Профессиональный Обман: Как Мы Рассылаем Фишинговые Письма Нашим Клиентам

Перед Новым годом в приемной компании «А», входящей в крупный холдинг, раздался звонок.

На звонок ответила секретарь Марина.

Звонивший представился сотрудником головной компании и сказал, что необходимо передать директору личное приглашение на новогоднюю вечеринку.

Марина открыла почту, нашла письмо и распечатала документ, а заодно сообщила почту менеджеру.

Она совершила ошибку.

Чуть позже директору, а заодно и всему высшему руководству компании, пришло письмо следующего содержания:



Режиссер поручил Марине подготовиться к мероприятию.

Секретарь перезвонила, чтобы узнать, как оформить приглашения для жены режиссера и уточнить дресс-код. Ответ был таков: форма карнавальная.

Только после этого один из сотрудников заподозрил подозрения и позвонил напрямую в материнскую компанию.

Они ответили, что карнавалов никогда не проводили и не планируют. В тот же день Марина, а вместе с ней и все остальные сотрудники получили предписание не проверять почту и не вскрывать письма.

Директор приказал вызвать полицию.

Лишь два человека в офисе компании А поняли, что происходит на самом деле.

Они наняли команду «Бастион» для проверки системы безопасности компании и проведения фишинговой кампании.

Обычно такие проекты выполняются в атмосфере секретности, но мы подумали, что вам будет интересно узнать, как они устроены изнутри.

Фишинг как услуга Как правило, атаки на основе социальной инженерии заказываются совместно с внешним или внутренним пентестом, но это совершенно самостоятельные операции, со специальными процедурами и типами атак:

• фишинговые электронные письма;
• работа на объектах (от разбрасывания зараженных флешек до выманивания информации у сотрудников);
• собеседования (когда наши агенты идут на работу в компанию и наоборот, мы приглашаем соискателей из тестируемой компании);
• и так далее.

Во время таких атак электронное письмо отправляется с вредоносным вложением или фишинговой ссылкой, а получатель использует звонок, чтобы заставить его открыть его.

Добрый день, я из компании.

Отправила вам письмо.

Получил? Его нужно срочно передать Ивану Ивановичу.

Он спросил, он очень этого ждет, мы только что говорили с ним по телефону, распечатайте, пожалуйста, и принесите.

Но чем больше шума, тем сильнее педагогический эффект.

Подготовка к операции

Разница между легальными и нелегальными фишинговыми письмами во многом заключается в факте соглашения с проверяемой компанией.

Поэтому подготовка к рассылке происходит в тесном сотрудничестве с заказчиком.

Все последовательно, вплоть до мельчайших деталей.

Очерчивание зоны атаки

Обычно это 10–20% от общего числа сотрудников.

Сначала мы оцениваем, сколько адресов электронной почты, связанных с компанией, можно найти в общедоступных источниках.

Затем передаем полученный список заказчику.

На этом этапе список почтовых адресов утверждается и при необходимости дополняется заказчиком.

Выбор легенды

Фишинг работает лучше всего, когда он нацелен на три аспекта: эго, болезненное любопытство и жадность.

Мы разослали рассылку следующего содержания: «Уважаемые коллеги, в преддверии праздников мы решили провести конкурс.

чтобы выбрать подарок, перейдите по ссылке и заполните форму.

И этим подарком… проект завершился, сотрудникам компании сказали, что это учения, они прямо сказали: «Ребята, это фишинг», но в течение недели после тестирования они сливали нам данные.

Все, что направлено на какую-то прибыль, очень эффективно.

Особенно отличился Иван Иванович, посмотрите, что он сделал!»



Массовые рассылки эффективны для сообщений об изменениях в бонусной программе сотрудников или с инструкциями по подключению к новому порталу удаленного доступа.

Составляем и согласовываем письма

Для этого выбирается правдоподобное доменное имя.

Чаще всего ход заключается в замене букв похожими по написанию, например, л на И.

Это известный трюк, но на него легко попасться, даже если знаешь, в чем подвох.

Установлен веб-сервер, установлен SSL-сертификат и скопирован фирменный стиль сайта.

Далее вы выбираете, от чьего имени и с какого ящика будет отправлено письмо со ссылкой на этот ресурс, и одновременно подготавливается текст.



Все – от внешнего вида и адреса портала до шрифтов и подписей в письме – согласовывается с заказчиком тестирования.

В то же время мы запрашиваем номер телефона экстренной помощи на случай, если обман зайдет слишком далеко.

Эта мера предосторожности особенно актуальна при физической работе на объектах, но полезна и в случае рассылок.

Она избавила нас от жалоб хостерам.

Понимание спам-фильтров

В рамках фишинговых рассылок мы проверяем людей, а не информацию безопасности, поэтому большинство клиентов просто добавляют наши почтовые серверы в список исключений.

Однако есть случаи, в которых надо действовать более правдоподобно.

Тогда вам предстоит найти способ обойти системы безопасности компании.

Для этого мы удаляем из писем все ссылки и маяки.

Это существенно увеличивает вероятность сдачи, хотя и усложняет расчет статистики проекта.

Но это еще не все, ведь нужно как-то вывести через защиту приставку с активной нагрузкой.

Прошли те времена, когда можно было безнаказанно прикрепить исполняемый файл к электронному письму.

Почтовые клиенты теперь по умолчанию блокируют такие вложения.

Файлы необходимо заархивировать, но многие антивирусные программы также проверяют содержимое архивов.

Поэтому на архив устанавливается пароль.

Но даже это не панацея, так как некоторые решения умеют находить пароли в письмах и при этом распаковывать архив.

Чтобы обойти системы безопасности, вам придется вложить средства, которые не обнаруживаются антивирусами.

Для этого мы просим клиента предоставить адрес электронной почты, на котором мы можем практиковаться, запутывать, кодировать, шифровать и отправлять электронное письмо с вложением, пока мы не будем уверены, что оно пройдет через все уровни защиты.

Только после этого стартует полноценная рассылка.

Запустите рассылку и разработайте атаку

учебная платформа .

Он работает не хуже, и в то же время таким образом мы демонстрируем потенциальным клиентам одну из его функций.

Затем мы проверяем достоверность данных, собранных с фишингового портала.

Для этого мы берем несколько десятков случайных пар логин-пароль и с их помощью пытаемся авторизоваться в доступных извне сервисах — почте, чатах, VPN.

Был случай, когда мы отправили рассылку в юридический отдел.

Я получил доступ к своей почте, захожу и вижу всякую учётку и данные для доступа к 1С, а 1С у них облачная.

Используя эту информацию, деньги могут быть переведены.

Руководство заказчика, скажем так, было очень впечатлено

Более того, мы регулярно получаем ответные письма с жалобами на неработающую авторизацию на фишинговом портале.

Подобные случаи особенно опасны, поскольку достаточно просто уговорить доверчивого сотрудника установить «диагностическую утилиту», с помощью которой злоумышленник получит удаленный доступ к компьютеру.

Оценка эффективности атаки

Бывают случаи, когда фишинг неэффективен.

Таким образом, он не работает против небольших компаний, в которых большая часть персонала — ИТ-специалисты.

Они не только не поддаются на провокации, но и вместо паролей гадости пишут.



Однако таких случаев относительно немного — 1-2 на несколько десятков проектов.

Средняя эффективность фишинговых писем в нашей практике составляет 25–30%.

Более четверти получателей оставляют нам учетные данные в той или иной форме.

Анти-Фишинг

Проведенные учения позволяют отработать соразмерные меры защиты и противодействия.

Прежде всего, речь идет об образовательной работе, обучении сотрудников основам кибербезопасности.

Однако оно должно быть систематическим, целенаправленным и основываться на прочной теоретической основе.

В противном случае результаты могут не оправдать ожиданий.

Летом был случай, когда заказчик попросил отложить проект именно для того, чтобы сотрудники успели пройти обучение компьютерной гигиене.

Мы разослали информационный бюллетень через неделю после окончания курса, и 40%, похоже, ничему не научились.

Мы разослали рассылку 2 тысячам человек и собрали около 300 аккаунтов.

Довольные результатом, начинаем проверять кредиты и понимаем, что никуда не можем пойти.

Оказалось, что в этой компании все основано на двухфакторной аутентификации через приложение на смартфоне.

Но с нашей помощью заказчик узнал, кто в компании использует словарные пароли.

Основная цель злоумышленников, использующих социальную инженерию против компаний, — получить доступ к инфраструктуре.

Средства защиты с каждым годом становятся все более эффективными, прорваться через периметр становится все сложнее, но люди постоянно совершают одни и те же ошибки.

Меняются каналы атак, появляются новые и оттачиваются старые сценарии, но деньги, гордость и любопытство всегда работают. Таким образом, ставки социальной инженерии будут расти.

Теги: #информационная безопасность #кибербезопасность #фишинг #Управление персоналом #социальная инженерия #фишинговые атаки #тестирование на проникновение #кампании по электронной почте #гигиена информации #фишинговые письма

• Обзор Гигабитного Беспроводного Маршрутизатора D-Link Dir-655 Extreme-N

  19 Oct, 24

• Дешевые Печатные Usb-Накопители – Факт Или Вымысел

  19 Oct, 24

• Разработка Программного Обеспечения На Заказ Может Снизить Стресс В Бизнесе

  19 Oct, 24

• Сервис Заказа Такси Gett Запустился В Новосибирске И Нижнем Новгороде

  19 Oct, 24

• Кафе «Дилижанс» — Рабочее Пространство Для Тех, Кто Предпочитает Работать По Ночам.

  19 Oct, 24

• Netflix Передал Данные Amazon И Закрыл Свои Дата-Центры

  19 Oct, 24

• Автоматизируйте, Когда Можете, Программируйте, Когда Нужно.

  19 Oct, 24

• Бета-Версия Webos 3.0 Выложена В Сеть

  19 Oct, 24

• Cardapio — Отличная Замена Главного Меню Ubuntu.

  19 Oct, 24

• Простые Числа – Насколько Велико Наше Бессилие?

  19 Oct, 24