Entrar no CPD do Supermercado Bahamas
por Filipe Quina
1. Fazer buscas pelo Google Hacking para buscar arquivos .SQL , .txt ou .pdf que não foram devidamente indexados.
1.1. Uma vez localizados emails adicionais(talvez de fornecedores para um outro futuro ataque), posso adicionar a minha lista de emails, e tentar pesquisar pelo nome do email mais informações com auxilio de redes sociais e também o Google Hacking para ver se a pessoa deixou rastros pessoais e/ou profissionais soltos na rede.
1.1.1. http://www.bahamas.com.br/adm_conteudo/uploads/organograma.pdf
1.2. caso ache uma pagina de acesso, tentar usar ataque de força bruta.
1.2.1. Recolher o máximo de informações(tentar entrar em horário comercial para evitar o máximo de suspeitas em relação aos acessos).
1.2.2. http://www.bahamas.com.br/adm_conteudo/Default.aspx?ReturnUrl=%2fadm_conteudo
2. Buscar ramos de atividade desta empresa, verificar sua reputação em sites como Reclame aqui.
3. Tentar infectar a rede da vitima com Malwares deixando perto das localizações geográficas pendrives infectados.
4. Tentar localizar celulares de funcionários para tentar colocar programas que monitoram a rede wifi.
5. Levantar informações no próprio site da vitima(superficial).
5.1. Coleta de horário de funcionamento, localização geográfica, se possui mais filiais, se tiver onde se encontram
5.1.1. buscar contato com as demais filiais(se possuírem).
5.2. Ligar para eles para tentar coletar mais informações que irão complementar com que obtive no site.
6. Levantar informações no próprio site da vitima(mais profundo)
6.1. Usar o comando whois no site deles para pegar informações(qual servidor, quem é o responsável, CNPJ).
6.1.1. Levantar informações sobre este responsável pelo domínio (buscar nas redes sociais para levantar dados pessoais como gosto para música e etc.)
6.1.2. Tentar levantar alguma pendência sobre este CNPJ para um possível uso de engenharia social.