SEQuest – конкурс по социальной инженерии
Конкурс представляет собой соревнование в soft-skills навыках, близких, используемым в социальной инженерии. Вдохновлен книгами Кевина Митника и практикой социальной инженерии организаторов. Хотели почувствовать себя мошенником и «поломать» людей? Это сюда.
Наша цель — повышение осведомленности об уязвимостях, которые могут использоваться злоумышленниками в рамках социальной инженерии.
Правила конкурса
Внимание!
Запрещено подделывать, копировать, использовать чужие бейджи или заготовки бейджей!
Такие действия не входят в перечень заданий конкурса SEQuest и нарушают правила фестиваля.
В случае обнаружения подобных нарушений или использования бейджей, не предназначенных для вас, будет привлекаться служба безопасности.
Такие действия не входят в перечень заданий конкурса SEQuest и нарушают правила фестиваля.
В случае обнаружения подобных нарушений или использования бейджей, не предназначенных для вас, будет привлекаться служба безопасности.
1.
Регистрация и доступ к заданиям
1.
Регистрация на стойке через приложение конкурса и вступление в чат конкурса обязательны перед выполнением заданий.
2.
К участию допускаются посетители фестиваля с бейджем участника.
3.
Участникам необходимо следить за статусами заданий в чате конкурса, часть заданий могут быть недоступны на старте фестиваля и открываться/закрываться в процессе проведения фестиваля. Разрешено выполнять только задания со статусом «доступно». Также задания будут менять статус на сайте конкурса.
2.
Выполнение заданий и взаимодействие с организаторами фестиваля
1.
Задания должны выполняться незаметно, не вызывая подозрений со стороны организаторов или охраны, до момента их сдачи.
2.
В случае раскрытия участника сотрудником охраны или организатором фестиваля, они вправе отобрать фейковый бейдж и/или футболку организатора, сфотографировать участника и сообщить об этом организаторам конкурса. В таком случае участник приостанавливает участие в конкурсе в этот день фестиваля, не может сдавать и выполнять задания. Попытка выполнить или сдать задание в этот день будет считаться нарушением правил.
3.
В случае раскрытия какой-либо вашей попытки выполнить задание организаторами фестиваля, необходимо извиниться, уточнить что выполняете задание конкурса SEQuest. После того как вы были остановлены охраной, препятствовать съемке вас запрещается.
4.
Манипулятивное воздействие на организаторов фестиваля и введение их в заблуждение **РАЗРЕШЕНО**, но исключительно для выполнения заданий конкурса. В случае эксплуатации, введения в заблуждение/манипуляции организатора/staffа фестиваля, необходимо запомнить/сфотографировать имя и фамилию «жертвы» и назвать его при сдаче задания.
5.
В случае выполнения заданий в команде баллы за задание делятся между всеми участниками команды.
6.
Подделка иных атрибутов, подделка которых не преследуется по закону – разрешена.
3.
Запрещенные действия
1.
Запрещено любое насилие/физическое воздействие на участников или организаторов фестиваля.
2.
Срывание бейджей, кража бейджей из кармана/сумки сотрудника, кража бейджа на глазах владельца.
3.
Вандализм/порча имущества.
4.
Умышленный сговор с организаторами фестиваля запрещен.
5.
Подделка документов, наряду с иными статьями УК РФ, строго запрещена!
6.
Передача фейковых бейджей, футболок организаторов и иных результатов выполнения заданий между участниками запрещена.
7.
Запрещена подделка доказательств выполнения заданий и введение в заблуждение организаторов SEQuest.
8.
Запрещается привлекать внимание экстренных служб в ходе участия в конкурсе.
9.
Запрещается участие в конкурсе в состоянии алкогольного либо наркотического опьянения.
10.
Запрещается использование технических средств, не предоставляемых организаторами в ходе проведения конкурса.
11.
Участникам необходимо следить за картой «красных» зон фестиваля, в рамках которых участие в конкурсе запрещено. В данных зонах правила фестиваля не действуют, и любое проникновение в данные зоны запрещено.
4.
Ограничения для участников
1.
Участие в конкурсе возможно только для лиц старше 18 лет. В случае сомнений, мы можем попросить показать паспорт.
2.
Участие в конкурсе возможно только для лиц, не работающих в компании-организаторе фестиваля.
3.
Бейджи «VIP» и «Пресса» нельзя использовать для участия в конкурсе, для этого необходимо первоначально иметь бейдж участника. Вы можете его приобрести в день фестиваля.
5.
Санкции за нарушения
1.
При любых сомнениях в доказательствах или при нарушении правил конкурса организатор вправе не зачесть выполнение задания!
2.
При нарушении правил организаторы могут дисквалифицировать участника.
Задания
Внимание!
Если талон получен от сотрудника фестиваля необходимо запомнить/сфотографировать имя и фамилию и сообщить их организатору конкурса.
Участник вправе реализовать талон в точке питания организаторов фестиваля, а не сдавать его на стойку регистрации. Обменяв таким образом сдачу задания на прием пищи.
Участник вправе реализовать талон в точке питания организаторов фестиваля, а не сдавать его на стойку регистрации. Обменяв таким образом сдачу задания на прием пищи.
Получить талоны каждого дня на питание волонтеров/организаторов
Подтверждение: сдача талона.
20
Внимание!
Если футболка получена от сотрудника фестиваля необходимо запомнить/сфотографировать имя и фамилию и сообщить их организатору конкурса.
Сделать футболку/принести оригинальную футболку организатора фестиваля
Подтверждение: передать футболку, визуально схожую с футболкой организатора, организатору на стойку конкурса.
50
Внимание!
Говорить об истинной цели заполнения запрещено, если жертва посчитает вас мошенником и сообщит об этом организаторам/охране фестиваля, вы будете считаться обнаруженным. После же успешного заполнения анкеты, обнаружение не засчитывается.
Зарегистрировать 10 участников фестиваля на специальном сайте
Сайт выдается на стойке конкурса.
Подтверждение: успешное заполнение не менее десяти участниками фестиваля с бейджем полной фишинговой анкеты. Для подтверждения каждого заполнения анкеты необходимо сделать фото с бейджем участника и экраном статуса после заполнения анкеты!
Подтверждение: успешное заполнение не менее десяти участниками фестиваля с бейджем полной фишинговой анкеты. Для подтверждения каждого заполнения анкеты необходимо сделать фото с бейджем участника и экраном статуса после заполнения анкеты!
150
Внимание!
Если стикер был получен от сотрудника фестиваля необходимо запомнить/сфотографировать имя и фамилию и сообщить их организатору конкурса.
Получить уникальный стикер с логотипом конкурса из штаба конференции
Подтверждение: передать стикер с логотипом конкурса организатору на стойку конкурса. Целевое здание штаба конференции помечено наклеенным стикером конкурса у входа.
300
Задание недоступно
Внимание!
Говорить об истинной цели постановки печати запрещено, подделывать печать, как и иные доказательства выполнения задания запрещено!
Поставить печать на выданное организатором соглашение на стойке информации фестиваля
Подтверждение: передать документ с НАСТОЯЩЕЙ печатью фестиваля организатору на стойку конкурса. Документ выдается в каждому участнику конкурса на стойке конкурса.
100
Внимание!
Предоставлять сам пароль бессмысленно, т.к. он мог быть передан иным участником, либо подобран техническими средствами.
Пройти в штаб организаторов и узнать пароль от Wi-Fi
Подтверждение: предоставить организатору конкурса свое фото на фоне написанного в штабе и читаемого на фото пароля. Целевое здание штаба конференции помечено наклеенным стикером конкурса у входа.
300
Задание недоступно
Внимание!
Предоставлять сам пароль бессмысленно, т.к. он мог быть передан иным участником, либо подобран техническими средствами.
Собрать ВСЕ пароли от точек доступа конференции
Подтверждение: предоставить организатору конкурса свое фото на фоне каждого листочка с паролем вай-фай точки в доступных конкурсу зонах и читаемого на фото пароля.
- Точка 1
- Точка 2
- Точка 3
- Точка 4
400
Задание недоступно
Внимание!
Ключевое в данном конкурсе именно не привлечь внимания и пройти в эту закрытую для участников зону незаметно или под любым предлогом. Любые попытки перепрыгнуть прилавок/пробежать/ворваться за прилавок для фото, будут вести дисквалификацию с конкурса.
Получить доступ к прилавку магазина мерча фестиваля
Подтверждение: фото или видео подтверждение того, что участник, не привлекая внимания встал за прилавок магазина. Фото может быть сделано самим участником, либо кем-либо со стороны.
200
Задание недоступно
Внимание!
Попасть в чат можно только по приглашению другого участника. Если в чат пригласили вас по ссылке, запомните никнейм/имя того, кто передал вам ссылку. Это необходимо для сдачи задания.
Получение доступа в чат организаторов конференции “ПХД КИБЕРХАБ ЗАКРЫТЫЙ”
Написать фразу “Я [Никнейм или имя участника] всем привет от конкурса по социальной инженерии!” и выйти из него.
Название целевого чата - “ПХД КИБЕРХАБ ЗАКРЫТЫЙ”. Добавление в иные чаты организаторов ЗАПРЕЩЕНЫ.
150
Внимание!
Звонки из кабинки записываются, говорить целям об истинной цели получения сведений - запрещено. Использовать нецензурную лексику - запрещено. Также запрещено звонить с личных и иных устройств, вне кабинки конкурса и вне засекаемого времени. Использование методов ОСИНТ для получения сведений также не допускается, все сведения должны быть предоставлены именно сотрудниками. Однако собирать информацию для подготовки звонка - разрешено.
Колл-центр SEQuest
Позвоните в одну из компаний с телефона из специальной кабинки у стойки конкурса. Названия компаний и телефоны будут вам предоставлены перед звонком. На звонки у вас будет 10 минут, каждый участник может воспользоваться лишь одной попыткой. Цель звонков: получить целевую информацию у сотрудников компаний.
Компания «Cуточно.ру»
- Узнайте операционную систему или наименование приложения для телефонии на рабочей станции оператора
- Узнайте точный адрес и этаж, где располагаются разработчики
- Узнайте персональный email оператора
- Узнайте личный телефон или телеграм оператора
- Узнайте телеграм аккаунт ИТ директора
- Узнайте номер телефона ИТ директора
- Узнайте корпоративную почту ИТ директора
Компания “Хозяин Сервис”
- Узнайте контактные данные генерального директора
- Узнайте адрес его места жительства
- Узнайте номер автомобиля
- Узнайте модель его телефона
- Узнайте график его перемещений
400
Сфотографируй лица багхантеров и организаторов StandOff
Подтверждение: Сделай качественное фото лица каждого участника/организатора фестиваля из списка. Отправь все фото организаторам конкурса, в случае предоставления чужих фото может последовать дисквалификация из конкурса!
- Анатолий Иванов. Чаще всего бывает там, где обитают багхантеры.
- Олег Иванов. Чаще всего бывает там, где идет битва.
- Светлана Бородина. Чаще всего бывает там где и цели 1 и 2.
- Мария Тухтанова. Ищите по активностям в канале Standoff 365.
- Милана Лукьянчикова. Чаще всего бывает около зон бизнеса.
- SidneyJob. Молодой багхантер и пентестер, найти можно будет на докладах или хакерских зонах.
100
Внимание!
Дмитрий как босс конкурса осведомлен, о данном задании и будет всячески противодействовать. Крайне рекомендуем быть максимально скрытыми при выполнении задания. Так как в случае вашего раскрытия будет запущен протокол приостановки участия, как и при любом ином раскрытии.
Слежка за боссом
Найдите на площадке босса SEQuest Дмитрия Савловича и без использования технических средств соберите следующие данные:
- Сделайте его отчетливое фото его лица.
- Узнайте его текущую должность в компании.
- Узнайте его телефон и никнейм в Телеграм.
- Узнайте его код для разблокировки Телеграмма.
Опционально, за большую сумму дополнительных баллов конкурса принесите нам отчетливое фото отпечатка большого или указательного пальца любой руки Дмитрия.
500
Призы конкурса
Толстовка будет сшита под размер финалиста и отправлена через службу доставки после конференции!
Толстовки
«Social Engineer»
За первые 3 места участникам, набравшим больше всего баллов за кратчайшее время, будут подарены толстовки от организатора конкурса!
Баллы фестиваля
в соответствии со сложностью заданий
Топ 15 участников
Лидерборд обновляется организаторами конкурса каждый час с 9:00 до 19:00
| Место | Участник | Баллы |
|---|---|---|
| 1 | Zaatar | 650 |
| 2 | B3654 | 510 |
| 3 | Настя | 350 |
| 4 | f0lkdancer | 250 |
| 5 | shybert | 220 |
| 6 | wkp | 200 |
| 7 | FutureFox | 200 |
| 8 | Djamij | 200 |
| 9 | itmvs | 200 |
| 10 | vasya@krylov.su | 150 |
| 11 | Ustas | 150 |
| 12 | Kolyasik | 115 |
| 13 | AlexShev | 115 |
