Книга рассматривает используемые современными киберпреступниками методы социальной инженерии и способы защиты от нее — как организационные, так и технические. Приведено 130 практических примеров атак, даны примеры фишинговых писем, раскрыты применяемые мошенниками психологические приемы и трюки, позволяющие вводить пользователей в заблуждение, подробно разобран используемый злоумышленниками программный инструментарий. Описаны различные векторы атак: по электронной почте,в мессенджерах, в социальных сетях и в реальной жизни. Предложена методика создания 10 000 сценариев учебных атак, а также дана пошаговая инструкция их проведения от этапа подготовки до составления отчета.
Для специалистов по информационной безопасности
Когда злоумышленники атакуют не компьютер или мобильный телефон, а пользователя, пытаясь заставить его совершить нужные им действия или выдать конфиденциальную информацию, это называется «социальной инженерией».
Иконой социальной инженерии считается известнейший американский хакер Кевин Митник. Широко известные случаи телефонного мошенничества от имени «служб безопасности банков», фишинговые рассылки, заманивающие жертв на поддельные сайты, подложные страницы в социальных сетях, с помощью которых киберпреступники выманивают у пользователей деньги и конфиденциальные сведения — все это частные проявления социальной инженерии.
Эта книга подробно рассказывает о большинстве известных на сегодняшний день методах социальной инженерии, направленных на получение несанкционированного доступа к корпоративной информации, а также предлагает конкретные способы защиты от нее — как организационные, так и технические. Приведены практические примеры фишинговых писем, раскрыты применяемые мошенниками тактики и психологические приемы, рассмотрен используемый ими программный инструментарий. Подробно описаны трюки, позволяющие вводить пользователей в заблуждение. Автор наглядно демонстрирует примеры использования различных векторов атак: по электронной почте, в мессенджерах, в социальных сетях, а также в реальной жизни.
В книге вы найдете:
- 130 практических примеров атак,
- методику создания 10 000 сценариев учебных атак,
- более 110 ссылок на дополнительную полезную информацию,
- пошаговую инструкцию для проведения учебных атак от этапа подготовки до составления отчета;
- десятки организационных и технических методов защиты от социальной инженерии в компаниях.
Книга будет полезна сотрудникам служб безопасности предприятий, пентестерам, руководителям IT-отделов компаний, желающих повысить осведомленность своих сотрудников, психологам, изучающим социальную инженерию, а также всем, кто интересуется вопросами защиты от сетевых мошенников.
Книгу “Контролируемый взлом. Библия социальной инженерии” можно купить со скидкой в интернет-магазине издательства “БХВ“.
Предисловие………………………………………………………………………………………… 9
От автора………………………………………………………………………………………………………………………………… 9
Кому и как можно использовать эту книгу?………………………………………………………………………. 11
Для представителей служб ИБ, СБ и ИТ-служб………………………………………………………… 13
Для пентестеров…………………………………………………………………………………………………………… 13
Для хакеров………………………………………………………………………………………………………………….. 14
Что такое социальная инженерия?……………………………………………………………………………………… 14
Опасность социальной инженерии…………………………………………………………………………………….. 15
Цитаты………………………………………………………………………………………………………………………….. 15
Ущерб от СИ…………………………………………………………………………………………………………………. 16
Глава 1. Онлайн-атаки………………………………………………………………………. 21
Подготовка……………………………………………………………………………………………………………………………. 21
Пентестеру……………………………………………………………………………………………………………………. 22
OSINT для СИ………………………………………………………………………………………………………. 22
Разведка боем………………………………………………………………………………………………………. 23
Проверка антиспама…………………………………………………………………………………………… 26
Переходим на личности……………………………………………………………………………………… 26
Какую фишинговую форму создавать?…………………………………………………………….. 27
Несуществующий адрес…………………………………………………………………………….. 27
Пробиваем MX-записи……………………………………………………………………………….. 28
Неведение…………………………………………………………………………………………………….. 28
От чьего имени писать?………………………………………………………………………………………. 29
BEC-атака……………………………………………………………………………………………………. 30
Таблица персонализации…………………………………………………………………………… 31
Пример email-MITM……………………………………………………………………………………. 32
Какой фишинговый домен купить?……………………………………………………………………. 33
Безопаснику………………………………………………………………………………………………………………….. 33
Готовим атаки………………………………………………………………………………………………………………………. 33
Атаки по email………………………………………………………………………………………………………………. 34
Идеи по составлению темы письма……………………………………………………………………. 34
Какую подпись и оформление использовать?………………………………………………….. 35
Выбираем контекст……………………………………………………………………………………………… 35
Векторы и сценарии……………………………………………………………………………………………. 36
Контекст: событийные атаки (Event attacks)……………………………………………………. 36
Событийные атаки: чрезвычайная ситуация…………………………………………… 36
Событийные атаки: праздники………………………………………………………………….. 37
Событийные атаки: политика……………………………………………………………………. 37
Контекст: причина………………………………………………………………………………………………. 38
Якобы взлом………………………………………………………………………………………………… 38
Внеплановая проверка от СРО………………………………………………………………….. 39
Неудачные попытки авторизации…………………………………………………………….. 40
Уведомление………………………………………………………………………………………………… 40
Что вы делаете в Бразилии?……………………………………………………………………….. 41
Контекст: запросы………………………………………………………………………………………………. 41
Контекст: вопросы………………………………………………………………………………………………. 41
Вопрос с вложением……………………………………………………………………………………. 41
А что это вы мне отправили?……………………………………………………………………… 42
Контекст: отправка……………………………………………………………………………………………… 42
Контекст: изменения……………………………………………………………………………………………. 42
Контекст: желание………………………………………………………………………………………………. 43
Контекст: «непонятки»………………………………………………………………………………………… 43
Переписка-ссылка……………………………………………………………………………………….. 43
Одинокий файл……………………………………………………………………………………………. 44
Усиление контекста…………………………………………………………………………………………….. 44
Усиление контекста: эмоции……………………………………………………………………… 44
Усиление контекста: давление…………………………………………………………………… 46
Письма от госорганов…………………………………………………………………………………. 46
Срочно обновитесь……………………………………………………………………………………… 47
Усиление контекста: ложь………………………………………………………………………….. 47
Фейковая переписка……………………………………………………………………………………. 48
Фейковая пересылка…………………………………………………………………………………… 48
Усиление контекста: совпадение………………………………………………………………. 49
Источники фишинговых писем…………………………………………………………………………… 49
Файлы……………………………………………………………………………………………………………………………. 50
Некорректное отображение……………………………………………………………………………….. 50
Подарочный сертификат…………………………………………………………………………………….. 50
Пустой файл…………………………………………………………………………………………………………. 51
Документ с «мыльцой»………………………………………………………………………………………… 53
Имитация Excel-таблицы в Word-документе…………………………………………………….. 57
Небезопасный PDF-файл…………………………………………………………………………………….. 57
Файл как прокладка перед нагрузкой……………………………………………………………….. 59
Отсутствующий сертификат………………………………………………………………………………. 61
Разрешите и заполните……………………………………………………………………………………….. 62
Файл ICS………………………………………………………………………………………………………………. 63
Социальные сети………………………………………………………………………………………………………….. 64
Подготовка…………………………………………………………………………………………………………… 65
О поиске сотрудников в соцсетях………………………………………………………………………. 69
Клонирование аккаунтов……………………………………………………………………………………. 70
Медленно, но верно…………………………………………………………………………………………….. 70
Многоходовка в соцсети…………………………………………………………………………………….. 70
Терпеливо ждем…………………………………………………………………………………………………… 71
Мессенджеры……………………………………………………………………………………………………………….. 71
Telegram-каналы………………………………………………………………………………………………….. 72
Сотрудник — физлицо………………………………………………………………………………………… 72
Онлайн-консультанты…………………………………………………………………………………………………. 73
Веб-сайты……………………………………………………………………………………………………………………… 73
Поддельное окно для ввода логина и пароля…………………………………………………… 74
Скачайте на нашем сайте…………………………………………………………………………………… 74
Корпоративные порталы……………………………………………………………………………………. 74
Разрешите уточнить……………………………………………………………………………………………. 75
Новостные ресурсы…………………………………………………………………………………………….. 75
Туда, да не туда…………………………………………………………………………………………………… 76
Фейковая капча и предупреждение о cookie…………………………………………………….. 76
Всплывающее окно……………………………………………………………………………………………… 77
Персонализированный сайт……………………………………………………………………………….. 79
Покажи себя…………………………………………………………………………………………………………. 80
Реклама…………………………………………………………………………………………………………………………. 81
Таргет по MAC-адресу……………………………………………………………………………………….. 81
Таргет по геолокации………………………………………………………………………………………….. 82
Адвёртинг…………………………………………………………………………………………………………….. 82
Фиктивный APK-файл…………………………………………………………………………………………. 83
Лидеры мнений…………………………………………………………………………………………………………….. 83
Видео-deepfake…………………………………………………………………………………………………………….. 83
Видео без видео……………………………………………………………………………………………………………. 84
Аудио-deepfake……………………………………………………………………………………………………………. 84
«Find trap» сценарии…………………………………………………………………………………………………….. 85
Find trap с помощью рекомендаций…………………………………………………………………… 86
Выдуманная компания……………………………………………………………………………………….. 87
Find trap с помощью звонков………………………………………………………………………………. 87
Продажа фиктивного сертификата……………………………………………………………………. 87
Комментарии………………………………………………………………………………………………………………… 87
Легализованная СИ……………………………………………………………………………………………………… 88
Отправили к вам………………………………………………………………………………………………….. 89
Фишинг………………………………………………………………………………………………………………………….. 90
Проверка на утечку…………………………………………………………………………………………….. 90
Data-phishing………………………………………………………………………………………………………… 90
Многоходовки………………………………………………………………………………………………………………. 91
Фейковое интервью……………………………………………………………………………………………………… 93
Цепочки писем……………………………………………………………………………………………………………… 93
Цепочки писем: неправильная кодировка как повод……………………………………….. 93
Цепочки писем: простите, не туда……………………………………………………………………… 94
Цепочки писем: нас взломали…………………………………………………………………………….. 94
Цепочки писем: использование для data-фишинга…………………………………………… 94
Глава 2. Технологические трюки введения в заблуждение………………… 95
Маскировка ссылок……………………………………………………………………………………………………………… 95
Символ @……………………………………………………………………………………………………………………… 95
Слеш в Unicode…………………………………………………………………………………………………………….. 96
Домены в Punycode………………………………………………………………………………………………………. 96
Зашумление юникодом……………………………………………………………………………………………….. 96
Обфускация ссылок……………………………………………………………………………………………………… 96
QR-коды………………………………………………………………………………………………………………………… 97
Некорректный протокол……………………………………………………………………………………………… 97
Ссылки в виде картинок………………………………………………………………………………………………. 98
Ссылка в документах…………………………………………………………………………………………………… 99
Очень длинная ссылка…………………………………………………………………………………………………. 99
Ссылка виде цифр………………………………………………………………………………………………………. 100
Невидимая при наведении мыши……………………………………………………………………………… 100
Редиректы…………………………………………………………………………………………………………………… 100
Неактивные ссылки……………………………………………………………………………………………………. 102
Похожие на официальные…………………………………………………………………………………………. 103
Ссылки в поддоменах………………………………………………………………………………………………… 103
Сращивание с поддоменом……………………………………………………………………………………….. 104
Сращивание с протоколом……………………………………………………………………………………….. 104
Домен после слеша……………………………………………………………………………………………………. 104
В дополнение……………………………………………………………………………………………………………… 104
Капча от ботов защитного ПО…………………………………………………………………………. 104
Одноразовые ссылки…………………………………………………………………………………………. 105
Подделка отправителя………………………………………………………………………………………………………. 105
Email с официального ресурса………………………………………………………………………………………….. 106
Вложения и файлы……………………………………………………………………………………………………………… 107
Файлы Microsoft Office……………………………………………………………………………………………… 107
Рушим шаблоны поведения через печать………………………………………………………………… 108
PDF-файлы………………………………………………………………………………………………………………….. 109
HTML-файлы……………………………………………………………………………………………………………… 110
Маскировка расширения html…………………………………………………………………………………… 111
Архивы с паролем……………………………………………………………………………………………………… 112
Архивы без пароля…………………………………………………………………………………………………….. 112
Редко используемые форматы архивов……………………………………………………………………. 113
Онлайн-документы…………………………………………………………………………………………………………….. 113
Excel-файл, размещенный онлайн……………………………………………………………………………. 113
Глава 3. Атаки в офлайне………………………………………………………………… 117
Проникновение на физические объекты…………………………………………………………………………… 117
Предмет в руках…………………………………………………………………………………………………………. 117
Подслушанная легенда……………………………………………………………………………………………… 118
Проведение интервью………………………………………………………………………………………………… 119
Давайте помогу………………………………………………………………………………………………………….. 119
Корпоративная столовая………………………………………………………………………………………….. 119
Небезопасные парковки……………………………………………………………………………………………. 120
Паровозик…………………………………………………………………………………………………………………… 120
Мусорный дайвинг…………………………………………………………………………………………………….. 120
Отделение банка………………………………………………………………………………………………………… 121
Отвлекающий маневр………………………………………………………………………………………………… 121
Потенциальный клиент……………………………………………………………………………………………… 122
Собеседование…………………………………………………………………………………………………………… 122
Гостевой пропуск………………………………………………………………………………………………………. 122
Подделка карты-пропуска………………………………………………………………………………………… 122
Черный ход…………………………………………………………………………………………………………………. 122
Плечевая атака…………………………………………………………………………………………………………………… 123
USB-устройства………………………………………………………………………………………………………………….. 123
Таргетированная флешка………………………………………………………………………………………….. 123
Флешка с легендой…………………………………………………………………………………………………….. 123
«За букет роз»…………………………………………………………………………………………………………….. 124
Juice jacking………………………………………………………………………………………………………………… 124
Смишинг……………………………………………………………………………………………………………………………… 125
Вишинг………………………………………………………………………………………………………………………………… 126
Подделка номера……………………………………………………………………………………………………….. 126
Многоходовый звонок……………………………………………………………………………………………….. 126
Вернитесь на работу…………………………………………………………………………………………………. 126
Забыл кодовое слово…………………………………………………………………………………………………. 127
Отсылка к отпускнику……………………………………………………………………………………………….. 127
Синхронный ввод………………………………………………………………………………………………………. 127
Телефон + find trap…………………………………………………………………………………………………….. 127
Любой добавочный……………………………………………………………………………………………………. 128
Китовые атаки……………………………………………………………………………………………………………. 128
Усиление звонком………………………………………………………………………………………………………. 129
Квид про кво……………………………………………………………………………………………………………….. 129
Callback phishing………………………………………………………………………………………………………… 130
Бумага не во благо…………………………………………………………………………………………………………….. 131
Подбрасывание корпоративных документов………………………………………………………….. 131
Визуальный пропуск…………………………………………………………………………………………………. 131
Реклама на бумаге……………………………………………………………………………………………………… 131
QR-коды на бумажных носителях……………………………………………………………………………. 131
Справка………………………………………………………………………………………………………………………. 132
Общественный транспорт…………………………………………………………………………………………………. 133
Wi-Fi…………………………………………………………………………………………………………………………………….. 133
Мероприятия………………………………………………………………………………………………………………………. 134
Двухдневное мероприятие………………………………………………………………………………………… 134
Организовал себе на голову……………………………………………………………………………………… 134
Конференции, выставки и форумы…………………………………………………………………………… 134
Пришел к одним, пошел к другим…………………………………………………………………………….. 135
Корпоратив………………………………………………………………………………………………………………… 135
Комбинирование………………………………………………………………………………………………………………… 135
Глава 4. Проведение онлайн-атак по email………………………………………. 137
Какой софт использовать?………………………………………………………………………………………………… 137
Список email-пользователей……………………………………………………………………………………………… 138
Как создавать сообщения для атак?………………………………………………………………………………… 138
Чек-лист применения электронной СИ…………………………………………………………………………….. 140
Как повысить киберграмотность сотрудников?……………………………………………………………… 140
Технические аспекты обучения………………………………………………………………………………………… 142
Глава 5. Технические меры противодействия СИ…………………………….. 145
Софт…………………………………………………………………………………………………………………………………….. 145
Корпоративный браузер…………………………………………………………………………………………… 145
Сегментация сети и Zero Trust…………………………………………………………………………………… 146
Невозможность залогиниться в почте с недоверенных IP-адресов………………………. 146
Обнаружение повторного использования пароля………………………………………………….. 146
Фиды о фишинге…………………………………………………………………………………………………………. 146
Антифишинговый шрифт…………………………………………………………………………………………… 147
Настройка DKIM, SPF и DMARC……………………………………………………………………………… 148
Предотвращение выполнения исходного кода……………………………………………………….. 149
Sandbox………………………………………………………………………………………………………………………. 150
Hardware……………………………………………………………………………………………………………………………… 150
Межсетевые экраны…………………………………………………………………………………………………… 150
FIDO…………………………………………………………………………………………………………………………….. 151
Различия между UAF, U2F и FIDO2…………………………………………………………………. 152
Недостатки этого способа защиты………………………………………………………………….. 153
OTP-токены…………………………………………………………………………………………………………………. 153
Глава 6. Организационные меры…………………………………………………….. 155
Модель зрелости осведомленности о безопасности………………………………………………. 155
Одобрение процесса повышения осведомленности у руководителей………………….. 157
Обучение: памятки, курсы, форматы обучения………………………………………………………. 158
Регламенты…………………………………………………………………………………………………………………. 159
Регламент обучения персонала……………………………………………………………………….. 160
Некоторые аспекты для учета в регламентах………………………………………………… 160
Контроль реквизитов………………………………………………………………………………………… 161
Дополнительная проверка перед оплатой……………………………………………………… 161
Как вести себя с гостями?…………………………………………………………………………………. 161
Общение с коллегами………………………………………………………………………………………… 162
72 минуты до начала конца……………………………………………………………………………… 162
Сотни регламентов по информационной безопасности………………………………… 162
Послесловие…………………………………………………………………………………….. 165
Приложение 1. Генератор онлайн-СИ………………………………………………. 167
Приложение 2. Классификатор СИ…………………………………………………… 169
Электронная социальная инженерия v0.81……………………………………………………………………… 169
Офлайн социальная инженерия v0.2………………………………………………………………………………… 175
Приложение 3. Таблица персонализации…………………………………………. 177
Приложение 4. Бесплатное в помощь службе ИБ и ИТ…………………….. 179
Приложение 5. Критерии выбора платформы по повышению осведомленности 181
Приложение 6. Словарь терминов……………………………………………………. 187
Другач Юрий Станиславович— участник программ Bug Bounty, находил уязвимости в PayPal, Google, Яндекс, Mail.ru. Автор статей в журнале «Хакер», на порталах SecurityLab, «Хабр», а также создатель и автор блога о социальной инженерии stopphish.ru. Сооснователь компании по обучению киберграмотности S