Я: Я понимаю, Стив. Потому и звоню. Мы заметили подозрительную активность с вашего IP-адреса, и я полагаю, что проблема может заключаться в отравлении DNS в связи с переполнением стека. [В конце этой фразы у меня даже голос дрогнул, а про себя я молился, чтобы Стив не оказался айтишником.]

Объект: Мой компьютер отравлен? Что вы вообще такое говорите, Пол?!

Я: Извините, это профессиональный жаргон. Правда, простите. Я хотел сказать, что в процессе установки могли возникнуть проблемы, из-за которых теперь компьютер работает медленно. Могу ли я сейчас попросить вас выполнить несколько действий, которые позволят устранить неполадки?

Объект: Послушайте, Пол. Пришлите сюда представителя, чтобы он сделал все что нужно. Я вообще не понимаю, что вы мне тут говорите на своем жаргоне.

Я: Ничего страшного, Стив. Но направить к вам сотрудника удастся не раньше, чем через четыре-пять дней. Но я могу помочь вам удаленно, прямо сейчас. Для этого мне нужно только залогиниться и установить удаленный доступ к вашему компьютеру.

Объект: Если это решит проблему — я обеими руками за. Что мне нужно сделать?

Я: Я могу залогиниться прямо сейчас и внести все необходимые поправки. Для этого мне нужны только ваш логин и пароль, которые вы используете для входа.

Объект [ни секунды не колеблясь]: Логин SMaker, S и M большие. Пароль у меня хороший, так что не крадите: Krikie99.

Вот так просто в моих руках оказались ключи от рая.

В процессе сбора идентификационных данных мне очень помогают открытые источники, помогающие придумывать максимально правдоподобную легенду с использованием актуальных или важных для объекта воздействия деталей. С помощью вишинга мне удавалось получать идентификационные данные для входа в домен, VPN, электронную почту, защищенные базы данных и даже коды от входных дверей.

Вишинг в сборе данных из открытых источников

Иногда собрать необходимые данные в открытых источниках не удается, или же до проведения атаки возникает необходимость проверить собранную информацию. Однажды мне понадобилось провести адресный фишинг и вишинг по одному человеку, но было непонятно, какой именно почтовый ящик и телефонный номер использовать: мы нашли сразу несколько.

Поэтому мы придумали легенду для определения его актуального адреса и телефона. Мы узнали, что объект часто летал из Канады в Лондон. Уточнили номер лондонского отеля Hilton и обзвонили «с него» все предполагаемые номера объекта с помощью спуфинга (так называется форма атаки, в процессе которой абоненту передаются ложные идентификаторы звонящего. — Прим. пер.).

Объект: Алло?

Я: Добрый день. Это мистер Альфред Гейнс?

Объект: Да, это я. Кто спрашивает?

Я: Прошу прощения, меня зовут Пол, я звоню из отеля Hilton в Лондоне. Могли бы вы выделить минуту своего времени и оценить ваш последний опыт пребывания в нашем отеле? Для этого нужно ответить на несколько вопросов, это займет не больше полминуты…

Объект: Опыт пребывания? Вы о чем? Я не был в Лондоне уже несколько месяцев. Откуда у вас этот номер?

Я: Прошу прощения за доставленные неудобства. Еще раз уточню: вы — Альфред Гейнс и ваш номер 846-555-1212, верно?

Объект: Все верно, но, скорее всего, у вас ошибочная информация о том, когда я у вас останавливался.

Я: Понимаю. Скажите, а могу ли я отправить вам чек, чтобы вы могли подтвердить, ваш он или нет?

Объект: Да, конечно.

Я: Большое спасибо. Уточните, пожалуйста, адрес вашей электронной почты? A.gaines@hmail.com?

Объект: Лучше отправьте на gainesat@gmail.com, его я проверяю намного чаще.

Я: Еще раз большое спасибо, сэр. Сейчас же вышлю.

Таким образом мы подтвердили актуальный номер телефона и электронный адрес объекта, а также нашли вектор атаки, позволивший нам получить всю необходимую информацию.

Мы с командой часто используем эту технику для подтверждения и дополнения уже собранных данных. Я считаю эту форму вишинга особенно эффективной, потому что она не дает объекту времени на раздумья. Более того, многие компании не информируют сотрудников о возможности подобного мошенничества. А зря. Они очень рискуют.

Вишинг в процессе атаки

Самого по себе вишинга бывает достаточно, чтобы скомпрометировать безопасность компании. Принципы при этом сохраняются те же: правильно подобранная легенда и убедительные доказательства ее истинности позволяют социальным инженерам вытягивать у людей даже самую опасную информацию.

Однажды перед нашей командой была поставлена задача с помощью вишинга проверить безопасность крупной финансовой компании. Изображая руководительницу высшего звена, мы должны были проверить, удастся ли через рядовых сотрудников компании получить ее логин и пароль, а также любую другую информацию о системах и данных, которыми она пользуется.