Dumpster diving é um método de obter informações sobre uma empresa apenas examinando seu lixo. Essa técnica era muito popular, especialmente nos anos 90, quando muitos hackers da "velha escola", como Kevin Mitnick, tinham conseguido hackear grandes empresas apenas descobrindo informações críticas através de seu lixo. Isso prova que empresas e organizações devem levar em consideração como administram e destruírem o lixo para mitigar essa ameaça.
Atualmente, o mergulho em lixeira pode fazer parte do teste de invasão física. As informações que o pentester deve coletar o ajudarão a construir seu cenário de ataque. Neste artigo, examinaremos o que um pentester deve procurar quando estiver realizando um mergulho.
Informação do empregado
Os documentos que contêm informações sobre nomes, departamentos, etc. de funcionários são muito importantes, pois podem ser usados durante o pentest físico, como informações válidas. Saber as informações internas permitirá estabelecer mais facilmente a confiança, conforme você aparece como alguém válido para empresa.
Emails
Obviamente, você pode encontrar e-mails corporativos e de outras fontes como o Linkedin, site oficial etc. mas também documentos contendo algum endereço de e-mail é sempre uma boa descoberta, pois você poderá descobrir informações internas e também a estrutura das contas de e-mail dentro da empresa.
Referencias:
Email Permutator
theHarvester
Diagramas de Rede
Diagramas sobre a rede interna da empresa também podem ser encontrados no lixo. Os diagramas de rede em muitos casos contêm endereços IP, nomes de servidores, intervalos de rede e IPs de roteadores que podem permitir que o pentester tenha uma melhor compreensão sobre a rede e quais recursos são importantes.
Papéis
Esses tipos de documentos podem ajudar o pentester a criar falsificações dos documentos. Isso é essencial para qualquer engajamento de engenharia social, pois você pode enganar os funcionários para executar a ação desejada.
Faturas
As faturas revelam informações sobre os clientes e parceiros da empresa. Isso pode ser muito útil, pois o pentester pode usar essas informações para se disfarçar de funcionário da empresa, o que, nesse cenário, lhe proporcionará um acesso fácil ao alvo.
Usuários e senhas
É bastante comum que muitos funcionários da empresa mantenham seus nomes de usuário e senhas em notas adesivas. Essas informações podem ser encontradas com frequência no lixo, pois os administradores estão impondo que as senhas sejam alteradas a cada dois ou três meses. Essa descoberta revelará como nomes de usuário e senhas são construídas e com um pouco de sorte, algumas delas podem ser válidas.
Manuais e procedimentos operacionaisManuais e procedimentos operacionais são frequentemente encontrados no lixo da empresa. Isso ocorre porque esses documentos são atualizados com frequência e as versões mais antigas não são mais necessárias. Geralmente, nesses documentos, há muitas informações sobre processos e sistemas internos.
Assinaturas
Os documentos que contêm assinaturas especialmente de pessoas autorizadas, como CEOs, chefes de departamento e gerentes de contas, também são importantes, pois a assinatura pode ser facilmente copiada e usada em vários cenários como um documento de autorização válido.
Papel rasgado
Mesmo que muitas empresas estejam usando máquinas trituradoras para destruir seus documentos efetivamente, isso em algumas ocasiões não parece suficiente. Isso ocorre porque alguns trituradores não misturam suas lâminas quando estão destruindo o papel para que o papel seja triturado em tiras. Se você descobrir um pedaço de papéis em tiras, poderá tentar reconstruir o papel por conta própria ou usar uma solução de software como o unshredder.
Extra-off; cena do filme whoami
https://www.youtube.com/watch?time_continue=2803&v=Bb8Wrhifs84
Nenhum comentário:
Postar um comentário