- Joined
- Jan 19, 2011
- Messages
- 7,650
- Contests
- 0
- Reaction score
- 108
Человек - самое слабое звено любой защиты.
Всем салют, дорогие друзья!
Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Банки уже давно не нужно грабить в масках с автоматами — теперь достаточно электронной почты, но во многих финансовых организациях еще живы старые стереотипы. Акцент в них делают на физическую безопасность, считая информационную менее существенной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с наибольшей вероятностью вирус проник в банк через фишинговое письмо».
У вашего файрвола формально настроены «черные» и «белые» списки URL? Тогда мы идем к вам! Вот несколько примеров, когда на сайте банка используется одна известная CMS с незакрытым редиректом:
Link hidden, please Sign inor Sing up Link hidden, please Sign in or Sing up Link hidden, please Sign in or Sing up Link hidden, please Sign in or Sing up Link hidden, please Sign in or Sing up файрвол смотрит только то, что идет после первого http(s), то пора его подкрутить. Но эта статья не про настройку межсетевого экрана, а про человеческие слабости. Поэтому просто дай сотруднику такую ссылку и проверь, насколько он бдителен и смотрит ли он дальше первого встречающегося http(s).
Что за собака?
Данный способ не сработает с внимательными сотрудниками, но если бы все были внимательны, то социальной инженерии не существовало бы как явления.
Развивая предыдущий способ для тех, кто привык смотреть, что идет сразу после Link hidden, please Sign inor Sing up и думать, что URL безопасен: данная ссылка Link hidden, please Sign in or Sing up тоже не приведет ни к чему хорошему.
Почему так происходит? Допустимые в URL символы задокументированы в стандарте RFC 1738. Символ @ используется в URL как специальный разделитель, когда нужно прямо в нем дать права для доступа к странице. В конструкции вида httр://<логин>:<пароль>@<хост> до @ можно указывать практически что угодно. Браузер все равно отправит пользователя на хост, указанный после @.
Что за абракадабра?
Добавим в зловредный URL немного кириллицы, закодированной в UTF-8 → HEX, чтобы он выглядел непонятно для человека и на первый взгляд безопасно:
Link hidden, please Sign inor Sing up
Закодированный домен .рф в URLИли совместим простые техники (редирект + кодирование):
Link hidden, please Sign inor Sing up наведении мыши на закодированный URL десктопные браузеры декодируют символы (чего не скажешь об Outlook и мобильных браузерах). Поэтому для полного скрытия злого адреса можно прописать адрес сервера, на котором расположен фишинговый сайт:
Link hidden, please Sign inor Sing up просто
Link hidden, please Sign inor Sing up
Вместо домена в URL используем IP сервераНе забудь прикрутить к серверу HTTPS, чтобы браузер не ругался, но об этом позже.
Переполнение предпросмотра
Наверняка ты уже знаешь, что настоящее расширение файлов можно спрятать, используя ограничение отображаемой длины столбца extension в «Проводнике» или архиваторе (или помнишь со времен ICO. ???? — Прим. ред.).
Попытка скрыть расширение файла в архивеТеперь давай попробуем сходным образом скрыть злую часть URL на этапе предпросмотра в браузере.
Если сотрудник знает, что анкор ссылки может быть не равен целевому URL, то он наведет мышкой на ссылку и посмотрит, куда на самом деле она ведет. Если это его единственный способ проверки ссылок, то инструкции по безопасности в такой компании пора обновлять.
Злая ссылка может быть, к примеру, такой:
Link hidden, please Sign inor Sing up Вместо aaaa и bbbb пишем разные ключевые слова, которые обычно используются на оригинальном сайте.
При наведении мышкой в Firefox увидим сокращенный посередине адрес сайта, из-за чего часть zloysait.ru не отображается. Видна только не вызывающая подозрений часть ссылки:
https://berbank.ru:аааааааааааааааа...bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb.html
Сокращенный URL в FirefoxДля больших экранов фишинговую ссылку лучше сделать подлиннее.
Если навести мышку на такую ссылку в Internet Explorer или Edge, то мы не увидим вообще ничего. Судя по всему, их смущает повторное двоеточие в адресе, что нас вполне устраивает.
Chromium-браузеры от Google и Яндекса отображают конечный URL zloysait.ru/bbbbbbbb...bbbbbbbb.html, поэтому данный способ подойдет для таргетированной атаки, когда известен браузер жертвы.
«Почта России» тебе в помощь!
Если жертва занимает руководящую должность в целевой компании, можно попробовать сыграть на ее чувстве собственной важности.
Создается фейковый одностраничник конференции (бизнес-мероприятия, бизнес-форума и подобного).
Теперь жертву нужно заманить на ресурс. Почему бы не отправить бумажное письмо ей на работу? Тут ты точно обойдешь всю цифровую и железную защиту в организации и даже нейросетевой файрвол в виде секретарши, так как, по ее мнению, если она выкинет такое письмо в корзину, ее начальник не обрадуется. Очень уж привлекательно выглядит содержимое — красивое приглашение поучаствовать в пафосном мероприятии в качестве спикера (члена жюри, лауреата престижной премии).
Дальше все стандартно: предлагается скачать и заполнить «анкету» участника. Можно даже QR-код напечатать (вроде как заботимся о вашем удобстве, глубокоуважаемая жертва).
Не чекином единым
Если ты ломаешь личный email сотрудника или его аккаунт в соцсетях, то посмотри, где человек отдыхал в последнее время.
Видишь название отеля? Смело пиши от имени администрации отеля и требуй доплаты за сервис. В письмо добавь надпись, что данное сообщение сгенерировано автоматически, а для ответа нужно воспользоваться формой на официальном сайте в разделе поддержки клиентов. Дав фейковую ссылку, предложи ему зарегистрироваться. Кто знает, быть может, этот логин/email и пароль он использует и на других ресурсах.
Хотел похвастаться и навлек неприятностиПотенциальная жертва летает самолетами «Аэрофлота»? Напиши, что срочно надо активировать бонусные мили, и тогда их количество удвоится! Сделать это нужно по твоей фейковой ссылке с лендингом акции.
Авиабилет — находка для социнженераЖертва недавно посетила какое-то мероприятие? Попроси ее зарегистрироваться по твоей ссылке, чтобы получить все записи с конференции + бонусный контент и скидку на участие в следующей!
Пост в соцсети, облегчающий жизнь пентестеруЧтобы жертва ничего не заподозрила, после того как зарегистрировалась, ей можно показать сообщение об ошибке (например, «404. Ой, что-то пошло не так, попробуйте повторить ваш запрос позже!») или отправить на главную страницу сайта.
Примерно в таком ключе можно обращаться к человеку на основании свежих данных из его аккаунтов в соцсетях. Здесь мы использовали по большей части фишинговые методы, и нам этого достаточно. В реальное деле мы бы, конечно, на этом не останавливались и использовали уязвимости браузеров и вредоносные файлы для заражения устройства жертвы. Но это уже техническая часть, а не социальная.
SMS-редирект
Наверняка ты уже слышал историю о том, что у Bitcoin-инвестора с подходящей фамилией Терпин украли 23 миллиона долларов при помощи банального запроса о переносе номера мобильного на новую SIM-карту. А что, если немного пофантазировать и посмотреть, как с помощью фишинга получить доступ к интернет-сервисам сотрудника, защищенным двухфакторной аутентификацией? Вдруг кто-то из сотовых операторов дает возможность получить симку, не воруя номер?
Сотруднику на личный телефон (или корпоративный мобильный) отправляется SMS или email с призывом сделать что-то в его личном кабинете. Повод лучше выбрать страшный (из-за чего прямо сейчас нужно туда зайти) или надавить на жадность, чтобы не побуждать человека звонить в техподдержку. Нужно только знать, к какому оператору относится его номер, и дать подходящую фишинговую ссылку. После получения доступа в кабинет человек со злым умыслом ставит свой телефон для приема SMS в разделе «Переадресация сообщений».
У большинства операторов предоставляется на выбор множество сценариев по настройке редиректов.
Описание услуги на сайте сотового оператораОдин email — один банк
Если ты нашел на сайте какого-то крупного банка такую строчку:
src='//www.googletagmanager.com/gtm.js?id='то представь следующий сценарий:
Google Tag Manager — сервис, который упрощает размещение на сайте информации, в том числе JS-скриптов. Соответственно, если ты имеешь доступ к аккаунту, с которого делаются настройки Tag Manager, ты можешь внедрить свой вредоносный код на сайт.
Место для вставки вредоносного кодаНа заметку
Кстати, вот один из способов сфишить email маркетолога, отвечающего за сайт.
Если организация дает рекламу в AdWords, то возможен такой сценарий. Здесь: Link hidden, please Sign inor Sing up — пишем название фейкового аккаунта. Что-то наподобие:
. . . . . . . . . . . . . . . . . . . . Для получения расширенной статистики по аккаунту такому-то подтвердите свое участие в Beta-тестировании: Link hidden, please Sign inor Sing up
Указываем название аккаунтаИдем сюда: Link hidden, please Sign inor Sing up — и пишем email получателя.
Выбираем уровень доступаПользователю придет письмо от имени [email protected].
Пример сообщения от [email protected]Дальше следует фишинговая форма авторизации, загрузка эксплоита и тому подобное.
В Google сказали: хоть социальная инженерия и зло, мы не уберем возможность отправки таких сообщений. Просто подкрутим, чтобы через эту форму было сложнее отправлять спам. Социальному инженеру этого достаточно, он ведь не спамер.
Бонус
Напоследок приведу несколько лайфхаков.
Всем салют, дорогие друзья!
Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Банки уже давно не нужно грабить в масках с автоматами — теперь достаточно электронной почты, но во многих финансовых организациях еще живы старые стереотипы. Акцент в них делают на физическую безопасность, считая информационную менее существенной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с наибольшей вероятностью вирус проник в банк через фишинговое письмо».
Давний парадокс остается актуальным: ИТ-специалисты не устают заявлять, что социальная инженерия — главное зло. При этом многие «безопасники» продолжают считать, что хитроумного софта и однажды написанных инструкций для персонала достаточно, чтобы противостоять киберугрозам. Ну-ну 
Доверенный сайт как проходной дворУ вашего файрвола формально настроены «черные» и «белые» списки URL? Тогда мы идем к вам! Вот несколько примеров, когда на сайте банка используется одна известная CMS с незакрытым редиректом:
Link hidden, please Sign in
Что за собака?
Данный способ не сработает с внимательными сотрудниками, но если бы все были внимательны, то социальной инженерии не существовало бы как явления.
Развивая предыдущий способ для тех, кто привык смотреть, что идет сразу после Link hidden, please Sign in
Почему так происходит? Допустимые в URL символы задокументированы в стандарте RFC 1738. Символ @ используется в URL как специальный разделитель, когда нужно прямо в нем дать права для доступа к странице. В конструкции вида httр://<логин>:<пароль>@<хост> до @ можно указывать практически что угодно. Браузер все равно отправит пользователя на хост, указанный после @.
Что за абракадабра?
Добавим в зловредный URL немного кириллицы, закодированной в UTF-8 → HEX, чтобы он выглядел непонятно для человека и на первый взгляд безопасно:
Link hidden, please Sign in
Закодированный домен .рф в URLИли совместим простые техники (редирект + кодирование):
Link hidden, please Sign in
Link hidden, please Sign in
Link hidden, please Sign in
Вместо домена в URL используем IP сервераНе забудь прикрутить к серверу HTTPS, чтобы браузер не ругался, но об этом позже.
Переполнение предпросмотра
Наверняка ты уже знаешь, что настоящее расширение файлов можно спрятать, используя ограничение отображаемой длины столбца extension в «Проводнике» или архиваторе (или помнишь со времен ICO. ???? — Прим. ред.).
Попытка скрыть расширение файла в архивеТеперь давай попробуем сходным образом скрыть злую часть URL на этапе предпросмотра в браузере.
Если сотрудник знает, что анкор ссылки может быть не равен целевому URL, то он наведет мышкой на ссылку и посмотрит, куда на самом деле она ведет. Если это его единственный способ проверки ссылок, то инструкции по безопасности в такой компании пора обновлять.
Злая ссылка может быть, к примеру, такой:
Link hidden, please Sign in
При наведении мышкой в Firefox увидим сокращенный посередине адрес сайта, из-за чего часть zloysait.ru не отображается. Видна только не вызывающая подозрений часть ссылки:
https://berbank.ru:аааааааааааааааа...bbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbbb.html
Сокращенный URL в FirefoxДля больших экранов фишинговую ссылку лучше сделать подлиннее.
Если навести мышку на такую ссылку в Internet Explorer или Edge, то мы не увидим вообще ничего. Судя по всему, их смущает повторное двоеточие в адресе, что нас вполне устраивает.
Chromium-браузеры от Google и Яндекса отображают конечный URL zloysait.ru/bbbbbbbb...bbbbbbbb.html, поэтому данный способ подойдет для таргетированной атаки, когда известен браузер жертвы.
«Почта России» тебе в помощь!
Если жертва занимает руководящую должность в целевой компании, можно попробовать сыграть на ее чувстве собственной важности.
Создается фейковый одностраничник конференции (бизнес-мероприятия, бизнес-форума и подобного).
Теперь жертву нужно заманить на ресурс. Почему бы не отправить бумажное письмо ей на работу? Тут ты точно обойдешь всю цифровую и железную защиту в организации и даже нейросетевой файрвол в виде секретарши, так как, по ее мнению, если она выкинет такое письмо в корзину, ее начальник не обрадуется. Очень уж привлекательно выглядит содержимое — красивое приглашение поучаствовать в пафосном мероприятии в качестве спикера (члена жюри, лауреата престижной премии).
Дальше все стандартно: предлагается скачать и заполнить «анкету» участника. Можно даже QR-код напечатать (вроде как заботимся о вашем удобстве, глубокоуважаемая жертва).
Не чекином единым
Если ты ломаешь личный email сотрудника или его аккаунт в соцсетях, то посмотри, где человек отдыхал в последнее время.
Видишь название отеля? Смело пиши от имени администрации отеля и требуй доплаты за сервис. В письмо добавь надпись, что данное сообщение сгенерировано автоматически, а для ответа нужно воспользоваться формой на официальном сайте в разделе поддержки клиентов. Дав фейковую ссылку, предложи ему зарегистрироваться. Кто знает, быть может, этот логин/email и пароль он использует и на других ресурсах.
Хотел похвастаться и навлек неприятностиПотенциальная жертва летает самолетами «Аэрофлота»? Напиши, что срочно надо активировать бонусные мили, и тогда их количество удвоится! Сделать это нужно по твоей фейковой ссылке с лендингом акции.
Авиабилет — находка для социнженераЖертва недавно посетила какое-то мероприятие? Попроси ее зарегистрироваться по твоей ссылке, чтобы получить все записи с конференции + бонусный контент и скидку на участие в следующей!
Пост в соцсети, облегчающий жизнь пентестеруЧтобы жертва ничего не заподозрила, после того как зарегистрировалась, ей можно показать сообщение об ошибке (например, «404. Ой, что-то пошло не так, попробуйте повторить ваш запрос позже!») или отправить на главную страницу сайта.
Примерно в таком ключе можно обращаться к человеку на основании свежих данных из его аккаунтов в соцсетях. Здесь мы использовали по большей части фишинговые методы, и нам этого достаточно. В реальное деле мы бы, конечно, на этом не останавливались и использовали уязвимости браузеров и вредоносные файлы для заражения устройства жертвы. Но это уже техническая часть, а не социальная.
SMS-редирект
Наверняка ты уже слышал историю о том, что у Bitcoin-инвестора с подходящей фамилией Терпин украли 23 миллиона долларов при помощи банального запроса о переносе номера мобильного на новую SIM-карту. А что, если немного пофантазировать и посмотреть, как с помощью фишинга получить доступ к интернет-сервисам сотрудника, защищенным двухфакторной аутентификацией? Вдруг кто-то из сотовых операторов дает возможность получить симку, не воруя номер?
Сотруднику на личный телефон (или корпоративный мобильный) отправляется SMS или email с призывом сделать что-то в его личном кабинете. Повод лучше выбрать страшный (из-за чего прямо сейчас нужно туда зайти) или надавить на жадность, чтобы не побуждать человека звонить в техподдержку. Нужно только знать, к какому оператору относится его номер, и дать подходящую фишинговую ссылку. После получения доступа в кабинет человек со злым умыслом ставит свой телефон для приема SMS в разделе «Переадресация сообщений».
У большинства операторов предоставляется на выбор множество сценариев по настройке редиректов.
Описание услуги на сайте сотового оператораОдин email — один банк
Если ты нашел на сайте какого-то крупного банка такую строчку:
src='//www.googletagmanager.com/gtm.js?id='то представь следующий сценарий:
- С помощью социальной инженерии и фишинга получаешь доступ к аккаунту @gmail.com маркетолога.
- Через сервис Google Tag Manager вставляешь по этой ссылке любой JS-скрипт (например, новогоднее поздравление) и жмешь «Сохранить».
- Теперь твой скрипт будет поздравлять посетителей с наступающим Новым годом (если служба безопасности будет не против и не перестанет пользоваться иностранными сервисами).
Google Tag Manager — сервис, который упрощает размещение на сайте информации, в том числе JS-скриптов. Соответственно, если ты имеешь доступ к аккаунту, с которого делаются настройки Tag Manager, ты можешь внедрить свой вредоносный код на сайт.
Место для вставки вредоносного кодаНа заметку
Кстати, вот один из способов сфишить email маркетолога, отвечающего за сайт.
Если организация дает рекламу в AdWords, то возможен такой сценарий. Здесь: Link hidden, please Sign in
. . . . . . . . . . . . . . . . . . . . Для получения расширенной статистики по аккаунту такому-то подтвердите свое участие в Beta-тестировании: Link hidden, please Sign in
Указываем название аккаунтаИдем сюда: Link hidden, please Sign in
Выбираем уровень доступаПользователю придет письмо от имени [email protected].
Пример сообщения от [email protected]Дальше следует фишинговая форма авторизации, загрузка эксплоита и тому подобное.
В Google сказали: хоть социальная инженерия и зло, мы не уберем возможность отправки таких сообщений. Просто подкрутим, чтобы через эту форму было сложнее отправлять спам. Социальному инженеру этого достаточно, он ведь не спамер.
Бонус
Напоследок приведу несколько лайфхаков.
- Если писать жертве, представляясь таким же именем, как у нее, то отклика будет больше.
- Отправляешь письмо на любую корпоративную почту компании, получаешь ответ и видишь, как оформляется корреспонденция в этой организации. Затем копируешь оформление в своей фишинговой рассылке от имени этой компании.
- Услышав сообщение автоответчика о том, что сотрудник в отпуске, от его имени можно писать письма другим сотрудникам (якобы с личного, не корпоративного email), а также делать посты в соцсетях с его «другого аккаунта».
- Многие пользователи считают, что если они попали на ресурс с «замочком» в адресной строке, то ресурсу можно доверять. Link hidden, please Sign in
or Sing up поможет социальному инженеру, раз уж это увеличивает конверсию. - Нет ничего хуже после отправки email, чем ответ почтового демона: «Сообщение не доставлено, адрес не существует. ПОДРОБНЕЕ ОБ ОШИБКЕ (и тут ссылка на твой сайт и демонический хохот за кадром)».
- Тренд будущего в СИ — Find trap, способ, когда человеку дается информационная наживка, и он сам ищет подробности в поисковиках. Находит твой ресурс (поскольку наживка составлена именно так, чтобы выводить на него), а дальше — только полет фантазии ограничивает твои возможности. Нет ничего лучше заинтересованного пользователя.