Се­год­ня мы раз­берем слу­чаи, ког­да безопас­ники ком­пании сами неча­янно устра­ивают утеч­ки дан­ных сво­их работо­дате­лей и кли­ентов. В этом им помога­ют «онлай­новые песоч­ницы», куда кор­респон­денцию час­то заг­ружа­ют на про­вер­ку. Я изу­чил кол­лекцию дос­тупных писем на одном из таких сер­висов и нашел немало инте­рес­ного.

Итак, что­бы про­верить подоз­ритель­ное пись­мо, его мож­но заг­рузить на спе­циаль­ный сер­вис‑песоч­ницу, и тот опре­делит, есть ли в содер­жимом фишин­говые гипер­ссыл­ки. Одна проб­лема: некото­рые сер­висы, вро­де изу­чен­ного мной Any.Run, на бес­плат­ном тарифе пре­датель­ски вык­ладыва­ют всю про­веря­емую кор­респон­денцию в паб­лик, а там она ста­новит­ся лег­кой добычей тех, от кого пред­полага­лось защищать­ся.

www

Вот нес­коль­ко дру­гих облачных песоч­ниц, в которых пен­тесте­ры так­же могут поис­кать полез­ную информа­цию:

 

Данные в подписях

Вот прос­той при­мер утеч­ки: на поч­ту менед­жера по снаб­жению приш­ло подоз­ритель­ное пись­мо с пред­ложени­ем зарегис­три­ровать­ся на неко­ем пор­тале (ско­рее все­го, это фишинг для кра­жи регис­тра­цион­ных дан­ных). Менед­жер фор­вар­днул пись­мо сот­рудни­ку служ­бы безопас­ности (при этом в сооб­щение авто­мати­чес­ки добави­лась его под­пись с кон­так­тны­ми дан­ными), а безопас­ник, не почис­тив тело сооб­щения, залил его в обла­ко. Теперь мы зна­ем ФИО менед­жера, его дол­жность, адрес элек­трон­ной поч­ты и телефон­ные номера, вклю­чая даже мобиль­ный. Алло, это служ­ба безопас­ности бан­ка!

Ста­ратель­но изу­чив откры­тые источни­ки, мож­но соб­рать боль­шой объ­ем допол­нитель­ных све­дений: наиме­нова­ния дис­трибь­юто­ров, кли­ентов и пар­тне­ров фир­мы. Если не поленить­ся и заг­лянуть на офи­циаль­ный сайт этой ком­пании, есть шанс нат­кнуть­ся, нап­ример, на такую стра­ницу.

Те­перь, про­явив нем­ного сме­кал­ки и исполь­зуя методы соци­аль­ной инже­нерии, мы можем отпра­вить тому самому менед­жеру при­мер­но такое элек­трон­ное пись­мо:

Ува­жаемый Рай­ан Гос­линго­вич.

Мы (наз­вание ком­пании пос­тавщи­ка) спе­шим сооб­щить об изме­нени­ях в наших про­цеду­рах заказа. Мы хотели бы, что­бы Вы обра­тили вни­мание на сле­дующие изме­нения и при­няли меры в соот­ветс­твии с нашими новыми тре­бова­ниями:

  1. Из­менение бан­ков­ских рек­визитов для опла­ты.

  2. Но­вые фор­мы докумен­тации для под­твержде­ния заказов.

  3. Об­новлен­ные про­цеду­ры офор­мле­ния догово­ров.

По­сыла­ем Вам во вло­жении под­робную информа­цию об этих обновле­ниях. Пожалуй­ста, озна­комь­тесь с ней. Бла­года­рим за понима­ние и опе­ратив­ное реаги­рова­ние на наши изме­нения. Если у Вас воз­никнут воп­росы или пот­ребу­ются уточ­нения, пожалуй­ста, свя­житесь с нами по ука­зан­ным кон­так­тным дан­ным.

С ува­жени­ем,
ко­ман­да (ООО «РАН­ДОМ»)

Шан­сы, что получа­тель такого сооб­щения, которо­го наз­вали по име­ни‑отчес­тву, да еще и прис­лали информа­цию от яко­бы зна­комо­го кон­тра­ген­та, отре­аги­рует на пись­мо, дос­таточ­но велики. Что и тре­бует­ся зло­умыш­ленни­ку.

Ос­торож­но, две­ри зак­рыва­ются, мы едем даль­ше. Если хорошень­ко порыть­ся в песоч­нице, мож­но най­ти, нап­ример, такое.

По­лучал ли ты по поч­те приг­лашения на бес­плат­ные вебина­ры для бух­галте­ров, спе­циалис­тов по пер­соналу, нед­вижимос­ти или для экспер­тов по раз­ведению декора­тив­ных ангор­ских хомяч­ков? Навер­няка! Вот и офис‑менед­жеру одно­го из пред­при­ятий пос­час­тли­вилось попасть в чис­ло приг­лашен­ных. Но девуш­ка ока­залась осмотри­тель­ной (видимо, рань­ше уже выиг­рывала кор­поратив­ный чем­пионат по запус­ку исполня­емых вло­жений в сооб­щения email) и ски­нула это пись­мо безопас­нику для про­вер­ки. Тот решил про­тес­тировать его через песоч­ницу, в резуль­тате чего спа­лил дол­жность, ФИО и кон­так­тные дан­ные адре­сата исходно­го пись­ма. Зна­ние имен сот­рудни­ков адми­нис­тра­тив­ного отде­ла орга­низа­ции откры­вает широкое окно воз­можнос­тей для зло­умыш­ленни­ков.

Вот еще один при­мер, поза­имс­тво­ван­ный на том же сер­висе. Замес­тителю ген­дирек­тора по безопас­ности круп­ного пред­при­ятия пос­тупило пись­мо с вло­жен­ным мак­росом. Дол­жность «замес­титель ген­дирек­тора по безопас­ности» зву­чит солид­но — это очень опыт­ный спе­циалист в сфе­ре ИБ. Поэто­му он незамед­литель­но поделил­ся со всем челове­чес­твом сво­ими кон­так­тны­ми дан­ными, вклю­чая номер мобиль­ного телефо­на, ФИО и поч­товый адрес на кор­поратив­ном сер­вере. Если вдруг решишь поз­вонить ему на труб­ку, переда­вай пла­мен­ный при­вет.

 

Цепочка пересылаемых сообщений

Сле­дующая по рас­простра­нен­ности катего­рия сре­ди уте­чек кон­фиден­циаль­ных дан­ных — это ситу­ация, ког­да сот­рудни­ки отде­ла безопас­ности залива­ют в песоч­ницу не одно пись­мо, а сра­зу цепоч­ку пересы­лаемых сооб­щений. Здесь мож­но выяс­нить име­на, кон­так­тные дан­ные и дол­жнос­ти сра­зу нес­коль­ких сот­рудни­ков пред­при­ятия (сре­ди них впол­не может ока­зать­ся и выс­шее руководс­тво). Бонусом идут све­дения о перего­вор­ном про­цес­се.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

    • 1 комментарий
    Подписаться
    Уведомить о
    1 Комментарий
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии