Пентест для начинающих: Введение в фишинг

В процессе работы, у кого-то легальной, у кого-то не очень, нередко возникает потребность в реализации фишинг-атак. Зачем? Как показывает практика, это зачастую наиболее пробивной и простой вариант для получения доступа к целевой системе. Почему? Разработкой и настройкой веб-сайтов, серверов, прочих сетевых устройств, занимаются по большей части компетентные люди, а о защите конечных пользователей, например, службы поддержки, секретарей и прочих личностей, думают в последнюю очередь. Естественно, атаки возможны и на более квалифицированный персонал, но об этом чуть позже.

Начнем с начала, а точнее с определения, что такое фишинг. Фишинг - вид мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей, например, учетным данным от рабочей станции или какого-либо веб-сервиса.

Какие используются методы? Наиболее популярные способы: рассылка писем, создание поддельных веб-сайтов (тесно связано с предыдущим способом), сообщения через социальные сети и прочие средства коммуникации, физический уровень (вроде популяризованного посредством сериалов разбрасывания флешек).

Рассмотрим подробнее процесс создания веб-ресурсов под фишинг, так как данный процесс является одним из наиболее часто используемых, вдобавок является неотъемлемым элементом в других способах.

Читать далее (внешняя ссылка)

Конкурс ВКонтакте

В последнее время ВКонтакт стал регулярно проводить конкурсы, суть которых состоит в приглашении "друзей" на сайт.
Я решил посмотреть, какие возможности для приглашения существуют. Навскидку можно выделить следующие способы:

- покупка зарубежного траффика
- реклама на зарубежных сайтах
- приглашение средствами контакта

Так как траффик покупать невыгодно (хотя, если сделать хороший лендинг под такое, то будет больше толку), а сайта с зарубежной аудиторией у меня не имеется, то остался только третий вариант.

Пригласить друзей через вконтакт можно двумя способами: личное приглашение на одиночный email и типовые приглашения по контакт-листу заданного почтового ящика (массовый импорт контактов).

Первый способ показался мне слишком медленным, так как контакт лимитирует частоту обращения к своим страницам, то реальная скорость получается ~2-3 приглашения в секунду. Второй способ позволяет отправлять типовые сообщения по списку email'ов, то есть скорость возрастает на несколько порядков (я пробовал отправлять по 500 приглашений за один запрос с задержкой 400 мс).

Для второго способа написал небольшой скрипт на perl, автоматизирующий данный процесс (приглашения рассылаются по заданной базе емейлов). Приглашения приходят с некоторой задержкой, однако, в процессе проведения теста по моим приглашениям зарегистрировалось примерно 100 человек.

Скрипт: скачать

P.S. Не забудьте сменить язык на английский в настройках Вашего аккаунта.