Содержание статьи
Pentest Award
В августе 2023 года прошла церемония награждения Pentest Award — премии для специалистов по тестированию на проникновение, которую учредила компания Awillix. Мы публикуем лучшие работы из каждой номинации. Эта статья заняла первое место в номинации «Ловись, рыбка», посвященной фишингу.
Авторы
- Идея, сценарии: Сергей Лукиных, @IBcrew
- Инфраструктура, домены, почта, Gophish: Илья Георгиевский, @igeorgievsky
- Код для QR и чат‑бота: Дмитрий Марюшкин, @dmarushkin
Задача
На входе задача — сделать проект по социальной инженерии в крупной финансовой организации с целью повышения осведомленности сотрудников в области информационной безопасности.
Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
Проблемы
Что может пойти не так с рассылкой:
- Антиспам может срезать письмам баллы за некачественно настроенный почтовый домен (DKIM, Dmark, вот это всё), недавно зарегистрированный домен, подозрительные хедеры (привет, дефолтный
X-Mailer:
) и обилие ссылок в письме (ссылка на форму авторизации с RID-меткой и ссылка на картинку в письме, по числу загрузок которой измеряется процент открытия писем).gophish - Chrome на рабочих хостах пользователей при переходе по ссылкам из писем на свежий домен может с большой вероятностью показать красную простыню, что явно уменьшит конверсию из перешедших по ссылкам в тех, кто ввел пароль.
С настройкой почтового домена, временем после регистрации домена и хедерами все относительно просто: при желании можно настроить и затюнить, а ссылку на картинку вообще убрать — корпоративный Outlook все равно ее не отобразит в письме от внешнего отправителя.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
Решение
Почему бы нам не увести пользователя из защищенного рабочего окружения на фишинговый ресурс, открытый на личном девайсе, предложив ему в письме QR-код?
Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div
).
Второй вариант — сделать QR-код из символов Unicode.
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»