📧 Вот мы и подошли к заключающему этапу — рассылке. Сразу оговорюсь, готовится к данному этапу можно бесконечно долго. Например: затачивать сценарий под определенного человека или группу людей, настраивать исполняемые нагрузки под установленное ПО, но рано или поздно наступает момент — контакт с твоей целью.
☝🏻 Рассылку можно вести аккуратно — рассылать по одному письму, пытаясь не поднять шум (если все сидят в одном офисе, то это важно). А можно отправить все письма сразу в надежде закрепиться в системе и выполнить все необходимые действия до того, как кто-то заподозрит неладное.
❗️ Если твоя цель — IT компания, будь осторожен. И запомни, всегда будет тот, кто умнее тебя. Это к тому, что ты можешь отправить письмо не тому кому нужно.
⁉️ Как подготовить письмо с аттачем ( вложением ) ?
➖ Почтовая рассылка с вредоносными аттачами — это один из классических приемов. Открытие и запуск приложения к письму станет триггером успешного срабатывания сценария, этаким бэкдором. Вот несколько советов о том, как лучше готовить письмо:
▪️ Добавь в письмо ссылку и регистрируй тех, кто кликнул по ней (дополнительно можно будет на сайте выдавать эксплойт или документ с нагрузкой).
▪️ Добавь телефонный вектор. Позвони сотруднику и скажи, что выслал важный документ и что дело не терпит!
▪️ Используй XSS/RCE с домена самой компании. Доверие к родному сайту выше. Годятся и локальные файлопомойки, если получится добыть доступ к ним.
▪️ Чтобы узнать, кто открыл документ, в нем можно использовать SSRF
📌 В результате успешно проведенных работ мы получаем несколько учёток от корпоративной сети — это может быть доступ к VPN, RDP, почте и так далее. Если удастся заразить несколько рабочих станций, это откроет большой потенциал для продолжения атаки.
👺 Фишинговая рассылка не новый и не единственный метод использования социальной инженерии, она хорошо работает и применима практически всегда. Но для успеха важна каждая деталь, полученная на каждом этапе который мы с тобой разобрали в предыдущих статьях.
(P.S. статьи эти только в ознакомительных целях, я не призываю никого к действиям)