Обмануть, чтобы защитить. Базовые принципы создания имитированных фишинговых атак

BIS Journal №2(41)/2021

8 июля, 2021

Обмануть, чтобы защитить. Базовые принципы создания имитированных фишинговых атак

Один из распространённых способов проверки защищённости корпоративной сети от кибератак — проведение тестирования на проникновение. Для этого обычно нанимаются независимые компании или эксперты, которые применяют для проверки инструменты, аналогичные тем, которые применяют киберпреступники в реальных атаках. Такая проверка называется пентестом — от Penetration Testing (тестирование на проникновение).

Используя уязвимости оборудования, операционных систем и приложений, а также ошибки в их конфигурации, пентестеры проникают в сеть компании и далее могут провести внутри сети дополнительные проверки в зависимости от договорённости с заказчиком. Полученные в результате пентеста замечания обычно становятся руководством по устранению недостатков защиты и уязвимых настроек для ИТ- или ИБ-подразделений.

И хотя технические векторы по-прежнему широко используются в ходе кибератак, все эксперты отмечают стремительный рост фишинга в качестве способа для первичного проникновения в систему или кражи учётных данных от корпоративных систем.

Наиболее эффективным способом повышения устойчивости сотрудников к фишингу является тренировка навыков безопасного поведения с помощью имитированных атак. По итогам проведённого «Антифишингом» исследования выяснилось, что сотрудники, которые прошли такие тренировки, вели себя безопасно в 49% случаев, в то время как сотрудники, получившие только теоретические знания, — всего в 9% инцидентов.

Таким образом, проведение тренировок сотрудников навыкам безопасного поведения является необходимым условием повышения защищённости корпоративной сети.

От качества имитированной атаки напрямую зависит уровень получаемых сотрудниками навыков: если атаки будут слишком простые, люди будут легко их распознавать, а столкнувшись с более сложными вариантами, окажутся в роли жертвы. Именно поэтому построение имитированных атак требует взвешенного подхода с учётом тонкостей, о которых мы поговорим далее в этой статье.

 

ОБ ИМИТИРОВАННЫХ АТАКАХ

Имитированная фишинговая атака — своеобразный пентест сотрудника. Она отличается от реальной только отсутствием вредоносного «заряда». В результате успешной имитированной атаки компания не понесёт финансовых потерь или репутационных рисков, её работа не остановится. Единственной реальной жертвой таких атак будет сотрудник, ставший жертвой обмана. Но и в этом случае этот обман становится мощным мотивом для повышения осведомлённости в сфере безопасности и дополнительной тренировки навыков распознавания мошеннических посланий.

Процесс создания имитированных фишинговых атак можно описать как игру или соревнование. Как и в случае с реальной кибератакой, задача создателя имитированной атаки — перехитрить пользователя и убедить его выполнить целевые небезопасные действия.

Рассмотрим несколько принципов создания имитированных фишинговых атак, которые делают их успешными.

 

ПРИНЦИП 1. ЗНАТЬ СВОИХ ЖЕРТВ И ПОНИМАТЬ ИХ ПСИХОЛОГИЮ

От специалиста, который создаёт имитированные фишинговые атаки, требуется не только иметь психологические навыки и владеть приёмами социальной инженерии, но и уметь ставить себя на место других людей. Только таким образом можно с достаточной степенью достоверности понимать, вызовет ли текст письма необходимые эмоции или нет.

Если в компании значительная часть сотрудников — женщины в возрасте до 35 лет, имеющие 1–2 детей, то с большой вероятностью эффективными будут письма, в которых предлагаются различные льготы, скидки или подарки, связанные с «детской» темой. Например, сильный отклик наверняка вызовет предложение принять участие в конкурсе на освободившиеся места в корпоративном детском саду с углублённой подготовкой к школе.

Для молодёжной аудитории более эффективными будут имитированные атаки, связанные с модными трендами.

Рисунок 1. Атака, имитирующая приглашение в новую социальную сеть ClubHouse

 

Например, атака, имитирующая приглашение в новую социальную сеть ClubHouse (рис. 1), с большой вероятностью покажет высокую эффективность в компаниях с молодыми сотрудниками. Однако есть вероятность, что и более взрослая аудитория попадётся на это приглашение, поскольку ClubHouse в течение некоторого времени присутствовал в новостях телевизионных каналов.

В компаниях с сотрудниками возраста 50+ также можно возбудить интерес к данной социальной сети с помощью связки из двух фишинговых писем, первое из которых создаёт любопытство, сообщая о запуске сети, а вторая уже непосредственно атакует человека через поддельное приглашение.

 

ПРИНЦИП 2. ЗНАТЬ МАТЧАСТЬ

Подготовка имитированной фишинговой атаки практически полностью включает в себя этапы, аналогичные разработке реальной. Один из обязательных этапов — сбор информации о компании-жертве и её сотрудниках. От полноты собранной информации напрямую зависит её результативность, а значит, специалисту необходимо знать матчасть — уметь искать информацию и сопоставлять собранные сведения.

Для сбора информации из открытых источников используются методы OSINT — Open Source Intelligence. Это направление киберразведки предполагает использование социальных сетей, форумов, игровых платформ, а также публикаций в СМИ для поиска информации о человеке.

Поиск и обработка таких объёмов информации вручную — весьма трудоёмкое занятие. Для автоматизации процесса имеется ряд утилит, которые с пристрастием ищут заданного человека на сотнях или даже тысячах сайтов, например:

  • Snoop — 1600 сайтов;
  • Spiderfoot — 350 сайтов;
  • Sherlock — 350 сайтов;
  • Whatsmyname — 290 сайтов;
  • Namechk — 100 сайтов.

Помимо поиска, специалист должен иметь целый набор дополнительных технических навыков для составления шаблона письма, вёрстки фишинговой страницы и убедительной имитации реальной атаки.

 

ПРИНЦИП 3. СОСТАВЛЯЙТЕ СЦЕНАРИИ И ВЕДИТЕ ЖЕРТВУ ЗА РУЧКУ

Эффективная имитированная атака требует серьёзных затрат времени. Просто набросать продающий нейрокопирайтинговый НЛП-текст недостаточно. Люди давно перестали верить таким письмам, даже если к ним обращаются по имени. Многочисленные утечки данных о клиентах банков в 2019–2020 годах и последовавшие массовые рассылки и обзвоны выработали у многих граждан своеобразный цифровой иммунитет. Они уже не поддаются на примитивные схемы.

Для создания сильных эмоций нужно применять приёмы из арсенала драматургов и сценаристов, прорабатывая модель обстоятельств, в которых находится жертва, а также её душевного состояния.

Мы используем двухэтапное проектирование. По нашему опыту, это оптимальный способ. На первом этапе создаётся сценарий: мы проектируем структуру атаки, определяем, какие эмоции нужно задействовать у жертвы и какие психологические «крючки» для этого можно использовать.

Второй этап — визуализация разработанного сценария в виде шаблона атаки. Сильный сценарий → сильный шаблон → успешная атака.

Если атака базируется на слабом сценарии, даже супервизуализация не поможет сделать сильный шаблон. Сильный сценарий ведёт жертву за ручку по заданному пути с момента возникновения эмоций до выполнения целевого действия.

 

ПРИНЦИП 4. ИСПОЛЬЗУЙТЕ ИНФОПОВОДЫ

Происходящие в мире, стране или компании события просто кладезь возможных сценариев для атак, которые активно используют злоумышленники. Например, тема пандемии коронавируса лидировала не только в заголовках новостей, но и в темах фишинговых писем в течение 2020 года.

Специалист по созданию имитированных фишинговых атак также просто обязан использовать любые информационные поводы для создания новых шаблонов. Для этого следует отслеживать события, наполняющие жизнь потенциальных целей атак.

Кроме случайных инфоповодов, есть и регулярные. Это праздничные дни и различные знаковые даты — Новый год, Рождество, День святого Валентина, чёрная пятница, спортивные события, например чемпионаты по различным видам спорта. В эти дни почтовые ящики переполнены письмами с поздравлениями, выгодными предложениями, акциями и скидками. Среди них с лёгкостью могут спрятаться письма мошенников и специалистов по имитированным атакам.

К регулярным инфоповодам также можно отнести и события, связанные со сменой сезонов. Например, летом многие семьи стремятся выехать на отдых на море, а значит, на них может сработать «выгодное предложение» тура в роскошный отель.

Поскольку ни один праздник не приходит неожиданно, шаблоны имитированных атак, приуроченных к таким дням, можно использовать повторно каждый год, творчески дополняя с учётом изменившихся трендов и локальных инфоповодов.

 

ЗАКЛЮЧЕНИЕ

Слишком простые атаки могут создать у обучаемых опасную иллюзию полученного навыка. При реальном инциденте это приведёт к тому, что они не смогут распознать мошенническое письмо, обеспечив киберпреступникам возможность похитить учётные данные или проникнуть в систему.

Обеспечить разумный баланс между уровнем сложности и эффективности имитированных атак поможет следование приведённых в статье принципов:

  • Изучайте своих жертв и их психологические особенности.
  • Научитесь профессионально использовать инструментальные средства для создания имитированных атак.
  • Уделите время разработке качественного сценария имитированной атаки, который будет удерживать внимание жертвы и создавать необходимые эмоции.
  • Следите за информационными поводами и календарными праздниками, чтобы создавать реалистичные и результативные имитированные атаки.

Смотрите также