Приветствую вас, дорогие форумчане. В связи с началом конкурса, решил и я внести свою лепту, дабы не расслаблялись)
Эта статья написана с целью заполнения у многих пробелов в таком тонком и одновременно мощном векторе, как социальная инженерия. Она послужит не только хорошим методическим материалом, но и, надеюсь, поможет вам не попадаться на уловки злоумышленников. Помните: знание – сила, и в данном случае, она служит вашей защитой. Если вы только начинаете свой путь в мире кибербезопасности и пентеста и хотите глубже погрузиться в тему, рекомендую ознакомиться с нашим пошаговым руководством для новичков.
Прошу обратить ваше внимание на то, что все совпадения, имена и фамилии в примерах являются вымышленными и используются исключительно для наглядности изложения материала. Все манипуляции, описанные ниже, предназначены исключительно для легального и этичного тестирования на проникновение, проводимого с явного согласия владельца системы и в рамках применимого законодательства. Несанкционированное использование этих техник преследуется по закону!
Что первым приходит на ум, когда речь идет о социальной инженерии?
Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его невероятные деяния. Кто-то, возможно, подумал о фишинговых атаках, а кто-то, и вовсе не думал.
Так что же такое социальная инженерия на деле?
Не стоит прибегать к определениям со сложными и непонятными словами. Достаточно просто подумать. Это всего-то манипуляция поведением человека методом воздействия на него какими-либо внешними факторами, которые1 мы сами, так сказать, и устанавливаем. Иными словами, мы производим психологическое воздействие на человека с целью управления его действиями (поведением, настроением). Наверняка, с социальной инженерией вам приходилось столкнуться лицом к лицу, и не раз, возможно, даже не осознавая этого.
Частыми ошибками новичков, желающих овладеть социальной инженерией, является отсутствие практики. Многие, первым же делом закупаются книгами по психологии и пытаются вдуматься во все, что там написано. Так вот, огромного эффекта от этого не будет. Я бы даже сказал, никакого.
Все из-за отсутствия стержня и практической подготовки. Знайте, что социальная инженерия – это сплошная практика. Вы даже не сможете, например, стать продавцом-консультантом из соседнего магазина и выведать у Ирки из «Пятёрочки», когда Борисыч заходил прикупить себе успокоительного, если до этого не имели необходимой практики. Возможно, в таком варианте сложившихся событий у вас что-то еще выйдет. Но вот что делать с прошаренным владельцем тестируемого веб-приложения или его бдительным сотрудником? Об этом мы и поговорим далее.
Полезные источники информации (OSINT):
Давайте предположим, что мы начали изучать некоторый веб-ресурс. При анализе данных из WHOIS мы узнали фамилию и имя владельца веб-ресурса. Посмотрев еще внимательнее, мы, наверняка, заметим и его e-mail.
Как видим, администратор ресурса site.com не является очень аккуратным человеком. Мы получили 3 самых главных источника информации, исходя из которых можем собрать огромное количество информации касаемо нашего админа. Для примера, я покажу, как основываясь на этих данных найти аккаунты в социальных сетях или каких-либо мессенджерах.
Чтобы найти пользователя в ВКонтакте, WhatsApp, Telegram, достаточно добавить номер телефона этого администратора в свои контакты и импортировать обновленные контакты в приложения,2 которые я описал выше.
Далее, мы обратим внимание на его e-mail. Первое, что приходит в голову, так это то, что у него со 100% вероятностью имеется Google+. Из него-то мы и можем получить немного информации из пунктов, подобных “О себе”. После всех этих мелких пробежек, было бы неплохо прогнать полученные данные по тем сервисам, которые были описаны мною ранее. В конце сбора информации (в основном это ОСИНТ) очень полезным3 будет довести до рефлекса структурирование информации. Я очень часто структурирую информацию подобно таблице ниже.
Чтобы получить больше информации, достаточно адекватно себя преподнести как какого-либо другого человека с весьма схожими интересами. Желательно, такой человек не должен быть невероятно идеальным. Все зависит от цели. А о том, как поверить в то, что вы — это блондинка-стюардесса, часто летающая в Таиланд, мы поговорим в следующей части.
Для начала попробуйте перевоплотиться в красивую девушку/парня и попытайтесь кого-либо в этом убедить. Проанализируйте поведение своих знакомых (м/ж) и воспроизведите его при общении с фейкового аккаунта.
Вы в действительности должны вжиться4 в роль. Пытайтесь думать так, как тот, кем вы себя представили целевой личности. Характер, поведение в определенных ситуациях и все тому подобное являются самыми главными факторами при перевоплощении. Такие вопросы, как создание фейкового5 аккаунта и его оформление, тоже играют важную роль при перевоплощении, но не стоит уделять внимание только чему-либо одному. Один неучтенный пункт может привести к обнулению всего полученного ранее успеха.
Давайте предположим такую ситуацию:
“Недавно вы узнали, что администратор Григорий исследуемого вами веб-ресурса положительно относится к, например, смешанным единоборствам. Да не просто положительно относится, а сильно фанатеет”.
Нашей задачей является создание красиво оформленного послания с целью перенаправить администратора Григория на фишинговый сайт.
Первым делом вспомним, что мы знаем о боевых искусствах в смешанном виде (MMA):
В данный момент нам необходимо влиться в это движение и на некоторое время поверить, что вы и есть рекламный агент букмекерской компании FMartS. Немного почитав про букмекеров, я приступил к следующим действиям:
Не обращайте внимания пока на текст. Для нас на данный момент главное разобрать оформление. Мы – букмекерская контора. Для нас главное – красивая подача. Вдобавок к этому сообщению мы можем прикрепить таблицу с «просчитанной вероятностью выигрыша» касаемо бойцов. Например:
Все эти мелкие детали наводят того или иного пользователя на мысль: «А зачем мошеннику так стараться?». Обратите внимание на начало сообщения. Что вы видите? Однозначно, картинки. Это сделано специально для того, чтобы все читалось буквально легко и просто.
На создание такого красивого оформления у меня ушло всего около 10 минут. Злоумышленнику не составит труда слегка подкорректировать приветствие и разослать свое сообщение сотням жертв за то6 же время, но результаты будут весьма критичнее.
Вы ждете своей очереди, стоя на кассе продуктового. При этом начинаете замечать, что большинство людей решили прикупить продукт, который схож с вашим, но даже подешевле и полезнее. Тогда вы наверняка захотите также приобрести этот продукт. В данном примере, помимо стадного чувства, у вас возникли мысли «Дешевле, лучше» — то есть вам понравился данный продукт потому, что так написала издающая его фирма на этикетке. Вдобавок его решили приобрести довольно много человек.
Из этих примеров мы можем вынести для себя, что стадное чувство в совокупности с какими-либо другими условиями – хороший вариант манипуляции действиями человека. Если вы хотите повлиять на того же администратора Григория из прошлых примеров, то можете применить выведенный нами ранее способ. Представим, что мы нашли аккаунт Григория не в Gmail, а в обычном ВКонтакте. Какие будут наши действия в данном случае?
Во-первых, чтобы позволить Григорию принять суровую реальность, злоумышленнику Васе пришлось бы немного потратить свои средства и время. Предположим, что злоумышленник Вася создал свою страницу в ВК все с тем же агентом из FMartS и по мере изучения Григория оформлял свою страницу соответственно интересам нашего Григория. Пусть последним постом будет реклама букмекерской компании. Далее, Васе необходимо накрутить на этот пост большое количество положительных отзывов. Как видите, на нашего Григория повлияет не только стадное чувство, но и циклично повторяющееся действие – хвала букмекерской компании. Конечно, будет необходимо создать аккаунты, с которых иногда подписывать отрицательные комментарии в сторону FMartS. Число положительных комментариев должно быть значительно больше отрицательных! Не бывает чего-то полностью идеального. Все должны это понимать. И если бы8 мы не учли этот фактор, Григорий наверняка бы увидел что-либо подозрительное в этой «мутной воде». В этом посте, конечно, необходимо содержать и наш фишинговый аккаунт (или ссылку на фишинговый ресурс), который специально подготовлен к приходу Григория. Последним нашим действием будет добавление его в «Друзья». Таким образом, интерес + стадное чувство + циклично повторяющиеся действия сделают свое грязное дело.
Опять-таки, предположим, что у злоумышленника Васи ничего не вышло. Тогда он прибегнет к еще более интересному методу. Вася всего-навсего создает публичное сообщество, которое руками и ногами относится к его «букмекерской компании». Соответственно, пиарит ее и проводит все те действия, которые мы описывали ранее. Далее он может предложить уже своему «Другу» Григорию вступить в сообщество. Тут уже добавляется методика социального воздействия в качестве некоторого давления.
Возможно, Григорий все же заинтересуется, что же это за сообщество и почему он его так часто встречает. Если же Григорий не из любопытных, то Василию придется отослать ему специальное оповещение. К примеру, возьмем то сообщение, которое мы уже пытались отправить по почте, и воспользуемся им уже через ВКонтакте. Для этого Василий просто создает новый пост в сообществе и после всего текста добавляет строку:
@id****
Где id*** – идентификационный номер нашего Григория в ВК.
После публикации поста Григорий увидит у себя в оповещениях следующее:
Под частым давлением Григорий все же поддался манипуляциям Василия и был взломан сайт его компании.
Итак, как же защититься от социальной инженерии, когда на кону стоит не только ваша личная информация, но и безопасность вашей компании?
Эта статья написана с целью заполнения у многих пробелов в таком тонком и одновременно мощном векторе, как социальная инженерия. Она послужит не только хорошим методическим материалом, но и, надеюсь, поможет вам не попадаться на уловки злоумышленников. Помните: знание – сила, и в данном случае, она служит вашей защитой. Если вы только начинаете свой путь в мире кибербезопасности и пентеста и хотите глубже погрузиться в тему, рекомендую ознакомиться с нашим пошаговым руководством для новичков.
Прошу обратить ваше внимание на то, что все совпадения, имена и фамилии в примерах являются вымышленными и используются исключительно для наглядности изложения материала. Все манипуляции, описанные ниже, предназначены исключительно для легального и этичного тестирования на проникновение, проводимого с явного согласия владельца системы и в рамках применимого законодательства. Несанкционированное использование этих техник преследуется по закону!
Что первым приходит на ум, когда речь идет о социальной инженерии?
Наверняка многие сейчас начали вспоминать такую личность, как Кевин Митник и некоторые его невероятные деяния. Кто-то, возможно, подумал о фишинговых атаках, а кто-то, и вовсе не думал.
Так что же такое социальная инженерия на деле?
Не стоит прибегать к определениям со сложными и непонятными словами. Достаточно просто подумать. Это всего-то манипуляция поведением человека методом воздействия на него какими-либо внешними факторами, которые1 мы сами, так сказать, и устанавливаем. Иными словами, мы производим психологическое воздействие на человека с целью управления его действиями (поведением, настроением). Наверняка, с социальной инженерией вам приходилось столкнуться лицом к лицу, и не раз, возможно, даже не осознавая этого.
Частыми ошибками новичков, желающих овладеть социальной инженерией, является отсутствие практики. Многие, первым же делом закупаются книгами по психологии и пытаются вдуматься во все, что там написано. Так вот, огромного эффекта от этого не будет. Я бы даже сказал, никакого.
Все из-за отсутствия стержня и практической подготовки. Знайте, что социальная инженерия – это сплошная практика. Вы даже не сможете, например, стать продавцом-консультантом из соседнего магазина и выведать у Ирки из «Пятёрочки», когда Борисыч заходил прикупить себе успокоительного, если до этого не имели необходимой практики. Возможно, в таком варианте сложившихся событий у вас что-то еще выйдет. Но вот что делать с прошаренным владельцем тестируемого веб-приложения или его бдительным сотрудником? Об этом мы и поговорим далее.
Разведка на подходе: Собираем информацию для удара
Перед тем, как начать наше взаимодействие с человеком, нам необходимо собрать о нем как можно больше информации. В качестве необходимой информации мы возьмем:- Прежде всего возраст
- Вид деятельности
- Интересы
- Любимая музыка, фильм или любое другое увлечение в виде искусства.
- Деятельность компании / цели веб-ресурса. В этом пункте вам необходимо выяснить, чем занимается исследуемая вами компания, дабы потом подтянуть свои знания в направлении их деятельности и не растеряться при общении с одним из его сотрудников.
- Вторым наиболее важным пунктом является сбор информации о самих сотрудниках компании. Сюда входят как e-mail адреса работников, так и их аккаунты в социальных сетях. То есть нам будут необходимы любые средства связи и источники информации о целевом объекте.
Полезные источники информации (OSINT):
- Сайты-агрегаторы информации: Pipl.com, Nomer.org, Avinfo.co – эти и подобные им сервисы позволяют найти информацию о человеке по номеру телефона, e-mail, нику или данным об авто. Важно проверять актуальность и законность использования этих ресурсов в вашей юрисдикции.
- Поисковые системы по изображениям: Findface.ru (ранее, сейчас часто неактивен), а также обратный поиск Google Images, Yandex Images – позволяют найти профиль человека в социальной сети по фото.
- Государственные ресурсы (для РФ):
-
Ссылка скрыта от гостей– позволяет узнать действительность паспорта гражданина РФ.
-
Ссылка скрыта от гостей– позволяет проверить задолженность по налогам гражданина РФ.
-
- Социальные сети: VK, Facebook, LinkedIn, Instagram, Telegram и другие – золотая жила для информации о интересах, связях, деятельности.
- WHOIS-сервисы: Для получения данных о владельцах доменов (иногда можно найти имя, фамилию, email).
- Профессиональные ресурсы: Сайты компаний, форумы, публикации, где сотрудники могут упоминать себя.
Теория и Практика: Сбор данных в действии
Мы кратко рассмотрели сбор информации в теории. Но что нам эта теория, ведь на практике все будет более понятным, подумал кто-то из читателей. Помните, что без теории наша практика будет слепа – мы не будем понимать, что сейчас вообще делаем. А без практики мы убьем изученную теорию, превратив ее в пустой звук. Не будем пустословить и приступим к нашей работе.Давайте предположим, что мы начали изучать некоторый веб-ресурс. При анализе данных из WHOIS мы узнали фамилию и имя владельца веб-ресурса. Посмотрев еще внимательнее, мы, наверняка, заметим и его e-mail.
Как видим, администратор ресурса site.com не является очень аккуратным человеком. Мы получили 3 самых главных источника информации, исходя из которых можем собрать огромное количество информации касаемо нашего админа. Для примера, я покажу, как основываясь на этих данных найти аккаунты в социальных сетях или каких-либо мессенджерах.
Чтобы найти пользователя в ВКонтакте, WhatsApp, Telegram, достаточно добавить номер телефона этого администратора в свои контакты и импортировать обновленные контакты в приложения,2 которые я описал выше.
Далее, мы обратим внимание на его e-mail. Первое, что приходит в голову, так это то, что у него со 100% вероятностью имеется Google+. Из него-то мы и можем получить немного информации из пунктов, подобных “О себе”. После всех этих мелких пробежек, было бы неплохо прогнать полученные данные по тем сервисам, которые были описаны мною ранее. В конце сбора информации (в основном это ОСИНТ) очень полезным3 будет довести до рефлекса структурирование информации. Я очень часто структурирую информацию подобно таблице ниже.
Чтобы получить больше информации, достаточно адекватно себя преподнести как какого-либо другого человека с весьма схожими интересами. Желательно, такой человек не должен быть невероятно идеальным. Все зависит от цели. А о том, как поверить в то, что вы — это блондинка-стюардесса, часто летающая в Таиланд, мы поговорим в следующей части.
Искусство перевоплощения: Маски, которые мы носим
Как я уже говорил ранее, чтобы стать отличным социальным инженером, нужно много практиковаться. Самый главный навык, который необходимо отточить во время практических тренировок – это искусство перевоплощения.Для начала попробуйте перевоплотиться в красивую девушку/парня и попытайтесь кого-либо в этом убедить. Проанализируйте поведение своих знакомых (м/ж) и воспроизведите его при общении с фейкового аккаунта.
Вы в действительности должны вжиться4 в роль. Пытайтесь думать так, как тот, кем вы себя представили целевой личности. Характер, поведение в определенных ситуациях и все тому подобное являются самыми главными факторами при перевоплощении. Такие вопросы, как создание фейкового5 аккаунта и его оформление, тоже играют важную роль при перевоплощении, но не стоит уделять внимание только чему-либо одному. Один неучтенный пункт может привести к обнулению всего полученного ранее успеха.
Давайте предположим такую ситуацию:
“Недавно вы узнали, что администратор Григорий исследуемого вами веб-ресурса положительно относится к, например, смешанным единоборствам. Да не просто положительно относится, а сильно фанатеет”.
Нашей задачей является создание красиво оформленного послания с целью перенаправить администратора Григория на фишинговый сайт.
Первым делом вспомним, что мы знаем о боевых искусствах в смешанном виде (MMA):
- Включает в себя множество техник (от борьбы до рукопашного боя).
- Зародилось еще в Древней Греции (панкратион).
- Дерутся не только здоровые амбалы, а бойцы разделены на весовые категории.
В данный момент нам необходимо влиться в это движение и на некоторое время поверить, что вы и есть рекламный агент букмекерской компании FMartS. Немного почитав про букмекеров, я приступил к следующим действиям:
- Создал красиво оформленный аккаунт в Gmail.Первым делом нам необходимо определиться со следующей информацией нашего рекламного агента – Ф.И.О., пол, возраст. Необходимо найти фото для профиля, да такое, чтобы его не могли найти в Google картинках (с помощью обратного поиска изображений). Это критически важно для сохранения легенды.
- В итоге у меня получился следующий персонаж – Артамонов Дмитрий Алексеевич, 1987 года рождения. Для профиля была найдена фотография из vk.com, которая была предварительно проверена на уникальность.
- После процедуры по созданию Gmail аккаунта нам остается прилично оформить наше письмо и смело отправить его администратору Григорию.
Не обращайте внимания пока на текст. Для нас на данный момент главное разобрать оформление. Мы – букмекерская контора. Для нас главное – красивая подача. Вдобавок к этому сообщению мы можем прикрепить таблицу с «просчитанной вероятностью выигрыша» касаемо бойцов. Например:
Все эти мелкие детали наводят того или иного пользователя на мысль: «А зачем мошеннику так стараться?». Обратите внимание на начало сообщения. Что вы видите? Однозначно, картинки. Это сделано специально для того, чтобы все читалось буквально легко и просто.
На создание такого красивого оформления у меня ушло всего около 10 минут. Злоумышленнику не составит труда слегка подкорректировать приветствие и разослать свое сообщение сотням жертв за то6 же время, но результаты будут весьма критичнее.
Психологический удар: Манипуляции на эмоциях
Как вы уже поняли, манипуляция действиями человека становится возможной при определенных условиях. Одним из таких условий можно считать стадное чувство. Для того чтобы понять, как это работает, обратимся к повседневной жизни. Представим себе следующую ситуацию: вы прогуливаетесь в свободное от учебы или работы время, в этот чудесный день. Ничего не предвещало беды, но вдруг вы видите, как все люди начали в беспорядочном порядке бежать в правую сторону от вас.7 Не думайте, что вы являетесь полным идиотом, если побежите за ними. Тут сработал не только инстинкт самосохранения, но и стадное чувство. Ваш мозг подумал: «Если все бегут в эту сторону, то что происходит в противоположной стороне? Не опасно ли там? Что-либо надвигается? Побегу-ка я тоже». Все еще непонятно? Тогда вот еще пример:Вы ждете своей очереди, стоя на кассе продуктового. При этом начинаете замечать, что большинство людей решили прикупить продукт, который схож с вашим, но даже подешевле и полезнее. Тогда вы наверняка захотите также приобрести этот продукт. В данном примере, помимо стадного чувства, у вас возникли мысли «Дешевле, лучше» — то есть вам понравился данный продукт потому, что так написала издающая его фирма на этикетке. Вдобавок его решили приобрести довольно много человек.
Из этих примеров мы можем вынести для себя, что стадное чувство в совокупности с какими-либо другими условиями – хороший вариант манипуляции действиями человека. Если вы хотите повлиять на того же администратора Григория из прошлых примеров, то можете применить выведенный нами ранее способ. Представим, что мы нашли аккаунт Григория не в Gmail, а в обычном ВКонтакте. Какие будут наши действия в данном случае?
Во-первых, чтобы позволить Григорию принять суровую реальность, злоумышленнику Васе пришлось бы немного потратить свои средства и время. Предположим, что злоумышленник Вася создал свою страницу в ВК все с тем же агентом из FMartS и по мере изучения Григория оформлял свою страницу соответственно интересам нашего Григория. Пусть последним постом будет реклама букмекерской компании. Далее, Васе необходимо накрутить на этот пост большое количество положительных отзывов. Как видите, на нашего Григория повлияет не только стадное чувство, но и циклично повторяющееся действие – хвала букмекерской компании. Конечно, будет необходимо создать аккаунты, с которых иногда подписывать отрицательные комментарии в сторону FMartS. Число положительных комментариев должно быть значительно больше отрицательных! Не бывает чего-то полностью идеального. Все должны это понимать. И если бы8 мы не учли этот фактор, Григорий наверняка бы увидел что-либо подозрительное в этой «мутной воде». В этом посте, конечно, необходимо содержать и наш фишинговый аккаунт (или ссылку на фишинговый ресурс), который специально подготовлен к приходу Григория. Последним нашим действием будет добавление его в «Друзья». Таким образом, интерес + стадное чувство + циклично повторяющиеся действия сделают свое грязное дело.
Опять-таки, предположим, что у злоумышленника Васи ничего не вышло. Тогда он прибегнет к еще более интересному методу. Вася всего-навсего создает публичное сообщество, которое руками и ногами относится к его «букмекерской компании». Соответственно, пиарит ее и проводит все те действия, которые мы описывали ранее. Далее он может предложить уже своему «Другу» Григорию вступить в сообщество. Тут уже добавляется методика социального воздействия в качестве некоторого давления.
Возможно, Григорий все же заинтересуется, что же это за сообщество и почему он его так часто встречает. Если же Григорий не из любопытных, то Василию придется отослать ему специальное оповещение. К примеру, возьмем то сообщение, которое мы уже пытались отправить по почте, и воспользуемся им уже через ВКонтакте. Для этого Василий просто создает новый пост в сообществе и после всего текста добавляет строку:
@id****
Где id*** – идентификационный номер нашего Григория в ВК.
После публикации поста Григорий увидит у себя в оповещениях следующее:
Под частым давлением Григорий все же поддался манипуляциям Василия и был взломан сайт его компании.
Защита от атаки: Как не стать жертвой?
Помните, что люди не железные машины, и даже администраторы великих компаний имеют частную жизнь, где просто хотят расслабиться и отдохнуть от повседневной суеты. Именно человеческий фактор является самым слабым звеном в любой, даже самой совершенной системе безопасности.Итак, как же защититься от социальной инженерии, когда на кону стоит не только ваша личная информация, но и безопасность вашей компании?
- Повышение осведомленности: Самая первая и главная защита – это обучение. Регулярно проводите тренинги для сотрудников, объясняя им, что такое социальная инженерия, какие методы используются и как распознать подозрительные действия (фишинг, претекстинг, кви про кво).
- Двухфакторная аутентификация (2FA/MFA): Внедрите обязательную двух- или многофакторную аутентификацию везде, где это возможно. Даже если злоумышленник получит логин и пароль, ему потребуется второй фактор (например, код из SMS или приложения).
- Верификация информации: Всегда проверяйте любую подозрительную или неожиданную информацию через альтернативные, надежные каналы связи. Если вам звонят якобы из банка, не перезванивайте по номеру, который вам назвали; вместо этого наберите официальный номер, указанный на сайте банка или вашей карте.
- Политики безопасности: Разработайте и строго соблюдайте четкие политики безопасности, касающиеся обмена конфиденциальной информацией, правил поведения в социальных сетях, а также процедур реагирования на инциденты.
- Контроль данных в открытом доступе (OSINT): Регулярно проверяйте, какая информация о вас и вашей компании находится в открытом доступе. Минимизируйте публикацию личных данных, которые могут быть использованы для создания убедительной легенды социальным инженером.
- Симуляции и тренировки: Проводите регулярные симулированные фишинговые атаки и другие упражнения по социальной инженерии, чтобы оценить устойчивость ваших сотрудников и систем к подобным угрозам. Анализируйте результаты и корректируйте обучение.
Последнее редактирование модератором:
