vaspvort
Ночной дозор
Команда форума
Модератор
ПРОВЕРЕННЫЙ ПРОДАВЕЦ
Private Club
Старожил
Migalki Club
Меценат💰️
Привет, Хабр! Сегодня поговорим о фишинге, но не о том, который используют злоумышленники, а о его «белой», легальной версии — учебных фишинговых рассылках. Как специалист по информационной безопасности, я часто сталкиваюсь с вопросом: «А нужно ли нам это?». Давайте разберемся, с какими подводными камнями можно столкнуться во время таких тестов и почему простая рассылка писем — это только верхушка айсберга.
В этой статье мы погрузимся в мир корпоративной кибербезопасности, рассмотрим реальные кейсы из практики и обсудим, как правильно подойти к организации учебного фишинга. Поговорим о технических нюансах, юридических аспектах и психологических приемах.
Фишинг в Бастионе — важная составляющая пентестов и редтиминга. В первом случае мы целенаправленно проверяем бдительность сотрудников заказчика, во втором — применяем разнообразные методы атак, чтобы переиграть ИБ-службу компании.
Иногда сотрудники заказчика оказываются подкованными в вопросах кибербезопасности: троллят нас в ответных письмах, отправляют поддельные учетные данные вместо настоящих и поднимают тревогу в корпоративных чатах.
Иногда получатели фишинговых писем пишут гадости
Тем не менее, эти случаи лишь подтверждают общее правило: человек по-прежнему остается наиболее уязвимым элементом в системе защиты любой организации. Практически всегда найдется хотя бы один товарищ, который несмотря ни на что клюнет на наши уловки.
За годы проведения учебных фишинговых кампаний мы столкнулись со множеством курьезных ситуаций. С удовольствием расскажу о некоторых из них, попутно раскрывая тонкости организации таких мероприятий.
Подводные камни DIY-фишинга, о которых нужно знать администратору
Допустим, администратор небольшой компании получил задание проверить реакцию сотрудников на фишинговые письма. Как подойти к решению этой задачи?На первый взгляд, все просто: создать новый почтовый ящик на корпоративном домене и разослать всем сотрудникам письмо с подозрительной ссылкой. Однако на деле эта задача таит в себе множество нюансов.
Знают ли об этом тесте все заинтересованные стороны? В моей практике был показательный случай, когда подобная рассылка была «секретной разработкой» генерального директора. Он тайно поручил администратору разослать фишинговые письма. В тот день все сотрудники, от разработчиков до офисных клерков, получили одинаковые сообщения. Легко представить, какой переполох это вызвало.
Учебная рассылка — не плановая пожарная тревога. О ней не нужно оповещать всех сотрудников, но ключевые фигуры должны быть в курсе. Обычно это руководитель службы информационной безопасности, директор или его заместитель, иногда и директор SOC, чтобы избежать ложных срабатываний SIEM. От массовой рассылки писем тоже лучше воздержаться: обычно их персонализируют и отправляют небольшими партиями, чтобы проведение теста не тормозило рабочие процессы.
Как организован процесс рассылки? Можно использовать обычную корпоративную почту или внешний почтовый сервер. Первый вариант проще, но он далек от реальности. Внешний сервер лучше имитирует действия настоящего злоумышленника, но придется регистрировать фишинговый домен, похожий на настоящий.
Как отследить действия получателей фишингового письма? Цель учебной фишинговой рассылки — выяснить, кто из сотрудников раскрыл данные и насколько это опасно для компании. Для этого придется использовать какой-нибудь IP-логгер, продумать внешний вид и логику формы для перехвата учетных данных, а иногда — сверстать целый лендинг. Важно учесть особенности работы средств защиты информации и спам-фильтров. Ошибешься — получишь в лучшем случае неточную статистику, в худшем — круглый ноль.
У любого фальшивого письма должна быть цель
Тонкая грань: учебный фишинг как угроза
Обычно мы проверяем не столько технические средства защиты, сколько реакцию сотрудников. Поэтому крайне важно, как именно построен сценарий атаки.В силу психологии мы склонны гораздо больше доверять письмам от коллег, чем от незнакомцев. Самый легкий способ создать письмо, которому поверят — это написать его от лица соседнего отдела. Главное здесь — выдержать привычный сотрудникам стиль: так сообщение будет проще принять за обычную рабочую переписку.
Чтобы добиться максимальной правдоподобности, мы обычно запрашиваем у заказчиков образцы такой переписки: это позволяет точнее воспроизвести подписи, шаблоны и формат сообщений.
Сложные сценарии фишинга от имени внешних организаций дают больше простора для творчества, но они связаны с серьезными юридическими рисками. Закон запрещает копировать товарные знаки и дизайн ресурсов сторонних компаний, включая подрядчиков. Это затрудняет создание правдоподобной рассылки.
Кстати, есть еще одно юридическое табу — запрет на сбор личной информации сотрудников. Это касается паспортных данных, адресов проживания и другой персональной информации. Фишинговые тесты должны ограничиваться только получением информации о компании и ее корпоративной инфраструктуре.
Как создаются сценарии фишинговых атак
Разработка сценариев атак — еще один сложный аспект без готовых решений. Каждый раз приходится адаптировать план под конкретную ситуацию. Для тех, кто хочет разобраться в этом вопросе, существуют специальные руководства. Например, «Библия социальной инженерии» Другача раскрывает базовые приемы атак.
В нашей работе мы часто опираемся на опыт коллег из SOC и наблюдения за реальными киберпреступниками. В социальной инженерии тоже есть свои тенденции и модные веяния. Разные типы атак, легенды и мошеннические схемы постоянно сменяют друг друга, но у всех есть одна общая черта — работа с психологией жертвы.
Сценарий для первой фишинговой рассылки может выглядеть, например, так:
Если адаптировать текст под конкретную компанию и категорию получателей, такое письмо будет выглядеть достаточно реалистично. Скорее всего, сотрудник примет его за обычную рабочую переписку и не задумается о том, что данные, которые он вводит, могут перехватываться.
Даже неработающая форма авторизации зачастую не сразу вызывает подозрения
Если нужно подтолкнуть получателя к действиям, опытный специалист по социальной инженерии может использовать дополнительные каналы. Например, написать в мессенджер или напомнить о письме по телефону.
Подобные приемы часто используются в реальных кибератаках. Злоумышленники могут, например, разослать письма с вложением, якобы содержащим список важных конференций. Открытие этого файла активирует .
Казалось бы, чтобы распознать угрозу, достаточно базового критического мышления, но в реальности ситуация сложнее:
- Как правило, люди не ждут подвоха и не склонны внимательно изучать каждое входящее сообщение.
- Работает закон больших чисел: при массовой рассылке всегда найдутся те, кто попадется на уловку из-за усталости, невнимательности или других причин, которые можно объяснить человеческим фактором.
Мы быстро пробили указанных сотрудников и создали более персонализированную рассылку
В другом кейсе у сотрудника, получившего фишинговое письмо, из-за настроек почты или установленного плагина фишинговый адрес автоматически добавился в копию всех исходящих сообщений. Пришлось срочно уведомить заказчика для исправления ситуации. В подобных обстоятельствах потенциальный злоумышленник получил бы огромное количество косвенной информации о компании или конкретном отделе.
Старые трюки на новый лад
Технологические аспекты фишинга тоже совершенствуются и адаптируются к новым условиям. Еще пять лет назад мало кто говорил об обфускации кода. Тогда использовались инструменты на C#, которые сегодня легко обнаруживаются защитными системами.Для успешного фишинга теперь нужно переписывать полезную нагрузку на другие языки программирования. Важно применять обфускацию, вплоть до создания и тестирования индивидуальных обфускаторов на реальных средствах защиты информации. Теперь заметно сложнее пробросить шелл или извлечь данные из корпоративной сети. Красным командам приходится осваивать туннелирование, стеганографию и маскировку трафика.
HTML smuggling — показательный пример старой, но все еще актуальной техники. Ей уже 6–7 лет, однако она остается универсальной. Этот метод позволяет злоумышленникам прятать вредоносные файлы в обычном HTML-коде. С помощью HTML smuggling можно так упаковать скрипт, что он загрузится только в нужный момент и только на устройство конкретной жертвы.
В пентесте можно использовать все классические инструменты, так как акцент делается на социальной инженерии. А вот в редтиме инструментарий значительно продвинулся. Здесь применяются облачные платформы для хранения вредоносных компонентов и тестирование сложных сетевых архитектур с физическим доступом к объектам.
Среди последних новинок в фишинге — замена ссылок на QR-коды в письмах и для создания убедительных атак. Например, рассылка поддельных кружочков в Telegram с лицом и синтезированным голосом руководителя компании. Эта технология уже позволяет делать очень убедительные подделки.
Выбор между привлечением экспертов и DIY-подходом
Вышеперечисленные нюансы — лишь часть тонкостей фишинга. Именно поэтому на вопрос «А мы точно хотим делать все сами?» сложно ответить однозначно.Проверки сотрудников собственными силами имеют право на существование. Для небольшой компании с малым штатом простой рассылки писем с внутреннего ящика может хватить для сбора базовой статистики.
Важно понимать, что эффективность подхода «сделай сам» целиком зависит от компетенций исполнителя. Какой сценарий атаки он выберет и как его реализует? Насколько тщательно будет собирать данные?
Эффективные фишинговые учения в крупной компании невозможно провести на чистом энтузиазме. Администратор с интересом к DIY-фишингу из начала статьи вряд ли справится с такой задачей в одиночку. Даже не каждый штатный специалист по безопасности способен организовать грамотную рассылку.
Конечно, можно нанять в штат отдельного специалиста по фишингу или развивать собственных экспертов, обучая их тонкостям социальной инженерии, но насколько это целесообразно с точки зрения затрат?
Вот и получается, что специалисты по учебным фишинговым рассылкам инхаус — это решение для крупных организаций, уделяющих особое внимание информационной безопасности. Другим компаниям лучше подходят более экономичные решения: либо использовать специализированное ПО, либо привлекать внешних экспертов.
Программные решения автоматизируют создание и отправку фишинговых писем, а также сбор данных. Это экономит время, снижает риск человеческих ошибок и упрощает масштабирование. Такой софт обычно включает базовые аналитические инструменты.
Профессиональные команды предлагают комплексный подход. Они могут моделировать атаки, максимально приближенные к реальным угрозам, чтобы выявить слабые места в защите. Кроме того, эксперты располагают детальной статистикой, что позволяет им намного точнее оценить «иммунитет» персонала к фишингу и сравнить результаты тестирования со средними по рынку.
Если в вашей компании нет штатного специалиста по учениям, мы рекомендуем комбинировать оба подхода: используйте программные решения для тренировки сотрудников и периодически привлекайте внешних экспертов, чтобы проверить результаты.
