Страницы

Любопытный фишинг



Хороший фишер делает домашние задания. Идёт на ЛинкедИн, покупает премиумакк и собирает ящики сотрудников организации, фильтрует сотрудников ИБ, отмечает HR.



HR - лучшая маскировка. У них есть повод написать любому сотруднику и сотрудник всегда будет рад им помочь.

Теперь надо пройти спам фильтры: купить сэкондхэнд домен с нейтральной репутацией, зарегистрировать VPS у DigitalOcean, купить DDoS защиту у CloudFlare чтобы обзавестись белым IP, добавить SPF запись и настроить DKIM.

Потом нужно сочинить красивое письмо. Лучше всего мимикрировать под стиль служебных писем: уведомлений от ITSM системы, почтового сервера, мессенджера, корпоративного портала и т.д. Стэк корпоративных технологий легко вычислить по анкетам ИТ сотрудников на LinkedIn.

Ну или можно использовать шаблоны от MS Office365. Все его используют.



Ваш юзер распознает подделку?
 
На втором портале можно поднять фишинговую страничку О365 (вот такую https://www.piconan.nl/?rid=RVmSTti ), которая собрана из кусочков настоящего портала для пущей убедительности


Не забыть прикрутить HTTPS сертификат от Let's Encrypt и редирект на настоящую страницу после нажатия кнопки "log in".

Готово! Ничего сложного и революционного, но такой фишинг пройдет через все корпоративные ИБ фильтры. Его будет достаточно сложно обнаружить, т.к. плохие парни получат доступ напрямую к облаку Office365 (про механизмы безопасности O365 напишу как-нибудь в другой раз. Там не густо, но и, конечно, не пусто).

К счастью, чтобы не быть съеденным медведем не нужно бежать быстрее всех, нужно бежать не последним. Многофакторная аутентификация сделает вас чуть более сложной целью (тут есть свои подводные камни), и фишеры переключатся на 80% других клиентов МС, которые не используют 2FA.

Комментариев нет:

Отправка комментария