Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

Что проще хакнуть — софт или человека?

Загрузка ... Загрузка ...
 

«Верифицированный отправитель»

Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше — наш текст и ссылка. Сообщение от сервиса будет в самом низу.

Как это превратить в оружие массового поражения? Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки — нужно было только немного автоматизировать заполнение формы.

Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов.


В моем тесте по ссылке перешло около 10% получателей. Комментарии излишни.

А вот «тренд» апреля 2018-го.

 

Письма с Google Analytics

Расскажу о совсем новом случае — за апрель 2018 года. С почты Google Analytics noreply-analytics@google.com на несколько моих адресов начал приходить спам. Немного разобравшись, я нашел способ, которым его отправляют.


«Как это применить?» — подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст.


При переходе по ссылке пользователь попадал бы на поддельный сайт и оставлял бы свой пароль.


Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов.

 

«Любопытство»

Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют.


Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов.

 

«Фейковая подписка на рассылку»

Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

Кто чаще всего становится жертвой таргетированного фишинга?

Загрузка ... Загрузка ...

Продолжение доступно только подписчикам

Вариант 1. Оформи подписку на «Хакер», чтобы читать все материалы на сайте

Подписка позволит тебе в течение указанного срока читать ВСЕ платные материалы сайта. Мы принимаем оплату банковскими картами, электронными деньгами и переводами со счетов мобильных операторов. Подробнее о подписке

Вариант 2. Купи один материал

Заинтересовала информация, но нет возможности оплатить подписку? Тогда этот вариант для тебя! Обрати внимание: этот способ покупки доступен только для материалов, опубликованных более двух месяцев назад.


15 комментариев

  1. [UK]System

    05.04.2018 at 14:07

    Сложность в том, как людей научить быть максимально осторожными… Чем больше я об этом говорю, тем более сумасшедшим меня считают. А может и фиг с ним с этими переходами, шифрованием файлов и т.п.
    У меня в компании такой компьютер отключается сразу и выдается новый. 20 минут и сотрудник в работе.
    Если что-то на сервере пострадало восстанавливаем из резервной копии, может еще часа два. Честно говоря даже к резервным копиям редко прибегаем, «теневые копии» помогают.
    Массам пофиг и статьи они такие не читают, они лучше Навального на Ютюб смотреть будут или вообще компьютером только на работе пользуются, а за пределами семья дети и много-много быта…

  2. socialengwithlove

    05.04.2018 at 20:44

  3. YuriyD

    06.04.2018 at 08:37

    socialengwithlove, кстати, Илья, заглядывай в мой блог, скоро я расскажу, как ты меня взломал и как я тебя нашел 🙂

  4. fabien

    06.04.2018 at 10:27

    YuriyD, socialengwithlove, ничего себе, вы прямо тут hackbattle устроили.

  5. YuriyD

    06.04.2018 at 11:55

    fabien, да нет, меня просто пентестили, но не представились)

  6. Lmar

    06.04.2018 at 12:48

    И не удивительно когда исследователи реально нашедшие уязвимость на сайте посылаются лесом

  7. 4433

    12.04.2018 at 20:08

    Периодически отправляя запросы в Гугл по разным БД содержащим инфу паспортных данных или индефикационных номеров, Можно нарваться на «открытый» ресурс с данными чуть ли на всю страну… (следствие ошибок смс.админом или вирусов) но реально и паспортные данные чуть ли не на всю страну, и база данных с вин кодами на машины и их владельцев с не частой периодичностью в открытом доступе. Зачем тогда заморачиваться с атаками на конкретное предприятие если всю инфу на руководителя даже секретного объекта, можно получить другим путем. Если говорить о секретах, то инфу через их ресурсы получить куда сложнее, чем через ресурсы БД региональных администраций. Слава богу на режимных объектах уже почти научились руководствоваться инструкциями по ИБ.

  8. YuriyD

    13.04.2018 at 02:26

    4433, я думаю, что всё зависит от задач. Чтобы массово зашифровать машины бухгалтеров, имя директора не нужно. А вот то, что описанные Вами базы существуют в открытом доступе — это, я считаю преступление. Ответственность атакуемого не только в том, чтобы защищать свою инфраструктуру, но и пользователей, чьи данные он хранит.

  9. A.T.

    25.04.2018 at 23:29

    YuriyD, вас самого можно анализовать и искать слабые места в восприятии, что повлечет атаку с обманом восприятия. Ничего личного, только наблюдения.

    Обсуждаемые здесь базы описывались в Хакере еще году в 2004-ом и с тех пор было еще не мало обновленных «утечек». Многие из них официально издаются, продаются и попадают на «савеловские» рынки и левые торренты уже как уцененка. А оргиналы, к примеру, здесь http://www.businessinfo.ru/ И все легально.

    «Совковая» ментальность в ваших молодых умах — это плохой признак. Вся эта тревога за «режимные объекты» (т.е. совковые) и «преступление» про открытый доступ — ментальность мента или вахтера: не пущать и охранять. Характерный ментальный маркер, который тоже можно умело эксплуатировать лично или на целом поколении (если цель будет того стоить, и речь не обязательно про материальные $$$).

    На западе — утекло из корпорации 50 млн. личных данных, пошумели пару месяцев, утерлись и забыли. Identity theft, мединские карточки или досье из архивов ФБР. Реакция совершенно другая, не злобная (как нет и злобных депутатов с реакцией запретить). И есть инструменты исправить fuck up, обновить данные без шума и пыли.

  10. YuriyD

    27.04.2018 at 10:23

    A.T., согласен. А решение то, какое? Я не вижу лучших методов, кроме как образование с тренировками, будь-то для умов с «совковой» или молодой ментальностю. СИ методы не меняются тысячелетиями, меняется только их «упаковка», чего не скажешь о технологических векторах атаки.

Оставить мнение

Check Also

Злой HID. Делаем и программируем хакерский девайс для HID-атак

Универсальность шины USB создает большую поверхность атаки: исследователи из Университета …