Sebastian_Brost Feb 25 at 09:42

Фишинг «для своих»: нюансы организации учебных рассылок

8 min

Бастион corporate blogInformation Security * IT systems testing * IT-companies

Review

+20

Comments 6

CBET_TbMbI Feb 25 at 10:51

Спецы, подскажите. Иногда высказывается мнение, что может быть опасно даже открывать подозрительные письма. Так ли это? Есть опасность, если оттуда ничего не скачивать и ни по каким ссылкам не переходить? Например, в Яндекс или в Гугл почте.

Sebastian_Brost Feb 25 at 15:59

Само по себе открытие фишингового письма не несет вреда, за исключением того факта, что, если почтовый клиент позволяет подгружать извне ресурсы для отображения картинок в письме, то злоумышленник может встроить в тело письма невидимый пиксель, который после открытия письма будет посылать сигнал, что с письмом ознакомились. Для злоумышленника эта информация тоже несет пользу, так как дает понять, что почтовый адрес "живой" и им кто-то пользуется, а значит, на этот адрес можно совершать атаки.

rPman Feb 26 at 04:45

Одно время майкрософтовский и не только почтовый клиент умел выполнять скрипты в письме (читай полноценный html с javascript), а это позволяло совершать атаки уровня - открыть новое окно, внешний вид симулирующий легитимное приложение, а там к примеру кража пароля уже внутренней кухни пользователя (помним что есть сети, где стоит 2008 сервер с winxp клиентами)

Еще проблема, которая сохранилась до сих пор, офисные документы того же майкрософт, умеют выполнять скрипты,.. проблема на столько критичная и не исправляется компанией с (миллиардами денег на балансе) что банально распечатать документ нельзя, не включив эти скрипты (конечно пользователя пугают страшными карами если они включат скрипты).

Т.е. когда к тебе приходит письмо, оно уже на твоем компьютере, достаточно ОТКРЫТЬ документы из него, которые открывают приложения, содержащие уязвимости, и вот в этот момент и начинается проблема.

Любые действия с письмами, если ты не понимаешь, к чему они могут привести, не рекомендованы. Письмо может прийти со взломанного аккаунта человека, которому ты доверяешь (причина, почему ни в коем случае нельзя смешивать рабочие переписки с личными - не должны письма на рабочую почту приходить от 'знакомых').

Один из лучших способов борьбы с этим - контейнеризация, пусть почтовый клиент работает в контейнере, где приложения для открытия документов так же находятся внутри... хорошая попытка (нет) - облачные почтовые сервисы (тебе приходит письмо и документы открываются так же в браузере, а он в свою очередь неплохая песочница), но к сожалению там все еще есть возможность скачать документ локально.

p.s. рай для фишинга создал гугл, у пользователя всеми силами отбирают (уже) любые способы проверить, что сейчас происходит на смартфоне... если в браузере вы еще можете посмотреть адрес сайта, и удостовериться что это не подделка, то на андроид вам дают только иконку и название, не являющиеся идентификатором приложения. Отсюда и сообщения с картинками, для которых нужно открыть и подтвердить что то.

Nostromo_Home Feb 26 at 06:22

Чтиво интересное. Действительно, несмотря на все технические средства защиты, именно люди часто оказываются самой уязвимой частью системы безопасности.Также важное замечание о юридических аспектах — защита личной информации сотрудников и соблюдение законов действительно критичны в таких тестах. Очень здорово, что вы акцентируете внимание на важности этичности и корректности в процессе.

Спасибо за подробный обзор, буду рад почитать про реальные кейсы и более сложные атаки и методы их реализации

sicklife Feb 26 at 06:23

Чтобы добиться максимальной правдоподобности, мы обычно запрашиваем у заказчиков образцы такой переписки: это позволяет точнее воспроизвести подписи, шаблоны и формат сообщений.

Мне всегда казалось, что для эмуляции действий злоумышленника нужно попытаться поставить себя на его место и воспользоваться принципом тех знаний который злоумышленник может получить посредством разведки. То есть он не может знать формат обращений внутренней техподдержки, какой отдел отвечает за рассылку оповещений it, ИБ, дмс и тд. Подпись, да можно вычленить из обращения на info, но вот прям формат внутренних сообщений - это прям чит и не имеет общего с реальными кампаниями атакующих. Во всяком случае я стараюсь в своих учениях мимикрировать под злоумышленника избегая подобных знаний об инфре и руководствуясь принципом достаточности знаний. А тут прям "мы хотим максимальной правдоподобности", мне кажется это не оч реальный кейс с точки зрения эмуляции.

mrreivan Mar 19 at 05:11

помню одно время была популярна рассылка встреч через google - как же она взрывала мозг, когда в календаре появлялось 10000 дублей (благо лечилась одним действием). но как бы отреагировали сотрудники, если бы у них появилось напоминание из серии "сегодня ресурс выведен из функционала, проверьте новый ресурс" - это не просто письмо, это есть у меня в календаре. наверное нужно проверить. как тут учить людей?