About Teletype
Join
SEBLOG CHANNEL
@aboutse
April 10, 2019

Социальная инженерия как часть тестирования на проникновение #3

Продолжение 2 части: Смотреть

Техническая часть

После того как сценарии согласованы, наступает момент, когда необходимо реализовать техническую часть проекта:

  • подготовить домены;
  • подготовить фишинговые страницы;
  • подготовить эксплойты;
  • подготовить нагрузку («троянское» ПО);
  • наладить сбор статистики.

Как правило, в рамках фишинга этичный хакер намеревается утащить у пользователя его корпоративные учетные данные. В качестве фишинговой страницы чаще всего используется стандартный шаблон формы авторизации, известной каждому офисному работнику, — шаблон сервисов Microsoft, например Outlook Web Access или Share Point. Увидев перед собой такую страницу, корпоративный пользователь в большинстве случаев думает, что это легитимное приложение и что он исполняет свои рабочие обязанности, вводя учетные данные в форму. Естественно, доменное имя, которое использует этичный хакер, не должно подкачать — выглядеть оно должно максимально легитимно.

Вот несколько советов по организации рассылок:

  • Никогда не ленись при разработке шаблона и оформления рассылаемого письма, будь внимателен.
  • Собирай как можно больше информации о целях, это половина успеха «удачной социалки».
  • Если тебе что-то кажется подозрительным в созданном письме, исключи это.
  • Умело используй SMTP RELAY для подмены адреса отправителя.
  • Никогда не забывай о наличии таких штук, как антиспам и антивирус, тестируй все тщательно.
  • Собирай как можно больше информации об установленном ПО у тех, кто купился на твою уловку.
  • Тщательно все логируй.
  • Массовые рассылки неоднозначны — покрывают всех сразу, результативны, но и более заметны.

Статистика

После завершения рассылки наступает момент, когда этичный хакер начинает пожинать плоды своего труда. Или не пожинать. Зависит от того, насколько он хорошо все подготовил. Но мы с тобой отличные хакеры, так что у нас все прошло замечательно и есть «отстуки». Давай разберемся, что именно этичный хакер может использовать в качестве результатов проведенного теста. Естественно, многое зависит от самого сценария и от тех действий, которые пентестер попытался навязать тестируемым. В большинстве случаев мы можем отследить такие действия пользователя:

  • переход по ссылке (злоумышленник мог заразить компьютер пользователя, эксплуатируя уязвимость в его браузере);
  • скачивание чего-либо с подконтрольного нам ресурса (злоумышленник мог заразить трояном);
  • запуск чего-либо, полученного из наших рук (VBScript, Java и подобное) — злоумышленник мог заразить трояном;
  • ввод данных в форму на подконтрольном нам ресурсе (фишинг).

Все эти события необходимо логировать. Если есть возможность логировать больше — используй ее. Не забывай о том, что тебе необходимо иметь возможность выявить, какой именно пользователь выполнил действие.

Репорт

По результатам сбора и обработки статистики этичный хакер готовит отчет, содержащий информацию о проведенном тестировании. Наиболее интересные данные оформляются в виде графиков. К примеру, соотношение полученных учетных данных к количеству разосланных сообщений. Все это очень наглядно и красиво, заказчикам нравится. Помимо этого, в зависимости от полученного результата этичный хакер готовит описание общей картины, дает рекомендации о том, на что стоит обратить внимание и на какие темы ориентироваться в рамках мероприятий, нацеленных на повышение осведомленности персонала о вопросах ИБ.

Outro

Очень часто заказчик хочет знать, кто именно попался на ту или иную уловку. Я никогда не предоставляю подобную информацию. Во-первых, когда кто-то попался, это нормально. Мы проводим тестирование не одного человека, а группы лиц. Соответственно, говорим о ней как о едином целом. Во-вторых, будет несправедливо, если накажут только одного сотрудника, и в лучшем случае его наказание будет выглядеть как дополнительное время, проведенное в офисе за изучением основных принципов безопасной работы в интернете. Будь этичным

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.

SEBLOG CHANNEL
April 10, 2019, 13:30
0 reactions
0 views