Однажды нашей компании заказали проверку того, насколько одна высокопоставленная руководительница финансовой компании соблюдает необходимые требования безопасности. В процессе поиска мы обнаружили фотоснимки, которые она делала в молодости и которые из промоматериалов фотографа перекочевали на порносайт. Что делать в такой ситуации социальному инженеру?

Мы решили, что такая информация слишком деструктивна, чтобы использовать ее в фишинге. Поэтому для пентеста мы выбрали другую стратегию. Но уже после завершения проверки запросили личную встречу с этой руководительницей, рассказали ей о своей находке и предложили помощь в том, чтобы добиться удаления фотографий с сайта без огласки в компании. Женщина была очень нам благодарна, и я до сих пор поддерживаю с ней дружеские отношения.

Зачем выбирать легенды придирчиво

Я бесчисленное количество раз находил информацию, порочащую клиентов, но сознательно ни разу не использовал ее при составлении легенд. Возможно, некоторые читатели подумают, что из-за этого я упускаю многообещающие возможности. Однако я всегда руководствуюсь правилом, которое уже не раз упоминал и сейчас с удовольствием повторю снова: после встречи со мной люди должны чувствовать себя лучше, чем до нее. Кроме того, я стремлюсь к тому, чтобы проверка служила в первую очередь обучающим целям — а человека, который чувствует себя униженным, сложно чему-то научить. Следовательно, к легендам я отношусь крайне придирчиво и тщательно выбираю, какую информацию использовать, а какую — нет. И да, я советую документировать все, что попадется вам на глаза в процессе подготовки. Таким образом, даже если вы не используете эту информацию в легенде, вы должны сообщить ее клиенту.

Один клиент как-то заказал у нас фишинг. Выяснилось, что один из его сотрудников использовал корпоративную почту при регистрации на сайте для «особых» знакомств. Там этот человек публиковал комментарии под фото весьма привлекательных обнаженных женщин: писал, что приезжает в их город в командировку и хотел бы встретиться. Сейчас я предлагаю вам отвлечься от моральных суждений о его изменах жене или компрометирования корпоративной почты на подобном сайте. Поразмышляйте о ситуации с другой точки зрения: сработал бы фишинг от одной из таких дам с сайта? Я почти со 100 %-ной вероятностью могу гарантировать: да, сработал бы. Но мы такой заход использовать не стали. Ведь цель профессионального социального инженера — просвещение и помощь, а не унижение.

Фишинг

Фишингом называется отправка зараженных электронных писем из якобы проверенных источников. Цели фишинга могут быть следующими:

• чтобы человек установил на компьютер программы, предоставляющие мошенникам удаленный доступ к системе;

• чтобы собрать личные данные;

• чтобы получить другую информацию, необходимую для проведения атаки.

Содержание, легенда и метод доставки фишингового сообщения определяются его целью. Профессиональные социальные инженеры используют в своей работе несколько типов фишинговых методов.

Образовательный фишинг

Иногда клиентам не требуется, чтобы пентестер проверял технические ресурсы Сети: их интересует исключительно человеческий фактор. Эффективным способом решения такой задачи является образовательный фишинг: после перехода по размещенной в письме ссылке никаких вредоносных кодов или программ для получения удаленного доступа на компьютер объекта не устанавливается. Данный вид фишинга проводится исключительно для сбора статистики и оценки общей уязвимости сотрудников к такому вектору атаки. А еще для определения сфер, в которых необходимо дополнительное информирование.

Чаще всего такой фишинг пробуждает у объекта воздействия любознательность, жадность, радость или здоровый страх, которые и заставляют перейти по ссылке. В таком случае легенда основывается на проведении сбора данных из открытых источников по отдельным сотрудникам или компании в целом. Моей команде приходилось отправлять подобные фишинговые письма как в единственном экземпляре, так и сотням и даже тысячам людей за раз.

Приведу пример, иллюстрирующий необходимость следования принципам, описанным в предыдущем разделе. Я составил для клиента письмо, похожее на реальное приглашение с LinkedIn. Разослал его 7000 пользователей, работавших на него, и быстро получил 73 % переходов по ссылке. Такой молниеносный успех вдохновил всех, включая меня самого.

На носу был следующий пентест, и я, недолго думая, решил снова использовать свою гениальную идею. Уже на следующей неделе аналогичный e-mail разлетелся по 10 000 пользователей, работавших на другого заказчика. Но по ссылке перешли всего 4 % получателей. Я не мог в это поверить: был использован гениальный заход. Я попросил клиента узнать у сотрудников, в чем заключалась причина провала этого фишинга.