Статья будет полезна пентестерам и безопасникам, которые хотят проверить, умеют ли сотрудники распознавать вредоносные письма.
Мы поговорим о корпоративном о фишинге с использованием электронной почты.
Давай сразу определимся с терминами.
Как ты знаешь, существует несколько видов фишинга. Классифицируют их в основном по каналам связи (email-фишинг, вишинг, смишинг); по видам воруемых данных (data-фишинг и кража учетных данных); по целевым группам жертв, например вайлинг (фишинг на топов в организации); по целевому действию, например адвертинг (обман блогеров с целью угона популярного канала).
В этой статье мы препарируем фишинг по email, поскольку это самый распространенный способ доставки вредоносной нагрузки (используется в 92% случаев). Но принципы составления векторов подойдут и для других каналов связи, например соцсетей, мессенджеров, да хоть Почты России.
Но зато мы рассмотрим, как писать письма, в которых до 99,5% сотрудников переходят по фишинговой ссылке.
https://static.xakep.ru/images/6d2e4e1c07adbb466fe86242cecf19a8/37836/image1.png
В статье мы разберем именно контент: кто, что и по какому поводу пишет сотрудникам, чтобы достигнуть своих злонамеренных целей.
Существует три типа атак методами социальной инженерии по электронной почте, если различать их по степени массовости:
По большей части в этой статье мы будем рассматривать атаки типа 2, но некоторые тексты этих атак пригодятся в векторах 1 и 3. Тип 2 всегда можно превратить в 1 и 3, задействовав немного смекалки.
Кстати, ты заметил, что еще с начала статьи я все сужаю и сужаю рамки того, что мы будем рассматривать, но при этом статья получилась достаточно объемной? Социальная инженерия поистине безгранична. В обновленном издании книги «Контролируемый взлом. Библия социальной инженерии» я рассмотрел сотни векторов, но чувствую, что и этим тема социальной инженерии не исчерпывается.
Итак, перейдем непосредственно к практике — поговорим о том, как использовать социальную инженерию в пентестах и учебных фишинговых рассылках по электронной почте.
И еще, если ты целенаправленно не имитируешь массовый спам, не используй смайлики и кучу символов в теме. В корпоративной среде так общаются редко.
Итак, по какому поводу мы пишем пользователям:
Или другой вариант, когда пишут юристу и в тексте упоминается какой‑то бизнес‑процесс, который используется в его организации. Например, получатель ожидает, что договоры на проверку ему приходят только от отдела закупок, и только этим он и занимается — проверяет договоры. Тогда письмо якобы от менеджера по продажам с просьбой сверить техзадание по планируемой закупке с точки зрения юридической корректности будет выглядеть странно. Любые нестыковки вызовут у получателя совершенно ненужные подозрения.
Давай немного поностальгируем и обсудим пандемию какого‑нибудь коварного вируса. Представим, что эта тема сейчас у всех на устах и СМИ ее активно обсуждают. Рассмотрим, как используется новостная повестка в качестве контекста в фишинговых письмах.
Дабы не будоражить умы соотечественников, приведу пример зарубежного фишинга на политическую тему.
Если у тебя, как и у меня, с английским плохо, то суть новости в том, что шесть арабских стран, включая Саудовскую Аравию и Египет, разорвали дипломатические отношения с Катаром, обвинив его в дестабилизации региона.
В корпоративной среде можно сделать свою версию «якобы взлома»:
И дальше еще десяток адресов, примерно на восьмом месте автоподстановкой вставляем адрес жертвы.
Все, ждем улова. Если ты делаешь атаку с обратной связью (когда ты общаешься с жертвой, а не просто отправляешь письмо в один конец), то в конце письма можешь попросить, чтобы ответным сообщением тебя оповестили, что смена пароля прошла успешно.
Узнать, что кто‑то зарегистрировал домен, похожий на официальный домен вашей организации, поможет портал domains-monitor.com. Мониторить можно как домены, включающие ваш бренд, так и модификации официального домена, например d0main.ru.
Список уже зарегистрированных доменов, похожих на ваш официальный, покажет сайт dnstwister.report. Если домены реально фишинговые, можно внести их в черный список защитного ПО организации.
Вот пример такого письма с вредоносной ссылкой:
Рассылалось это дело с адреса [email protected], а настоящий адрес упомянутого в письме союза — [email protected].
Продолжение далее....
Источник
Мы поговорим о корпоративном о фишинге с использованием электронной почты.
Давай сразу определимся с терминами.
- Фишинг — процесс выманивания конфиденциальной информации у человека.
- Социальная инженерия — манипуляция человеком с целью побуждения к действиям, выгодным злоумышленнику.
Как ты знаешь, существует несколько видов фишинга. Классифицируют их в основном по каналам связи (email-фишинг, вишинг, смишинг); по видам воруемых данных (data-фишинг и кража учетных данных); по целевым группам жертв, например вайлинг (фишинг на топов в организации); по целевому действию, например адвертинг (обман блогеров с целью угона популярного канала).
В этой статье мы препарируем фишинг по email, поскольку это самый распространенный способ доставки вредоносной нагрузки (используется в 92% случаев). Но принципы составления векторов подойдут и для других каналов связи, например соцсетей, мессенджеров, да хоть Почты России.
Но зато мы рассмотрим, как писать письма, в которых до 99,5% сотрудников переходят по фишинговой ссылке.
https://static.xakep.ru/images/6d2e4e1c07adbb466fe86242cecf19a8/37836/image1.png
В статье мы разберем именно контент: кто, что и по какому поводу пишет сотрудникам, чтобы достигнуть своих злонамеренных целей.
Существует три типа атак методами социальной инженерии по электронной почте, если различать их по степени массовости:
- Таргетированная, персонализированная атака под компанию, отдел, человека.
- Массовая, когда непринципиально, какой из сотрудников в какой компании получит письмо.
- Смешанная, когда используется небольшая персонализация, например под бухгалтеров, но письмо рассылается тысячам компаний или заточено под конкретную организацию, но непринципиально, кто именно получит вредонос.
По большей части в этой статье мы будем рассматривать атаки типа 2, но некоторые тексты этих атак пригодятся в векторах 1 и 3. Тип 2 всегда можно превратить в 1 и 3, задействовав немного смекалки.
Кстати, ты заметил, что еще с начала статьи я все сужаю и сужаю рамки того, что мы будем рассматривать, но при этом статья получилась достаточно объемной? Социальная инженерия поистине безгранична. В обновленном издании книги «Контролируемый взлом. Библия социальной инженерии» я рассмотрел сотни векторов, но чувствую, что и этим тема социальной инженерии не исчерпывается.
Итак, перейдем непосредственно к практике — поговорим о том, как использовать социальную инженерию в пентестах и учебных фишинговых рассылках по электронной почте.
Тема письма
Давай разберем, что можно писать в теме письма, чтобы увеличить доверие потенциальной «жертвы».- Добавлять Re: и Fwd:. Например, «Re: регламент». Так жертва решит, что это ответ на ее сообщение или оно было переслано от коллеги.
- Упоминание организации. Например, АО «Ромашка». Увидев название своей организации в теме, сотрудники чаще открывают письма.
- Упоминание полностью или частично ФИО пользователя. Например, «Получатель Иванов А. И.».
- Эмоциональные рабочие аспекты. Например, «Новогодние премии», «Подарки на корпоративе», «Надбавка».
- Можно собрать комбо. К примеру, «Fwd: Список на увольнение АО «Ромашка». Адресат — Иванов А. И.».
И еще, если ты целенаправленно не имитируешь массовый спам, не используй смайлики и кучу символов в теме. В корпоративной среде так общаются редко.
Какую подпись и оформление использовать?
Подписи в письмах в пределах одной организации бывают одинаково оформленные или самопальные, каждый сам выбирает, как ему подписаться. Ты можешь использовать разное оформление писем, в зависимости от того, кого именно ты имитируешь:- во внешних письмах лучше вставлять логотип (для вымышленных организаций можно использовать онлайн‑генераторы логотипов, вроде logoza.ru);
- если имитируешь внутреннего сотрудника, который пишет коллеге, старайся использовать единый стиль, принятый в организации. Узнать его можно, отправив письмо с каким‑либо запросом на info@, — кто‑то тебе да ответит.
Выбираем контекст
Под контекстом я понимаю повод, по которому мы пишем пользователю. Приведенный ниже перечень взят из генератора СИ, который поможет тебе составлять собственные векторы и тексты писем. Далее мы также разберем примеры контекста подробнее.Итак, по какому поводу мы пишем пользователям:
- событийные атаки;
- причина;
- запросы;
- вопросы;
- отправка чего‑то;
- изменения в чем‑то;
- желание.
Или другой вариант, когда пишут юристу и в тексте упоминается какой‑то бизнес‑процесс, который используется в его организации. Например, получатель ожидает, что договоры на проверку ему приходят только от отдела закупок, и только этим он и занимается — проверяет договоры. Тогда письмо якобы от менеджера по продажам с просьбой сверить техзадание по планируемой закупке с точки зрения юридической корректности будет выглядеть странно. Любые нестыковки вызовут у получателя совершенно ненужные подозрения.
Усиление контекста
Итак, повод для письма есть (типичные примеры разберем позже), теперь его можно усилить. Усиливать мы будем разными эмоциями и иными психологическими приемами, перечень которых приведен ниже. Дальше мы рассмотрим их подробнее и с примерами.- Эмоции: сочувствие, страх, гнев, консерватизм, интерес, радость.
- Давление: авторитет, просьба о помощи, срочность, угроза.
- Желание: бесплатность чего‑то, экономия, деньги.
- Ложь: поддельная переписка, несуществующий разговор, подделка переписки, подтасовка фактов.
- Совпадение: когда у жертвы что‑то совпадает со злоумышленником. Например, имя, фамилия, место учебы.
Событийные атаки (event attacks)
Рассмотрим разные примеры таких атак, в зависимости от события.Чрезвычайная ситуация
То, что широко освещается в СМИ, становится отличным инфоповодом для атак. Пандемия коронавируса сошла на нет, мошенники заработали много денег, теперь новостная повестка забита другими событиями, и, естественно, киберпреступники всех мастей это используют.Давай немного поностальгируем и обсудим пандемию какого‑нибудь коварного вируса. Представим, что эта тема сейчас у всех на устах и СМИ ее активно обсуждают. Рассмотрим, как используется новостная повестка в качестве контекста в фишинговых письмах.
- Пример 1. Скачайте приложение, чтобы отслеживать зараженных вирусом людей рядом с вами.
- Пример 2. Корпоративная поддержка во время пандемии. Для получения отсрочки по кредитным платежам, включая ипотеку, подайте заявление, и вам будет предоставлена такая возможность. Во вложении бланк заявления: распечатайте его, заполните и отправьте ответным письмом.
- Пример 3. Коллеги, для обеспечения шифрованной связи с удаленными сотрудниками просьба сегодня скачать программу по ссылке (ссылка ведет на файлообменник или напрямую на исполняемый файл). С завтрашнего дня коммуникация будет проходить через эту программу.
- Пример 4. Для нашей организации обслуживающий банк предоставляет беспроцентный кредит сроком на 1 год, кредитная история заемщиков не будет учитываться. В случае ухудшения финансовой ситуации (а это, по всем прогнозам, произойдет) кредит будет списан за счет работодателя. Образец заявления во вложении.
- Пример 5. В связи с обновлением правил поведения жителей г. Москвы (твой целевой город) на время карантина введена система пропусков. В случае если вам нужно покинуть квартиру по любому поводу, для получения пропуска перейдите по ссылке на сайт Госуслуг и заполните анкету.
- Пример 6. Просьба заполнить данные по ссылке для начисления доплат за удаленную работу.
Праздники
Намечается государственный праздник с последующими выходными? Вот темы, которые можно использовать:- график работы в праздничные дни;
- тройная компенсация за работу в праздники в рамках мероприятий по повышению лояльности работников;
- праздничные дни отменяются, будем работать без выходных.
Политика
Политически ангажированные получатели с удовольствием открывают ссылки в письмах, (не)соответствующих их взглядам. Есть спокойные люди, имеющие мнение о политике, а есть те, кто яростно убеждает других в том, что именно их мнение единственно правильное. Таких людей легко определить. Они любят писать капслоком, ставят много восклицательных знаков в конце и оскорбляют оппонентов за инакомыслие. Вот такие получатели и будут нажимать на твои ссылки аж двойным кликом.Дабы не будоражить умы соотечественников, приведу пример зарубежного фишинга на политическую тему.
Если у тебя, как и у меня, с английским плохо, то суть новости в том, что шесть арабских стран, включая Саудовскую Аравию и Египет, разорвали дипломатические отношения с Катаром, обвинив его в дестабилизации региона.
Причина
Что‑то (не) произошло, и я вам об этом пишу. Некто сказал, что по этому поводу нужно писать именно вам. Например, отправитель так и не дождался ответа, может, письмо не дошло, поэтому дублирует пакет документов. Или в техподдержке посоветовали обратиться по какому‑то вопросу конкретно к этому сотруднику.Якобы взлом
Приведу пример атаки на физических лиц, в ходе которой злодеи отправляют электронное письмо, где демонстрируют используемые жертвой логины и пароли, утечка которых, скорее всего, произошла ранее. Авторы сообщения утверждают, что взломали веб‑камеру и засняли, как человек смотрит порнографические ролики и что делает в это время. Затем мошенники требуют выкуп в биткоинах за то, чтобы они не рассылали это видео.В корпоративной среде можно сделать свою версию «якобы взлома»:
И дальше еще десяток адресов, примерно на восьмом месте автоподстановкой вставляем адрес жертвы.
Все, ждем улова. Если ты делаешь атаку с обратной связью (когда ты общаешься с жертвой, а не просто отправляешь письмо в один конец), то в конце письма можешь попросить, чтобы ответным сообщением тебя оповестили, что смена пароля прошла успешно.
Заметки для безопасников
Узнать, попал ли в общий доступ пароль от корпоративной почты вашей компании, можно на сайте DomainSearch. Вписываете ваш домен, подтверждаете право владения и получаете уведомления, когда в сеть утечет связка email:password.Узнать, что кто‑то зарегистрировал домен, похожий на официальный домен вашей организации, поможет портал domains-monitor.com. Мониторить можно как домены, включающие ваш бренд, так и модификации официального домена, например d0main.ru.
Список уже зарегистрированных доменов, похожих на ваш официальный, покажет сайт dnstwister.report. Если домены реально фишинговые, можно внести их в черный список защитного ПО организации.
Внеплановая проверка от СРО
Компаниям, состоящим в каких‑либо саморегулируемых организациях, могут приходить специфические письма. Пользуйся этим при проверке сотрудников.Вот пример такого письма с вредоносной ссылкой:
Рассылалось это дело с адреса [email protected], а настоящий адрес упомянутого в письме союза — [email protected].
Неудачные попытки авторизации
По аналогии со скриптами мошеннических кол‑центров, сотрудники которых звонят и сообщают, что с твоих счетов пытаются снять деньги, сочиняем свое электронное письмо для проверки бдительности пользователей:Продолжение далее....
Источник
