April 10, 2019

Социальная инженерия как часть тестирования на проникновение #2

Вводная информация

На этапе общения с заказчиком и заключения договора этичный хакер получает информацию о том, в каком именно формате будут проведены работы, или помогает выбрать этот формат. Исследование может быть как отдельным проектом, так и частью внешнего тестирования на проникновение.

В технической подготовке к проведению подобных работ разницы нет никакой, а в планировании времени — есть. С заказчиком также обсуждается, какой именно канал коммуникации будет использован для контакта с персоналом: корпоративная почта, социальные сети или что-то другое.

В нашем примере в качестве канала коммуникации с тестируемыми сотрудниками была выбрана корпоративная электронная почта. Следующий вопрос, который должен быть рассмотрен, — это состав фокус-групп, в отношении которых будет проводиться тестирование. Существует два основных варианта подбора:

  • заказчик сам предоставляет фокус-группы;
  • этичный хакер своими силами составляет фокус-группы для рассылки.

Во втором случае заказчик также получает ответ на вопрос, насколько много информации о его работниках можно найти в публичных источниках. Следующий момент — список проверок (эмулируемых атак), которые предполагается провести в рамках запланированных работ. Бывает, что в организации заказчика уже внедрена программа security awareness — мероприятия, направленные на повышение осведомленности сотрудников в вопросах ИБ, неотъемлемую часть которых составляют обучающие материалы. Тогда этичный хакер знакомится с этими документами и на их основе формирует список атак, которые будут выполнены в рамках работ. На начальных этапах внедрения подобных программ обучающий материал обычно содержит основные постулаты безопасной работы в интернете: не открывайте ссылки и приложения от сомнительных адресатов, не вводите свои учетные данные в сомнительные формы и так далее. Если учебные материалы далеки от совершенства или вообще отсутствуют (например, специалисты отдела ИБ только хотят внедрить такую программу), то этичному хакеру непременно придется потрудиться и дать ценные указания на этот счет. В таком случае атаки, которые будут выполнены в рамках работ, стремятся к некоему негласному стандарту. Сегодня мы рассматриваем ситуацию, когда программа повышения осведомленности пользователей в вопросах ИБ отсутствует. В таком случае заказчику будет рекомендован следующий набор атак, отталкиваясь от которых в дальнейшем можно составить обучающий материал:

  • фишинг;
  • распространение сетевых червей (запуск приложения);
  • эксплуатация client-side-уязвимостей (браузеры и так далее).

На то, чтобы обговорить все вопросы с заказчиком, уходит одна встреча, которая может затянуться максимум на пару часов.

Сетевая разведка

Вернувшись на свое рабочее место, беремся за дело: проводим «рекон» (от англ. reconnaissance, разведка) — собираем максимум информации о сотрудниках тестируемой компании. Нас интересуют:

  • адреса электронной почты (обговоренный канал коммуникации);
  • структура организации;
  • сфера деятельности;
  • новости компании и отрасли.

Основные источники данных:

  • поисковики (Google, Bing, Yahoo);
  • профессиональные соцсети (LinkedIn, «Мой круг» и так далее);
  • веб-сайт компании.

Обычно этот этап работ занимает от одного дня до трех.

Разработка сценария

После того как сбор информации завершен, этичный хакер начинает подготовку сценариев для каждой из эмулируемых им атак. Разработка сценария, как правило, проходит в несколько этапов:

  1. Определяемся с типом атаки (например, фишинг).
  2. Обдумываем то, как будем мотивировать пользователя.
  3. Разрабатываем текст письма и оформление.
  4. Продумываем техническую часть рассылки.

Как ты наверняка знаешь из книг по low tech hacking, злоумышленники в своих приемах, чтобы заставить пользователя выполнить те или иные действия, опираются на основные потребности и мотивы человека.

Текст должен разрабатываться с учетом следующих особенностей психики человека:

  • интерес (любопытство) пользователя к поднятой теме. Очень распространен интерес к сообщениям личного, интимного характера (или с намеками на него) или кажущаяся легкость получения выгоды, приза или льготы;
  • вероятность ущемления личных или профессиональных интересов, чувство опасности, страх, предостережение от угрозы любого характера.

Не стоит забывать и о доверии пользователя к письму — это важный момент. Добиться доверия можно, используя следующие трюки:

  • знакомый или авторитетный отправитель, ссылки на такого человека в письме;
  • актуальная тема.

Этичный хакер старается максимально приблизить свои тексты к реальности, однако его в данном случае обременяет та самая этичность, не позволяющая вести себя в каких-то моментах жестоко, лицемерно и цинично. Не стоит об этом забывать. На разработку сценариев от начала до конца может уйти несколько дней. Как известно, нет предела совершенству, но в данном случае речь идет о бизнесе, так что придется ставить себе разумные сроки.

Когда сценарии (тексты и оформление писем) подготовлены, пентестер создает документ, который описывает соответствие каждого из сценариев фокус-группам тестируемых пользователей, а также информацию о графике рассылок. Этот документ отправляется заказчику на согласование. Процесс согласования может занять от одного до нескольких дней в зависимости от количества сценариев и степени вовлечения заказчика в этот процесс.

SEBLOG v2.0 — Героический оплот честности и искренности от социальных инженеров. (Да, и такое бывает)

SEBLOG — Самая большая в мире энциклопедия статей по социальной инженерии, манипуляциям и НЛП.

Торговая площадка SEBLOG — Только проверенные временем товары и услуги.