(подписывайтесь на https://t.me/dorofeevvi)
"Черный ящик"? Когда Заказчик не дает аудиторам, исполнителям, специалистам (назовите как хотите) никаких данных. Плюсы и минусы такого подхода для Заказчика и для Исполнителя можем разобраться позже.
Так с чего начать аудит по "черному ящику"?
1) Анализ web-сайта организации (пока исключая сканирование).
а) находится на внешнем хостинге или на ресурсах организации. Если на ресурсах организации, то это может дать информацию о других хостах (ip-адресах).
б) контактные адреса, информацию на другие ресурсы, которые есть на сайте.
2) Составление списка социальных сетей сотрудников организации (поиск по месту работу в различных социальных сетях).
3) Серфинг сети для поиска электронных почтовых адресов сотрудников и списка сотрудников.
4) Исходя из первых трех пунктов сформируется перечень:
а) перечень социальных страниц сотрудников исследуемой организации;
б) перечень электронных почтовых адресов сотрудников;
в) списки потенциальных сотрудников организации. Скорее всего из анализа пункта 2 вы уже поняли правило при создании электронных почт, а значит можете воспользоваться сервисами по транслитерации (например, https://transliteration-online.ru/).
г) полученные электронные адреса из пунктов б) и в) можно проверить на предмет утечек по базам данных.
5) Вам осталось придумать текст фишинговой рассылки по электронной почте и собирать результаты.
По итогам 5 (пяти) пунктов вы можете предоставить Заказчику следующие результаты и потенциальные векторы атак.
1) перечень социальных страниц сотрудников. Некоторым Заказчикам мы предоставляли информацию о количество часов в режиме "онлайн" по этим соцстраницам (включая рабочее время). При этом вполне могут быть фотографии в открытом доступе с корпоративных мероприятий.
2) перечень электронных почт и результаты фишинговой рассылки.
3) в случае расположения web-сайта на внутренний ресурсах - карту вектора следующих атак.
4) план дальнейших действий для согласования Заказчиком.
