Социальная инженерия как часть тестирования на проникновение #3

[Eleven]

Техническая часть
После того как сценарии согласованы, наступает момент, когда необходимо реализовать техническую часть проекта:

• подготовить домены;
• подготовить фишинговые страницы;
• подготовить эксплойты;
• подготовить нагрузку («троянское» ПО);
• наладить сбор статистики.

Как правило, в рамках фишинга этичный хакер намеревается утащить у пользователя его корпоративные учетные данные. В качестве фишинговой страницы чаще всего используется стандартный шаблон формы авторизации, известной каждому офисному работнику, — шаблон сервисов Microsoft, например Outlook Web Access или Share Point. Увидев перед собой такую страницу, корпоративный пользователь в большинстве случаев думает, что это легитимное приложение и что он исполняет свои рабочие обязанности, вводя учетные данные в форму. Естественно, доменное имя, которое использует этичный хакер, не должно подкачать — выглядеть оно должно максимально легитимно.




Вот несколько советов по организации рассылок:

• Никогда не ленись при разработке шаблона и оформления рассылаемого письма, будь внимателен.
• Собирай как можно больше информации о целях, это половина успеха «удачной социалки».
• Если тебе что-то кажется подозрительным в созданном письме, исключи это.
• Умело используй SMTP RELAY для подмены адреса отправителя.
• Никогда не забывай о наличии таких штук, как антиспам и антивирус, тестируй все тщательно.
• Собирай как можно больше информации об установленном ПО у тех, кто купился на твою уловку.
• Тщательно все логируй.
• Массовые рассылки неоднозначны — покрывают всех сразу, результативны, но и более заметны.

Статистика
После завершения рассылки наступает момент, когда этичный хакер начинает пожинать плоды своего труда. Или не пожинать. Зависит от того, насколько он хорошо все подготовил. Но мы с тобой отличные хакеры, так что у нас все прошло замечательно и есть «отстуки». Давай разберемся, что именно этичный хакер может использовать в качестве результатов проведенного теста. Естественно, многое зависит от самого сценария и от тех действий, которые пентестер попытался навязать тестируемым. В большинстве случаев мы можем отследить такие действия пользователя:

• переход по ссылке (злоумышленник мог заразить компьютер пользователя, эксплуатируя уязвимость в его браузере);
• скачивание чего-либо с подконтрольного нам ресурса (злоумышленник мог заразить трояном);
• запуск чего-либо, полученного из наших рук (VBScript, Java и подобное) — злоумышленник мог заразить трояном;
• ввод данных в форму на подконтрольном нам ресурсе (фишинг).

Все эти события необходимо логировать. Если есть возможность логировать больше — используй ее. Не забывай о том, что тебе необходимо иметь возможность выявить, какой именно пользователь выполнил действие.



Репорт
По результатам сбора и обработки статистики этичный хакер готовит отчет, содержащий информацию о проведенном тестировании. Наиболее интересные данные оформляются в виде графиков. К примеру, соотношение полученных учетных данных к количеству разосланных сообщений. Все это очень наглядно и красиво, заказчикам нравится. Помимо этого, в зависимости от полученного результата этичный хакер готовит описание общей картины, дает рекомендации о том, на что стоит обратить внимание и на какие темы ориентироваться в рамках мероприятий, нацеленных на повышение осведомленности персонала о вопросах ИБ.





Outro
Очень часто заказчик хочет знать, кто именно попался на ту или иную уловку. Я никогда не предоставляю подобную информацию. Во-первых, когда кто-то попался, это нормально. Мы проводим тестирование не одного человека, а группы лиц. Соответственно, говорим о ней как о едином целом. Во-вторых, будет несправедливо, если накажут только одного сотрудника, и в лучшем случае его наказание будет выглядеть как дополнительное время, проведенное в офисе за изучением основных принципов безопасной работы в интернете.
Будь этичным.