- Регистрация
- 5 Фев 2025
- Сообщения
- 3
- Реакции
- 0
При пентестах социальные сети часто обходят стороной — они считаются личным пространством пользователя. Тем не менее для злоумышленников социальные сети — незаменимый источник информации.
Сегодня мы поговорим о том, как пентестеры могут использовать их в своей работе.
Зачем злоумышленнику атаковать сотрудника в социальной сети?
Приведенный выше пример, конечно, не для корпоративного мира, а для простых граждан, но он может пригодиться, когда нужно пройти такой вид аутентификации в корпоративном ПО.
Перед тем как проверять осведомленность сотрудника в соцсети, нам, конечно, понадобится аккаунт в ней (скорее даже несколько). Аккаунт можно создать или купить (пишешь в поисковике «купить аккаунт в ...»).
Только не покупай «лом» (взломанный аккаунт), за угнанные аккаунты по голове не погладят даже при использовании в законном пентесте.
Потребуются женские аккаунты, неважно, какого пола наша цель. В большинстве случаев нашему фейку должно быть около 35–45 лет. Эротических фото размещать не надо. Обычная женщина.
Фотографию на аватарку генерируем с помощью нейронных сетей на сайте
С использованием такой фотографии соцсеть автоматически не забанит тебя за воровство фото из других аккаунтов. Остальные фотографии берем с людьми, но без лиц.
Трех‑пяти снимков будет достаточно. Для получения уникальных фото отлично подойдут скриншоты из видео.
Подписывать фотографии важно «по‑человечески», эмоционально, чтобы создавалось впечатление, что они не фейковые.
Непрофессиональные фотографии природы тоже подойдут, но не забываем о подписях, например «Зима в разгаре».
Заполняем остальные поля в профиле по настроению: школа, вуз и так далее. Место работы не пишем, но можно написать, что ты HR, если собираешься общаться с жертвами в этой роли.
Если ты создал аккаунт с нуля, нужно добавить ему «историю». На стене должны быть какие‑то записи в прошедшем времени.
В «запрещенной в России соцсети» легче всего создать себе аккаунт десятилетней давности. Алгоритм действий очень простой.
Публикуем пост с настройкой видимости «Только я».
Жмем на расположенную справа кнопку вызова меню и меняем дату на три‑четыре года назад.
Размещаем таким образом 8–10 постов.
Теперь нужно «набить» друзей в аккаунт. Кто у нас любит знакомиться с новыми людьми, даже если не знает их? Правильно, участники соответствующих тематических групп.
Добавляемся в первую попавшуюся группу и в разделе «Участники» видим десятки тысяч наших потенциальных друзей.
Открываем их профили и напрашиваемся в друзья к 20–30 людям. Как только тебя добавит несколько человек, иди к ним в профили в раздел «Друзья» и отправляй заявки в друзья их друзьям
(как много слов «друзья» в одном предложении, но что поделать, дальше будет еще больше).
Люди, которым будут приходить твои заявки, увидят, что у вас есть общий друг, и с большей вероятностью добавят тебя в свой круг общения. Спустя час я таким способом набирал по 500–600 человек.
Но для наших целей достаточно и 100–200 человек. Чтобы облегчить старт раскрутки, можно купить аккаунт с друзьями. Стоит он около 40–50 рублей, а в друзьях уже будет 50–100 профилей.
Теперь нужно добавлять целевых друзей. Для этого ищем людей по названию организации.
Добавляем человек десять, не больше, и ждем, когда нас примут в друзья. Теперь отправляем заявки всем остальным, кого мы смогли найти.
Доверия к нашему профилю будет больше, если у нас в друзьях уже числится коллега из организации жертвы.
Если сотрудников таким способом нашлось немного, придется идти в другие соцсети и искать людей там.
На странице организации видим список сотрудников и пытаемся найти их в основной социальной сети, чтобы добавить в друзья.
А еще совсем нехороший человек может стать SMM-рейдером, то есть присвоить себе группу в LinkedIn, у которой пока нет владельца (см. скриншот ниже), но сейчас не об этом.
Итак, мы «подружились» с сотрудниками организации, которая заказала нам пентест. Приступим к написанию сообщений.
Если ты не уверен, что человек работает в целевой организации, — это отличный повод начать общение (на самом деле даже если он там работает).
Делаем «многоходовку» и пишем простое именное сообщение:
Если ответ утвердительный, пишем: «Жаль, конечно, в хорошем смысле, но ладно, успехов Вам!» Жертве станет любопытно, и она опять же спросит: «А что?»
Говорим: «Так как речь идет о работе, я не хочу, чтобы меня обвиняли в переманивании, поэтому вы можете ознакомиться с информацией в открытом доступе самостоятельно
(тут ссылка на фишинговую форму авторизации в соцсети). Только, если что, Вы нашли ее случайно
».
Если мы нацелены получить доступ к телефону или компьютеру жертвы, то предлагаем отправить файл: «Так как речь идет о работе, я не хочу, чтобы меня обвиняли в каком‑то там переманивании.
Но если Вам интересна работа по специальности, с более высокой зарплатой и действительно адекватным руководителем, я могу отправить файл на Вашу личную почту».
Или делаем другое окончание: «...и действительно адекватным руководителем, то прикрепляю небольшую анкету».
Ну и после этого отправляем потенциальной жертве документ с макросом или фишинговую ссылку. Если на первоначальный вопрос жертва пишет «Нет», вычеркиваем человека из нашего рабочего списка, так как нам за таких не платят.
Можно искать сотрудников не только стандартным поиском в соцсетях, но и через страницы компании. Например, в «запрещенной соцсети» нужно смотреть, кто лайкает посты на этой странице.
Если один человек лайкнул несколько постов (особенно когда лайков под постами два‑три), с большой долей вероятности можно сказать, что это сотрудник организации.
Но при таргетированной социальной инженерии имеет смысл уточнить эту информацию по другим источникам, поскольку этот лайкающий, может быть, просто хочет устроиться в компанию на работу.
Как искать сотрудников в VK? Если кратко, то идем на
Ну а LinkedIn просто создан для поиска сотрудников в определенных компаниях. Он заблокирован в РФ, однако люди как‑то продолжают им пользоваться
Вновь созданный аккаунт будет вызывать больше доверия, если это фейковый профиль коллеги, друга, знакомого потенциальной жертвы. Создавая фейковую копию аккаунта коллеги, используй подмену символов.
Как мошенники в Telegram создают копии известных групп и профилей, так и ты можешь использовать этот прием, когда указываешь имя аккаунта, — в благих целях, разумеется.
Например, мошенники в своих «методичках» именно так и рекомендуют поступать в известной соцсети с фотографиями, например вместо точки использовать нижнее подчеркивание и наоборот: скажем, yu.ra вместо yu_ra.
Не забываем и про классический тайпсквоттинг, когда символы заменяют похожими или добавляют лишние, например valeron меняем на valer0n.
Если пользователь вдруг заметит подвох и спросит, почему ты пишешь с нового аккаунта, скажи, что ты потерял доступ к старому, а восстановить его не получается.
Почаще лайкай и комментируй посты на странице или в группе организации. Нужно примелькаться, пусть тебя заметят пять — десять сотрудников. Успех можно оценить по лайкам и комментариям твоих комментариев.
Дождись момента, когда тебя попросят о помощи или зададут вопрос. Вместо ответа предложи скинуть требуемое на почту (в идеале корпоративную) и отправь потенциальной жертве нагрузку.
В общем, лучшие сценарии — это когда пользователь сам инициирует отправку ему ссылки или файла. На иллюстрации ниже приведен наглядный пример такого.
Порой удивляешься совершенно фантастическим сценариям, которые применяют социальные инженеры в дикой природе. Вот пример «многоходовки», когда иранские хакеры маскировались под инструктора по аэробике.
Больше восемнадцати месяцев они работали через сеть ботов в Fb и по email (см. рис. ниже), общаясь с работниками воздушно‑космической обороны США. Особенно хакеров интересовали те, кто участвует в операциях на Ближнем Востоке.
У тебя может и не оказаться нескольких месяцев на тесты, но не всегда нужно торопиться. Ведь если сотрудники привыкают к «быстрым» методам атак, то сложную многоходовку разгадать намного труднее.
Если ты состоишь в Red Team и регулярно ищешь лазейки в целевой организации, то долгоиграющие атаки — это правильный подход.
Нельзя не упомянуть и про тактику выжидания. Познакомившись с пользователем в социальной сети, дождись, пока он сам не напишет в своем посте просьбу о помощи (или уже написал, внимательно изучи ленту).
Воспользовавшись этим поводом, можно отправить потенциальной жертве не только вредоносный архив, но и фишинговую ссылку на сайт, где якобы раскрывается ответ на ее вопрос.
Сайтом может быть и социальная сеть, в которой ты общаешься с жертвой.
Социальная инженерия в связке с социальными сетями — мощный инструмент как для белых хакеров, так и для злоумышленников. Чем быстрее мы найдем неосведомленных в сфере информационной
безопасности сотрудников, тем лучше. Ведь рано или поздно навыки пользователей обязательно кто‑нибудь проверит — либо ты, либо хакер.
Сегодня мы поговорим о том, как пентестеры могут использовать их в своей работе.
Зачем злоумышленнику атаковать сотрудника в социальной сети?
- Сотрудник может отправить «коллеге» конфиденциальную информацию.
- Злоумышленник может получить доступ к личному телефону или компьютеру сотрудника. Если на устройстве есть VPN, который подключается к сети организации, считай, что злоумышленник уже «гуляет» по корпоративному серверу или рассылает фишинговые письма другим сотрудникам.
- Если в организации слабая парольная политика, то сотрудник будет использовать одинаковый или схожий пароль к соцсети и к ресурсам организации.
Вы должны быть зарегистрированы для просмотра вложений
Приведенный выше пример, конечно, не для корпоративного мира, а для простых граждан, но он может пригодиться, когда нужно пройти такой вид аутентификации в корпоративном ПО.
Подготовка
Перед тем как проверять осведомленность сотрудника в соцсети, нам, конечно, понадобится аккаунт в ней (скорее даже несколько). Аккаунт можно создать или купить (пишешь в поисковике «купить аккаунт в ...»). Только не покупай «лом» (взломанный аккаунт), за угнанные аккаунты по голове не погладят даже при использовании в законном пентесте.
Потребуются женские аккаунты, неважно, какого пола наша цель. В большинстве случаев нашему фейку должно быть около 35–45 лет. Эротических фото размещать не надо. Обычная женщина.
Фотографию на аватарку генерируем с помощью нейронных сетей на сайте
Вы должны быть зарегистрированы для просмотра ссылок
. Результат генерации, как правило, выглядит довольно реалистичным.
Вы должны быть зарегистрированы для просмотра вложений
С использованием такой фотографии соцсеть автоматически не забанит тебя за воровство фото из других аккаунтов. Остальные фотографии берем с людьми, но без лиц.
Трех‑пяти снимков будет достаточно. Для получения уникальных фото отлично подойдут скриншоты из видео.
Подписывать фотографии важно «по‑человечески», эмоционально, чтобы создавалось впечатление, что они не фейковые.
Непрофессиональные фотографии природы тоже подойдут, но не забываем о подписях, например «Зима в разгаре».
Вы должны быть зарегистрированы для просмотра вложений
Заполняем остальные поля в профиле по настроению: школа, вуз и так далее. Место работы не пишем, но можно написать, что ты HR, если собираешься общаться с жертвами в этой роли.
Если ты создал аккаунт с нуля, нужно добавить ему «историю». На стене должны быть какие‑то записи в прошедшем времени.
В «запрещенной в России соцсети» легче всего создать себе аккаунт десятилетней давности. Алгоритм действий очень простой.
Публикуем пост с настройкой видимости «Только я».
Вы должны быть зарегистрированы для просмотра вложений
Жмем на расположенную справа кнопку вызова меню и меняем дату на три‑четыре года назад.
Вы должны быть зарегистрированы для просмотра вложений
Размещаем таким образом 8–10 постов.
Теперь нужно «набить» друзей в аккаунт. Кто у нас любит знакомиться с новыми людьми, даже если не знает их? Правильно, участники соответствующих тематических групп.
Вы должны быть зарегистрированы для просмотра вложений
Добавляемся в первую попавшуюся группу и в разделе «Участники» видим десятки тысяч наших потенциальных друзей.
Открываем их профили и напрашиваемся в друзья к 20–30 людям. Как только тебя добавит несколько человек, иди к ним в профили в раздел «Друзья» и отправляй заявки в друзья их друзьям
(как много слов «друзья» в одном предложении, но что поделать, дальше будет еще больше).
Люди, которым будут приходить твои заявки, увидят, что у вас есть общий друг, и с большей вероятностью добавят тебя в свой круг общения. Спустя час я таким способом набирал по 500–600 человек.
Но для наших целей достаточно и 100–200 человек. Чтобы облегчить старт раскрутки, можно купить аккаунт с друзьями. Стоит он около 40–50 рублей, а в друзьях уже будет 50–100 профилей.
Теперь нужно добавлять целевых друзей. Для этого ищем людей по названию организации.
Вы должны быть зарегистрированы для просмотра вложений
Добавляем человек десять, не больше, и ждем, когда нас примут в друзья. Теперь отправляем заявки всем остальным, кого мы смогли найти.
Доверия к нашему профилю будет больше, если у нас в друзьях уже числится коллега из организации жертвы.
Если сотрудников таким способом нашлось немного, придется идти в другие соцсети и искать людей там.
Вы должны быть зарегистрированы для просмотра вложений
На странице организации видим список сотрудников и пытаемся найти их в основной социальной сети, чтобы добавить в друзья.
А еще совсем нехороший человек может стать SMM-рейдером, то есть присвоить себе группу в LinkedIn, у которой пока нет владельца (см. скриншот ниже), но сейчас не об этом.
Вы должны быть зарегистрированы для просмотра вложений
Итак, мы «подружились» с сотрудниками организации, которая заказала нам пентест. Приступим к написанию сообщений.
Если ты не уверен, что человек работает в целевой организации, — это отличный повод начать общение (на самом деле даже если он там работает).
Делаем «многоходовку» и пишем простое именное сообщение:
Ответ, как правило, укладывается в один из трех вариантов: да, нет, а что?
Если ответ утвердительный, пишем: «Жаль, конечно, в хорошем смысле, но ладно, успехов Вам!» Жертве станет любопытно, и она опять же спросит: «А что?»
Говорим: «Так как речь идет о работе, я не хочу, чтобы меня обвиняли в переманивании, поэтому вы можете ознакомиться с информацией в открытом доступе самостоятельно
(тут ссылка на фишинговую форму авторизации в соцсети). Только, если что, Вы нашли ее случайно
».Если мы нацелены получить доступ к телефону или компьютеру жертвы, то предлагаем отправить файл: «Так как речь идет о работе, я не хочу, чтобы меня обвиняли в каком‑то там переманивании.
Но если Вам интересна работа по специальности, с более высокой зарплатой и действительно адекватным руководителем, я могу отправить файл на Вашу личную почту».
Или делаем другое окончание: «...и действительно адекватным руководителем, то прикрепляю небольшую анкету».
Ну и после этого отправляем потенциальной жертве документ с макросом или фишинговую ссылку. Если на первоначальный вопрос жертва пишет «Нет», вычеркиваем человека из нашего рабочего списка, так как нам за таких не платят.
Несколько советов
- Название файла или ссылки может включать 220000p или 220tysyachRub — так мы дадим понять, что деньги предлагаются хорошие.
- Начинать сообщение с «Добрый день (утро, вечер)» лучше, чем со «Здравствуйте», конверсия обычно значительно выше.
- В рабочее время сотрудник, скорее всего, будет заходить в соцсеть с телефона, учти это при планировании атаки.
- В зависимости от текста сообщения можно отправить сотруднику не просто ссылку или файл c макросом, но и .apk, якобы специально созданное для соискателей закрытое приложение, в котором нужно разрешить геолокацию, авторизоваться в Gmail, дать доступ к СМС и так далее.
О поиске сотрудников в соцсетях
Можно искать сотрудников не только стандартным поиском в соцсетях, но и через страницы компании. Например, в «запрещенной соцсети» нужно смотреть, кто лайкает посты на этой странице. Если один человек лайкнул несколько постов (особенно когда лайков под постами два‑три), с большой долей вероятности можно сказать, что это сотрудник организации.
Но при таргетированной социальной инженерии имеет смысл уточнить эту информацию по другим источникам, поскольку этот лайкающий, может быть, просто хочет устроиться в компанию на работу.
Как искать сотрудников в VK? Если кратко, то идем на
Вы должны быть зарегистрированы для просмотра ссылок
и вбиваем название интересующего нас работодателя в поиск.
Вы должны быть зарегистрированы для просмотра вложений
Ну а LinkedIn просто создан для поиска сотрудников в определенных компаниях. Он заблокирован в РФ, однако люди как‑то продолжают им пользоваться
Вы должны быть зарегистрированы для просмотра вложений
Клонирование аккаунтов
Вновь созданный аккаунт будет вызывать больше доверия, если это фейковый профиль коллеги, друга, знакомого потенциальной жертвы. Создавая фейковую копию аккаунта коллеги, используй подмену символов.Как мошенники в Telegram создают копии известных групп и профилей, так и ты можешь использовать этот прием, когда указываешь имя аккаунта, — в благих целях, разумеется.
Например, мошенники в своих «методичках» именно так и рекомендуют поступать в известной соцсети с фотографиями, например вместо точки использовать нижнее подчеркивание и наоборот: скажем, yu.ra вместо yu_ra.
Не забываем и про классический тайпсквоттинг, когда символы заменяют похожими или добавляют лишние, например valeron меняем на valer0n.
Если пользователь вдруг заметит подвох и спросит, почему ты пишешь с нового аккаунта, скажи, что ты потерял доступ к старому, а восстановить его не получается.
Медленно, но верно
Почаще лайкай и комментируй посты на странице или в группе организации. Нужно примелькаться, пусть тебя заметят пять — десять сотрудников. Успех можно оценить по лайкам и комментариям твоих комментариев.Дождись момента, когда тебя попросят о помощи или зададут вопрос. Вместо ответа предложи скинуть требуемое на почту (в идеале корпоративную) и отправь потенциальной жертве нагрузку.
В общем, лучшие сценарии — это когда пользователь сам инициирует отправку ему ссылки или файла. На иллюстрации ниже приведен наглядный пример такого.
Вы должны быть зарегистрированы для просмотра вложений
Многоходовка в соцсети
Порой удивляешься совершенно фантастическим сценариям, которые применяют социальные инженеры в дикой природе. Вот пример «многоходовки», когда иранские хакеры маскировались под инструктора по аэробике. Больше восемнадцати месяцев они работали через сеть ботов в Fb и по email (см. рис. ниже), общаясь с работниками воздушно‑космической обороны США. Особенно хакеров интересовали те, кто участвует в операциях на Ближнем Востоке.
Вы должны быть зарегистрированы для просмотра вложений
У тебя может и не оказаться нескольких месяцев на тесты, но не всегда нужно торопиться. Ведь если сотрудники привыкают к «быстрым» методам атак, то сложную многоходовку разгадать намного труднее.
Если ты состоишь в Red Team и регулярно ищешь лазейки в целевой организации, то долгоиграющие атаки — это правильный подход.
Помощь по запросу
Нельзя не упомянуть и про тактику выжидания. Познакомившись с пользователем в социальной сети, дождись, пока он сам не напишет в своем посте просьбу о помощи (или уже написал, внимательно изучи ленту).Воспользовавшись этим поводом, можно отправить потенциальной жертве не только вредоносный архив, но и фишинговую ссылку на сайт, где якобы раскрывается ответ на ее вопрос.
Сайтом может быть и социальная сеть, в которой ты общаешься с жертвой.
Вы должны быть зарегистрированы для просмотра вложений
Выводы
Социальная инженерия в связке с социальными сетями — мощный инструмент как для белых хакеров, так и для злоумышленников. Чем быстрее мы найдем неосведомленных в сфере информационной безопасности сотрудников, тем лучше. Ведь рано или поздно навыки пользователей обязательно кто‑нибудь проверит — либо ты, либо хакер.