Зачем выбирать легенды придирчиво

Я

 бесчисленное количество раз находил информацию, порочащую клиентов, но сознательно ни разу не использовал ее при составлении легенд. Возможно, некоторые читатели подумают, что из-за этого я упускаю многообещающие возможности. Однако я всегда руководствуюсь правилом, которое уже не раз упоминал и сейчас с удовольствием повторю снова: после встречи со мной люди должны чувствовать себя лучше, чем до нее. Кроме того, я стремлюсь к тому, чтобы проверка служила в первую очередь обучающим целям — а человека, который чувствует себя униженным, сложно чему-то научить. Следовательно, к легендам я отношусь крайне придирчиво и тщательно выбираю, какую информацию использовать, а какую — нет. И да, я советую документировать все, что попадется вам на глаза в процессе подготовки. Таким образом, даже если вы не используете эту информацию в легенде, вы должны сообщить ее клиенту.

Один клиент как-то заказал у нас фишинг. Выяснилось, что один из его сотрудников использовал корпоративную почту при регистрации на сайте для «особых» знакомств. Там этот человек публиковал комментарии под фото весьма привлекательных обнаженных женщин: писал, что приезжает в их город в командировку и хотел бы встретиться. Сейчас я предлагаю вам отвлечься от моральных суждений о его изменах жене или компрометирования корпоративной почты на подобном сайте. Поразмышляйте о ситуации с другой точки зрения: сработал бы фишинг от одной из таких дам с сайта? Я почти со 100 %-ной вероятностью могу гарантировать: да, сработал бы. Но мы такой заход использовать не стали. Ведь цель профессионального социального инженера — просвещение и помощь, а не унижение.

Фишинг

Ф

ишингом называется отправка зараженных электронных писем из якобы проверенных источников. Цели фишинга могут быть следующими:

• чтобы человек установил на компьютер программы, предоставляющие мошенникам удаленный доступ к системе;

• чтобы собрать личные данные;

• чтобы получить другую информацию, необходимую для проведения атаки.

 

Содержание, легенда и метод доставки фишингового сообщения определяются его целью. Профессиональные социальные инженеры используют в своей работе несколько типов фишинговых методов.

Образовательный фишинг

И

ногда клиентам не требуется, чтобы пентестер проверял технические ресурсы Сети: их интересует исключительно человеческий фактор. Эффективным способом решения такой задачи является образовательный фишинг: после перехода по размещенной в письме ссылке никаких вредоносных кодов или программ для получения удаленного доступа на компьютер объекта не устанавливается. Данный вид фишинга проводится исключительно для сбора статистики и оценки общей уязвимости сотрудников к такому вектору атаки. А еще для определения сфер, в которых необходимо дополнительное информирование.

Чаще всего такой фишинг пробуждает у объекта воздействия любознательность, жадность, радость или здоровый страх, которые и заставляют перейти по ссылке. В таком случае легенда основывается на проведении сбора данных из открытых источников по отдельным сотрудникам или компании в целом. Моей команде приходилось отправлять подобные фишинговые письма как в единственном экземпляре, так и сотням и даже тысячам людей за раз.

Приведу пример, иллюстрирующий необходимость следования принципам, описанным в предыдущем разделе. Я составил для клиента письмо, похожее на реальное приглашение с LinkedIn. Разослал его 7000 пользователей, работавших на него, и быстро получил 73 % переходов по ссылке. Такой молниеносный успех вдохновил всех, включая меня самого.

На носу был следующий пентест, и я, недолго думая, решил снова использовать свою гениальную идею. Уже на следующей неделе аналогичный e-mail разлетелся по 10 000 пользователей, работавших на другого заказчика. Но по ссылке перешли всего 4 % получателей. Я не мог в это поверить: был использован гениальный заход. Я попросил клиента узнать у сотрудников, в чем заключалась причина провала этого фишинга.

Оказалось, что я сам был виноват. Первая компания занималась производством, большинству ее сотрудников было от 35 до 55 лет. А вторая компания занималась продажами, и возраст ее сотрудников составлял 19–29 лет. Когда последних спросили, почему они не перешли по указанной в письме ссылке, все как один отвечали: «Ну да, я видел это письмо, но LinkedIn используют только старики. Я все вопросы решаю в Facebook».

<рукалицо> Успех первой атаки пьянил меня, и я забыл, что универсальных методов не бывает: каждый раз нужно составлять фишинговые письма, исходя из особенностей компании-заказчика. Этот опыт только укрепил мою уверенность в бесполезности фишинговых SaaS-сервисов, работающих целиком и полностью за счет готовых шаблонов.

Даже если цель фишинга образовательная, готовить его все равно нужно в соответствии с шагами, описанными на илл. 9.1. Начинать со сбора данных из открытых источников, а затем составлять текст, который придется по вкусу целевой аудитории и позволит достичь поставленной цели.