo electrónico del CEO, ¿por qué no preguntar a la administración? Si firmaron los papeles, estarán dispuestos a ayudarlo. Y debe enviar correos electrónicos como soporte o recursos humanos, el CEO generalmente no envía a los empleados por correo.

Llenar los buzones y bloquear las computadoras hace el mismo daño que simplemente bloquear la computadora. No hay necesidad de hacer eso.

No necesitas BadUSB (y no deberías usarlo) para bloquear las computadoras, acceder al controlador de dominio como administrador del dominio es suficiente. Y la gente sospechará si ven al "reparador" insertando una unidad USB en cada computadora de la oficina. En los 2 meses, phish un administrador y agarra las credenciales.

El DDoS en el sitio web no se ve bien en la televisión y no es un "hacking real".

Bloquear las computadoras, hacer sonar todos los teléfonos, controlar las lámparas de IoT e imprimir mensajes será mejor en la TV.

    
respondido por el ThoriumBR 12.04.2018 - 23:41
fuente