Перед новым годом в приемной компании «А», входящей в состав крупного холдинга, раздался звонок. Трубку подняла секретарь — Марина. Звонивший представился как сотрудник головной компании и сообщил, что, необходимо передать директору персональное приглашение на новогоднюю вечеринку. Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила e-mail руководителя. Она совершила ошибку.


Чуть позже директор, а заодно и весь высший менеджмент компании получили письмо следующего содержания:



Директор поручил Марине заняться приготовлениями к мероприятию. Секретарь перезвонила, чтобы узнать, как сделать пригласительные для супруги директора, и уточнить дрескод. В ответ прозвучало, что форма одежды карнавальная. Только после этого один из сотрудников заподозрил неладное и позвонил напрямую в головную компанию. Там ответили, что карнавалов сроду не проводили и не планируют...


В тот же день Марина, а заодно и все остальные сотрудники получили распоряжение — почту не проверять и писем не открывать. Директор поручил вызвать полицию.


Только два человека в офисе компании «А» понимали, что происходит на самом деле. Они наняли команду Бастион, чтобы проверить систему безопасности компании и провести фишинговую рассылку. Обычно такие проекты проводятся в атмосфере секретности, но мы подумали, что вам будет интересно познакомиться с внутренней кухней.


Фишинг как услуга


Как правило, атаки, основанные на социальной инженерии, заказывают в связке с внешним или внутренним пентестом, но это полностью самостоятельные операции, с особыми процедурами и разновидностями атак:


  • фишинговые рассылки;
  • работа на объектах (от разбрасывания зараженных флешек до выманивания информации у сотрудников);
  • собеседования (когда наши агенты идут наниматься в компанию и наоборот, мы приглашаем соискателей из тестируемой компании);
  • и так далее.

В описанном случае заказчик выбрал таргетированную фишинговую рассылку, подкрепленную звонком. Во время таких атак отправляется письмо с вредоносным вложением или фишинговой ссылкой, а при помощи звонка получателя провоцируют его открыть.


Добрый день! Я из компании… Направил вам письмо. Получили? Его нужно срочно передать Ивану Ивановичу. Он просил, он очень ждет, только что по телефону с ним говорили, пожалуйста, распечатайте и занесите

Такие атаки хорошо действуют на секретарей и, порой, вызывают серьезный резонанс. Но чем больше шума, тем сильнее педагогический эффект.


Подготовка к операции


Все связанное с пентестами и, в особенности, с социальной инженерией — очень деликатная работа. Различие между законной и незаконной фишинговой рассылкой по большому счету заключается в факте договоренности с тестируемой компанией. Поэтому подготовка к рассылке идет в тесном сотрудничестве с заказчиком. Согласуется все, вплоть до самых незначительных деталей.


Очерчиваем площадь атаки


Прежде всего необходимо определиться с аудиторией, которая получит фишинговые письма. Обычно это 10–20% от общего числа сотрудников.


Вначале мы оцениваем, сколько адресов электронной почты, ассоциированных с компанией, можно найти в открытых источниках. Затем передаем получившийся список заказчику. На этом этапе перечень адресов для рассылки утверждается и дополняется заказчиком, если это необходимо.


Выбираем легенду


Следующий шаг — выбор и согласование легенды, под которой будем рассылать письма. Лучше всего работает фишинг, нацеленный на три аспекта: самолюбие, «нездоровое» любопытство и жадность.


Делали рассылку следующего содержания: «Уважаемые коллеги, в преддверии праздников мы решили провести конкурс… для выбора подарка пройдите по ссылке и заполните анкету. И вот с этим подарком… проект закончился, сотрудникам компании объявили, что это были учения, прямо сказали: «ребята — это фишинг», но еще неделю после тестирования нам сливали данные. Все, что нацелено на какую-то наживу очень эффективно

Для небольших рассылок на 10–15 человек хорошо подходят тексты типа: «Вот фотографии с корпоратива. Особенно отличился Иван Иванович, посмотрите, что он вытворял!».



В массовых рассылках эффективны сообщения об изменениях в программе премирования сотрудников или с инструкциями по подключению к новому порталу удаленного доступа.


Оформляем и согласовываем письма


После согласования легенды следует подготовить письма и фишинговый портал. Для этого подбирается правдоподобное доменное имя. Чаще всего в ход идет замена букв на похожие по написанию, например, l на I. Это известный трюк, но на него легко попасться, даже если знаешь в чем хитрость.


Поднимается веб-сервер, устанавливается ssl-сертификат, копируется корпоративный стиль оформления сайта. Затем выбирается, от чьего имени и с какого ящика будет отправлено письмо со ссылкой на этот ресурс, и параллельно подготавливается текст.



Все — от внешнего вида и адреса портала до шрифтов и подписей в письме согласовывается с заказчиком тестирования. Заодно мы запрашиваем телефон для экстренной связи на случай, если обман зайдет слишком далеко. Эта мера предосторожности особенно актуальна для физической работы на объектах, но полезна и в случае рассылок. Она спасала нас от жалоб хостерам.


Разбираемся со спам-фильтрами


Как правило, на стороне заказчика установлены те или иные защитные системы, но проверка их работоспособности, оценка эффективности — отдельная задача. В рамках фишинговых рассылок мы проверяем людей, а не СЗИ, поэтому большинство заказчиков просто добавляют наши почтовые сервера в список исключений.


Однако есть кейсы, в которых мы должны действовать правдоподобнее. Тогда приходится искать способ обойти защитные системы компании. Для этого мы удаляем из писем все ссылки и маячки. Это значительно повышает вероятность доставки, хотя и усложняет подсчет статистики по проекту. Но это еще не все, ведь необходимо как-то протащить через защиту вложение с активной нагрузкой.



Прошли времена, когда к письму можно было безнаказанно прикрепить исполняемый файл. Теперь почтовые клиенты по умолчанию блокируют подобные вложения.


Файлы приходится архивировать, однако многие антивирусы проверяют и содержимое архивов. Поэтому на архив устанавливается пароль. Но даже это не панацея, так как отдельные решения умеют находить пароли в письмах и все-таки распаковывают архив.


Чтобы проскочить через защитные системы, приходится делать вложения, которые не детектятся антивирусами. Для этого мы запрашиваем у заказчика адрес электронной почты, на котором можно потренироваться, обфусцируем, кодируем, шифруем и отправляем письмо с вложением до тех пор, пока не убедимся, что оно проходит через все слои защиты. Только после этого стартует полномасштабная рассылка.


Запускаем рассылку и развиваем атаку


Существуют общедоступные инструменты для распространения писем — самые известные из них GoPhish и PhishKiller, но в последнее время мы используем фишинговый модуль, встроенный в разработанную нами обучающую платформу. Работает не хуже и заодно таким образом мы демонстрируем потенциальным заказчикам одну из ее функций.


Затем мы проверяем данные, собранные с фишингового портала, на валидность. Для этого берем несколько десятков случайных пар логин-пароль и с их помощью пытаемся авторизоваться в доступных снаружи сервисах — почте, чатах, VPN.


Был случай, когда мы делали рассылку на юридический отдел. Я получил доступ к почте, захожу — вижу всякую бухгалтерию и данные для доступа к 1С, а 1С у них облачный. С помощью этой информации можно было деньги переводить. Руководство заказчика скажем так, было под сильным впечатлением

Странно, но даже если люди в какой-то момент осознают, что попались на удочку, они не всегда сразу меняют пароль. Более того, к нам регулярно приходят ответные письма с жалобами на неработающую авторизацию на фишинговом портале.



Такие кейсы особенно опасны, так как доверчивого сотрудника достаточно просто уговорить установить «диагностическую утилиту», с помощью которой злоумышленник получит удаленный доступ к компьютеру.


Оцениваем эффективность атаки


В итоге мы собираем развернутую статистику по результатам каждого проекта и отправляем заказчику.


Бывают случаи, когда фишинг малоэффективен. Так, он плохо работает против небольших компаний, в которых большую часть штата составляют IT-специалисты. Мало того, что они не ведутся на провокации, так еще и гадостей вместо паролей напишут.



Однако, таких кейсов сравнительно мало — 1–2 на несколько десятков проектов. Средняя эффективность фишинговых рассылок в нашей практике 25–30%. Больше четверти получателей оставляют нам учетные данные в том или ином виде.


Противодействие фишингу


Итоговый отчет по проекту можно использовать по-разному, но главное, что дает статистика по итогам рассылки, — это возможность трезво оценить ущерб, который может нанести такая атака. Проведенные учения позволяют выработать соразмерные меры защиты и противодействия.


Прежде всего, речь о просветительской работе, обучении сотрудников основам кибербезопасности. Однако, оно должно быть систематическим, целенаправленным и основанным на достойной теоретической базе. Иначе результаты могут не оправдать ожиданий.


Летом был случай, когда заказчик попросил отложить проект, специально, чтобы сотрудники успели пройти обучение компьютерной гигиене. Мы провели рассылку через неделю после окончания курса, и 40% как будто ничему и не учились

Впрочем, возможен и другой подход. В некоторых компаниях полностью полагаются на технические средства обеспечения безопасности.


Провели рассылку на 2 тыс. человек и собрали около 300 учетных записей. Довольные результатом начинаем проверять креды и понимаем, что никуда не можем зайти. Оказалось, что в этой компании все на двухфакторной аутентификации через приложение на смартфоне. Зато с нашей помощью заказчик узнал, кто в компании использует словарные пароли

Нам представляется, что стоит сочетать все доступные способы защиты от подобных атак, ведь проблема фишинга будет становиться только острее. Основная цель злоумышленников, использующих социальную инженерию против компаний, — получить доступ в инфраструктуру.


Средства защиты год от года становятся эффективнее, и пробить периметр все сложнее, а вот люди постоянно совершают одни и те же ошибки. Меняются каналы атаки, появляются новые и оттачиваются старые сценарии, но деньги, самолюбие и любопытство работают всегда. Поэтому ставки на социальную инженерию будут расти.

Комментарии (20)


  1. Xapu3ma-NN
    29.03.2022 13:47
    +10

    "Привет псы" сделали мой день чуть веселее, спасибо))


  1. Almighty_Goose
    29.03.2022 13:53

    Замена символов на похожие в фишинговом домене называется PunyCode (Because it is a PUN on “UNIcode”).

    В фаерфоксе есть параметр network.IDN_show_punycode, который отвечает за отображение юникода в доменном имени в бессмыслицу вида "xn-blah-blah".

    Если нет желания ходить на домены .рф, то можно и включить.


    1. mayorovp
      29.03.2022 20:27
      +4

      Не совсем так. PunyCode — это система кодирования региональных доменных имён, и "xn-blah-blah" — не какая-то там бессмыслица, а самые настоящие доменные имена в том виде, в котором они записаны в DNS.


      Соответственно, параметр network.IDN_show_punycode отвечает не за преобразование юникодных доменов в бессмыслицу — а наоборот, за преобразование бессмыслицы в юникодные домены для отобраджения.


      1. Almighty_Goose
        29.03.2022 20:43

        Хм, я думал, что PunyCode это метод обмана зрения жертв фишинга. Однако, проверил определение на википедии и PunyCode фактически совпадает с определением IDN.

        Прошу прощения у всех, кого случайно мог ввести в заблуждение.

        С другой стороны, возникает резонный вопрос: откуда появился термин PunyCode, если уже есть IDN?


        1. mayorovp
          29.03.2022 21:28
          +1

          Не вполне понятно, откуда вообще вопрос. PunyCode — это алгоритм (де)кодирования, который используется в IDN.


          .рф. — это IDN-зона первого уровня
          .xn--p1ai. — это её PunyCode-представление


          1. Almighty_Goose
            29.03.2022 21:35

            Вопрос: откуда само название PunyCode, его этимология.

            Должно быть какое-то объяснение. Есть корни из слова "юникод", но почему Puny? В википедии на это ничего не написано.

            Ответ от неавторитетных источников уже нашел в интернете, но особо не доверяю.


            1. DaemonGloom
              30.03.2022 07:27

              А wiktionary считается авторитетным или нет?
              https://en.wiktionary.org/wiki/Punycode


              1. Almighty_Goose
                30.03.2022 22:48

                Wiktionary пишет только: Blend of puny +‎ Unicode. Это итак очевидно.

                Но нет ответа кто придумал использовать слово прилагательное Puny. Моя гипотеза, что сначала писали Portable Unicode, потом P-Unicode и только потом родилось PunyCode.


                1. DaemonGloom
                  31.03.2022 07:48

                  Название придумал автор стандарта. Промежуточных этапов никаких не было.
                  https://www.maxlaumeister.com/articles/why-is-it-called-punycode/#correspondence


  1. saipr
    29.03.2022 14:55
    +2

    Меняются каналы атаки, появляются новые и оттачиваются старые сценарии, но деньги, самолюбие и любопытство работают всегда.

    Остап Бендер-ы могут спать спокойно...


    1. V-lad-i-mir
      29.03.2022 22:38
      +1

      Остапамбендерам рано переходить в управдомы)


  1. fokus-lop
    29.03.2022 16:47
    +1

    Интересная стратегия, подано с неожиданной стороны, спасибо.


  1. rat1
    29.03.2022 21:39

    Работают профессионалы) Так спалиться на карнавальной вечеринке) Надо думать, прежде чем говорить.


    1. nochkin
      30.03.2022 17:32

      Задача -- оценить масштабы бедствия, а не создать это бедствие. Поэтому надо знать где остановиться. А тут ещё есть надежда, что запомнится на какое-то время.


  1. Aleksandr-JS-Developer
    29.03.2022 22:23

    Люди - давно самое уязвимое место любой защиты. Толку от супер-пупер файроволов, если человек сам отправил свой пароль в формочке на левом сайте?)

    С другой стороны, те, кто отправляет свой пароль в формочке на левом сайте, не должны иметь доступ к критической инфраструктуре.


    1. V-lad-i-mir
      29.03.2022 22:40

      Согласен. В наше время чаще всего слабое звено - люди и это надо учитывать)


    1. nochkin
      30.03.2022 17:40
      +1

      Если точнее, то самое уязвимое место -- это не люди, а человеческие пороки. Вот их и атакуют.


  1. alexhott
    30.03.2022 12:15
    +1

    дак а как вы хотели

    на предприятии 10 систем ,5 из которых автоматом по виндовой учетке не логинятся и надо вводить пароли

    Пользователь машинально вводит свой рабочий по любой рабочей ссылке
    с Переходом на отечественные ОС еще усугубится


    1. Grigoryefimov
      01.04.2022 08:57

      Хз, я даже в явно рабочей переписке, когда подтянулась фотка из профиля, по ссылкам не перехожу, открываю руками через браузер/папки. Старость наверно...


  1. nochkin
    30.03.2022 17:38

    У меня был забавный вариант.

    Есть одна контора, которая так же рассылает фишинг по заказу для проверок. Так они не берут новый домейн, а рассылают со своих же почтовых серверов под своим домейном. Они, конечно, ставят что-то в "From", но в заголовках есть название этой компании, по которому можно легко понять что за рыба такая тут у меня.

    В зависимости от этого заголовка я обычно решал отсылать это на abuse или просто кликнуть "report phish", что бы наш доблестный отдел ИБ радовался, что вместо 40% неграмотных у нас всего 39.9%.

    Кстати, там же ходил слух, что если кто-то кликал на фишинговые линки, то у них вычитали из бонуса. Не знаю ввели ли это правило на самом деле или это просто очередная корпоративная страшилка была.