Pentest Award — пре­мии для спе­циалис­тов по тес­тирова­нию на про­ник­новение, которую учре­дила ком­пания Awillix. Мы пуб­лику­ем луч­шие работы из каж­дой номина­ции. Эта статья заняла пер­вое мес­то в номина­ции «Ловись, рыб­ка», пос­вящен­ной фишин­гу. Авторы Идея, сце­нарии: Сер­гей Лукиных, @IBcrew Ин­фраструк­тура, домены, поч­та, Gophish: Илья Геор­гиев­ский, @igeorgievsky Код для QR и чат‑бота: Дмит­рий Марюш­кин, @dmarushkin Задача На вхо­де задача — сде­лать про­ект по соци­аль­ной инже­нерии в круп­ной финан­совой орга­низа­ции с целью повыше­ния осве­дом­леннос­ти сот­рудни­ков в области информа­цион­ной безопас­ности. Из­вес­тно, что у сот­рудни­ков заказ­чика кор­поратив­ный Outlook, антиспам и Chrome как дефол­тный бра­узер. А так­же повышен­ный уро­вень соци­аль­ной ответс­твен­ности и боевой готов­ности — как у ИБ‑под­разде­ления, так и у рядовых слу­жащих. Читайте также - ремонт выполняется для обеспечения и восстановления работоспособности электродвигателя. Он заключается в замене или восстановлении отдельных частей - ремонт электродвигателей по доступным ценам. Из при­выч­ных инс­тру­мен­тов будем исполь­зовать опен­сор­сный фрей­мворк Gophish. Попыта­емся вытянуть поль­зовате­ля по ссыл­ке на внеш­ний ресурс с доменом, похожим на кор­поратив­ный, и фор­мой логина, а потом поп­росить ввес­ти учет­ные дан­ные. Проблемы Что может пой­ти не так с рас­сылкой: Ан­тиспам может сре­зать пись­мам бал­лы за некачес­твен­но нас­тро­енный поч­товый домен (DKIM, Dmark, вот это всё), недав­но зарегис­три­рован­ный домен, подоз­ритель­ные хедеры (при­вет, дефол­тный X-Mailer: gophish) и оби­лие ссы­лок в пись­ме (ссыл­ка на фор­му авто­риза­ции с RID-мет­кой и ссыл­ка на кар­тинку в пись­ме, по чис­лу заг­рузок которой изме­ряет­ся про­цент откры­тия писем). Chrome на рабочих хос­тах поль­зовате­лей при перехо­де по ссыл­кам из писем на све­жий домен может с боль­шой веро­ятностью показать крас­ную прос­тыню, что явно умень­шит кон­версию из перешед­ших по ссыл­кам в тех, кто ввел пароль. С нас­трой­кой поч­тового домена, вре­менем пос­ле регис­тра­ции домена и хедера­ми все отно­ситель­но прос­то: при желании мож­но нас­тро­ить и затюнить, а ссыл­ку на кар­тинку вооб­ще убрать — кор­поратив­ный Outlook все рав­но ее не отоб­разит в пись­ме от внеш­него отпра­вите­ля. Но как уйти от внеш­ней ссыл­ки на фор­му в пись­ме и вне­зап­ной паранойи бра­узе­ра? Решение По­чему бы нам не увес­ти поль­зовате­ля из защищен­ного рабоче­го окру­жения на фишин­говый ресурс, откры­тый на лич­ном девай­се, пред­ложив ему в пись­ме QR-код? Тут мы, кажет­ся, уби­ваем сра­зу двух зай­цев: и антиспам нем­ного рас­сла­бит­ся, так как у него нет понижа­юще­го score фак­тора с внеш­ними ссыл­ками в пись­ме, и бра­узер на лич­ном телефо­не не скло­нен, в отли­чие от дес­ктоп­ной вер­сии Chrome, так панико­вать при виде нового домена. Но как вста­вить QR в пись­мо? Это же тоже кар­тинка, и кор­поратив­ный Outlook пож­рет ее в сооб­щени­ях от внеш­него отпра­вите­ля так же, как кар­тинку Gophish. Тот же Яндекс рас­сыла­ет QR-ссыл­ки на чеки, свер­стан­ные при помощи сло­ев (div). Вто­рой вари­ант — сде­лать QR-код из сим­волов Unicode. Поп­робу­ем затащить в Gophish оба вари­анта и пос­мотрим, что будет луч­ше выг­лядеть в Outlook.