«Никогда не разговаривайте с неизвестными»
4 сентября 2018
…Так кто ж ты, наконец?
− Я − часть той силы,
что вечно хочет зла и
вечно совершает благо.
Гете. Фауст
Очередная статья в журнале «Хакер» показалась нам настолько интересной, что мы позволим себе ее процитировать.
Сама статья посвящена пентестингу – тестированию на возможность проникновения в локальную сеть компании. И, в частности, рассказывает о подготовке атаки. Мы пропустим этап поиска информации о сотрудниках в Интернете (кому интересно, могут прочитать статью самостоятельно) и сразу перейдем ко второму этапу: злоумышленнику требуется создать письмо, которое не вызовет подозрений у получателя.
В наших выпусках мы разбирали спам, например, от «налоговых инспекций» и отмечали, что зачастую стиль, используемые изображения и прочие мелочи отличаются от легитимных писем. Естественно, умный злоумышленник захочет сформировать письмо, внешний вид которого не давал бы получателю повода усомниться.
Ищем информацию о сотрудниках – например, так:
Для того чтобы собрать большинство информации, оказалось достаточным просто посетить стенд этой организации на ближайшей выставке их продукции. Большинство менеджеров, которые находятся у своего стенда, стоит вам проявить лишь малейшую заинтересованность, с удовольствием расскажут вам все.
Набираем визитки и продолжаем общение уже через почту:
Мы выбираем десять-пятнадцать пользователей и шлем им на почту письма, на которые с большой вероятностью ответят. Не фишинг с акциями или призами, а какую-нибудь просьбу, например: «Ваш коллега сказал, что вы можете мне помочь и прислать внутренний номер другого сотрудника». В ответе обычно приходит что-то вроде «Нет, я не знаю, кто это такая…». Но это и не важно: важно просто получить ответ.
Что мы получаем таким образом? Самое главное — наличие или отсутствие корпоративной подписи и ее внешний вид. Кроме этого, мы узнаем, как в компании выглядит заголовок From и как написаны имена и фамилии. Например, фамилии могут быть на русском или транслитом, причем транслитерация может выглядеть по-разному: ю может писаться как ju, так и yu. Или, например, ФИО может быть написано целиком. В общем, куча разных вариантов, которые придется учесть на этапе рассылки. Помимо этого, ты можешь получить внутренний телефонный номер — он может пригодиться для социалки по телефону.
Заголовки писем — тоже важный источник информации. Там наверняка отметятся антивирусы и другие средства защиты — они любят это делать, причем сообщают и версии, и дату последнего обновления баз. Ну и конечно, из заголовков можно получить название почтовика и некоторые внутренние адреса (что может дальше пригодиться для пентеста). Ни в коем случае не проходи мимо такой возможности!
То есть ответ незнакомцу – уже кладезь информации. Скажем, данные об используемом антивирусе в служебных заголовках позволят при создании вредоносной программы протестировать ее именно на тех средствах защиты, которые используются в компании. Со вполне понятным результатом…
Еще один прием – «развести» сотрудника компании на оказание помощи. «Ваша ссылка у меня не открывается – хм, странно, скриншот не пришлете?»
Можно даже завязать беседу с сотрудником и в одном из сообщений отправить ссылку на фишинговую страницу. По ссылке при этом может быть просто 404. Нередко бывают случаи, когда пользователь в ответ отправляет тебе скрин, а на нем может быть видно, какой браузер или почтовый клиент используется.
А вот так можно проверить, работает ли сотрудник в компании:
Можно попробовать отправить письмо на несуществующий адрес: часто SMTP-сервер присылает ответное письмо об отсутствии адресата.
А если сотрудника нет на месте, то, получив автоответ, злоумышленник может от его имени начать атаку.
А на какие темы ловят рыбку рыбаки?
Я очень не люблю социалку с письмами от начальства, а также про зарплаты, увольнения и прочее в таком духе. Кого хоть раз увольняли через письмо? А письма от начальства сейчас выглядят примерно так же правдоподобно, как в 2005 году выглядели письма «Вы миллионный посетитель, введите данные карты».
Гораздо больше мне нравится придумывать что-нибудь пооригинальнее. Например, трюк с недоставленными сообщениями, когда пользователю приходит уведомление об ошибке доставки письма, которое он не отправлял. Обычно он думает: «Что за письмо? Я не отправлял такое. Какое-то вложение, ну-ка, ну-ка!»
Привязка ко времени тоже чаще всего оказывается удачной идеей. Любой большой праздник вроде Нового года или Восьмого марта отлично годится. Пишем: «Надо сдать деньги, вот список тех, кто не хочет сдавать, запиши себя, если не хочешь» — и прикладываем документ Excel. Редко кто откажется от соблазна глянуть на позорный список.
Как вариант — можно изображать внутреннюю рассылку: попросить подойти в бухгалтерию, распечатав и заполнив какие-то бумажки, принести какие-то справки, которые предварительно необходимо открыть. В общем, все, что приходит на почту каждый день и покажется пользователю обыденным, но при этом что обязательно откроют, если в письме будет написано, что это срочно.
Другой классный трюк, о котором стоит помнить, — это возможность использовать формат переписки. Делаем письмо с ответом на другое письмо, которого в реальности не было. Например, как бы приводим цитату письма от начальства, где сообщается, что что-то нужно срочно сделать, и прикладываем документ. Внимание пользователя в таком случае гарантировано, и, по моей статистике, шанс того, что он откроет вложение, тоже значительно повышается.
Пассаж насчет увольнения через письма вызывает сомнения, но профессионалу виднее. А вот остальное выглядит вполне разумно.
Можно даже зайти в компанию и осмотреться:
Как-то я приехал в Москву к одному «близкому к телу» директору проконсультироваться с ним на предмет, что же ожидает дальше нашу отрасль. А у него как раз случилось важное незапланированное совещание, и меня попросили подождать. Посидев 15 минут у его кабинета, я понял, что узнал гораздо больше того, что хотел узнать, и в принципе можно уезжать.
https://kartaslov.ru/книги/Симдянов_И_В_Кузнецов_М_В_Социальная_инженерия_и_социальные_хакеры/2
Антивирусная правДА! рекомендует
Не стоит болтать с незнакомцами — вы и сами не заметите, как выболтаете много лишнего. Приемы фишеров позволяют втереться в доверие и выведать информацию. Следующим шагом может быть установка вредоносного ПО в тайне от вас — например, клавиатурного шпиона — для постоянной кражи информации. Причем в случае целенаправленной атаки для ее реализации может использоваться совершенное новое вредоносное ПО, специально заточенное на обход используемого в вашей компании антивируса. Не все антивирусы способны, как Dr.Web, продержаться до подлета сигнатуры на эвристике или превентивной защите. Как Dr.Web борется с атаками неизвестных и даже еще не созданных вирусов, рассказывает раздел Технологии на нашем сайте и одноименная брошюра.
Нам важно ваше мнение
Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.
Комментарии пользователей
ka_s
12:03:34 2019-07-06
anavdoni
13:16:06 2018-09-06
Александр
09:54:40 2018-09-05
kozinka.ru
09:49:39 2018-09-05
Неуёмный Обыватель
08:36:39 2018-09-05
Но конкретно у DrWeb есть опция Добавлять заголовок 'X‑Antivirus' к сообщениям. Её можно отключить, правда, не уверен, что вообще перестанет добавлять все метки. Это лучше у @admin, уточнить
alex-diesel
07:43:01 2018-09-05
На мой взгляд правильно делает. Что это антивирусы так расхвастались, понимаешь, не могут помолчать скромненько, обязательно им надо всем о себе заявить :)
Неуёмный Обыватель
03:19:27 2018-09-05
razgen
03:09:32 2018-09-05
Неуёмный Обыватель
03:00:53 2018-09-05
razgen
02:59:55 2018-09-05
Неуёмный Обыватель
02:58:23 2018-09-05
razgen
02:57:02 2018-09-05
Как говорится, пустячок, а все-таки приятно.
Неуёмный Обыватель
02:46:33 2018-09-05
Lia00
02:26:43 2018-09-05
Любитель пляжного футбола
22:57:14 2018-09-04
Неуёмный Обыватель
22:49:50 2018-09-04
МЕДВЕДЬ
22:34:21 2018-09-04
Любитель пляжного футбола
22:10:34 2018-09-04
Любитель пляжного футбола
22:04:59 2018-09-04
orw_mikle
21:58:19 2018-09-04
Zserg
21:56:56 2018-09-04
Неуёмный Обыватель
21:55:37 2018-09-04
I23
21:37:36 2018-09-04
I46
21:34:35 2018-09-04
Lenba
21:31:22 2018-09-04
Alexander
21:06:15 2018-09-04
ek
21:02:11 2018-09-04
Dvakota
20:57:30 2018-09-04
В...а
20:46:37 2018-09-04
razgen
20:22:55 2018-09-04
Аналогично, бывало и такое.
Когда сидя в электричке, с абсолютно незнакомыми людьми на протяжении около часа, приходилось слышать очень много информации, которую я раньше не знал, о хорошо знакомых мне людях.
Я с ними не разговаривал, ничего не спрашивал. Но они сидели рядом и напротив , относительно громко разговаривали. Я не мог уклониться от этой информации, и узнал гораздо больше того, что знал ранее.
Шалтай Александр Болтай
20:00:35 2018-09-04
zsergey
19:54:22 2018-09-04
Сергей
19:54:11 2018-09-04
Шалтай Александр Болтай
19:35:43 2018-09-04
vla_va
19:26:32 2018-09-04
Damir
19:22:24 2018-09-04
Toma
19:00:05 2018-09-04
kva-kva
18:57:42 2018-09-04
mk.insta
18:20:59 2018-09-04
Дмитрий
17:32:22 2018-09-04
La folle
16:48:58 2018-09-04
Masha
16:12:37 2018-09-04
Masha
16:10:06 2018-09-04
anatol
15:47:56 2018-09-04
a13x
15:18:42 2018-09-04
Хотя посиди с часик, разберись - и всё станет понятным. Ан нет. Хотят по легкому пути ходить :)
Александр
15:04:22 2018-09-04
sanek-xf
14:37:25 2018-09-04
Татьяна
14:29:08 2018-09-04
Неуёмный Обыватель
14:28:29 2018-09-04
robot
13:50:47 2018-09-04