Надмірне розкриття у соціальних мережах
See how attackers exploit your public profiles.
Що ви дізнаєтесь у Надмірне розкриття у соціальних мережах
- Визначати конкретні типи публікацій у соціальних мережах, що розкривають особисту, фінансову та організаційну інформацію зловмисникам
- Проводити аудит особистого цифрового сліду у LinkedIn, Facebook, Instagram та X для оцінки поточного рівня відкритості
- Налаштовувати параметри конфіденційності окремих платформ для обмеження публічної видимості конфіденційних особистих та професійних даних
- Пояснювати, як зловмисники використовують OSINT-техніки для поєднання фрагментованих даних із соціальних мереж у цільові phishing-кампанії
- Розпізнавати, як корпоративні сторінки у LinkedIn, каталоги працівників та організаційні схеми створюють поверхню атаки для whaling та BEC
Надмірне розкриття у соціальних мережах — Кроки навчання
-
вступ
Ранок понеділка, і Аліса починає свій день із перевірки електронної пошти своєї компанії.
-
Оголошення компанії
Аліса отримує внутрішній електронний лист компанії з нагоди успішної презентації Майка Стівенса на нещодавній конференції з кібербезпеки. Електронний лист заохочує співробітників переглянути записану презентацію та залишити вітальні коментарі.
-
Натиснувши посилання
Аліса натискає посилання OurTube з електронного листа.
-
Пропуск презентації
Аліса вирішує переглянути відео пізніше, після закінчення робочого дня. Якби вона подивилася це, вона б дізналася, що під час розмови Майк згадав, що Nexlify Solutions працює над кількома захоплюючими проектами з великими клієнтами, хоча він не розкрив конкретних деталей через угоди про конфіденційність.
-
Опублікувати коментар
Аліса прокручує сторінку вниз, щоб знайти розділ коментарів і залишити підбадьорливий коментар. Роблячи це, вона випадково ділиться внутрішньою інформацією компанії.
-
Аналіз відео Боба
Тим часом Боб також знайшов те саме відео конференції OurTube. Однак його інтерес полягає не в тому, щоб привітати Майка – він аналізує аудіо, щоб витягнути зразки голосу. Боб використовує спеціалізоване програмне забезпечення, щоб виділити мовлення Майка, його тон, акцент і вокальні характеристики з 45-хвилинної презентації. Боб збирає ключові фрази та слова, які використовує Майк, звертаючи увагу на його бостонський акцент і професійний стиль розмови. Ці аудіодані стануть основою для створення переконливого клону голосу ШІ.
-
Натхнення LinkedIn
У своєму коментарі до презентації Майка Аліса згадала про майбутній проект SecureTech — інформацію, яка мала залишатися приватною для компанії та не розголошуватися публічно. Відчуваючи натхнення поділитися власними професійними досягненнями, Аліса згадує свій поточний проект із Сарою для SecureTech Corp. Вона вирішує, що це ідеальний вміст для публікації в LinkedIn, щоб продемонструвати її роботу та відзначити командну роботу.
-
Створення публікації
Аліса створює публікацію в LinkedIn про свою роботу, ненавмисно ділячись ще більш конфіденційною інформацією про компанію.
-
OSINT-відкриття Боба
Автоматичні інструменти моніторингу Боба сповіщають його про нову публікацію Аліси в LinkedIn за кілька хвилин. Тепер він має цінні відомості: Аліса є керівником проекту SecureTech Corp Сара Джонсон є членом її команди Проект передбачає впровадження безпеки інфраструктури Аліса має колегіальні стосунки з Майком Стівенсом Компанія має поточні гучні проекти Боб порівнює цю інформацію з попередніми коментарями Аліси, підтвердження зв'язків між цими працівниками.
-
Використання розвідки соціальних медіа
Боб використовує всю інформацію, яку Аліса несвідомо надала через свою діяльність у соціальних мережах. Тепер він може згадувати Сару по імені, конкретно посилатися на проект SecureTech і видавати себе за Майка, оскільки Аліса його знає та поважає. Боб створює правдоподібний терміновий сценарій на основі публічних дописів Аліси та готується розпочати атаку.