Вишинг в сборе данных из открытых источников

И

ногда собрать необходимые данные в открытых источниках не удается, или же до проведения атаки возникает необходимость проверить собранную информацию. Однажды мне понадобилось провести адресный фишинг и вишинг по одному человеку, но было непонятно, какой именно почтовый ящик и телефонный номер использовать: мы нашли сразу несколько.

Поэтому мы придумали легенду для определения его актуального адреса и телефона. Мы узнали, что объект часто летал из Канады в Лондон. Уточнили номер лондонского отеля Hilton и обзвонили «с него» все предполагаемые номера объекта с помощью спуфинга (так называется форма атаки, в процессе которой абоненту передаются ложные идентификаторы звонящего. — Прим. пер.).

 

Объект: Алло?

Я: Добрый день. Это мистер Альфред Гейнс?

Объект: Да, это я. Кто спрашивает?

Я: Прошу прощения, меня зовут Пол, я звоню из отеля Hilton в Лондоне. Могли бы вы выделить минуту своего времени и оценить ваш последний опыт пребывания в нашем отеле? Для этого нужно ответить на несколько вопросов, это займет не больше полминуты…

Объект: Опыт пребывания? Вы о чем? Я не был в Лондоне уже несколько месяцев. Откуда у вас этот номер?

Я: Прошу прощения за доставленные неудобства. Еще раз уточню: вы — Альфред Гейнс и ваш номер 846-555-1212, верно?

Объект: Все верно, но, скорее всего, у вас ошибочная информация о том, когда я у вас останавливался.

Я: Понимаю. Скажите, а могу ли я отправить вам чек, чтобы вы могли подтвердить, ваш он или нет?

Объект: Да, конечно.

Я: Большое спасибо. Уточните, пожалуйста, адрес вашей электронной почты? A.gaines@hmail.com?

Объект: Лучше отправьте на gainesat@gmail.com, его я проверяю намного чаще.

Я: Еще раз большое спасибо, сэр. Сейчас же вышлю.

 

Таким образом мы подтвердили актуальный номер телефона и электронный адрес объекта, а также нашли вектор атаки, позволивший нам получить всю необходимую информацию.

Мы с командой часто используем эту технику для подтверждения и дополнения уже собранных данных. Я считаю эту форму вишинга особенно эффективной, потому что она не дает объекту времени на раздумья. Более того, многие компании не информируют сотрудников о возможности подобного мошенничества. А зря. Они очень рискуют.

Вишинг в процессе атаки

С

амого по себе вишинга бывает достаточно, чтобы скомпрометировать безопасность компании. Принципы при этом сохраняются те же: правильно подобранная легенда и убедительные доказательства ее истинности позволяют социальным инженерам вытягивать у людей даже самую опасную информацию.

Однажды перед нашей командой была поставлена задача с помощью вишинга проверить безопасность крупной финансовой компании. Изображая руководительницу высшего звена, мы должны были проверить, удастся ли через рядовых сотрудников компании получить ее логин и пароль, а также любую другую информацию о системах и данных, которыми она пользуется.

В качестве легенды мы решили использовать образ руководительницы, которая улетала на Гавайи, где собиралась провести медовый месяц. Но ей якобы позвонил начальник и сказал, что не может найти отчет — а он просто необходим на встрече, которая состоится уже в понедельник. Женщина знала, что отчет хранится на рабочем столе ее компьютера, но забыла имя пользователя, с помощью которого можно было бы получить удаленный доступ.

Мы нашли на YouTube трек под названием «звуки аэропорта» и набрали номер службы поддержки (я сидел рядом с сотрудницей, которая изображала ту самую руководительницу, слушал разговор и был готов подсказывать по мере надобности).

 

Объект: Служба поддержки. Чем я могу вам помочь?

СИ-агент [громко вздохнула и сказала напряженным голосом]: Меня слышно? В аэропорту очень шумно.

Объект: Да, я вас слышу несмотря на шум. С кем имею честь общаться?

СИ-агент: О, прошу прощения. [Снова вздыхает.] Это Дженнифер Тилли, исполнительный финансовый директор. Я улетаю на Гавайи на медовый месяц, и только что мне позвонил мой начальник и сказал, что последний отчет по бюджету до него не дошел. Этот отчет необходим ему для встречи в понедельник. Мне нужно залогиниться и переслать его ему, но я забыла логин.

Объект: Понял. Сейчас посмотрим, как вам помочь. Мне необходимо будет подтвердить вашу личность. Но прежде позвольте поздравить вас со свадьбой и пожелать отличного отдыха на Гавайях.

СИ-агент: Большое спасибо. Я жду с нетерпением, потому что раньше там не была, а теперь наконец побываю со своим лучшим другом и по совместительству мужем.

Объект: Еще раз поздравляю. Очень радостно слышать, когда люди счастливы. Ну что ж, миссис Тилли, назовите, пожалуйста, ваш идентификационный номер.

СИ-агент: Знаете, я обещала мужу эти две недели к работе даже не притрагиваться, поэтому у меня с собой нет ни ноутбуков, ни ID. Я даже свою дату рождения иногда забываю, что уж говорить про идентификационный номер.

Объект [стараясь быть максимально услужливым]: Хотя бы попробуйте. Я вам подскажу: первые цифры 1 и 7. Осталось вспомнить всего 5 цифр. [Эта информация оказалась в дальнейшем крайне полезной.]

СИ-агент: Вообще не помню. Эээ, может 98231?

Объект: Да, в номере есть 9 и 8, но номер не правильный. Давайте попробуем иначе. Можете назвать имя своего руководителя?

СИ-агент: Конечно. Майк Фарели.

Объект: Отлично. А адрес электронной почты?

СИ-агент: j.tilly@companyname.com.

Объект: Все верно. Что я могу сделать, хм… Я могу ввести новый пароль и отправить его на ваш телефон, после чего вам останется только войти в свой аккаунт и отправить необходимый документ. Секундочку… [послышалось, как он что-то печатает]. Простите, миссис Тилли, но на ваше устройство, оказывается, до сих пор не установлено ПО для получения удаленного доступа. Так что даже если я поменяю для вас пароль, вы не сможете войти.

СИ-агент: Только не это. Это же просто ужасно. Меня не будет две недели, посадка начинается через полчаса. Что же делать?! Пожалуйста, помогите мне решить эту проблему! [Со слезами в голосе.]

 

В это время я написал коллеге записку, в которой предлагал намекнуть объекту воздействия, что он может установить программу для получения удаленного доступа на компьютер руководительницы и сообщить ей пароль для одноразового использования.

 

Объект: Можно отправить запрос на установку ПО для удаленного доступа, однако это займет несколько часов — и то в лучшем случае. Скорее всего, это не будет сделано до завтра.

СИ-агент: Спасибо вам огромное за помощь. Муж так злится: мы должны были пить шампанское и ждать посадки, а я опять ушла и никак не могут отвлечься от работы. Пожалуйста, скажите, можно ли каким-то образом сделать это быстрее?

Объект: Не переживайте, миссис Дженнифер, вы прекрасно проведете свой медовый месяц. Сейчас мы что-нибудь придумаем. Повисите несколько минут на линии.

СИ-агент: Хорошо, только, пожалуйста, не слишком долго. У нас вот-вот начнется посадка.

 

После мы услышали, как объект сказал коллеге: «Бедная женщина уже в аэропорту, улетает на медовый месяц и не может получить доступ к своему компьютеру, чтобы срочно решить одну проблему. Мы же можем как-то ей помочь?»

Конкретного содержания ответа мы не расслышали, но по тону догадались, что Дженнифер, по-видимому, будут пытаться спасти всем отделом. Через несколько минут объект поставил звонок в режим ожидания, но вскоре вернулся к разговору.

 

Объект: Миссис Тилли, у нас для вас есть свадебный подарок. Мой коллега прямо сейчас устанавливает на ваш компьютер нужную программу. Где-то через 10 минут вы сможете получить необходимый документ.

СИ-агент: Огромное вам спасибо, вы не представляете, как я вам благодарна! И мой муж будет просто счастлив, лучшего подарка и не придумаешь! Спасибо!

Объект: Как только коллега сообщит мне, что программа установлена, я отправлю вам на телефон одноразовый пароль. И вы сможете отправить необходимый документ.

СИ-агент: Ой, подождите, так не получится… Я же не взяла с собой рабочий телефон, я не смогу получить СМС…

Объект: Но, миссис Тилли… это правило обойти нельзя. Я не знаю, что еще можно сделать.

СИ-агент: Как же это ужасно. Это мне урок на всю жизнь!!! Как можно быть такой тупицей! Нужно всегда носить с собой рабочий телефон, всегда! Получается, придется отменять перелет и откладывать отпуск. Все равно огромное вам спасибо за помощь, что поделаешь, если я такая дура…

Объект: Нет! Нельзя так поступать, у вас же медовый месяц… [шепотом]: Послушайте, давайте я отправлю вам код в СМС на рабочий номер, а после просто зачитаю его вслух?

СИ-агент: Вы готовы это сделать? Боже мой, я сейчас заплачу.

Объект: Нет, не стоит. Сейчас мы все сделаем, и вы спокойно сядете на свой рейс и полетите отдыхать, не думая о работе.

 

Таким образом нам удалось получить удаленный доступ, пароль — и найти возможность серьезно навредить компании.

 

СОВЕТ ПРОФИ

Наверное, вы заметили, что я люблю эмоциональные легенды, в которых объект воздействия «помогает» или даже «спасает» меня. И не безосновательно. Когда мы даем человеку возможность довериться нам, в свою очередь доверяясь ему, это создает между нами сильную связь. Выделяется окситоцин, заставляющий человека быть последовательным в своем желании помочь вам, вне зависимости от того, насколько это действие может оказаться небезопасным.

 

Использование вишинга в качестве основной стратегии атаки может значительно облегчить работу пентестера. А убедительная легенда для успешного телефонного разговора основывается на открытых данных, которые, в свою очередь, можно собрать с использованием того же вишинга.

Вишинг: резюме

В

ишинг — эффективный вектор атаки. С его помощью злоумышленники могут нанести компании существенный урон. Он может использоваться на разных этапах социально-инженерной атаки, и потому считается одним из самых мощных инструментов в СИ-арсенале.

Профессиональный социальный инженер, желающий достичь в своем деле успеха, не должен бояться телефонных разговоров. Учитесь их вести, даже если в обычной жизни предпочитаете общаться лично. Нужно уметь устанавливать раппорт, заручаться доверием и получать информацию от объектов воздействия, даже когда они вас не видят.

SMiSHing

Р

аздел, посвященный этому методу, будет довольно коротким, потому что специалистам по проверке безопасности редко приходится использовать СМС-сообщения в ходе атаки. После скандала c Wells Fargo в 2017 году прокатилась волна СМС-мошенничеств. Многие из них были выстроены по той же схеме, что и текст на скриншоте 9.2. Большинство таких сообщений сформулированы просто, однако весьма эффективно справляются со своей задачей (которая чаще всего заключается в загрузке вредоносного кода на мобильное устройство и последующей кражи персональных данных).

 

 

 

В последние годы все чаще организуются атаки с использованием вредоносных кодов для мобильных операционных систем, направленных на получение доступа к устройству жертвы. Кроме того, все шире распространяется практика использования сотрудниками личных устройств на работе (BYOD). А взломав мобильное устройство, злоумышленники получают возможность читать электронную почту его владельца, удаленно включать видеокамеру и микрофон, а также использовать его как удаленную точку доступа. Разумеется, это вызывает беспокойство у представителей многих организаций.

Именно поэтому социальные инженеры тоже должны владеть этим методом воздействия. Вот несколько правил, отличающих SMiSHing от фишинга:

 

Краткость всему голова. Сообщение должно быть коротким и понятным. Никаких вступлений и заключений — только факты и ссылка.

Ссылки. Я считаю, что всегда имеет смысл создавать под атаку соответствующее доменное имя. Однако если сделать это невозможно, укороченные URL намного лучше работают в СМС, чем в электронной почте. Проверить ссылку на мобильном устройстве намного сложнее, поэтому только продвинутые пользователи сумеют заподозрить, что со ссылкой что-то не так.

Не скупитесь. Если ваша задача — сбор личных данных, не рассчитывайте, что объект воздействия не обратит внимания на неправдоподобность внешнего вида созданной вами страницы. Поэтому, чтобы СМС-проверка выявила все возможные угрозы, потратьте время на создание правдоподобных веб-страниц.

Не усложняйте. Объекты воздействия используют мобильные устройства, а значит, чем больше шагов им нужно будет сделать, тем ниже вероятность, что они пройдут этот путь до конца.

 

Чем больше сотрудников используют на работе собственные устройства (или вообще работают из дома), тем актуальнее становится этот вектор атаки для социальных инженеров.

В ближайшем будущем мобильные телефоны никуда не исчезнут. Более того, с годами их многофункциональность только увеличится, они все плотнее вписываются в нашу профессиональную жизнь. А значит, отслеживать подобные атаки будет еще сложнее.

Имперсонация

И

мперсонация (выдавание себя за другого человека) — один из самых опасных для компаний и один из самых рискованных для социальных инженеров видов атаки. Поэтому его используют реже всего. Имперсонация предполагает, что социальный инженер изображает сотрудника компании-объекта или вызывающее доверие и обладающее определенными полномочиями лицо (представителя правоохранительных органов, наемного работника и т. п.).

Мы с моей командой получаем огромное удовольствие от подобных заданий, но, справедливости ради, надо учесть, что при этом мы практически ничем не рискуем. Если же на имперсонацию пойдет злоумышленник, ему придется планировать атаку тщательнейшим образом. У пентестеров есть возможность заручиться письмом, «освобождающим от тюрьмы»: оно позволит избежать проблем с законом даже в случае неудачи. Понятное дело, плохие парни этой привилегией не пользуются.

 

ИМПЕРСОНАЦИЯ И РЕДТИМИНГ

Редтиминг обычно (хотя и необязательно) проводят ночью. Обычно цель таких операций — преодоление физических систем безопасности: проникновение в лифты, взлом замков, обход камер наблюдения и т. п. А социальные инженеры, использующие имперсонацию, в первую очередь изучают человеческий фактор в обеспечении безопасности здания. Поэтому мы не взламываем замки, а работаем с человеком, у которого хранится ключ или пропуск — чтобы он сам распахнул перед нами нужную дверь. Одним словом, специалисты по редтимингу сосредоточены на технологиях, а социальные инженеры — на людях.

Планирование имперсонации

В

 процессе пентеста социальный инженер должен помнить, что имперсонация предполагает взаимодействие со всеми органами чувств объекта. То есть если во время фишинга мы работаем только со зрением, а в вишинге — со слухом, то, перевоплощаясь в другого человека, нам приходится взаимодействовать со всеми органами чувств объекта (за исключением, пожалуй, вкусовых рецепторов).

Поэтому крайне важно планировать подобные проверки в соответствии с описанными ниже принципами и шагами.

 

Сбор информации

С

бор информации — важная часть подготовки к заданию. Я часто прошу посетителей моих курсов назвать легенду, которая гарантирует получение доступа в помещение. Подумайте и вы, что бы это могло быть?

Многие предлагают изображать курьера службы доставки вроде UPS. Но вопросы, которые я задаю, заставляют их пересмотреть свое решение: «Отлично, а что потом? Вы часто видите представителей UPS, шныряющих по коридорам без присмотра? Обычно их перемещения по зданию заканчиваются в приемной или в канцелярии».

Сбор данных из открытых источников — основа создания правдоподобной легенды для имперсонации. В ходе одной операции я обнаружил, что из-за строительных работ, проводившихся неподалеку от интересовавшего меня здания, пауки вышли из зимней спячки раньше обычного. Жителей района это беспокоило: проблему даже освещали в местных новостях. Поэтому я выбрал легенду специалиста по борьбе с пауками. Сработало на ура.

Разработка легенды

М

ы уже говорили о разработке легенды, когда обсуждали процесс сбора информации. Но поймите меня правильно: нельзя планировать легенду до проведения сбора данных из открытых источников. Кроме того, после выбора легенды нужно внимательно обдумать все детали: одежду, необходимые инструменты, внешний вид и т. п. Иногда бывает необходимо заранее привести одежду в состояние «бывшей в употреблении». Не упустите детали, которые добавят правдоподобности вашей легенде. Лучше перестраховаться.

Недавно мне с коллегой нужно было найти способ пробраться в несколько офисов одного банка. С помощью открытых источников я узнал, что этот банк только что прошел проверку на соответствие стандартам безопасности данных индустрии платежных карт (PCI compliance test). Мы узнали название проводившей ее компании, подделали их униформу, бейджи и визитки, благодаря чему без проблем прошли в центр проверки банкоматов. Там мы сумели получить доступ к двум компьютерам и даже к идентификационным данным других сотрудников, работавших по соседству.

Но, когда к нам подошел менеджер и попросил назвать наше контактное лицо из компании, мы растерялись. Я заранее об этом не подумал, и из-за такой вот мелочи нас поймали с поличным. Тем не менее к тому моменту мы уже почти полчаса провели в центре проверки банкоматов с неограниченным доступом к нескольким компьютерам и успели проникнуть в Сеть. Но если бы мы продумали и ту деталь, она могла бы обеспечить нам больше времени на территории и повлиять на исход операции.

Планирование и реализация атаки

О

пределившись с легендой, подробно сформулируйте, что вам нужно будет сделать после проникновения в здание. А также чего вам категорически нельзя делать. Можно ли вам устанавливать удаленное подключение? Подрывать работу сервера? Разрешено ли уносить из офиса какие-либо устройства? Не думайте, что факт вашей связи с заказчиком позволяет вам в роли «плохого парня» делать все что заблагорассудится. Такое заблуждение может дорого вам обойтись.

Поэтому ваша задача — спланировать атаку от начала и до конца, а затем убедиться, что у вас на руках есть все необходимые и заранее проверенные инструменты для достижения поставленных целей.

Когда же план будет готов, не забудьте получить от заказчика то самое письмо, которое позволит вам не угодить за решетку: в нем должны быть прописаны ваши задачи и полномочия. Старайтесь не упустить ничего.

Идеальная подготовка — залог идеального результата.

Отчет

С

амая важная часть любой операции — разъяснение заказчику подробностей проделанной работы и ее результатов. Также необходимо помочь клиенту определиться с направлением дальнейших действий. Прежде чем приступать к атаке, обязательно получите от клиента согласие на аудио- и видеосъемку. Если же вам его не дадут, продумайте, как будете собирать информацию для подготовки отчета.

Я всегда стараюсь представить любую атаку как своего рода историю — чтобы клиент видел, слышал и чувствовал происходящее. Чтобы он понял, что сработало и почему. Практика показывает: полезно хвалить клиентов за корректные действия сотрудников и быть скромнее в отношении собственных достижений.

Цель составления отчета — та же, что и у любого социально-инженерного взаимодействия: чтобы после прочтения отчета клиент почувствовал себя лучше, чем до него. А значит, мы не можем позволить себе хвалиться, стыдить кого-либо и уж тем более кого-то унижать.

Соблюдение этих принципов поможет выдержать нужное направление в процессе атаки. На мой взгляд, коллеги редко уделяют этому аспекту деятельности достаточно времени. Кроме того, я знаю, как часто возникают вопросы о том, какую именно информацию включать или не включать в отчеты. Ниже я приведу некоторые соображения о том, как поступать в случае получения конфиденциальной информации.