Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.

Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:

Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...

В тот же день Марина, а заодно и все остальные сотрудники получили распоряжение — почту не проверять и писем не открывать. Директор поручил вызвать полицию.

Только два человека в офисе компании «А» понимали, что происходит на самом деле. Они наняли команду Бастион, чтобы проверить систему безопасности компании и провести фишинговую рассылку. Обычно такие проекты проводятся в атмосфере секретности, но мы подумали, что вам будет интересно познакомиться с внутренней кухней.

Фишинг как услуга

Как правило, атаки, основанные на социальной инженерии, заказывают в связке с внешним или внутренним пентестом, но это полностью самостоятельные операции, с особыми процедурами и разновидностями атак:

• фишинговые рассылки;
• работа на объектах (от разбрасывания зараженных флешек до выманивания информации у сотрудников);
• собеседования (когда наши агенты идут наниматься в компанию и наоборот, мы приглашаем соискателей из тестируемой компании);
• и так далее.

В описанном случае заказчик выбрал таргетированную фишинговую рассылку, подкрепленную звонком. Во время таких атак отправляется письмо с вредоносным вложением или фишинговой ссылкой, а при помощи звонка получателя провоцируют его открыть.

Добрый день! Я из компании… Направил вам письмо. Получили? Его нужно срочно передать Ивану Ивановичу. Он просил, он очень ждет, только что по телефону с ним говорили, пожалуйста, распечатайте и занесите

Такие атаки хорошо действуют на секретарей и, порой, вызывают серьезный резонанс. Но чем больше шума, тем сильнее педагогический эффект.

Подготовка к операции

Все связанное с пентестами и, в особенности, с социальной инженерией — очень деликатная работа. Различие между законной и незаконной фишинговой рассылкой по большому счету заключается в факте договоренности с тестируемой компанией. Поэтому подготовка к рассылке идет в тесном сотрудничестве с заказчиком. Согласуется все, вплоть до самых незначительных деталей.

Очерчиваем площадь атаки

Прежде всего необходимо определиться с аудиторией, которая получит фишинговые письма. Обычно это 10–20% от общего числа сотрудников.

Вначале мы оцениваем, сколько адресов электронной почты, ассоциированных с компанией, можно найти в открытых источниках. Затем передаем получившийся список заказчику. На этом этапе перечень адресов для рассылки утверждается и дополняется заказчиком, если это необходимо.

Выбираем легенду

Следующий шаг — выбор и согласование легенды, под которой будем рассылать письма. Лучше всего работает фишинг, нацеленный на три аспекта: самолюбие, «нездоровое» любопытство и жадность.

Делали рассылку следующего содержания: «Уважаемые коллеги, в преддверии праздников мы решили провести конкурс… для выбора подарка пройдите по ссылке и заполните анкету. И вот с этим подарком… проект закончился, сотрудникам компании объявили, что это были учения, прямо сказали: «ребята — это фишинг», но еще неделю после тестирования нам сливали данные. Все, что нацелено на какую-то наживу очень эффективно

Для небольших рассылок на 10–15 человек хорошо подходят тексты типа: «Вот фотографии с корпоратива. Особенно отличился Иван Иванович, посмотрите, что он вытворял!».

В массовых рассылках эффективны сообщения об изменениях в программе премирования сотрудников или с инструкциями по подключению к новому порталу удаленного доступа.

Оформляем и согласовываем письма

После согласования легенды следует подготовить письма и фишинговый портал. Для этого подбирается правдоподобное доменное имя. Чаще всего в ход идет замена букв на похожие по написанию, например, l на I. Это известный трюк, но на него легко попасться, даже если знаешь в чем хитрость.

Поднимается веб-сервер, устанавливается ssl-сертификат, копируется корпоративный стиль оформления сайта. Затем выбирается, от чьего имени и с какого ящика будет отправлено письмо со ссылкой на этот ресурс, и параллельно подготавливается текст.

Все — от внешнего вида и адреса портала до шрифтов и подписей в письме согласовывается с заказчиком тестирования. Заодно мы запрашиваем телефон для экстренной связи на случай, если обман зайдет слишком далеко. Эта мера предосторожности особенно актуальна для физической работы на объектах, но полезна и в случае рассылок. Она спасала нас от жалоб хостерам.

Разбираемся со спам-фильтрами

Как правило, на стороне заказчика установлены те или иные защитные системы, но проверка их работоспособности, оценка эффективности — отдельная задача. В рамках фишинговых рассылок мы проверяем людей, а не СЗИ, поэтому большинство заказчиков просто добавляют наши почтовые сервера в список исключений.

Однако есть кейсы, в которых мы должны действовать правдоподобнее. Тогда приходится искать способ обойти защитные системы компании. Для этого мы удаляем из писем все ссылки и маячки. Это значительно повышает вероятность доставки, хотя и усложняет подсчет статистики по проекту. Но это еще не все, ведь необходимо как-то протащить через защиту вложение с активной нагрузкой.

Прошли времена, когда к письму можно было безнаказанно прикрепить исполняемый файл. Теперь почтовые клиенты по умолчанию блокируют подобные вложения.

Файлы приходится архивировать, однако многие антивирусы проверяют и содержимое архивов. Поэтому на архив устанавливается пароль. Но даже это не панацея, так как отдельные решения умеют находить пароли в письмах и все-таки распаковывают архив.

Чтобы проскочить через защитные системы, приходится делать вложения, которые не детектятся антивирусами. Для этого мы запрашиваем у заказчика адрес электронной почты, на котором можно потренироваться, обфусцируем, кодируем, шифруем и отправляем письмо с вложением до тех пор, пока не убедимся, что оно проходит через все слои защиты. Только после этого стартует полномасштабная рассылка.

Запускаем рассылку и развиваем атаку

Существуют общедоступные инструменты для распространения писем — самые известные из них GoPhish и PhishKiller, но в последнее время мы используем фишинговый модуль, встроенный в разработанную нами обучающую платформу. Работает не хуже и заодно таким образом мы демонстрируем потенциальным заказчикам одну из ее функций.

Затем мы проверяем данные, собранные с фишингового портала, на валидность. Для этого берем несколько десятков случайных пар логин-пароль и с их помощью пытаемся авторизоваться в доступных снаружи сервисах — почте, чатах, VPN.

Был случай, когда мы делали рассылку на юридический отдел. Я получил доступ к почте, захожу — вижу всякую бухгалтерию и данные для доступа к 1С, а 1С у них облачный. С помощью этой информации можно было деньги переводить. Руководство заказчика скажем так, было под сильным впечатлением

Странно, но даже если люди в какой-то момент осознают, что попались на удочку, они не всегда сразу меняют пароль. Более того, к нам регулярно приходят ответные письма с жалобами на неработающую авторизацию на фишинговом портале.

Такие кейсы особенно опасны, так как доверчивого сотрудника достаточно просто уговорить установить «диагностическую утилиту», с помощью которой злоумышленник получит удаленный доступ к компьютеру.

Оцениваем эффективность атаки

В итоге мы собираем развернутую статистику по результатам каждого проекта и отправляем заказчику.

Бывают случаи, когда фишинг малоэффективен. Так, он плохо работает против небольших компаний, в которых большую часть штата составляют IT-специалисты. Мало того, что они не ведутся на провокации, так еще и гадостей вместо паролей напишут.

Однако, таких кейсов сравнительно мало — 1–2 на несколько десятков проектов. Средняя эффективность фишинговых рассылок в нашей практике 25–30%. Больше четверти получателей оставляют нам учетные данные в том или ином виде.

Противодействие фишингу

Итоговый отчет по проекту можно использовать по-разному, но главное, что дает статистика по итогам рассылки, — это возможность трезво оценить ущерб, который может нанести такая атака. Проведенные учения позволяют выработать соразмерные меры защиты и противодействия.

Прежде всего, речь о просветительской работе, обучении сотрудников основам кибербезопасности. Однако, оно должно быть систематическим, целенаправленным и основанным на достойной теоретической базе. Иначе результаты могут не оправдать ожиданий.

Летом был случай, когда заказчик попросил отложить проект, специально, чтобы сотрудники успели пройти обучение компьютерной гигиене. Мы провели рассылку через неделю после окончания курса, и 40% как будто ничему и не учились

Впрочем, возможен и другой подход. В некоторых компаниях полностью полагаются на технические средства обеспечения безопасности.

Провели рассылку на 2 тыс. человек и собрали около 300 учетных записей. Довольные результатом начинаем проверять креды и понимаем, что никуда не можем зайти. Оказалось, что в этой компании все на двухфакторной аутентификации через приложение на смартфоне. Зато с нашей помощью заказчик узнал, кто в компании использует словарные пароли

Нам представляется, что стоит сочетать все доступные способы защиты от подобных атак, ведь проблема фишинга будет становиться только острее. Основная цель злоумышленников, использующих социальную инженерию против компаний, — получить доступ в инфраструктуру.

Средства защиты год от года становятся эффективнее, и пробить периметр все сложнее, а вот люди постоянно совершают одни и те же ошибки. Меняются каналы атаки, появляются новые и оттачиваются старые сценарии, но деньги, самолюбие и любопытство работают всегда. Поэтому ставки на социальную инженерию будут расти.