Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
Physical Address
304 North Cardinal St.
Dorchester Center, MA 02124
ChatGPT сейчас разве что в котлеты не кладут. В этой статье мы расскажем, как в проекте по социальной инженерии с помощью форка библиотеки для Gophish рассылать QR-коды вместо обычных ссылок, чтобы вытащить сотрудников из защищенного рабочего окружения на личные девайсы. В качестве catchy-сценария рассылки мы рассмотрим «Telegram-бот IT-поддержки с ChatGPT» и на самом деле используем эту нейросеть для генерации кода бота, а также подключим интеграцию с API OpenAI для общения с пользователями. Pentest Award
В августе 2023 года прошла церемония награждения Pentest Award — премии для специалистов по тестированию на проникновение, которую учредила компания Awillix. Мы публикуем лучшие работы из каждой номинации. Эта статья заняла первое место в номинации «Ловись, рыбка», посвященной фишингу.
Авторы
На входе задача — сделать проект по социальной инженерии в крупной финансовой организации с целью повышения осведомленности сотрудников в области информационной безопасности.
Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
Что может пойти не так с рассылкой:
X-Mailer: gophish
) и обилие ссылок в письме (ссылка на форму авторизации с RID-меткой и ссылка на картинку в письме, по числу загрузок которой измеряется процент открытия писем). С настройкой почтового домена, временем после регистрации домена и хедерами все относительно просто: при желании можно настроить и затюнить, а ссылку на картинку вообще убрать — корпоративный Outlook все равно ее не отобразит в письме от внешнего отправителя.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
Почему бы нам не увести пользователя из защищенного рабочего окружения на фишинговый ресурс, открытый на личном девайсе, предложив ему в письме QR-код?
Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div
).
Второй вариант — сделать QR-код из символов Unicode.
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Источник: xakep.ru