Zip File, мамкины хацкеры. Вы часто задаёте мне дурацкие вопросы из разряда, Денчик, какой операционной системой ты пользуешься? Что юзаешь для анонимности? Какие сервисы VPN в 2020 считаются незашкварными и прочий подобный бред. Обычно, большую часть таких запросов, я игнорирую. Однако в предшествии нового года, находясь в каком-то таком, блаженном состоянии меланхолии и внутренне чувствуя приближение праздника, хочется сделать небольшое доброе дело.

Порадовать подписчиков сюжетом на тему, запрос по которой наиболее часто всплывает в моей личке вконтакте. Ну не считая, конечно, просьб поломать e-mail или инстач чей-то девушки. Это дерьмо прям святое и приходит с завидной периодичностью 24/7.

Однако, нынче речь пойдёт об орудиях труда, используемых мною в качестве основных в арсенале социального инженера, к коим я на минуточку думается имею право себя причислять, учитывая диплом психолога и многолетний опыт работы в среде инфосека.

В любом случае, эти инструменты достаточно популярны и ими пользуются все без исключения мастера вишинга, фишинга и тотального доксинга. Так что, если, вы по какой-то причине ещё не знакомы с ними, настало время исправить это досадное упущение. Погнали.

SET

И начнём мы наш топ со встроенного в Kali Linux инструмента под названием SET. Social Engineer Toolkit — это фреймворк с открытым исходным кодом предназначенный для тестирования на проникновение с использованием элементов социальной инженерии.

SET имеет ряд векторов атак по запросу, которые позволяют вам быстро совершить правдоподобную атаку. Его создатель, Дэвид Кеннеди, создал поистине потрясающий инструмент, позволяющий при подготовке к фишингу творить фантастические чудеса.

С его помощью можно в автоматическом режиме создавать заражённые файлы, собирать личные данные и даже полностью клонировать любой веб-сайт в интернете под ключ.

Данный фреймворк регулярно обновляется и недавно даже появилась экспериментальная версия под MacOS, что конечно же не может не радовать адептов яблочного гиганта по типу меня.

Так что, если вы ещё не ознакомились с возможностями SET’а – рекомендую сделать это сразу после просмотра этого видео. Без него тернистый путь в мир социальной инженерии нынче уже просто невозможно представить.

IntelTechniques

Следующий инструмент, вернее даже не инструмент, а сервис с базой, состоящей из специфических поисковых систем, называется IntelTechniques. Его создатель – Майкл Баззелл является признанным экспертом в вопросах поиска и сокрытия личности людей в Интернете.

На сегодняшний день данная база включает в себя огромную коллекцию инструментов позволяющих пробить человека по социальным сетям, по телефонному номеру, IP-адресу и даже с помощью реверсивного поиска по фотографии.

Плюс ко всему, они единственные, кто проводят реально толковые полноценные тренинги по OSINT’у за адекватную цену. Так что, если вы уже порядком поднаторели в теме и при этом неплохо знаете инглиш – рекомендую. Это действительно толковое вложение в ваше будущее.

FOCA

Само собой, подготавливая топ инструментов социального инженера, я не мог обойти стороной тулзы для извлечения метаданных. На просторах сети их представлено так много, что диву даёшься откуда они только берутся.

Но я бы хотел порекомендовать вам старую добрую FOC’у анонсированную на DEF CON’e в далёком 2010 году группой бразильских хацкеров и на удивление актуальную по сей день.

Правда в какой-то момент её перекупили ребята из Eleven Paths, но сути дела это не особо никак меняет. Достойной альтернативы для скоростной обработки файлов с последующим извлечением полезные метаданных за прошедшие годы так и не появилось.

Единственный косяк – данная софтина работает сугубо на Windows, поэтому приходится всегда держать наготове Мелкомягкую виртуалку. Но, поверьте, быстрота и качество работы FOC’и компенсируют весь сопутствующий этому геморрой.

Maltego

Четвёртый инструмент в нашем списке, который просто смерти подобно игнорировать, если речь заходит об арсенале соц. инженера, это конечно же Maltego.

Проматерь представляет собой идеальное средство для хранения и визуальной систематизации данных из внешних источников. С помощью Maltego можно отслеживать, анализировать и выявлять связи между информацией, собранной в самых разных ресурсах сети.

Пользоваться данной прогой реально одно удовольствие. На официальном сайте можно найти обучающие видосы и практические курсы для продвинутого изучения.

Матка работает на всех известных операционных системах и ко всему прочему имеет приличную бесплатную версию, которая хоть и не обновляется так регулярно, как коммерческий PROпродукт, для ознакомительных целей подходит более чем.

Если будет спрос, могу даже сделать отдельно обзорное видео по Мальтего. Так что пишите в комментах, насколько вам интересна данная тема и стоит ли прикладывать усилия в этом вопросе.

Google

И последний сервис в нашем сегодняшнем топе, как бы странно это не прозвучало – Google. Увы, но ничего лучше для быстрого поиска человечество пока не придумало.

Правда мало кто знает, что грамотно гуглить тоже надо уметь. Тупо вбивать обширный поисковый запрос аля «Иванов Иван» и затем листать десятки тысяч страниц в надежде хоть что-то нарыть – по меньшей мере глупо и не продуктивно.

Для эффективной работы нужно использовать специальные операторы, позволяющие отфильтровать информацию в контексте определённых страниц или конкретных типовых документов.

Более подробно о самых распространённых операторах в гугле применяемых современными социальными инженерами мы с вами поговорим уже в следующем выпуске, который выйдет буквально через несколько дней.

Ну а пока, не забываем поставить лайк под этим видосом и оформляем подписочку на канал, если хотите, чтобы в вашей ленте и впредь регулярно появлялись полезные ролики на тему этичного взлома, пентестингу и социальной инженерии.

В заключении по традиции желаю всем удачи, успеха и самое главное, продуктивного поиска инфы в Интернете. Берегите себя и свои данные. Старайтесь не демонстрировать их общественности, если вы конечно не блогер.

И помните, Интернет хранит всё. Любая информация, когда-либо попавшая в сеть, остаётся в ней навсегда. И многим людям стоит серьёзных усилий, чтобы удалить оттуда стрёмную инфу о себе.

Не скажу, что это совсем нереально. Тут вопрос упирается скорее в финансовые возможности, но многие оставляют столько следов, на затирание которых может уйти в прямом смысле не один год.