Социальная инженерия и этичный хакинг на практике
معرفی کتاب «Социальная инженерия и этичный хакинг на практике» نوشتهٔ Джо Грей، منتشرشده توسط نشر ДМК Пресс در سال 2023. این کتاب در فرمت pdf، زبان انگلیسی ارائه شده است.
От издательства Об авторах О техническом рецензенте Благодарности Предисловие Часть I ОСНОВЫ 1 Что такое социальная инженерия? Важные понятия социальной инженерии Предлог Разведка по открытым источникам Фишинг Целевой фишинг Вейлинг Вишинг Приманка Мусорные баки Психологические концепции в социальной инженерии Влияние Манипуляции Взаимопонимание (раппорт) Шесть принципов влияния доктора Чалдини Симпатия или эмпатия? Вывод Этические соображения в социальной инженерии Этическая социальная инженерия Соблюдение границ Понимание юридических аспектов Особенности предоставления услуг третьей стороны Подведение итогов после вторжения Практический пример: социальная инженерия зашла слишком далеко Этические рамки OSINT Защита данных Соблюдение законов и правил Практический пример: этические ограничения социальной инженерии Вывод Часть II Наступательная социальная инженерия Подготовка к атаке Согласование с клиентом Ознакомление с задачей Определение целей Определение методов Разработка удачных предлогов Использование специализированных ОС для социальной инженерии Последовательные фазы атаки Практический пример: почему изучение задачи имеет значение Вывод Бизнес-разведка по открытым источникам Практический пример: почему OSINT имеет значение Разберемся с типами OSINT Сбор данных OSINT об организации Получение базовой бизнес-информации из Crunchbase Идентификация владельцев веб-сайтов с помощью WHOIS Сбор OSINT из командной строки с помощью Recon-ng Вывод Социальные медиа и публичные документы Анализ социальных сетей для сбора OSINT LinkedIn Доски объявлений и карьерные сайты Facebook (Meta) Instagram Использование Shodan для OSINT Использование параметров поиска Shodan Поиск IP-адресов Поиск доменных имен Поиск имен хостов и субдоменов Делаем автоматические скриншоты с помощью Hunchly Вывод Сбор OSINT о людях Использование инструментов OSINT для анализа адресов электронной почты Выяснение того, был ли пользователь взломан Составление списка учетных записей социальных сетей с помощью Sherlock Составление списка учетных записей веб-сайтов с помощью WhatsMyName Анализ паролей с помощью Pwdlogy Анализ изображений цели Ручной анализ данных EXIF Анализ изображений с помощью ExifTool Анализ социальных сетей без инструментов LinkedIn Instagram Facebook Twitter Пример из практики: неожиданно информативный ужин Вывод Фишинг Настройка фишинговой атаки Настройка защищенного экземпляра VPS для фишинговых целевых страниц Выбор платформы электронной почты Покупка доменов для рассылки и целевых страниц Настройка инфраструктуры фишинга и веб-сервера Дополнительные действия для успешного фишинга Использование пикселей отслеживания Автоматизация фишинга с помощью Gophish Добавление поддержки HTTPS для фишинговых целевых страниц Использование сокращенных URL-адресов в фишинге Использование SpoofCard для спуфинга вызовов Соглашение о сроках проведения атаки Практический пример: серьезный фишинг за 25 долларов Вывод Клонирование целевой страницы Пример клонированного сайта Страница входа Страница критичных вопросов Клонирование веб-сайта Поиск страниц входа и профиля пользователя Клонирование страниц с помощью HTTrack Изменение кода поля входа Добавление веб-страниц на сервер Apache Вывод Обнаружение, измерение и отчетность Обнаружение Измерение Выбор показателей Отношения, медианы, средние значения и стандартные отклонения Количество открытий писем электронной почты Количество переходов Ввод информации в формы Действия жертвы Время обнаружения Своевременность корректирующих действий Эффективность ответных действий Количественная оценка риска Составление отчетов Знайте, когда звонить по телефону Написание отчета Вывод Часть III Защита от социальной инженерии Опережающие способы защиты Программы повышения осведомленности Как и когда проводить обучение Некарательная политика Поощрение за хорошее поведение Проведение фишинговых кампаний Репутация и OSINT-мониторинг Реализация программы мониторинга Аутсорсинг Реагирование на инциденты Процесс реагирования на инциденты по версии SANS Реагирование на фишинг Реагирование на вишинг Реагирование на сбор OSINT Управление вниманием СМИ Как пользователи должны сообщать об инцидентах Технический контроль и изоляция Вывод Инструменты управления электронной почтой Стандарты Поля «От кого» Стандарт DKIM Инфраструктура политики отправителя Аутентификация сообщений на основе домена, отчетность и соответствие Уровень шифрования TLS МТА-STS TLS-RPT Технологии фильтрации электронной почты Другие средства защиты Вывод Методы выявления угроз Использование Alien Labs OTX Анализ фишингового письма в OTX Создание импульса Анализ источника электронной почты Ввод индикаторов Тестирование потенциально вредоносного домена в Burp Анализ загружаемых файлов Проведение OSINT для анализа угроз Поиск в базе VirusTotal Выявление вредоносных сайтов в WHOIS Обнаружение фишинга с помощью PhishTank Просмотр ThreatCrowd Консолидация информации в ThreatMiner Вывод Приложение 1 Обзорные таблицы для подготовки контракта Приложение 2 Шаблон отчета Приложение 3 Сбор рабочей информации Приложение 4 Примеры предлогов для контакта Приложение 5 Упражнения для развития навыков социальной инженерии Предметный указатель A guide to hacking the human element.Even the most advanced security teams can do little to defend against an employee clicking a malicious link, opening an email attachment, or revealing sensitive information in a phone call. Practical Social Engineering will help you better understand the techniques behind these social engineering attacks and how to thwart cyber criminals and malicious actors who use them to take advantage of human nature.Joe Gray, an award-winning expert on social engineering, shares case studies, best practices, open source intelligence (OSINT) tools, and templates for orchestrating and reporting attacks so companies can better protect themselves. He outlines creative techniques to trick users out of their credentials, such as leveraging Python scripts and editing HTML files to clone a legitimate website. Once you've succeeded in harvesting information about your targets with advanced OSINT methods, you'll discover how to defend your own organization from similar threats. You'll learn how to: Apply phishing techniques like spoofing, squatting, and standing up your own web server to avoid detection Use OSINT tools like Recon-ng, theHarvester, and Hunter Capture a target's information from social media Collect and report metrics about the success of your attack Implement technical controls and awareness programs to help defend against social engineering Fast-paced, hands-on, and ethically focused, Practical Social Engineering is a book every pentester can put to use immediately. A guide to hacking the human element. Even the most advanced security teams can do little to defend against an employee clicking a malicious link, opening an email attachment, or revealing sensitive information in a phone call. Practical Social Engineering will help you better understand the techniques behind these social engineering attacks and how to thwart cyber criminals and malicious actors who use them to take advantage of human nature. Joe Gray, an award-winning expert on social engineering, shares case studies, best practices, open source intelligence (OSINT) tools, and templates for orchestrating and reporting attacks so companies can better protect themselves. He outlines creative techniques to trick users out of their credentials, such as leveraging Python scripts and editing HTML files to clone a legitimate website. Once youve succeeded in harvesting information about your targets with advanced OSINT methods, youll discover how to defend your own organization from similar threats. Youll learn how Fast-paced, hands-on, and ethically focused, Practical Social Engineering is a book every pentester can put to use immediately. "This book explains how attackers leverage human psychology and publicly available information to target and exploit victims, and outlines ways to defend against social engineering attacks. It explores the ethical decision-making process of the social engineer when implementing a phishing engagement. Includes case studies throughout"-- Provided by publisher
دانلود کتاب Социальная инженерия и этичный хакинг на практике