Анатомия корпоративного фишинга. Учимся составлять фишинговые письма для тренировочных атак

Содержание статьи

• Тема письма
• Какую подпись и оформление использовать?
• Выбираем контекст
• Усиление контекста
• Событийные атаки (event attacks)
• Чрезвычайная ситуация
• Праздники
• Политика
• Причина
• Якобы взлом
• Внеплановая проверка от СРО
• Неудачные попытки авторизации
• Уведомление
• Что вы делаете в Бразилии?
• Контекст: запросы
• Контекст: вопросы
• Вопрос с вложением
• А что это вы мне отправили?
• Контекст: отправка
• Контекст: изменения
• Контекст: желание
• Контекст: «непонятки»
• Переписка-ссылка
• Одинокий файл
• Усиление контекста: эмоции
• Усиление контекста: давление
• Письма от госорганов
• Срочно обновитесь
• Усиление контекста: ложь
• Фейковая переписка
• Фейковая пересылка
• Усиление контекста: совпадение
• Выводы

Статья будет полез­на пен­тесте­рам и безопас­никам, которые хотят про­верить, уме­ют ли сот­рудни­ки рас­позна­вать вре­донос­ные пись­ма. Мы погово­рим о кор­поратив­ном о фишин­ге с исполь­зовани­ем элек­трон­ной поч­ты.

Да­вай сра­зу опре­делим­ся с тер­минами.

• Фи­шинг — про­цесс вымани­вания кон­фиден­циаль­ной информа­ции у челове­ка.
• Со­циаль­ная инже­нерия — манипу­ляция челове­ком с целью побуж­дения к дей­стви­ям, выгод­ным зло­умыш­ленни­ку.

Но так как в ИБ при­нято называть фишин­гом даже под­бро­шен­ные флеш­ки, что мне не очень нра­вит­ся, пусть в сегод­няшней статье этот тер­мин оли­цет­воря­ет всю соци­аль­ную инже­нерию, вмес­те взя­тую.

Как ты зна­ешь, сущес­тву­ет нес­коль­ко видов фишин­га. Клас­сифици­руют их в основном по каналам свя­зи (email-фишинг, вишинг, сми­шинг); по видам вору­емых дан­ных (data-фишинг и кра­жа учет­ных дан­ных); по целевым груп­пам жертв, нап­ример вай­линг (фишинг на топов в орга­низа­ции); по целево­му дей­ствию, нап­ример адвертинг (обман бло­геров с целью уго­на популяр­ного канала).

В этой статье мы пре­пари­руем фишинг по email, пос­коль­ку это самый рас­простра­нен­ный спо­соб дос­тавки вре­донос­ной наг­рузки (ис­поль­зует­ся в 92% слу­чаев). Но прин­ципы сос­тавле­ния век­торов подой­дут и для дру­гих каналов свя­зи, нап­ример соц­сетей, мес­сен­дже­ров, да хоть Поч­ты Рос­сии.

Мы не будем касать­ся непос­редс­твен­но вре­донос­ной наг­рузки к пись­мам, точ­нее, не ста­нем раз­бирать, какой экс­пло­ит исполь­зовать при отправ­ке «мод­ного» нын­че LNK-фай­ла, или рас­смат­ривать получив­шие новую жизнь HTML-вло­жения. И даже не будем тро­гать их ком­бинацию при ата­ках через про­токол Windows Search.

Но зато мы рас­смот­рим, как писать пись­ма, в которых до 99,5% сот­рудни­ков перехо­дят по фишин­говой ссыл­ке.

При­мер резуль­татов учеб­ного фишин­га

В статье мы раз­берем имен­но кон­тент: кто, что и по какому поводу пишет сот­рудни­кам, что­бы дос­тигнуть сво­их зло­наме­рен­ных целей.

Су­щес­тву­ет три типа атак метода­ми соци­аль­ной инже­нерии по элек­трон­ной поч­те, если раз­личать их по сте­пени мас­совос­ти:

Ког­да мы про­водим учеб­ные ата­ки на сот­рудни­ков, мы ста­раем­ся реали­зовать все три век­тора. Нап­ример, в век­торах 1 и 2 попада­ется 30–80% сот­рудни­ков прос­то из‑за того, что поль­зовате­ли доверя­ют отпра­вите­лю, так как в email исполь­зует­ся реаль­ный домен орга­низа­ции (если воз­можна под­мена отпра­вите­ля) или очень похожий на офи­циаль­ный домен.

По боль­шей час­ти в этой статье мы будем рас­смат­ривать ата­ки типа 2, но некото­рые тек­сты этих атак при­годят­ся в век­торах 1 и 3. Тип 2 всег­да мож­но прев­ратить в 1 и 3, задей­ство­вав нем­ного сме­кал­ки.

Кста­ти, ты заметил, что еще с начала статьи я все сужаю и сужаю рам­ки того, что мы будем рас­смат­ривать, но при этом статья получи­лась дос­таточ­но объ­емной? Соци­аль­ная инже­нерия поис­тине без­гра­нич­на. В обновлен­ном изда­нии кни­ги «Кон­тро­лиру­емый взлом. Биб­лия соци­аль­ной инже­нерии» я рас­смот­рел сот­ни век­торов, но чувс­твую, что и этим тема соци­аль­ной инже­нерии не исчерпы­вает­ся.

Итак, перей­дем непос­редс­твен­но к прак­тике — погово­рим о том, как исполь­зовать соци­аль­ную инже­нерию в пен­тестах и учеб­ных фишин­говых рас­сылках по элек­трон­ной поч­те.

Тема письма

Да­вай раз­берем, что мож­но писать в теме пись­ма, что­бы уве­личить доверие потен­циаль­ной «жер­твы».

• До­бав­лять Re: и Fwd:. Нап­ример, «Re: рег­ламент». Так жер­тва решит, что это ответ на ее сооб­щение или оно было перес­лано от кол­леги.
• Упо­мина­ние орга­низа­ции. Нап­ример, АО «Ромаш­ка». Уви­дев наз­вание сво­ей орга­низа­ции в теме, сот­рудни­ки чаще откры­вают пись­ма.
• Упо­мина­ние пол­ностью или час­тично ФИО поль­зовате­ля. Нап­ример, «Получа­тель Ива­нов А. И.».
• Эмо­циональ­ные рабочие аспекты. Нап­ример, «Новогод­ние пре­мии», «Подар­ки на кор­порати­ве», «Над­бавка».
• Мож­но соб­рать ком­бо. К при­меру, «Fwd: Спи­сок на уволь­нение АО «Ромаш­ка». Адре­сат — Ива­нов А. И.».

Единс­твен­ная адек­ватная при­чина не открыть пись­мо с такой темой — не уви­деть его.

И еще, если ты целенап­равлен­но не ими­тиру­ешь мас­совый спам, не исполь­зуй смай­лики и кучу сим­волов в теме. В кор­поратив­ной сре­де так обща­ются ред­ко.

Какую подпись и оформление использовать?

Под­писи в пись­мах в пре­делах одной орга­низа­ции быва­ют оди­нако­во офор­млен­ные или самопаль­ные, каж­дый сам выбира­ет, как ему под­писать­ся. Ты можешь исполь­зовать раз­ное офор­мле­ние писем, в зависи­мос­ти от того, кого имен­но ты ими­тиру­ешь:

• во внеш­них пись­мах луч­ше встав­лять логотип (для вымыш­ленных орга­низа­ций мож­но исполь­зовать онлайн‑генера­торы логоти­пов, вро­де logoza.ru);
• ес­ли ими­тиру­ешь внут­ренне­го сот­рудни­ка, который пишет кол­леге, ста­рай­ся исполь­зовать еди­ный стиль, при­нятый в орга­низа­ции. Узнать его мож­но, отпра­вив пись­мо с каким‑либо зап­росом на info@, — кто‑то тебе да отве­тит.

Со­вет безопас­никам: про­буй­те тес­тировать сот­рудни­ков, отправ­ляя еще и фишин­говые пись­ма с нес­тандар­тным офор­мле­нием.

Выбираем контекст

Под кон­тек­стом я понимаю повод, по которо­му мы пишем поль­зовате­лю. При­веден­ный ниже перечень взят из ге­нера­тора СИ, который поможет тебе сос­тавлять собс­твен­ные век­торы и тек­сты писем. Далее мы так­же раз­берем при­меры кон­тек­ста под­робнее.

Итак, по какому поводу мы пишем поль­зовате­лям:

• со­бытий­ные ата­ки;
• при­чина;
• зап­росы;
• воп­росы;
• от­прав­ка чего‑то;
• из­менения в чем‑то;
• же­лание.

Во­обще, кон­текст — это клю­чевая сос­тавля­ющая фишин­га. Успех на 80% зависит от того, зна­ком ли сот­рудник с тем, о чем ему пишут. Нап­ример, сот­рудни­ки в кур­се, что 21 декаб­ря будет кор­поратив, и, если начать пись­мо с «Кол­леги, как вы зна­ете, 21 декаб­ря у нас будет кор­поратив. По ссыл­ке вы смо­жете…», успех поч­ти гаран­тирован.

Или дру­гой вари­ант, ког­да пишут юрис­ту и в тек­сте упо­мина­ется какой‑то биз­нес‑про­цесс, который исполь­зует­ся в его орга­низа­ции. Нап­ример, получа­тель ожи­дает, что догово­ры на про­вер­ку ему при­ходят толь­ко от отде­ла закупок, и толь­ко этим он и занима­ется — про­веря­ет догово­ры. Тог­да пись­мо яко­бы от менед­жера по про­дажам с прось­бой све­рить тех­задание по пла­ниру­емой закуп­ке с точ­ки зре­ния юри­дичес­кой кор­рек­тнос­ти будет выг­лядеть стран­но. Любые нес­тыков­ки вызовут у получа­теля совер­шенно ненуж­ные подоз­рения.

Усиление контекста

Итак, повод для пись­ма есть (типич­ные при­меры раз­берем поз­же), теперь его мож­но уси­лить. Уси­ливать мы будем раз­ными эмо­циями и ины­ми пси­холо­гичес­кими при­ема­ми, перечень которых при­веден ниже. Даль­ше мы рас­смот­рим их под­робнее и с при­мера­ми.

• Эмо­ции: сочувс­твие, страх, гнев, кон­серва­тизм, инте­рес, радость.
• Дав­ление: авто­ритет, прось­ба о помощи, сроч­ность, угро­за.
• Же­лание: бес­плат­ность чего‑то, эко­номия, день­ги.
• Ложь: под­дель­ная перепис­ка, несущес­тву­ющий раз­говор, под­делка перепис­ки, под­тасов­ка фак­тов.
• Сов­падение: ког­да у жер­твы что‑то сов­пада­ет со зло­умыш­ленни­ком. Нап­ример, имя, фамилия, мес­то уче­бы.

Итак, с ввод­ной частью закон­чили, теперь рас­смот­рим раз­ные тек­сты и поводы, по которым мы будем писать поль­зовате­лям.

Событийные атаки (event attacks)

Рас­смот­рим раз­ные при­меры таких атак, в зависи­мос­ти от события.

Чрезвычайная ситуация

То, что широко осве­щает­ся в СМИ, ста­новит­ся отличным инфо­пово­дом для атак. Пан­демия корона­виру­са сош­ла на нет, мошен­ники зарабо­тали мно­го денег, теперь новос­тная повес­тка забита дру­гими событи­ями, и, естес­твен­но, кибер­прес­тупни­ки всех мас­тей это исполь­зуют.

Да­вай нем­ного понос­таль­гиру­ем и обсу­дим пан­демию какого‑нибудь ковар­ного вируса. Пред­ста­вим, что эта тема сей­час у всех на устах и СМИ ее активно обсужда­ют. Рас­смот­рим, как исполь­зует­ся новос­тная повес­тка в качес­тве кон­тек­ста в фишин­говых пись­мах.

• При­мер 1. Ска­чай­те при­ложе­ние, что­бы отсле­живать заражен­ных вирусом людей рядом с вами.
• При­мер 2. Кор­поратив­ная под­дер­жка во вре­мя пан­демии. Для получе­ния отсроч­ки по кре­дит­ным пла­тежам, вклю­чая ипо­теку, подай­те заяв­ление, и вам будет пре­дос­тавле­на такая воз­можность. Во вло­жении бланк заяв­ления: рас­печатай­те его, запол­ните и отправь­те ответным пись­мом.
• При­мер 3. Кол­леги, для обес­печения шиф­рован­ной свя­зи с уда­лен­ными сот­рудни­ками прось­ба сегод­ня ска­чать прог­рамму по ссыл­ке (ссыл­ка ведет на фай­лооб­менник или нап­рямую на исполня­емый файл). С зав­траш­него дня ком­муника­ция будет про­ходить через эту прог­рамму.
• При­мер 4. Для нашей орга­низа­ции обслу­жива­ющий банк пре­дос­тавля­ет бес­про­цен­тный кре­дит сро­ком на 1 год, кре­дит­ная исто­рия заем­щиков не будет учи­тывать­ся. В слу­чае ухуд­шения финан­совой ситу­ации (а это, по всем прог­нозам, про­изой­дет) кре­дит будет спи­сан за счет работо­дате­ля. Обра­зец заяв­ления во вло­жении.
• При­мер 5. В свя­зи с обновле­нием пра­вил поведе­ния жителей г. Мос­квы (твой целевой город) на вре­мя каран­тина вве­дена сис­тема про­пус­ков. В слу­чае если вам нуж­но покинуть квар­тиру по любому поводу, для получе­ния про­пус­ка перей­дите по ссыл­ке на сайт Госус­луг и запол­ните анке­ту.
• При­мер 6. Прось­ба запол­нить дан­ные по ссыл­ке для начис­ления доп­лат за уда­лен­ную работу.

Праздники

На­меча­ется государс­твен­ный праз­дник с пос­леду­ющи­ми выход­ными? Вот темы, которые мож­но исполь­зовать:

• гра­фик работы в праз­днич­ные дни;
• трой­ная ком­пенса­ция за работу в праз­дни­ки в рам­ках мероп­риятий по повыше­нию лояль­нос­ти работ­ников;
• праз­днич­ные дни отме­няют­ся, будем работать без выход­ных.

Политика

По­лити­чес­ки анга­жиро­ван­ные получа­тели с удо­воль­стви­ем откры­вают ссыл­ки в пись­мах, (не)соот­ветс­тву­ющих их взгля­дам. Есть спо­кой­ные люди, име­ющие мне­ние о полити­ке, а есть те, кто ярос­тно убеж­дает дру­гих в том, что имен­но их мне­ние единс­твен­но пра­виль­ное. Таких людей лег­ко опре­делить. Они любят писать кап­сло­ком, ста­вят мно­го вос­кли­цатель­ных зна­ков в кон­це и оскор­бля­ют оппо­нен­тов за ина­комыс­лие. Вот такие получа­тели и будут нажимать на твои ссыл­ки аж двой­ным кли­ком.

Да­бы не будора­жить умы сооте­чес­твен­ников, при­веду при­мер зарубеж­ного фишин­га на полити­чес­кую тему.

При­мер фишин­га на полити­чес­кую тему

Ес­ли у тебя, как и у меня, с англий­ским пло­хо, то суть новос­ти в том, что шесть араб­ских стран, вклю­чая Саудов­скую Ара­вию и Еги­пет, разор­вали дип­ломати­чес­кие отно­шения с Катаром, обви­нив его в дес­табили­зации реги­она.

Причина

Что‑то (не) про­изош­ло, и я вам об этом пишу. Нек­то ска­зал, что по это­му поводу нуж­но писать имен­но вам. Нап­ример, отпра­витель так и не дож­дался отве­та, может, пись­мо не дош­ло, поэто­му дуб­лиру­ет пакет докумен­тов. Или в тех­поддер­жке посове­това­ли обра­тить­ся по какому‑то воп­росу кон­крет­но к это­му сот­рудни­ку.

Якобы взлом

При­веду при­мер ата­ки на физичес­ких лиц, в ходе которой зло­деи отправ­ляют элек­трон­ное пись­мо, где демонс­три­руют исполь­зуемые жер­твой логины и пароли, утеч­ка которых, ско­рее все­го, про­изош­ла ранее. Авто­ры сооб­щения утвер­жда­ют, что взло­мали веб‑камеру и зас­няли, как человек смот­рит пор­ногра­фичес­кие ролики и что дела­ет в это вре­мя. Затем мошен­ники тре­буют выкуп в бит­коинах за то, что­бы они не рас­сылали это видео.

В кор­поратив­ной сре­де мож­но сде­лать свою вер­сию «яко­бы взло­ма»:

И даль­ше еще десяток адре­сов, при­мер­но на вось­мом мес­те авто­под­ста­нов­кой встав­ляем адрес жер­твы.

Все, ждем уло­ва. Если ты дела­ешь ата­ку с обратной связью (ког­да ты обща­ешь­ся с жер­твой, а не прос­то отправ­ляешь пись­мо в один конец), то в кон­це пись­ма можешь поп­росить, что­бы ответным сооб­щени­ем тебя опо­вес­тили, что сме­на пароля прош­ла успешно.

Заметки для безопасников

Уз­нать, попал ли в общий дос­туп пароль от кор­поратив­ной поч­ты вашей ком­пании, мож­но на сай­те DomainSearch. Впи­сыва­ете ваш домен, под­твержда­ете пра­во вла­дения и получа­ете уве­дом­ления, ког­да в сеть уте­чет связ­ка email:password.

Уз­нать, что кто‑то зарегис­три­ровал домен, похожий на офи­циаль­ный домен вашей орга­низа­ции, поможет пор­тал domains-monitor.com. Монито­рить мож­но как домены, вклю­чающие ваш бренд, так и модифи­кации офи­циаль­ного домена, нап­ример d0main.ru.

Спи­сок уже зарегис­три­рован­ных доменов, похожих на ваш офи­циаль­ный, покажет сайт dnstwister.report. Если домены реаль­но фишин­говые, мож­но внес­ти их в чер­ный спи­сок защит­ного ПО орга­низа­ции.

Внеплановая проверка от СРО

Ком­пани­ям, сос­тоящим в каких‑либо саморе­гули­руемых орга­низа­циях, могут при­ходить спе­цифи­чес­кие пись­ма. Поль­зуйся этим при про­вер­ке сот­рудни­ков.

Вот при­мер такого пись­ма с вре­донос­ной ссыл­кой:

Рас­сылалось это дело с адре­са [email protected], а нас­тоящий адрес упо­мяну­того в пись­ме союза — [email protected].

Неудачные попытки авторизации

По ана­логии со скрип­тами мошен­ничес­ких кол‑цен­тров, сот­рудни­ки которых зво­нят и сооб­щают, что с тво­их сче­тов пыта­ются снять день­ги, сочиня­ем свое элек­трон­ное пись­мо для про­вер­ки бди­тель­нос­ти поль­зовате­лей:

Источник: xakep.ru