Фишинг с целью тестирования на проникновение

Э

тот вид фишинга не отличается от образовательного ничем, кроме самого главного — конечной цели. В данном случае задачей пентестера является получение удаленного доступа, сбор личных данных или любой другой подрыв информационной безопасности компании.

Обычно в контексте этого фишинга у объекта воздействия имеет смысл вызывать такие сильные эмоции, как страх, жадность, удивление или даже печаль. Ведь мне будет недостаточно простого перехода по ссылке: мне нужно, чтобы человек открыл приложенный документ, не задумываясь ответил на сомнительный запрос или ввел личные данные. И поскольку выполнение этих действий требует от человека времени и энергии, эмоциональные триггеры должны быть сильнее.

Например, однажды мне довелось проводить пентест в организации, сотрудники которой в большинстве своем питали горячую любовь к продуктам компании Apple. Почти у каждого был MacBook, а темой общего обсуждения часто становились последние модели iPhone. Пентест совпал со временем выхода одной из них. Поэтому к фишинговому e-mail, который я разослал сотрудникам компании, была приложена фотография нового iPhone. А содержание письма (якобы отправленного из отдела кадров) было следующим:

[Название компании] подарит 10 счастливчикам новый iPhone с оплаченным на год вперед тарифным планом. Розыгрыш смартфонов состоится в следующую пятницу в 15:00. Чтобы принять участие в розыгрыше, перейдите на указанную страницу внутрикорпоративной сети и введите свой рабочий логин и пароль. После этого вы будете автоматические занесены в базу участников https://iphone.updates-company.com.

Удачи!

 

Мы выкупили домен updates-company.com и создали страницу с логотипом компании, двумя полями для ввода данных и одной кнопкой. Разослали письмо 1000 человек и получили учетные данные от 750 сотрудников.

Вывод: верно подобранный эмоциональный триггер, использованный в правильное время и на правильных людях, — залог успеха любой операции.

Адресный фишинг

А

дресный фишинг во всех его вариациях — это самая персонализированная форма фишинга. После проведения сбора данных из открытых источников по объекту воздействия и всем членам его семьи, которых мне удается найти, я обычно выбираю какую-то очень личную информацию и выстраиваю на ее основе легенды. Часто нужную информацию я нахожу в социальных сетях родственников объекта.

Однажды я обнаружил, что группа друзей интересующего меня человека отправилась на мальчишник в Лас-Вегас. Они публиковали столько фотографий своих безбашенных приключений, что я решил использовать это в легенде.

Фишинговый e-mail был написан от лица менеджера отеля, в котором они остановились. Содержание его было следующим:

Мистер [имя],

3–8 июля вы останавливались в нашем отеле. В ходе уборки номера горничная обнаружила предмет, вероятно, оставленный вами. Пожалуйста, взгляните на приложенный снимок и сообщите, ваша ли это вещь.

Если вы ее оставили, перейдите по приведенной ниже ссылке и внесите в форму данные, которые позволят нам оправить вам утерянное имущество.

С уважением,

[Сотрудник отеля]

 

Зачем я вставил в письмо ссылку, хотя зараженным был приложенный файл и никакой фотографии получатель все равно бы не увидел? Потому что был шанс, что человек, получивший такое письмо, в любом случае признал бы вещь своей. На такой случай в форму предлагалось занести:

• полное имя;

• почтовый адрес;

• номер телефона;

• адрес электронной почты;

• дату рождения (как доказательство совершеннолетия);

• последние четыре цифры номера кредитной карты, которая использовалась для оформления брони номера.

 

Легенда сработала очень эффективно, потому что человек не только открыл зараженный файл, но и предоставил мне дополнительную информацию для планирования дальнейших атак.

Даже когда я использую в легендировании для адресного фишинга личные данные, то не работаю с информацией, которая может навредить объекту воздействия. Например, в описанном случае я бы не стал использовать легенды вроде: «В нашем распоряжении оказались ваши фотоснимки в компании проституток. Чтобы выкупить эти фотографии, перейдите по ссылке» — даже если такие фотографии действительно существовали бы. И если бы я нашел подобные фотографии в процессе сбора данных из открытых источников, то сообщил бы о них объекту воздействия напрямую и спросил, как он сам хочет разобраться с возникшей ситуацией.

Фишинг: резюме

Н

е знаю, как вы, а лично я получаю на свои аккаунты в среднем 200–250 электронных писем в день. И как ни странно, проверка e-mail при этом не является моей основной работой!

 

ТОЛЬКО ЗАДУМАЙТЕСЬ

Согласно отчету компании Radicati Group (http://www.radicati.com/wp/wp-content/uploads/2014/01/Email-Statistics-Report-2014-2018-Executive-Summary.pdf) в 2017 году каждый день отправлялось порядка 269 млрд e-mail. Это 3,1 млн в секунду! И еще один забавный факт: кажется, половина из них прилетает ко мне в папку «Входящие» (ну ладно, может, я слегка преувеличиваю).

 

E-mail используются для коммуникации между людьми, для бизнеса, шопинга и многих других целей. Поэтому в большинстве СИ-атак используется именно этот вектор. Профессиональный социальный инженер обязан уметь составлять убедительные электронные письма, основываясь на собранных из открытых источников данных. Это единственный способ проверить уязвимость клиентов по отношению к данному вектору атаки.

Вишинг

В

 2015 году термин «вишинг» попал в Оксфордский словарь английского языка. Я связывал популярность этого слова с собственной просветительской деятельностью, но никто не верил. (Но в каждой шутке, как известно, есть доля правды.)

Вишинг — это фишинг с использованием голоса. Сегодня этот вектор атаки намного популярнее, чем несколько лет назад. На мой взгляд, рост популярности метода связан с его эффективностью.

Вот несколько причин, по которым стоит использовать вишинг в пентесте:

• сбор идентификационных данных;

• сбор данных из открытых источников;

• непосредственно атака.

Давайте обсудим каждый из них, чтобы вы понимали, чем отличается вишинг, используемый для достижения каждой из этих целей.