ChatGPT на рыбалке. Выманиваем пароль при помощи QR-кода и чат-бота

Содержание статьи

• Задача
• Проблемы
• Решение
• Сценарий рассылки
• Выводы

ChatGPT сей­час раз­ве что в кот­леты не кла­дут. В этой статье мы рас­ска­жем, как в про­екте по соци­аль­ной инже­нерии с помощью фор­ка биб­лиоте­ки для Gophish рас­сылать QR-коды вмес­то обыч­ных ссы­лок, что­бы вытащить сот­рудни­ков из защищен­ного рабоче­го окру­жения на лич­ные девай­сы. В качес­тве catchy-сце­нария рас­сылки мы рас­смот­рим «Telegram-бот IT-под­дер­жки с ChatGPT» и на самом деле исполь­зуем эту ней­росеть для генера­ции кода бота, а так­же под­клю­чим интегра­цию с API OpenAI для обще­ния с поль­зовате­лями. Pentest Award

В августе 2023 года прош­ла церемо­ния наг­ражде­ния Pentest Award — пре­мии для спе­циалис­тов по тес­тирова­нию на про­ник­новение, которую учре­дила ком­пания Awillix. Мы пуб­лику­ем луч­шие работы из каж­дой номина­ции. Эта статья заняла пер­вое мес­то в номина­ции «Ловись, рыб­ка», пос­вящен­ной фишин­гу.

• Идея, сце­нарии: Сер­гей Лукиных, @IBcrew
• Ин­фраструк­тура, домены, поч­та, Gophish: Илья Геор­гиев­ский, @igeorgievsky
• Код для QR и чат‑бота: Дмит­рий Марюш­кин, @dmarushkin

Задача

На вхо­де задача — сде­лать про­ект по соци­аль­ной инже­нерии в круп­ной финан­совой орга­низа­ции с целью повыше­ния осве­дом­леннос­ти сот­рудни­ков в области информа­цион­ной безопас­ности.

Из­вес­тно, что у сот­рудни­ков заказ­чика кор­поратив­ный Outlook, антиспам и Chrome как дефол­тный бра­узер. А так­же повышен­ный уро­вень соци­аль­ной ответс­твен­ности и боевой готов­ности — как у ИБ‑под­разде­ления, так и у рядовых слу­жащих.

Из при­выч­ных инс­тру­мен­тов будем исполь­зовать опен­сор­сный фрей­мворк Gophish. Попыта­емся вытянуть поль­зовате­ля по ссыл­ке на внеш­ний ресурс с доменом, похожим на кор­поратив­ный, и фор­мой логина, а потом поп­росить ввес­ти учет­ные дан­ные.

Проблемы

Что может пой­ти не так с рас­сылкой:

• Ан­тиспам может сре­зать пись­мам бал­лы за некачес­твен­но нас­тро­енный поч­товый домен (DKIM, Dmark, вот это всё), недав­но зарегис­три­рован­ный домен, подоз­ритель­ные хедеры (при­вет, дефол­тный X-Mailer: gophish) и оби­лие ссы­лок в пись­ме (ссыл­ка на фор­му авто­риза­ции с RID-мет­кой и ссыл­ка на кар­тинку в пись­ме, по чис­лу заг­рузок которой изме­ряет­ся про­цент откры­тия писем).
• Chrome на рабочих хос­тах поль­зовате­лей при перехо­де по ссыл­кам из писем на све­жий домен может с боль­шой веро­ятностью показать крас­ную прос­тыню, что явно умень­шит кон­версию из перешед­ших по ссыл­кам в тех, кто ввел пароль.

С нас­трой­кой поч­тового домена, вре­менем пос­ле регис­тра­ции домена и хедера­ми все отно­ситель­но прос­то: при желании мож­но нас­тро­ить и затюнить, а ссыл­ку на кар­тинку вооб­ще убрать — кор­поратив­ный Outlook все рав­но ее не отоб­разит в пись­ме от внеш­него отпра­вите­ля.

Но как уйти от внеш­ней ссыл­ки на фор­му в пись­ме и вне­зап­ной паранойи бра­узе­ра?

Решение

По­чему бы нам не увес­ти поль­зовате­ля из защищен­ного рабоче­го окру­жения на фишин­говый ресурс, откры­тый на лич­ном девай­се, пред­ложив ему в пись­ме QR-код?

Тут мы, кажет­ся, уби­ваем сра­зу двух зай­цев: и антиспам нем­ного рас­сла­бит­ся, так как у него нет понижа­юще­го score фак­тора с внеш­ними ссыл­ками в пись­ме, и бра­узер на лич­ном телефо­не не скло­нен, в отли­чие от дес­ктоп­ной вер­сии Chrome, так панико­вать при виде нового домена.

Но как вста­вить QR в пись­мо? Это же тоже кар­тинка, и кор­поратив­ный Outlook пож­рет ее в сооб­щени­ях от внеш­него отпра­вите­ля так же, как кар­тинку Gophish.

Тот же Яндекс рас­сыла­ет QR-ссыл­ки на чеки, свер­стан­ные при помощи сло­ев (div).

Вто­рой вари­ант — сде­лать QR-код из сим­волов Unicode.

Поп­робу­ем затащить в Gophish оба вари­анта и пос­мотрим, что будет луч­ше выг­лядеть в Outlook.