Анатомия корпоративного фишинга. Учимся составлять фишинговые письма для тренировочных атак

Содержание статьи

Тема письма
Какую подпись и оформление использовать?
Выбираем контекст
Усиление контекста
Событийные атаки (event attacks)
Чрезвычайная ситуация
Праздники
Политика
Причина
Якобы взлом
Внеплановая проверка от СРО
Неудачные попытки авторизации
Уведомление
Что вы делаете в Бразилии?
Контекст: запросы
Контекст: вопросы
Вопрос с вложением
А что это вы мне отправили?
Контекст: отправка
Контекст: изменения
Контекст: желание
Контекст: «непонятки»
Переписка-ссылка
Одинокий файл
Усиление контекста: эмоции
Усиление контекста: давление
Письма от госорганов
Срочно обновитесь
Усиление контекста: ложь
Фейковая переписка
Фейковая пересылка
Усиление контекста: совпадение
Выводы

Статья будет полезна пентестерам и безопасникам, которые хотят проверить, умеют ли сотрудники распознавать вредоносные письма. Мы поговорим о корпоративном о фишинге с использованием электронной почты.

Давай сразу определимся с терминами.

Фишинг — процесс выманивания конфиденциальной информации у человека.
Социальная инженерия — манипуляция человеком с целью побуждения к действиям, выгодным злоумышленнику.

Но так как в ИБ принято называть фишингом даже подброшенные флешки, что мне не очень нравится, пусть в сегодняшней статье этот термин олицетворяет всю социальную инженерию, вместе взятую.

Как ты знаешь, существует несколько видов фишинга. Классифицируют их в основном по каналам связи (email-фишинг, вишинг, смишинг); по видам воруемых данных (data-фишинг и кража учетных данных); по целевым группам жертв, например вайлинг (фишинг на топов в организации); по целевому действию, например адвертинг (обман блогеров с целью угона популярного канала).

В этой статье мы препарируем фишинг по email, поскольку это самый распространенный способ доставки вредоносной нагрузки (используется в 92% случаев). Но принципы составления векторов подойдут и для других каналов связи, например соцсетей, мессенджеров, да хоть Почты России.

Мы не будем касаться непосредственно вредоносной нагрузки к письмам, точнее, не станем разбирать, какой эксплоит использовать при отправке «модного» нынче LNK-файла, или рассматривать получившие новую жизнь HTML-вложения. И даже не будем трогать их комбинацию при атаках через протокол Windows Search.

Но зато мы рассмотрим, как писать письма, в которых до 99,5% сотрудников переходят по фишинговой ссылке.

В статье мы разберем именно контент: кто, что и по какому поводу пишет сотрудникам, чтобы достигнуть своих злонамеренных целей.

Существует три типа атак методами социальной инженерии по электронной почте, если различать их по степени массовости:

Таргетированная, персонализированная атака под компанию, отдел, человека.
Массовая, когда непринципиально, какой из сотрудников в какой компании получит письмо.
Смешанная, когда используется небольшая персонализация, например под бухгалтеров, но письмо рассылается тысячам компаний или заточено под конкретную организацию, но непринципиально, кто именно получит вредонос.

Когда мы проводим учебные атаки на сотрудников, мы стараемся реализовать все три вектора. Например, в векторах 1 и 2 попадается 30–80% сотрудников просто из‑за того, что пользователи доверяют отправителю, так как в email используется реальный домен организации (если возможна подмена отправителя) или очень похожий на официальный домен.

По большей части в этой статье мы будем рассматривать атаки типа 2, но некоторые тексты этих атак пригодятся в векторах 1 и 3. Тип 2 всегда можно превратить в 1 и 3, задействовав немного смекалки.

Кстати, ты заметил, что еще с начала статьи я все сужаю и сужаю рамки того, что мы будем рассматривать, но при этом статья получилась достаточно объемной? Социальная инженерия поистине безгранична. В обновленном издании книги «Контролируемый взлом. Библия социальной инженерии» я рассмотрел сотни векторов, но чувствую, что и этим тема социальной инженерии не исчерпывается.

Итак, перейдем непосредственно к практике — поговорим о том, как использовать социальную инженерию в пентестах и учебных фишинговых рассылках по электронной почте.

Тема письма

Давай разберем, что можно писать в теме письма, чтобы увеличить доверие потенциальной «жертвы».

Добавлять Re: и Fwd:. Например, «Re: регламент». Так жертва решит, что это ответ на ее сообщение или оно было переслано от коллеги.
Упоминание организации. Например, АО «Ромашка». Увидев название своей организации в теме, сотрудники чаще открывают письма.
Упоминание полностью или частично ФИО пользователя. Например, «Получатель Иванов А. И.».
Эмоциональные рабочие аспекты. Например, «Новогодние премии», «Подарки на корпоративе», «Надбавка».
Можно собрать комбо. К примеру, «Fwd: Список на увольнение АО «Ромашка». Адресат — Иванов А. И.».

Единственная адекватная причина не открыть письмо с такой темой — не увидеть его.

И еще, если ты целенаправленно не имитируешь массовый спам, не используй смайлики и кучу символов в теме. В корпоративной среде так общаются редко.

Какую подпись и оформление использовать?

Подписи в письмах в пределах одной организации бывают одинаково оформленные или самопальные, каждый сам выбирает, как ему подписаться. Ты можешь использовать разное оформление писем, в зависимости от того, кого именно ты имитируешь:

во внешних письмах лучше вставлять логотип (для вымышленных организаций можно использовать онлайн‑генераторы логотипов, вроде logoza.ru);
если имитируешь внутреннего сотрудника, который пишет коллеге, старайся использовать единый стиль, принятый в организации. Узнать его можно, отправив письмо с каким‑либо запросом на info@, — кто‑то тебе да ответит.

Совет безопасникам: пробуйте тестировать сотрудников, отправляя еще и фишинговые письма с нестандартным оформлением.

Выбираем контекст

Под контекстом я понимаю повод, по которому мы пишем пользователю. Приведенный ниже перечень взят из генератора СИ, который поможет тебе составлять собственные векторы и тексты писем. Далее мы также разберем примеры контекста подробнее.

Итак, по какому поводу мы пишем пользователям:

событийные атаки;
причина;
запросы;
вопросы;
отправка чего‑то;
изменения в чем‑то;
желание.

Вообще, контекст — это ключевая составляющая фишинга. Успех на 80% зависит от того, знаком ли сотрудник с тем, о чем ему пишут. Например, сотрудники в курсе, что 21 декабря будет корпоратив, и, если начать письмо с «Коллеги, как вы знаете, 21 декабря у нас будет корпоратив. По ссылке вы сможете...», успех почти гарантирован.

Или другой вариант, когда пишут юристу и в тексте упоминается какой‑то бизнес‑процесс, который используется в его организации. Например, получатель ожидает, что договоры на проверку ему приходят только от отдела закупок, и только этим он и занимается — проверяет договоры. Тогда письмо якобы от менеджера по продажам с просьбой сверить техзадание по планируемой закупке с точки зрения юридической корректности будет выглядеть странно. Любые нестыковки вызовут у получателя совершенно ненужные подозрения.

Усиление контекста

Итак, повод для письма есть (типичные примеры разберем позже), теперь его можно усилить. Усиливать мы будем разными эмоциями и иными психологическими приемами, перечень которых приведен ниже. Дальше мы рассмотрим их подробнее и с примерами.

Эмоции: сочувствие, страх, гнев, консерватизм, интерес, радость.
Давление: авторитет, просьба о помощи, срочность, угроза.
Желание: бесплатность чего‑то, экономия, деньги.
Ложь: поддельная переписка, несуществующий разговор, подделка переписки, подтасовка фактов.
Совпадение: когда у жертвы что‑то совпадает со злоумышленником. Например, имя, фамилия, место учебы.

Итак, с вводной частью закончили, теперь рассмотрим разные тексты и поводы, по которым мы будем писать пользователям.

Событийные атаки (event attacks)

Рассмотрим разные примеры таких атак, в зависимости от события.

Чрезвычайная ситуация

То, что широко освещается в СМИ, становится отличным инфоповодом для атак. Пандемия коронавируса сошла на нет, мошенники заработали много денег, теперь новостная повестка забита другими событиями, и, естественно, киберпреступники всех мастей это используют.

Давай немного поностальгируем и обсудим пандемию какого‑нибудь коварного вируса. Представим, что эта тема сейчас у всех на устах и СМИ ее активно обсуждают. Рассмотрим, как используется новостная повестка в качестве контекста в фишинговых письмах.

Пример 1. Скачайте приложение, чтобы отслеживать зараженных вирусом людей рядом с вами.
Пример 2. Корпоративная поддержка во время пандемии. Для получения отсрочки по кредитным платежам, включая ипотеку, подайте заявление, и вам будет предоставлена такая возможность. Во вложении бланк заявления: распечатайте его, заполните и отправьте ответным письмом.
Пример 3. Коллеги, для обеспечения шифрованной связи с удаленными сотрудниками просьба сегодня скачать программу по ссылке (ссылка ведет на файлообменник или напрямую на исполняемый файл). С завтрашнего дня коммуникация будет проходить через эту программу.
Пример 4. Для нашей организации обслуживающий банк предоставляет беспроцентный кредит сроком на 1 год, кредитная история заемщиков не будет учитываться. В случае ухудшения финансовой ситуации (а это, по всем прогнозам, произойдет) кредит будет списан за счет работодателя. Образец заявления во вложении.
Пример 5. В связи с обновлением правил поведения жителей г. Москвы (твой целевой город) на время карантина введена система пропусков. В случае если вам нужно покинуть квартиру по любому поводу, для получения пропуска перейдите по ссылке на сайт Госуслуг и заполните анкету.
Пример 6. Просьба заполнить данные по ссылке для начисления доплат за удаленную работу.

Праздники

Намечается государственный праздник с последующими выходными? Вот темы, которые можно использовать:

график работы в праздничные дни;
тройная компенсация за работу в праздники в рамках мероприятий по повышению лояльности работников;
праздничные дни отменяются, будем работать без выходных.

Политика

Политически ангажированные получатели с удовольствием открывают ссылки в письмах, (не)соответствующих их взглядам. Есть спокойные люди, имеющие мнение о политике, а есть те, кто яростно убеждает других в том, что именно их мнение единственно правильное. Таких людей легко определить. Они любят писать капслоком, ставят много восклицательных знаков в конце и оскорбляют оппонентов за инакомыслие. Вот такие получатели и будут нажимать на твои ссылки аж двойным кликом.

Дабы не будоражить умы соотечественников, приведу пример зарубежного фишинга на политическую тему.

Если у тебя, как и у меня, с английским плохо, то суть новости в том, что шесть арабских стран, включая Саудовскую Аравию и Египет, разорвали дипломатические отношения с Катаром, обвинив его в дестабилизации региона.

Причина

Что‑то (не) произошло, и я вам об этом пишу. Некто сказал, что по этому поводу нужно писать именно вам. Например, отправитель так и не дождался ответа, может, письмо не дошло, поэтому дублирует пакет документов. Или в техподдержке посоветовали обратиться по какому‑то вопросу конкретно к этому сотруднику.

Якобы взлом

Приведу пример атаки на физических лиц, в ходе которой злодеи отправляют электронное письмо, где демонстрируют используемые жертвой логины и пароли, утечка которых, скорее всего, произошла ранее. Авторы сообщения утверждают, что взломали веб‑камеру и засняли, как человек смотрит порнографические ролики и что делает в это время. Затем мошенники требуют выкуп в биткоинах за то, чтобы они не рассылали это видео.

В корпоративной среде можно сделать свою версию «якобы взлома»:

Коллеги, добрый день.

Вчера был обнаружен взлом корпоративной сети. Учетные записи нескольких сотрудников были скомпрометированы, и их логины и пароли оказались у злоумышленников.

В связи с этим срочно нужно сделать следующее:

Проверьте в списке ниже, есть ли ваш email среди скомпрометированных.

Если он есть в списке, срочно смените пароль по ссылке (фишинговая ссылка).

Список скомпрометированных email:

abc@xyx.com

abd@xyx.com

И дальше еще десяток адресов, примерно на восьмом месте автоподстановкой вставляем адрес жертвы.

Все, ждем улова. Если ты делаешь атаку с обратной связью (когда ты общаешься с жертвой, а не просто отправляешь письмо в один конец), то в конце письма можешь попросить, чтобы ответным сообщением тебя оповестили, что смена пароля прошла успешно.

Заметки для безопасников

Узнать, попал ли в общий доступ пароль от корпоративной почты вашей компании, можно на сайте DomainSearch. Вписываете ваш домен, подтверждаете право владения и получаете уведомления, когда в сеть утечет связка email:password.

Узнать, что кто‑то зарегистрировал домен, похожий на официальный домен вашей организации, поможет портал domains-monitor.com. Мониторить можно как домены, включающие ваш бренд, так и модификации официального домена, например d0main.ru.

Список уже зарегистрированных доменов, похожих на ваш официальный, покажет сайт dnstwister.report. Если домены реально фишинговые, можно внести их в черный список защитного ПО организации.

Внеплановая проверка от СРО

Компаниям, состоящим в каких‑либо саморегулируемых организациях, могут приходить специфические письма. Пользуйся этим при проверке сотрудников.

Вот пример такого письма с вредоносной ссылкой:

Добрый день.

Согласно последним жалобам потребителей микрофинансовых услуг на вашу МФО, а также в соответствии с Базовыми правилами защиты прав и интересов малого и среднего бизнеса, получателей финансовых услуг, СРО Союз «Микрофинансовый Альянс» назначили вам внеплановую выездную проверку на 03.07.2020. Этим письмом направляем вам Запрос № 222-1\20 от 23.06.2021 на представление документов (информации). Просьба донести до ведома руководства и быть готовым представить все необходимые документы к 03.07.2021.

Проверка проводится в соответствии со ст. 4, 5 Федерального закона от 13 июля 2015 года № 223-ФЗ «О саморегулируемых организациях в сфере финансового рынка», Федеральным законом от 2 июля 2010 года № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях», Указанием Банка России от 3 февраля 2016 года № 4278-У «О требованиях к содержанию базового стандарта защиты прав и интересов физических и юридических лиц — получателей финансовых услуг, оказываемых членами саморегулируемых организаций в сфере финансового рынка, объединяющих микрофинансовые организации».

С уважением,
Руководитель рабочей группы Контрольного Комитета
Союза «Микрофинансовый Альянс „Институты развития малого и среднего бизнеса“»
Коленская Мария Юрьевна

Рассылалось это дело с адреса info@alliance-mfo.pw, а настоящий адрес упомянутого в письме союза — info@alliance-mfo.ru.

Неудачные попытки авторизации

По аналогии со скриптами мошеннических кол‑центров, сотрудники которых звонят и сообщают, что с твоих счетов пытаются снять деньги, сочиняем свое электронное письмо для проверки бдительности пользователей:

Уважаемый пользователь!

Нами зафиксирован вход в вашу учетную запись.

Место: Швеция

IP: 165.231.143.161

Если это были не вы, срочно смените пароль (тут ссылка).

Внимание: письмо создано системой предотвращения вторжений, отвечать на него не нужно.

Продолжение доступно только участникам

Материалы из последних выпусков становятся доступны по отдельности только через два месяца после публикации. Чтобы продолжить чтение, необходимо стать участником сообщества «Xakep.ru».

Присоединяйся к сообществу «Xakep.ru»!

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

← Ранее Для Flipper Zero вышла прошивка версии 1.0