Статья будет полез­на пен­тесте­рам и безопас­никам, которые хотят про­верить, уме­ют ли сот­рудни­ки рас­позна­вать вре­донос­ные пись­ма. Мы погово­рим о кор­поратив­ном о фишин­ге с исполь­зовани­ем элек­трон­ной поч­ты.

Да­вай сра­зу опре­делим­ся с тер­минами.

  • Фи­шинг — про­цесс вымани­вания кон­фиден­циаль­ной информа­ции у челове­ка.
  • Со­циаль­ная инже­нерия — манипу­ляция челове­ком с целью побуж­дения к дей­стви­ям, выгод­ным зло­умыш­ленни­ку.

Но так как в ИБ при­нято называть фишин­гом даже под­бро­шен­ные флеш­ки, что мне не очень нра­вит­ся, пусть в сегод­няшней статье этот тер­мин оли­цет­воря­ет всю соци­аль­ную инже­нерию, вмес­те взя­тую.

Как ты зна­ешь, сущес­тву­ет нес­коль­ко видов фишин­га. Клас­сифици­руют их в основном по каналам свя­зи (email-фишинг, вишинг, сми­шинг); по видам вору­емых дан­ных (data-фишинг и кра­жа учет­ных дан­ных); по целевым груп­пам жертв, нап­ример вай­линг (фишинг на топов в орга­низа­ции); по целево­му дей­ствию, нап­ример адвертинг (обман бло­геров с целью уго­на популяр­ного канала).

В этой статье мы пре­пари­руем фишинг по email, пос­коль­ку это самый рас­простра­нен­ный спо­соб дос­тавки вре­донос­ной наг­рузки (ис­поль­зует­ся в 92% слу­чаев). Но прин­ципы сос­тавле­ния век­торов подой­дут и для дру­гих каналов свя­зи, нап­ример соц­сетей, мес­сен­дже­ров, да хоть Поч­ты Рос­сии.

Мы не будем касать­ся непос­редс­твен­но вре­донос­ной наг­рузки к пись­мам, точ­нее, не ста­нем раз­бирать, какой экс­пло­ит исполь­зовать при отправ­ке «мод­ного» нын­че LNK-фай­ла, или рас­смат­ривать получив­шие новую жизнь HTML-вло­жения. И даже не будем тро­гать их ком­бинацию при ата­ках через про­токол Windows Search.

Но зато мы рас­смот­рим, как писать пись­ма, в которых до 99,5% сот­рудни­ков перехо­дят по фишин­говой ссыл­ке.

Пример результатов учебного фишинга
При­мер резуль­татов учеб­ного фишин­га

В статье мы раз­берем имен­но кон­тент: кто, что и по какому поводу пишет сот­рудни­кам, что­бы дос­тигнуть сво­их зло­наме­рен­ных целей.

Су­щес­тву­ет три типа атак метода­ми соци­аль­ной инже­нерии по элек­трон­ной поч­те, если раз­личать их по сте­пени мас­совос­ти:

  1. Тар­гетиро­ван­ная, пер­сонали­зиро­ван­ная ата­ка под ком­панию, отдел, челове­ка.

  2. Мас­совая, ког­да неп­ринци­пиаль­но, какой из сот­рудни­ков в какой ком­пании получит пись­мо.

  3. Сме­шан­ная, ког­да исполь­зует­ся неболь­шая пер­сонали­зация, нап­ример под бух­галте­ров, но пись­мо рас­сыла­ется тысячам ком­паний или заточе­но под кон­крет­ную орга­низа­цию, но неп­ринци­пиаль­но, кто имен­но получит вре­донос.

Ког­да мы про­водим учеб­ные ата­ки на сот­рудни­ков, мы ста­раем­ся реали­зовать все три век­тора. Нап­ример, в век­торах 1 и 2 попада­ется 30–80% сот­рудни­ков прос­то из‑за того, что поль­зовате­ли доверя­ют отпра­вите­лю, так как в email исполь­зует­ся реаль­ный домен орга­низа­ции (если воз­можна под­мена отпра­вите­ля) или очень похожий на офи­циаль­ный домен.

По боль­шей час­ти в этой статье мы будем рас­смат­ривать ата­ки типа 2, но некото­рые тек­сты этих атак при­годят­ся в век­торах 1 и 3. Тип 2 всег­да мож­но прев­ратить в 1 и 3, задей­ство­вав нем­ного сме­кал­ки.

Кста­ти, ты заметил, что еще с начала статьи я все сужаю и сужаю рам­ки того, что мы будем рас­смат­ривать, но при этом статья получи­лась дос­таточ­но объ­емной? Соци­аль­ная инже­нерия поис­тине без­гра­нич­на. В обновлен­ном изда­нии кни­ги «Кон­тро­лиру­емый взлом. Биб­лия соци­аль­ной инже­нерии» я рас­смот­рел сот­ни век­торов, но чувс­твую, что и этим тема соци­аль­ной инже­нерии не исчерпы­вает­ся.

Итак, перей­дем непос­редс­твен­но к прак­тике — погово­рим о том, как исполь­зовать соци­аль­ную инже­нерию в пен­тестах и учеб­ных фишин­говых рас­сылках по элек­трон­ной поч­те.

 

Тема письма

Да­вай раз­берем, что мож­но писать в теме пись­ма, что­бы уве­личить доверие потен­циаль­ной «жер­твы».

  • До­бав­лять Re: и Fwd:. Нап­ример, «Re: рег­ламент». Так жер­тва решит, что это ответ на ее сооб­щение или оно было перес­лано от кол­леги.
  • Упо­мина­ние орга­низа­ции. Нап­ример, АО «Ромаш­ка». Уви­дев наз­вание сво­ей орга­низа­ции в теме, сот­рудни­ки чаще откры­вают пись­ма.
  • Упо­мина­ние пол­ностью или час­тично ФИО поль­зовате­ля. Нап­ример, «Получа­тель Ива­нов А. И.».
  • Эмо­циональ­ные рабочие аспекты. Нап­ример, «Новогод­ние пре­мии», «Подар­ки на кор­порати­ве», «Над­бавка».
  • Мож­но соб­рать ком­бо. К при­меру, «Fwd: Спи­сок на уволь­нение АО «Ромаш­ка». Адре­сат — Ива­нов А. И.».

Единс­твен­ная адек­ватная при­чина не открыть пись­мо с такой темой — не уви­деть его.

И еще, если ты целенап­равлен­но не ими­тиру­ешь мас­совый спам, не исполь­зуй смай­лики и кучу сим­волов в теме. В кор­поратив­ной сре­де так обща­ются ред­ко.

 

Какую подпись и оформление использовать?

Под­писи в пись­мах в пре­делах одной орга­низа­ции быва­ют оди­нако­во офор­млен­ные или самопаль­ные, каж­дый сам выбира­ет, как ему под­писать­ся. Ты можешь исполь­зовать раз­ное офор­мле­ние писем, в зависи­мос­ти от того, кого имен­но ты ими­тиру­ешь:

  • во внеш­них пись­мах луч­ше встав­лять логотип (для вымыш­ленных орга­низа­ций мож­но исполь­зовать онлайн‑генера­торы логоти­пов, вро­де logoza.ru);
  • ес­ли ими­тиру­ешь внут­ренне­го сот­рудни­ка, который пишет кол­леге, ста­рай­ся исполь­зовать еди­ный стиль, при­нятый в орга­низа­ции. Узнать его мож­но, отпра­вив пись­мо с каким‑либо зап­росом на info@, — кто‑то тебе да отве­тит.

Со­вет безопас­никам: про­буй­те тес­тировать сот­рудни­ков, отправ­ляя еще и фишин­говые пись­ма с нес­тандар­тным офор­мле­нием.

 

Выбираем контекст

Под кон­тек­стом я понимаю повод, по которо­му мы пишем поль­зовате­лю. При­веден­ный ниже перечень взят из ге­нера­тора СИ, который поможет тебе сос­тавлять собс­твен­ные век­торы и тек­сты писем. Далее мы так­же раз­берем при­меры кон­тек­ста под­робнее.

Итак, по какому поводу мы пишем поль­зовате­лям:

  • со­бытий­ные ата­ки;
  • при­чина;
  • зап­росы;
  • воп­росы;
  • от­прав­ка чего‑то;
  • из­менения в чем‑то;
  • же­лание.

Во­обще, кон­текст — это клю­чевая сос­тавля­ющая фишин­га. Успех на 80% зависит от того, зна­ком ли сот­рудник с тем, о чем ему пишут. Нап­ример, сот­рудни­ки в кур­се, что 21 декаб­ря будет кор­поратив, и, если начать пись­мо с «Кол­леги, как вы зна­ете, 21 декаб­ря у нас будет кор­поратив. По ссыл­ке вы смо­жете...», успех поч­ти гаран­тирован.

Или дру­гой вари­ант, ког­да пишут юрис­ту и в тек­сте упо­мина­ется какой‑то биз­нес‑про­цесс, который исполь­зует­ся в его орга­низа­ции. Нап­ример, получа­тель ожи­дает, что догово­ры на про­вер­ку ему при­ходят толь­ко от отде­ла закупок, и толь­ко этим он и занима­ется — про­веря­ет догово­ры. Тог­да пись­мо яко­бы от менед­жера по про­дажам с прось­бой све­рить тех­задание по пла­ниру­емой закуп­ке с точ­ки зре­ния юри­дичес­кой кор­рек­тнос­ти будет выг­лядеть стран­но. Любые нес­тыков­ки вызовут у получа­теля совер­шенно ненуж­ные подоз­рения.

 

Усиление контекста

Итак, повод для пись­ма есть (типич­ные при­меры раз­берем поз­же), теперь его мож­но уси­лить. Уси­ливать мы будем раз­ными эмо­циями и ины­ми пси­холо­гичес­кими при­ема­ми, перечень которых при­веден ниже. Даль­ше мы рас­смот­рим их под­робнее и с при­мера­ми.

  • Эмо­ции: сочувс­твие, страх, гнев, кон­серва­тизм, инте­рес, радость.
  • Дав­ление: авто­ритет, прось­ба о помощи, сроч­ность, угро­за.
  • Же­лание: бес­плат­ность чего‑то, эко­номия, день­ги.
  • Ложь: под­дель­ная перепис­ка, несущес­тву­ющий раз­говор, под­делка перепис­ки, под­тасов­ка фак­тов.
  • Сов­падение: ког­да у жер­твы что‑то сов­пада­ет со зло­умыш­ленни­ком. Нап­ример, имя, фамилия, мес­то уче­бы.

Итак, с ввод­ной частью закон­чили, теперь рас­смот­рим раз­ные тек­сты и поводы, по которым мы будем писать поль­зовате­лям.

 

Событийные атаки (event attacks)

Рас­смот­рим раз­ные при­меры таких атак, в зависи­мос­ти от события.

 

Чрезвычайная ситуация

То, что широко осве­щает­ся в СМИ, ста­новит­ся отличным инфо­пово­дом для атак. Пан­демия корона­виру­са сош­ла на нет, мошен­ники зарабо­тали мно­го денег, теперь новос­тная повес­тка забита дру­гими событи­ями, и, естес­твен­но, кибер­прес­тупни­ки всех мас­тей это исполь­зуют.

Да­вай нем­ного понос­таль­гиру­ем и обсу­дим пан­демию какого‑нибудь ковар­ного вируса. Пред­ста­вим, что эта тема сей­час у всех на устах и СМИ ее активно обсужда­ют. Рас­смот­рим, как исполь­зует­ся новос­тная повес­тка в качес­тве кон­тек­ста в фишин­говых пись­мах.

  • При­мер 1. Ска­чай­те при­ложе­ние, что­бы отсле­живать заражен­ных вирусом людей рядом с вами.
  • При­мер 2. Кор­поратив­ная под­дер­жка во вре­мя пан­демии. Для получе­ния отсроч­ки по кре­дит­ным пла­тежам, вклю­чая ипо­теку, подай­те заяв­ление, и вам будет пре­дос­тавле­на такая воз­можность. Во вло­жении бланк заяв­ления: рас­печатай­те его, запол­ните и отправь­те ответным пись­мом.
  • При­мер 3. Кол­леги, для обес­печения шиф­рован­ной свя­зи с уда­лен­ными сот­рудни­ками прось­ба сегод­ня ска­чать прог­рамму по ссыл­ке (ссыл­ка ведет на фай­лооб­менник или нап­рямую на исполня­емый файл). С зав­траш­него дня ком­муника­ция будет про­ходить через эту прог­рамму.
  • При­мер 4. Для нашей орга­низа­ции обслу­жива­ющий банк пре­дос­тавля­ет бес­про­цен­тный кре­дит сро­ком на 1 год, кре­дит­ная исто­рия заем­щиков не будет учи­тывать­ся. В слу­чае ухуд­шения финан­совой ситу­ации (а это, по всем прог­нозам, про­изой­дет) кре­дит будет спи­сан за счет работо­дате­ля. Обра­зец заяв­ления во вло­жении.
  • При­мер 5. В свя­зи с обновле­нием пра­вил поведе­ния жителей г. Мос­квы (твой целевой город) на вре­мя каран­тина вве­дена сис­тема про­пус­ков. В слу­чае если вам нуж­но покинуть квар­тиру по любому поводу, для получе­ния про­пус­ка перей­дите по ссыл­ке на сайт Госус­луг и запол­ните анке­ту.
  • При­мер 6. Прось­ба запол­нить дан­ные по ссыл­ке для начис­ления доп­лат за уда­лен­ную работу.
 

Праздники

На­меча­ется государс­твен­ный праз­дник с пос­леду­ющи­ми выход­ными? Вот темы, которые мож­но исполь­зовать:

  • гра­фик работы в праз­днич­ные дни;
  • трой­ная ком­пенса­ция за работу в праз­дни­ки в рам­ках мероп­риятий по повыше­нию лояль­нос­ти работ­ников;
  • праз­днич­ные дни отме­няют­ся, будем работать без выход­ных.
 

Политика

По­лити­чес­ки анга­жиро­ван­ные получа­тели с удо­воль­стви­ем откры­вают ссыл­ки в пись­мах, (не)соот­ветс­тву­ющих их взгля­дам. Есть спо­кой­ные люди, име­ющие мне­ние о полити­ке, а есть те, кто ярос­тно убеж­дает дру­гих в том, что имен­но их мне­ние единс­твен­но пра­виль­ное. Таких людей лег­ко опре­делить. Они любят писать кап­сло­ком, ста­вят мно­го вос­кли­цатель­ных зна­ков в кон­це и оскор­бля­ют оппо­нен­тов за ина­комыс­лие. Вот такие получа­тели и будут нажимать на твои ссыл­ки аж двой­ным кли­ком.

Да­бы не будора­жить умы сооте­чес­твен­ников, при­веду при­мер зарубеж­ного фишин­га на полити­чес­кую тему.

Пример фишинга на политическую тему
При­мер фишин­га на полити­чес­кую тему

Ес­ли у тебя, как и у меня, с англий­ским пло­хо, то суть новос­ти в том, что шесть араб­ских стран, вклю­чая Саудов­скую Ара­вию и Еги­пет, разор­вали дип­ломати­чес­кие отно­шения с Катаром, обви­нив его в дес­табили­зации реги­она.

 

Причина

Что‑то (не) про­изош­ло, и я вам об этом пишу. Нек­то ска­зал, что по это­му поводу нуж­но писать имен­но вам. Нап­ример, отпра­витель так и не дож­дался отве­та, может, пись­мо не дош­ло, поэто­му дуб­лиру­ет пакет докумен­тов. Или в тех­поддер­жке посове­това­ли обра­тить­ся по какому‑то воп­росу кон­крет­но к это­му сот­рудни­ку.

 

Якобы взлом

При­веду при­мер ата­ки на физичес­ких лиц, в ходе которой зло­деи отправ­ляют элек­трон­ное пись­мо, где демонс­три­руют исполь­зуемые жер­твой логины и пароли, утеч­ка которых, ско­рее все­го, про­изош­ла ранее. Авто­ры сооб­щения утвер­жда­ют, что взло­мали веб‑камеру и зас­няли, как человек смот­рит пор­ногра­фичес­кие ролики и что дела­ет в это вре­мя. Затем мошен­ники тре­буют выкуп в бит­коинах за то, что­бы они не рас­сылали это видео.

В кор­поратив­ной сре­де мож­но сде­лать свою вер­сию «яко­бы взло­ма»:

Кол­леги, доб­рый день.

Вче­ра был обна­ружен взлом кор­поратив­ной сети. Учет­ные записи нес­коль­ких сот­рудни­ков были ском­про­мети­рова­ны, и их логины и пароли ока­зались у зло­умыш­ленни­ков.

В свя­зи с этим сроч­но нуж­но сде­лать сле­дующее:

  • Про­верь­те в спис­ке ниже, есть ли ваш email сре­ди ском­про­мети­рован­ных.

  • Ес­ли он есть в спис­ке, сроч­но сме­ните пароль по ссыл­ке (фишин­говая ссыл­ка).

Спи­сок ском­про­мети­рован­ных email:

abc@xyx.com

abd@xyx.com

И даль­ше еще десяток адре­сов, при­мер­но на вось­мом мес­те авто­под­ста­нов­кой встав­ляем адрес жер­твы.

Все, ждем уло­ва. Если ты дела­ешь ата­ку с обратной связью (ког­да ты обща­ешь­ся с жер­твой, а не прос­то отправ­ляешь пись­мо в один конец), то в кон­це пись­ма можешь поп­росить, что­бы ответным сооб­щени­ем тебя опо­вес­тили, что сме­на пароля прош­ла успешно.

Заметки для безопасников

Уз­нать, попал ли в общий дос­туп пароль от кор­поратив­ной поч­ты вашей ком­пании, мож­но на сай­те DomainSearch. Впи­сыва­ете ваш домен, под­твержда­ете пра­во вла­дения и получа­ете уве­дом­ления, ког­да в сеть уте­чет связ­ка email:password.

Уз­нать, что кто‑то зарегис­три­ровал домен, похожий на офи­циаль­ный домен вашей орга­низа­ции, поможет пор­тал domains-monitor.com. Монито­рить мож­но как домены, вклю­чающие ваш бренд, так и модифи­кации офи­циаль­ного домена, нап­ример d0main.ru.

Спи­сок уже зарегис­три­рован­ных доменов, похожих на ваш офи­циаль­ный, покажет сайт dnstwister.report. Если домены реаль­но фишин­говые, мож­но внес­ти их в чер­ный спи­сок защит­ного ПО орга­низа­ции.

 

Внеплановая проверка от СРО

Ком­пани­ям, сос­тоящим в каких‑либо саморе­гули­руемых орга­низа­циях, могут при­ходить спе­цифи­чес­кие пись­ма. Поль­зуйся этим при про­вер­ке сот­рудни­ков.

Вот при­мер такого пись­ма с вре­донос­ной ссыл­кой:

Доб­рый день.

Сог­ласно пос­ледним жалобам пот­ребите­лей мик­рофинан­совых услуг на вашу МФО, а так­же в соот­ветс­твии с Базовы­ми пра­вила­ми защиты прав и инте­ресов малого и сред­него биз­неса, получа­телей финан­совых услуг, СРО Союз «Мик­рофинан­совый Аль­янс» наз­начили вам внеп­лановую выез­дную про­вер­ку на 03.07.2020. Этим пись­мом нап­равля­ем вам Зап­рос № 222-1\20 от 23.06.2021 на пред­став­ление докумен­тов (информа­ции). Прось­ба донес­ти до ведома руководс­тва и быть готовым пред­ста­вить все необ­ходимые докумен­ты к 03.07.2021.

Про­вер­ка про­водит­ся в соот­ветс­твии со ст. 4, 5 Федераль­ного закона от 13 июля 2015 года № 223-ФЗ «О саморе­гули­руемых орга­низа­циях в сфе­ре финан­сового рын­ка», Федераль­ным законом от 2 июля 2010 года № 151-ФЗ «О мик­рофинан­совой деятель­нос­ти и мик­рофинан­совых орга­низа­циях», Ука­зани­ем Бан­ка Рос­сии от 3 фев­раля 2016 года № 4278-У «О тре­бова­ниях к содер­жанию базово­го стан­дарта защиты прав и инте­ресов физичес­ких и юри­дичес­ких лиц — получа­телей финан­совых услуг, ока­зыва­емых чле­нами саморе­гули­руемых орга­низа­ций в сфе­ре финан­сового рын­ка, объ­еди­няющих мик­рофинан­совые орга­низа­ции».

С ува­жени­ем,
Ру­ково­дитель рабочей груп­пы Кон­троль­ного Комите­та
Со­юза «Мик­рофинан­совый Аль­янс „Инсти­туты раз­вития малого и сред­него биз­неса“»
Ко­лен­ская Мария Юрь­евна

Рас­сылалось это дело с адре­са info@alliance-mfo.pw, а нас­тоящий адрес упо­мяну­того в пись­ме союза — info@alliance-mfo.ru.

 

Неудачные попытки авторизации

По ана­логии со скрип­тами мошен­ничес­ких кол‑цен­тров, сот­рудни­ки которых зво­нят и сооб­щают, что с тво­их сче­тов пыта­ются снять день­ги, сочиня­ем свое элек­трон­ное пись­мо для про­вер­ки бди­тель­нос­ти поль­зовате­лей:

Ува­жаемый поль­зователь!

На­ми зафик­сирован вход в вашу учет­ную запись.

Мес­то: Шве­ция

IP: 165.231.143.161

Ес­ли это были не вы, сроч­но сме­ните пароль (тут ссыл­ка).

Вни­мание: пись­мо соз­дано сис­темой пре­дот­вра­щения втор­жений, отве­чать на него не нуж­но.

Продолжение доступно только участникам

Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте

Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее

Вариант 2. Открой один материал

Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.


  • Подпишись на наc в Telegram!

    Только важные новости и лучшие статьи

    Подписаться

  • Подписаться
    Уведомить о
    14 комментариев
    Старые
    Новые Популярные
    Межтекстовые Отзывы
    Посмотреть все комментарии