stihl не предоставил(а) никакой дополнительной информации.
ChatGPT сейчас разве что в котлеты не кладут. В этой статье мы расскажем, как в проекте по социальной инженерии с помощью форка библиотеки для Gophish рассылать QR-коды вместо обычных ссылок, чтобы вытащить сотрудников из защищенного рабочего окружения на личные девайсы. В качестве catchy-сценария рассылки мы рассмотрим «Telegram-бот IT-поддержки с ChatGPT» и на самом деле используем эту нейросеть для генерации кода бота, а также подключим интеграцию с API OpenAI для общения с пользователями.
В августе 2023 года прошла церемония награждения Для просмотра ссылки Войдиили Зарегистрируйся — премии для специалистов по тестированию на проникновение, которую учредила компания Awillix. Мы публикуем лучшие работы из каждой номинации. Эта статья заняла первое место в номинации «Ловись, рыбка», посвященной фишингу.
Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div).
Для просмотра ссылки Войдиили Зарегистрируйся
Второй вариант — Для просмотра ссылки Войдиили Зарегистрируйся QR-код из символов Unicode.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Для этого сначала Для просмотра ссылки Войдиили Зарегистрируйся в библиотеку Для просмотра ссылки Войди или Зарегистрируйся, которая часто используется для работы с QR в Go, два новых метода для генерации QR в Unicode и HTML.
Для просмотра ссылки Войдиили ЗарегистрируйсяДля просмотра ссылки Войди или Зарегистрируйся
Дальше в Gophish Для просмотра ссылки Войдиили Зарегистрируйся генерацию QR-ссылки в переменную для почтового шаблона.
Для просмотра ссылки Войдиили Зарегистрируйся
В ходе пусконаладочных испытаний мы выявили, что для Outlook корректней отображение в Unicode, а для веб‑клиентов (Gmail, Mail.ru, Yandex) и мобильных клиентов лучше выглядит HTML QR.
В рассылке можно поддержать сразу оба варианта через следующую конструкцию.
Для просмотра ссылки Войдиили Зарегистрируйся
Мы получили рабочий способ пробросить QR со ссылкой в письмо. Смартфон без вопросов его читает и открывает нам веб‑форму авторизации Gophish без намеков на беспокойство. Ура!
Нам нужен правдоподобный предлог для пользователя, чтобы у него возникло желание сканировать QR-код со смартфона и там же ввести свои учетные данные.
Когда мы работали над проектом, из каждого утюга рассказывали о все новых нишах для применения ChatGPT. Почему бы не обыграть его и у нас? Так родился сценарий проверки сотрудников «Новый Telegram-бот IT-поддержки сотрудников с ChatGPT».
Для просмотра ссылки Войдиили Зарегистрируйся
Письмо также содержало примеры работы с ботом (выбрали реальные ответы ChatGPT) и сообщение о подарках для первых зарегистрировавшихся.
Для просмотра ссылки Войдиили Зарегистрируйся
И раз уж мы используем в сценарии ChatGPT, почему бы сам код с логикой для бота не написать именно ему? За пару часов, десяток запросов и уточнений мы получили вполне рабочий Для просмотра ссылки Войдиили Зарегистрируйся.
Он принимает пользователя по ссылке из письма с RID-меткой и просит авторизоваться по ссылке на форму.
Для просмотра ссылки Войдиили Зарегистрируйся
После перехода на веб‑форму авторизации сотруднику предлагалось ввести свою корпоративную почту и пароль.
Для просмотра ссылки Войдиили Зарегистрируйся
После ввода реквизитов пользователь возвращается к боту. Собранные реквизиты сотрудников сохранялись на нашем сервере.
После авторизации (и только после) бот ловил callback от формы Gophish и оставался общаться с пользователем в заданной нами роли бота IT-поддержки организации.
Для просмотра ссылки Войдиили Зарегистрируйся
API OpenAI корректно воспринял заданный стартовый ввод («Ты веселый бот IT-поддержки сотрудников банка Х, расположенного в Y») и дальше выдавал вполне релевантные ответы попавшимся на рассылку сотрудникам.
Для просмотра ссылки Войдиили Зарегистрируйся
Далее, чтобы объяснить необходимость перейти со смартфона по QR-ссылке, мы выбрали сценарий «Telegram-бот IT-поддержки с ChatGPT» и с помощью этой же нейросети написали полнофункционального бота IT-поддержки, использовав API OpenAI. Задав боту минимальный стартовый контекст об организации, мы научили его давать релевантные ответы об адресах и телефонах офисов, а подняв боту уровень юмора, смогли добиться вирусного эффекта. Такой бот может привлечь даже сотрудников, не включенных в рассылку.
Наш клиент получил новый инструмент для обучения сотрудников бдительности, что должно помочь защитить их от набирающих популярность фишинговых атак в мессенджерах. Отдельный челлендж для клиента — разработать механизмы обнаружения сценариев, при которых сотрудники переключаются на личные устройства.
Pentest Award
В августе 2023 года прошла церемония награждения Для просмотра ссылки Войди
Авторы
- Идея, сценарии: Сергей Лукиных, Для просмотра ссылки Войди
или Зарегистрируйся - Инфраструктура, домены, почта, Gophish: Илья Георгиевский, Для просмотра ссылки Войди
или Зарегистрируйся - Код для QR и чат‑бота: Дмитрий Марюшкин, Для просмотра ссылки Войди
или Зарегистрируйся
Задача
На входе задача — сделать проект по социальной инженерии в крупной финансовой организации с целью повышения осведомленности сотрудников в области информационной безопасности.Известно, что у сотрудников заказчика корпоративный Outlook, антиспам и Chrome как дефолтный браузер. А также повышенный уровень социальной ответственности и боевой готовности — как у ИБ‑подразделения, так и у рядовых служащих.
Из привычных инструментов будем использовать опенсорсный фреймворк Gophish. Попытаемся вытянуть пользователя по ссылке на внешний ресурс с доменом, похожим на корпоративный, и формой логина, а потом попросить ввести учетные данные.
Проблемы
Что может пойти не так с рассылкой:- Антиспам может срезать письмам баллы за некачественно настроенный почтовый домен (DKIM, Dmark, вот это всё), недавно зарегистрированный домен, подозрительные хедеры (привет, дефолтный X-Mailer: gophish) и обилие ссылок в письме (ссылка на форму авторизации с RID-меткой и ссылка на картинку в письме, по числу загрузок которой измеряется процент открытия писем).
- Chrome на рабочих хостах пользователей при переходе по ссылкам из писем на свежий домен может с большой вероятностью показать красную простыню, что явно уменьшит конверсию из перешедших по ссылкам в тех, кто ввел пароль.
Но как уйти от внешней ссылки на форму в письме и внезапной паранойи браузера?
Решение
Почему бы нам не увести пользователя из защищенного рабочего окружения на фишинговый ресурс, открытый на личном девайсе, предложив ему в письме QR-код?Тут мы, кажется, убиваем сразу двух зайцев: и антиспам немного расслабится, так как у него нет понижающего score фактора с внешними ссылками в письме, и браузер на личном телефоне не склонен, в отличие от десктопной версии Chrome, так паниковать при виде нового домена.
Но как вставить QR в письмо? Это же тоже картинка, и корпоративный Outlook пожрет ее в сообщениях от внешнего отправителя так же, как картинку Gophish.
Тот же Яндекс рассылает QR-ссылки на чеки, сверстанные при помощи слоев (div).
Для просмотра ссылки Войди
Второй вариант — Для просмотра ссылки Войди
Для просмотра ссылки Войди
Попробуем затащить в Gophish оба варианта и посмотрим, что будет лучше выглядеть в Outlook.
Для этого сначала Для просмотра ссылки Войди
Для просмотра ссылки Войди
Дальше в Gophish Для просмотра ссылки Войди
Для просмотра ссылки Войди
В ходе пусконаладочных испытаний мы выявили, что для Outlook корректней отображение в Unicode, а для веб‑клиентов (Gmail, Mail.ru, Yandex) и мобильных клиентов лучше выглядит HTML QR.
В рассылке можно поддержать сразу оба варианта через следующую конструкцию.
Для просмотра ссылки Войди
Мы получили рабочий способ пробросить QR со ссылкой в письмо. Смартфон без вопросов его читает и открывает нам веб‑форму авторизации Gophish без намеков на беспокойство. Ура!
Сценарий рассылки
Итак, у нас есть новый велосипед, куда бы нам на нем поехать?Нам нужен правдоподобный предлог для пользователя, чтобы у него возникло желание сканировать QR-код со смартфона и там же ввести свои учетные данные.
Когда мы работали над проектом, из каждого утюга рассказывали о все новых нишах для применения ChatGPT. Почему бы не обыграть его и у нас? Так родился сценарий проверки сотрудников «Новый Telegram-бот IT-поддержки сотрудников с ChatGPT».
Для просмотра ссылки Войди
Письмо также содержало примеры работы с ботом (выбрали реальные ответы ChatGPT) и сообщение о подарках для первых зарегистрировавшихся.
Для просмотра ссылки Войди
И раз уж мы используем в сценарии ChatGPT, почему бы сам код с логикой для бота не написать именно ему? За пару часов, десяток запросов и уточнений мы получили вполне рабочий Для просмотра ссылки Войди
Он принимает пользователя по ссылке из письма с RID-меткой и просит авторизоваться по ссылке на форму.
Для просмотра ссылки Войди
После перехода на веб‑форму авторизации сотруднику предлагалось ввести свою корпоративную почту и пароль.
Для просмотра ссылки Войди
После ввода реквизитов пользователь возвращается к боту. Собранные реквизиты сотрудников сохранялись на нашем сервере.
После авторизации (и только после) бот ловил callback от формы Gophish и оставался общаться с пользователем в заданной нами роли бота IT-поддержки организации.
Для просмотра ссылки Войди
API OpenAI корректно воспринял заданный стартовый ввод («Ты веселый бот IT-поддержки сотрудников банка Х, расположенного в Y») и дальше выдавал вполне релевантные ответы попавшимся на рассылку сотрудникам.
Для просмотра ссылки Войди
Выводы
Итак, мы научили Gophish формировать текстовые QR-ссылки с помощью Unicode-символов и элементов div, выяснили, что для корпоративного Outlook лучше всего подошли именно QR-коды в Unicode.Далее, чтобы объяснить необходимость перейти со смартфона по QR-ссылке, мы выбрали сценарий «Telegram-бот IT-поддержки с ChatGPT» и с помощью этой же нейросети написали полнофункционального бота IT-поддержки, использовав API OpenAI. Задав боту минимальный стартовый контекст об организации, мы научили его давать релевантные ответы об адресах и телефонах офисов, а подняв боту уровень юмора, смогли добиться вирусного эффекта. Такой бот может привлечь даже сотрудников, не включенных в рассылку.
Наш клиент получил новый инструмент для обучения сотрудников бдительности, что должно помочь защитить их от набирающих популярность фишинговых атак в мессенджерах. Отдельный челлендж для клиента — разработать механизмы обнаружения сценариев, при которых сотрудники переключаются на личные устройства.