• полное имя;
• почтовый адрес;
• номер телефона;
• адрес электронной почты;
• дату рождения (как доказательство совершеннолетия);
• последние четыре цифры номера кредитной карты, которая использовалась для оформления брони номера.
Легенда сработала очень эффективно, потому что человек не только открыл зараженный файл, но и предоставил мне дополнительную информацию для планирования дальнейших атак.
Даже когда я использую в легендировании для адресного фишинга личные данные, то не работаю с информацией, которая может навредить объекту воздействия. Например, в описанном случае я бы не стал использовать легенды вроде: «В нашем распоряжении оказались ваши фотоснимки в компании проституток. Чтобы выкупить эти фотографии, перейдите по ссылке» — даже если такие фотографии действительно существовали бы. И если бы я нашел подобные фотографии в процессе сбора данных из открытых источников, то сообщил бы о них объекту воздействия напрямую и спросил, как он сам хочет разобраться с возникшей ситуацией.
Фишинг: резюме
Не знаю, как вы, а лично я получаю на свои аккаунты в среднем 200–250 электронных писем в день. И как ни странно, проверка e-mail при этом не является моей основной работой!
E-mail используются для коммуникации между людьми, для бизнеса, шопинга и многих других целей. Поэтому в большинстве СИ-атак используется именно этот вектор. Профессиональный социальный инженер обязан уметь составлять убедительные электронные письма, основываясь на собранных из открытых источников данных. Это единственный способ проверить уязвимость клиентов по отношению к данному вектору атаки.
Вишинг
В 2015 году термин «вишинг» попал в Оксфордский словарь английского языка. Я связывал популярность этого слова с собственной просветительской деятельностью, но никто не верил. (Но в каждой шутке, как известно, есть доля правды.)
Вишинг — это фишинг с использованием голоса. Сегодня этот вектор атаки намного популярнее, чем несколько лет назад. На мой взгляд, рост популярности метода связан с его эффективностью.
Вот несколько причин, по которым стоит использовать вишинг в пентесте:
• сбор идентификационных данных;
• сбор данных из открытых источников;
• непосредственно атака.
Давайте обсудим каждый из них, чтобы вы понимали, чем отличается вишинг, используемый для достижения каждой из этих целей.
Сбор идентификационных данных
Конечно, в процессе пентестинга мы с командой используем технические решения, позволяющие компрометировать безопасность компании. Однако вишинг и фишинг для сбора идентификационных данных мы тоже используем, чтобы упростить процесс.
В ходе одной проверки после проведения сбора данных из открытых источников я собрал 10–15 телефонных номеров и собирался звонить по ним в надежде собрать идентификационные данные. Легенду я сформулировал в соответствии с результатами сбора данных из открытых источников: узнал, что недавно в офисах компании перешли с одной операционной системы на другую и этот переход курировал сторонний IT-подрядчик. Изменилось многое: обновить пришлось не только операционную систему, но и программы, которые часто использовались в работе.
Согласно легенде, я представился Полом из компании «Безопасные IT» (конечно, это название выдумано исключительно для книги). Якобы мне нужно было проверить статус обновлений на компьютере конкретного сотрудника, потому что мы зарегистрировали проблемы на некоторых устройствах. Между нами состоялся следующий диалог:
Объект: Добрый день, Стив слушает. Чем я могу помочь?
Я: Здравствуйте, Стив. Это Пол из компании «Безопасные IT». Я хотел бы…
Объект [перебивает меня]: Так это вы! Знаете, сколько на меня свалилось работы? А ваши чертовы обновления не дают мне ничего нормально сделать!
Я: Я понимаю, Стив. Потому и звоню. Мы заметили подозрительную активность с вашего IP-адреса, и я полагаю, что проблема может заключаться в отравлении DNS в связи с переполнением стека. [В конце этой фразы у меня даже голос дрогнул, а про себя я молился, чтобы Стив не оказался айтишником.]
Объект: Мой компьютер отравлен? Что вы вообще такое говорите, Пол?!
Я: Извините, это профессиональный жаргон. Правда, простите. Я хотел сказать, что в процессе установки могли возникнуть проблемы, из-за которых теперь компьютер работает медленно. Могу ли я сейчас попросить вас выполнить несколько действий, которые позволят устранить неполадки?
Объект: Послушайте, Пол. Пришлите сюда представителя, чтобы он сделал все что нужно. Я вообще не понимаю, что вы мне тут говорите на своем жаргоне.
Я: Ничего страшного, Стив. Но направить к вам сотрудника удастся не раньше, чем через четыре-пять дней. Но я могу помочь вам удаленно, прямо сейчас. Для этого мне нужно только залогиниться и установить удаленный доступ к вашему компьютеру.
Объект: Если это решит проблему — я обеими руками за. Что мне нужно сделать?
Я: Я могу залогиниться прямо сейчас и внести все необходимые поправки. Для этого мне нужны только ваш логин и пароль, которые вы используете для входа.
Объект [ни секунды не колеблясь]: Логин SMaker, S и M большие. Пароль у меня хороший, так что не крадите: Krikie99.
Вот так просто в моих руках оказались ключи от рая.
В процессе сбора идентификационных данных мне очень помогают открытые источники, помогающие придумывать максимально правдоподобную легенду с использованием актуальных или важных для объекта воздействия деталей. С помощью вишинга мне удавалось получать идентификационные данные для входа в домен, VPN, электронную почту, защищенные базы данных и даже коды от входных дверей.
Вишинг в сборе данных из открытых источников
Иногда собрать необходимые данные в открытых источниках не удается, или же до проведения атаки возникает необходимость проверить собранную информацию. Однажды мне понадобилось провести адресный фишинг и вишинг по одному человеку, но было непонятно, какой именно почтовый ящик и телефонный номер использовать: мы нашли сразу несколько.