Ha surgido una oportunidad para que realice un "ataque de piratería real" en un programa de televisión. El objetivo es atacar la sede de la televisión y causar el mayor caos posible. La idea es mostrar cómo una empresa necesita mejorar su seguridad o "pueden pasar cosas realmente malas".
La administración estará al tanto del ataque y todos los documentos legales correspondientes se firmarán y aprobarán de antemano. Otros empleados no tendrán idea.
Habrá una cámara grabando en la oficina atacada (oculta, para que los empleados no sospechen), y otra grabando "el atacante".
Algunas cosas pueden ser "falsificadas" para un efecto dramático, pero queremos mostrar cómo es un ataque real. Habrá un "día de empeño" en el que a las 12:00 AM se llevará a cabo el ataque
Tengo 2 meses para preparar esto. He tenido experiencia previa en pruebas de penetración, en su mayoría aplicaciones web y wi-fi. No tengo experiencia directa con malware o phishing, pero conozco la teoría.
He pensado en qué ataques mostrar y realizar:
Antes del "día de empeño":
- Envíe una campaña de phishing con un documento Excel adjunto con malware
- Use LinkedIn para encontrar el nombre del CEO y enviar los correos electrónicos de phishing falsificando su cuenta de correo electrónico para credibilidad
- Usa la ingeniería social y infíltrate como un "reparador". Stuck "mal USB "en todas partes. Todo esto mientras llevas una cámara oculta".
Durante el ataque del "día de empeño":
- Las máquinas infectadas con malware de la campaña de phishing bloquearán la pantalla con un mensaje de humor
- Las máquinas infectadas con malware de los USB malvados bloquearán la pantalla con un mensaje humorístico diferente
- Un "bombardero por correo" llenará las bandejas de entrada de todos
- Un "bombardero de Skype" llamará a todos en la oficina al mismo tiempo
- DDOS fuertes del sitio web
Mis preguntas son las siguientes:
- ¿Qué otros ataques puedo realizar que sean "visuales" para un programa de televisión?
- ¿Alguna sugerencia sobre la implementación de los ataques?
- ¿Es realista? Como profesionales y expertos, qué les gustaría ¿Ves?
Recuerde que la intención es educativa para el público en general, pero no debe mostrar elementos inventados que alarmarían a los profesionales de InfoSec experimentados.