Общая идея

Определения

Социальная инженерия (атака) — обман, манипулирование и мошенничество с использованием социальных и психологических аспектов человеческой жизни.

Разведка по открытым источникам (Open Source Intelligence, OSINT) — разведывательная дисциплина, включающая в себя поиск, выбор и сбор разведывательной информации из общедоступных источников, а также её анализ.

Атака

На первом шаге уязвимости мышления и поведения человека, затем — уязвимости информационных систем.

Цели атак:

• Выполнение жертвой (сознательно, либо неосознанно) необходимых действий
• Раскрытие необходимой информации
  

Этапы атаки:

• Поиск информации о целях
• Подготовка сценариев атак
• Применение сценариев атак и замер результатов

Уже сейчас ясно, что для этого потребуется инфраструктура.

Поиск информации о целях

Компания → Участники организационной структуры компании → Сотрудники

Конечная цель — получить информацию о сотрудниках компании, которые имеют требуемый уровень доступа, и собрать потенциально удобные в использовании «легенды» для подготовки сценария компрометации. 

Изучение компании: профиль, процессы, роли, управляющий орган, контактные данные и пр. Большую часть информации о компании есть на сайте. Также в открытых источниках, через поисковые запросы в yandex.ru, google.com, bing.com либо сразу при помощи платформ СПАРК, rusprofile и пр.

Изучение организационной структуры: департаменты и отделы в компании, связанность и подчиненность подразделений, открытые вакансии. На сайте компании мы можем получить информацию о структуре компании и открытых в ней вакансиях. Дополнительно об этом мы можем узнать из заявок компании на hh.ru (в т.ч. архивных). Детали устройства компании, процессов и проблем в ней  - мы можем найти на сайтах отзывов о работодателях:

https://www.glassdoor.com/
https://maps.yandex.ru/
https://pravda-sotrudnikov.ru/

Изучение сотрудников: контактные данные, имена, должности линейных руководителей, роли в компании. Существует множество инструментов, решающих конкретные задачи поиска email-адресов, номеров телефонов сотрудников, связанных с целевой компанией:

Инструменты:

• Infoga - https://github.com/m4ll0k/Infoga
• FocaPro - https://github.com/ElevenPaths/FOCA
• TheHarvester - https://github.com/laramies/theHarvester

Ресурсы:

• hunter.io
• snov.io
• intelx.io

Техники:

• SMTP User Enumeration (RCPT TO, MAIL FROM, VRFY) - энумерация (перебор) пользователей почтового сервера через протокол SMTP.
• OWA (Outlook Web Access) Enumeration - энумерация (перебор) пользователей почтового сервера через веб-страницу Outlook Web Access.

Подготовка сценария

Техники маскирования

• Маскирование доменов: создание похожих доменов, отличающихся одной буквой, цифрой, разделением и прочими символами.
• Подмена отправителя: техника формирования письма в соответствии со стандартами RFC 822, 5322. Реализуется таким образом, чтобы влиять на заголовок письма From, создавая видимость отправки письмо от стороннего лица.
• Отправка без авторизации в рамках одного домена
  

Evil Proxy (Проброс трафика через прокси): использование прокси вместо поддельных сайтов для перехвата кодов второго фактора и идеального воспроизведения зеркала сайта.
Пример инструмента

Основные инструменты автоматизации фишинговых рассылок — это инструменты автоматизации сбора информации, зеркалирования сайтов и отправки сообщений. 

• SET (Social Engineering Toolkit)
• GoPhish
• Metasploit Framework

Популярные формы сценариев, в которые верят пользователи

• Фишинг (Phishing) Вид интернет-мошенничества, целью которого является получение доступа к конфиденциальным данным пользователей: логинам и паролям.
• Vishing (голосовой фишинг) Один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию, под разными предлогами выманивают конфиденциальную информацию или стимулируют к совершению определённых действий.
• Baiting Используется "наживка" — разбросанные флэшки, ссылки на бесплатное скачивание интересного контента (фильма, книги и т.п.). При не кибермошенничестве — брошенный кошелек, содержимое которого предлагают разделить, и т.п.

Применение сценариев атак и измерение результатов
Вопросы, возникающие в момент применения сценариев атаки:

• Когда запускать сценарий?
• Что может пойти не так?
• Что измерять как результат?
  

Время запуска: Когда спят / обедают / отсутствуют администраторы и те, кто могут отреагировать превентивно:

• ранние (утренние) часы;
• середина рабочей недели (среда / четверг), чтобы сотрудники могли продолжить “ловиться” и в пятницу.

Что может пойти не так?

• Блокировка вашего рассыльщика: нужно иметь в виду минимум 3 варианта mail-серверов, если вы хотите отправить порядка тысячи писем.
  Публичные серверы: mail.ru, gmail.com, yandex.ru
  Платформы для отправки массовых рассылок: mailgun.com, Amazon Simple Email Service (Amazon SES), SendPuls и пр.
  Собственные почтовые серверы (Можно использовать легковесные образы вроде poste.io)
• Реагирование на ваш сценарий социальной инженерии: реакция может произойти в том числе по вине вашего сценария. Например, если пользователь заметил неладное и начал писать обращения в техподдержку или коллегам.
  Необходимо составлять сценарий так, чтобы пользователь до самого конца думал, что все проходит по правилам и по плану.

Как измерять результат?

Заказчику нужно понимать, в чём уязвимость каждого из действий его сотрудников. Для каждого конкретного пользователя, времени и сценария, с которым пользователь работает, необходимо измерять:

• открытие писем;
• переходы по ссылкам;
• введенные данные;
• выполнение сценария: ответные действия и пр.

Агрегация популярных книг, статей, инструментов, техник в социальной инженерии.

Принципы Чалдини

Роберт Чалдини (Robert Cialdini) книга «Психология влияния», шесть принципов убеждения ("six principles of influence"):

1. Взаимность (Reciprocity): "Люди платят тем же"

Мы чувствуем обязанность "вернуть долг" людям, от которых мы что-то получили. Это работает следующим образом:

• Дайте что-то.
• Через какое-то время (не сразу) попросите что-нибудь взамен: возможно, вы даже получите больше.

Примеры:

• Звоним на ресепшен и говорим: "Я вашему генеральному директору только что отправил посылку из [название другой компании] / его заказ из [название сервиса], но у нас оборвался звонок, не могу ему перезвонить — почему-то попадаю на вас. Подскажете его актуальный номер телефона?"
• Отправляем письмо: "Коллеги, я за вас сделал работу [придумываем, какую], пожалуйста, проверьте её: перейдите по ссылке [адрес ссылки], посмотрите, всё ли корректно?"

2. Обязательность и последовательность (Commitment and consistency)

Дав обещание, высказав свою точку зрения или заняв определенную позицию, большинство людей предпочитают ее придерживаться. Даже если мы оказались неправы либо наши обещания уже не имеют практического смысла, мы склонны оправдывать свои обязательства или казаться последовательными в своём мнении (часто по факту последовательными не являясь). По сути, мы вынуждены изобретать обоснования для подтверждения того, что сделали правильный выбор.

Пример:

Осторожно "продавить" другого человека на выполнение какого-либо его собственного обещания.

3. Социальное доказательство (Social proof)

Люди следуют схожему примеру других (особенно когда нет уверенности, что именно надо делать). Люди, как социальные существа, в большой степени полагаются на сигналы от окружающих о том, как им мыслить, чувствовать и действовать.

Пример:

Пишем человеку: "Все твои коллеги уже сделали [какое-либо стандартное рабочее действие], не сделал только ты, как можно скорее отправь письмо / перейди по ссылке [адрес ссылки] / скачай файл ..."

4. Власть и авторитет (Authority): "Доверьтесь знающему человеку"

​​​​​​​Люди склонны подчиняться тем, кто имеет власть, авторитет, знатокам своего дела, даже если они призывают к сомнительным действиям.

Пример:

Звоним сотруднику какой-либо крупной компании (такой, в которой люди не знаю в лицо своего генерального директора) и говорим: "Привет, это [имя и фамилия генерального директора], хочу, чтобы ты лично сделал вот это: как можно скорее отправь письмо / перейди по ссылке [адрес ссылки] / скачай файл / пришли мне номер телефона ..."

5. Сходство и симпатия (Liking)

Люди любят тех, кто похож на них, и тех, кто любит их. Если вы хотите влиять на людей, делайте их своими друзьями. Особенно важны подобие и похвала. Подобие по-настоящему объединяет людей.

Пример:

т​​​​о же, что и в предыдущем примере, только представляетесь не генеральным директором, а кем-то, кто очень похож по занимаемой позиции в компании / образу мыслей и паттернам поведения на вашего адресата (например, его коллега).

6. Дефицит (Scarcity)

Возможности кажутся более ценными, желанными, когда они становятся менее доступными. Если у нас есть выбор: получить что-либо сейчас или или получить это же в будущем, мы выбираем — получить сейчас. При этом не факт, что нам этот предмет или эта услуга вообще нужны.

Пример:

Отправляем письмо: "Мы оформляем подписку на корпоративную программу фитнеса, мест всего 100, пожалуйста, зарегистрируйтесь по ссылке [адрес ссылки] ..."