На просторах интернета можно встретить много полезного материала про социальную инженерию, одни только книги настоящего кудесника и бесспорно легенды соцхакинга старины К. Митника чего только стоят.
Мы же хотим поделиться своей историей одного хакерского взлома. Но, не спешите на нас накидываться, все в пределах закона и на основании договора с максимально приближенным кейсом к реальной атаке.
Организация, которую мы проверяли на прочность социнженерной осведомленности, одна из крупных Российских компаний, в каком-то смысле Big Russian Boss на Российском рынке. По классике жанра, первый нацеленный удар начался с массовой рассылки писем, ну или другими словами, фишинг.
Наш арсенал социнженера абсолютно стандартный. Купленный домен за 4 бакса, VPS за 5 баксов, бесплатное веб-приложение Gophish, бесплатная утилита certbot, бесплатные тулзы Dovecot, Postfix, OpenDKIM.
Небольшое пояснение на простом пацанском тру-хацкерском языке. Купленный домен, максимально приближенный к домену Заказчика, VPS – это просто сервак, взятый в аренду, некий опорный пункт для подготовки к хакерской атаке на поражение. Gophish – это уникальный инструмент, который включает в себя возможность создания шаблона писем, создания точной копии веб-страницы сайта, в нашем случае создавался клон страницы входа на почтовый сервер Outlook, а самая полезная фича – это возможность перехвата введенных учетных данных пользователя. Чертовски полезный инструмент. Postfix – это одна из разновидностей почтового сервера, нам же нужно через что-то отправлять письмо, кто-то отправляет через гугл, кто-то через майл, а тру-хацкеры через Postfix. Certbot, Dovecot, OpenDKIM - тулзы для шифрования трафика и реализации https соединения. Главное их предназначение – это обход спам-фильтров Заказчика. Ну а шо Вы хотели, крупная компания – эшелонная защита рубежей. Просто так не пройти, нужна сноровка. Подробное объяснение, развертывание и настройка данного хацкерского арсенала социнженера будет в скором времени в нашем цикле статей про социальную инженерию. Запаситесь терпением. Ну а мы двигаемся дальше…
Искусно настроенные инструменты, работающие как швейцарские часы, поддельная страница близнец, и злой двойник домен ждали своей команды к бою. И час пробил, письма рассылались на все целевые почты Заказчика. Осталось только ждать и почивать на лаврах. Но, к сожалению, мы не в голливудском фильме и не в русской мелодраме со счастливым концом, а в эпичном боевике с бесконечным экшеном. Часть писем съели спам-фильтры Заказчика, часть дошли до цели, но не были открыты. Вы спросите, как же такое возможно, если все было сделано на высшем уровне? И я Вам отвечу. Нельзя недооценивать своего оппонента, бойца по другую сторону баррикад!
Первая массовая социнженерная бомбардировка на социальную брешь в крепости Заказчика провалилась. Наш авианосец потерпел крушение. Мы проиграли битву, но не войну. Не сдавались и двигались только вперед. А что было дальше, можно прочитать во второй части… Подписывайтесь на нас, чтобы не пропустить продолжение!..
Подписывайтесь на наш паблик ВКонтакте, Telegram, Яндекс.Дзен, канал на YouTube и RuTube чтобы ничего не пропустить!
#Социальнаяинженерия #Фишинг #СоциальнаяИнженерия #Secware #SocialEngineering #Phishing #информационная безопасность #CyberSecurity #Пентест #Pentest