Анатомия корпоративного фишинга. Учимся составлять фишинговые письма для тренировочных атак

Статья будет полезна пентестерам и безопасникам, которые хотят проверить, умеют ли сотрудники распознавать вредоносные письма. Мы поговорим о корпоративном о фишинге с использованием электронной почты.

Давай сразу определимся с терминами.

Фишинг — процесс выманивания конфиденциальной информации у человека.
Социальная инженерия — манипуляция человеком с целью побуждения к действиям, выгодным злоумышленнику.

Но так как в ИБ принято называть фишингом даже подброшенные флешки, что мне не очень нравится, пусть в сегодняшней статье этот термин олицетворяет всю социальную инженерию, вместе взятую.

Как ты знаешь, существует несколько видов фишинга. Классифицируют их в основном по каналам связи (email-фишинг, вишинг, смишинг); по видам воруемых данных (data-фишинг и кража учетных данных); по целевым группам жертв, например вайлинг (фишинг на топов в организации); по целевому действию, например адвертинг (обман блогеров с целью угона популярного канала).

В этой статье мы препарируем фишинг по email, поскольку это самый распространенный способ доставки вредоносной нагрузки (используется в 92% случаев). Но принципы составления векторов подойдут и для других каналов связи, например соцсетей, мессенджеров, да хоть Почты России.

Мы не будем касаться непосредственно вредоносной нагрузки к письмам, точнее, не станем разбирать, какой эксплоит использовать при отправке «модного» нынче LNK-файла, или рассматривать получившие новую жизнь HTML-вложения. И даже не будем трогать их комбинацию при атаках через протокол Windows Search.

Но зато мы рассмотрим, как писать письма, в которых до 99,5% сотрудников переходят по фишинговой ссылке.

В статье мы разберем именно контент: кто, что и по какому поводу пишет сотрудникам, чтобы достигнуть своих злонамеренных целей.

Существует три типа атак методами социальной инженерии по электронной почте, если различать их по степени массовости:

Таргетированная, персонализированная атака под компанию, отдел, человека.
Массовая, когда непринципиально, какой из сотрудников в какой компании получит письмо.
Смешанная, когда используется небольшая персонализация, например под бухгалтеров, но письмо рассылается тысячам компаний или заточено под конкретную организацию, но непринципиально, кто именно получит вредонос.

Когда мы проводим учебные атаки на сотрудников, мы стараемся реализовать все три вектора. Например, в векторах 1 и 2 попадается 30–80% сотрудников просто из‑за того, что пользователи доверяют отправителю, так как в email используется реальный домен организации (если возможна подмена отправителя) или очень похожий на официальный домен.

По большей части в этой статье мы будем рассматривать атаки типа 2, но некоторые тексты этих атак пригодятся в векторах 1 и 3. Тип 2 всегда можно превратить в 1 и 3, задействовав немного смекалки.

Кстати, ты заметил, что еще с начала статьи я все сужаю и сужаю рамки того, что мы будем рассматривать, но при этом статья получилась достаточно объемной? Социальная инженерия поистине безгранична. В обновленном издании книги «Контролируемый взлом. Библия социальной инженерии» я рассмотрел сотни векторов, но чувствую, что и этим тема социальной инженерии не исчерпывается.

Итак, перейдем непосредственно к практике — поговорим о том, как использовать социальную инженерию в пентестах и учебных фишинговых рассылках по электронной почте.

Тема письма

Давай разберем, что можно писать в теме письма, чтобы увеличить доверие потенциальной «жертвы».

Добавлять Re: и Fwd:. Например, «Re: регламент». Так жертва решит, что это ответ на ее сообщение или оно было переслано от коллеги.
Упоминание организации. Например, АО «Ромашка». Увидев название своей организации в теме, сотрудники чаще открывают письма.
Упоминание полностью или частично ФИО пользователя. Например, «Получатель Иванов А. И.».
Эмоциональные рабочие аспекты. Например, «Новогодние премии», «Подарки на корпоративе», «Надбавка».
Можно собрать комбо. К примеру, «Fwd: Список на увольнение АО «Ромашка». Адресат — Иванов А. И.».

Единственная адекватная причина не открыть письмо с такой темой — не увидеть его.

И еще, если ты целенаправленно не имитируешь массовый спам, не используй смайлики и кучу символов в теме. В корпоративной среде так общаются редко.

Какую подпись и оформление использовать?

Подписи в письмах в пределах одной организации бывают одинаково оформленные или самопальные, каждый сам выбирает, как ему подписаться. Ты можешь использовать разное оформление писем, в зависимости от того, кого именно ты имитируешь:

во внешних письмах лучше вставлять логотип (для вымышленных организаций можно использовать онлайн‑генераторы логотипов, вроде logoza.ru);
если имитируешь внутреннего сотрудника, который пишет коллеге, старайся использовать единый стиль, принятый в организации. Узнать его можно, отправив письмо с каким‑либо запросом на info@, — кто‑то тебе да ответит.

Совет безопасникам: пробуйте тестировать сотрудников, отправляя еще и фишинговые письма с нестандартным оформлением.

Выбираем контекст

Под контекстом я понимаю повод, по которому мы пишем пользователю. Приведенный ниже перечень взят из генератора СИ, который поможет тебе составлять собственные векторы и тексты писем. Далее мы также разберем примеры контекста подробнее.

Итак, по какому поводу мы пишем пользователям:

событийные атаки;
причина;
запросы;
вопросы;
отправка чего‑то;
изменения в чем‑то;
желание.

Вообще, контекст — это ключевая составляющая фишинга. Успех на 80% зависит от того, знаком ли сотрудник с тем, о чем ему пишут. Например, сотрудники в курсе, что 21 декабря будет корпоратив, и, если начать письмо с «Коллеги, как вы знаете, 21 декабря у нас будет корпоратив. По ссылке вы сможете...», успех почти гарантирован.

Или другой вариант, когда пишут юристу и в тексте упоминается какой‑то бизнес‑процесс, который используется в его организации. Например, получатель ожидает, что договоры на проверку ему приходят только от отдела закупок, и только этим он и занимается — проверяет договоры. Тогда письмо якобы от менеджера по продажам с просьбой сверить техзадание по планируемой закупке с точки зрения юридической корректности будет выглядеть странно. Любые нестыковки вызовут у получателя совершенно ненужные подозрения.

Усиление контекста

Итак, повод для письма есть (типичные примеры разберем позже), теперь его можно усилить. Усиливать мы будем разными эмоциями и иными психологическими приемами, перечень которых приведен ниже. Дальше мы рассмотрим их подробнее и с примерами.

Эмоции: сочувствие, страх, гнев, консерватизм, интерес, радость.
Давление: авторитет, просьба о помощи, срочность, угроза.
Желание: бесплатность чего‑то, экономия, деньги.
Ложь: поддельная переписка, несуществующий разговор, подделка переписки, подтасовка фактов.
Совпадение: когда у жертвы что‑то совпадает со злоумышленником. Например, имя, фамилия, место учебы.

Итак, с вводной частью закончили, теперь рассмотрим разные тексты и поводы, по которым мы будем писать пользователям.

Событийные атаки (event attacks)

Рассмотрим разные примеры таких атак, в зависимости от события.

Чрезвычайная ситуация

То, что широко освещается в СМИ, становится отличным инфоповодом для атак. Пандемия коронавируса сошла на нет, мошенники заработали много денег, теперь новостная повестка забита другими событиями, и, естественно, киберпреступники всех мастей это используют.

Давай немного поностальгируем и обсудим пандемию какого‑нибудь коварного вируса. Представим, что эта тема сейчас у всех на устах и СМИ ее активно обсуждают. Рассмотрим, как используется новостная повестка в качестве контекста в фишинговых письмах.

Пример 1. Скачайте приложение, чтобы отслеживать зараженных вирусом людей рядом с вами.
Пример 2. Корпоративная поддержка во время пандемии. Для получения отсрочки по кредитным платежам, включая ипотеку, подайте заявление, и вам будет предоставлена такая возможность. Во вложении бланк заявления: распечатайте его, заполните и отправьте ответным письмом.
Пример 3. Коллеги, для обеспечения шифрованной связи с удаленными сотрудниками просьба сегодня скачать программу по ссылке (ссылка ведет на файлообменник или напрямую на исполняемый файл). С завтрашнего дня коммуникация будет проходить через эту программу.
Пример 4. Для нашей организации обслуживающий банк предоставляет беспроцентный кредит сроком на 1 год, кредитная история заемщиков не будет учитываться. В случае ухудшения финансовой ситуации (а это, по всем прогнозам, произойдет) кредит будет списан за счет работодателя. Образец заявления во вложении.
Пример 5. В связи с обновлением правил поведения жителей г. Москвы (твой целевой город) на время карантина введена система пропусков. В случае если вам нужно покинуть квартиру по любому поводу, для получения пропуска перейдите по ссылке на сайт Госуслуг и заполните анкету.
Пример 6. Просьба заполнить данные по ссылке для начисления доплат за удаленную работу.

Праздники

Намечается государственный праздник с последующими выходными? Вот темы, которые можно использовать:

график работы в праздничные дни;
тройная компенсация за работу в праздники в рамках мероприятий по повышению лояльности работников;
праздничные дни отменяются, будем работать без выходных.

Политика

Политически ангажированные получатели с удовольствием открывают ссылки в письмах, (не)соответствующих их взглядам. Есть спокойные люди, имеющие мнение о политике, а есть те, кто яростно убеждает других в том, что именно их мнение единственно правильное. Таких людей легко определить. Они любят писать капслоком, ставят много восклицательных знаков в конце и оскорбляют оппонентов за инакомыслие. Вот такие получатели и будут нажимать на твои ссылки аж двойным кликом.

Дабы не будоражить умы соотечественников, приведу пример зарубежного фишинга на политическую тему.

Если у тебя, как и у меня, с английским плохо, то суть новости в том, что шесть арабских стран, включая Саудовскую Аравию и Египет, разорвали дипломатические отношения с Катаром, обвинив его в дестабилизации региона.

Причина

Что‑то (не) произошло, и я вам об этом пишу. Некто сказал, что по этому поводу нужно писать именно вам. Например, отправитель так и не дождался ответа, может, письмо не дошло, поэтому дублирует пакет документов. Или в техподдержке посоветовали обратиться по какому‑то вопросу конкретно к этому сотруднику.

Якобы взлом

Приведу пример атаки на физических лиц, в ходе которой злодеи отправляют электронное письмо, где демонстрируют используемые жертвой логины и пароли, утечка которых, скорее всего, произошла ранее. Авторы сообщения утверждают, что взломали веб‑камеру и засняли, как человек смотрит порнографические ролики и что делает в это время. Затем мошенники требуют выкуп в биткоинах за то, чтобы они не рассылали это видео.

В корпоративной среде можно сделать свою версию «якобы взлома»:

Коллеги, добрый день.

Вчера был обнаружен взлом корпоративной сети. Учетные записи нескольких сотрудников были скомпрометированы, и их логины и пароли оказались у злоумышленников.

В связи с этим срочно нужно сделать следующее:

Проверьте в списке ниже, есть ли ваш email среди скомпрометированных.

Если он есть в списке, срочно смените пароль по ссылке (фишинговая ссылка).

Список скомпрометированных email:

abc@xyx.com

abd@xyx.com

И дальше еще десяток адресов, примерно на восьмом месте автоподстановкой вставляем адрес жертвы.

Все, ждем улова. Если ты делаешь атаку с обратной связью (когда ты общаешься с жертвой, а не просто отправляешь письмо в один конец), то в конце письма можешь попросить, чтобы ответным сообщением тебя оповестили, что смена пароля прошла успешно.

Заметки для безопасников

Узнать, попал ли в общий доступ пароль от корпоративной почты вашей компании, можно на сайте DomainSearch. Вписываете ваш домен, подтверждаете право владения и получаете уведомления, когда в сеть утечет связка email:password.

Узнать, что кто‑то зарегистрировал домен, похожий на официальный домен вашей организации, поможет портал domains-monitor.com. Мониторить можно как домены, включающие ваш бренд, так и модификации официального домена, например d0main.ru.

Список уже зарегистрированных доменов, похожих на ваш официальный, покажет сайт dnstwister.report. Если домены реально фишинговые, можно внести их в черный список защитного ПО организации.

Внеплановая проверка от СРО

Компаниям, состоящим в каких‑либо саморегулируемых организациях, могут приходить специфические письма. Пользуйся этим при проверке сотрудников.

Вот пример такого письма с вредоносной ссылкой:

Добрый день.

Согласно последним жалобам потребителей микрофинансовых услуг на вашу МФО, а также в соответствии с Базовыми правилами защиты прав и интересов малого и среднего бизнеса, получателей финансовых услуг, СРО Союз «Микрофинансовый Альянс» назначили вам внеплановую выездную проверку на 03.07.2020. Этим письмом направляем вам Запрос № 222-1\20 от 23.06.2021 на представление документов (информации). Просьба донести до ведома руководства и быть готовым представить все необходимые документы к 03.07.2021.

Проверка проводится в соответствии со ст. 4, 5 Федерального закона от 13 июля 2015 года № 223-ФЗ «О саморегулируемых организациях в сфере финансового рынка», Федеральным законом от 2 июля 2010 года № 151-ФЗ «О микрофинансовой деятельности и микрофинансовых организациях», Указанием Банка России от 3 февраля 2016 года № 4278-У «О требованиях к содержанию базового стандарта защиты прав и интересов физических и юридических лиц — получателей финансовых услуг, оказываемых членами саморегулируемых организаций в сфере финансового рынка, объединяющих микрофинансовые организации».

С уважением,
Руководитель рабочей группы Контрольного Комитета
Союза «Микрофинансовый Альянс „Институты развития малого и среднего бизнеса“»
Коленская Мария Юрьевна

Рассылалось это дело с адреса info@alliance-mfo.pw, а настоящий адрес упомянутого в письме союза — info@alliance-mfo.ru.

Неудачные попытки авторизации

По аналогии со скриптами мошеннических кол‑центров, сотрудники которых звонят и сообщают, что с твоих счетов пытаются снять деньги, сочиняем свое электронное письмо для проверки бдительности пользователей:

Уважаемый пользователь!

Нами зафиксирован вход в вашу учетную запись.

Место: Швеция

IP: 165.231.143.161

Если это были не вы, срочно смените пароль (тут ссылка).

Внимание: письмо создано системой предотвращения вторжений, отвечать на него не нужно.

Если в тексте ссылки присутствует символ «/», вместо обычного слеша нужно указывать символ Unicode U+0B75 («дробь одна шестнадцатая языка ория»). И ссылку лучше вставить неактивной, в виде текста, чтобы на нее нельзя было навести курсор и увидеть, куда она на самом деле ведет. От пользователя же потребуется скопировать ссылку и вставить ее в браузер.

Уведомление

А вот пример письма с уведомлением — этот сценарий актуален для банковской сферы.

Что вы делаете в Бразилии?

Пишем сообщение:

Мы заметили, что вы зашли в ваш почтовый ящик из необычного места: местоположение — Бразилия. Если вы не входили в свой аккаунт, отмените вход по ссылке.

По ссылке из письма пользователь попадает на страницу с предложением сменить пароль, поскольку похоже, что его взломали. Одно из полей формы — старый пароль, и есть поле для нового пароля. Для пущей правдоподобности можно написать мини‑инструкцию по составлению нового пароля (короткую, в одно предложение).

Контекст: запросы

Запрашивать можно коммерческое предложение, смету, счет, декларацию, оплату, договор, (не)конфиденциальную информацию. Например, «Вышлите, пожалуйста, КП. Смету прилагаю» или «Просьба выслать акт сверки с ООО «...». Ранее оплаченные вами счета во вложении».

Контекст: вопросы

Этот вариант отлично подходит для «многоходовок», когда нужно начать общение, или для разведки, которая ставит своей целью выяснить, проходят ли письма первичный антиспам‑фильтр. К тому же после ответа твой адрес еще и в адресную книгу жертвы попадет, что усилит траст у антиспама.

Вопросы можно задавать такие:

Эта почта работает?
Вы на связи?
По такому‑то вопросу — это к вам?

Вопрос с вложением

Естественно, вопросы можно задавать не только для этого, но также в рамках атаки уже в первом письме.

А что это вы мне отправили?

Пишем: «А что это за ссылку вы мне отправили?» Письмо представляем так, будто это ответ на ранее полученное сообщение от жертвы. В самом этом фейковом письме присутствует вредоносная ссылка. Расчет на то, что жертва, заинтересовавшись, что это она там отправила, кликнет на ссылке и попадет на фишинговый сайт.

Контекст: отправка

Отправлять информацию можно в самом теле сообщения или в виде вложения. В качестве таковой может использоваться техническое задание, коммерческое предложение, акты, счета, анкеты, опросы, требование, регламенты, приказ, правила, приглашение, благодарность (за работу, за какое‑то действие), уведомление, рекомендации.

Как все это выглядит во вложении, понятно, а что имеется в виду под «отправлять информацию можно в самом теле сообщения», ведь нам же нужно добавить туда какую‑то нагрузку?

Сам задал вопрос — сам отвечу. В письме мы ссылаемся на все те же анкеты, опросы, требования, регламенты, но отправляем ссылку на них, например даем ссылку на документ на корпоративном портале.

Кстати, ссылаться на корпоративный портал можно, даже если пользователи не знают о его существовании или его не существует вовсе. Все равно они кликают на ссылки и вводят учетные данные, проверено.

Контекст: изменения

В организации могут меняться регламенты, расписание, правила, корпоративный портал может обзавестись новыми разделами. Можно, например, отправить потенциальным жертвам такое сообщение: «В связи с изменением регламента работы удаленных сотрудников просьба сегодня ознакомиться с приказом во вложении». Еще один пример смотри ниже.

Пример письма с изменениями и упоминанием проекта, который знаком получателю

В данном случае по ссылке перешло 100% работников, открывших письмо, из них 30% заполнило фишинговую форму. Это именно то, о чем я говорил выше: контекст решает.

Контекст: желание

Желание получить что‑то с максимальной выгодой присуще каждому. Поэтому можно написать пользователю про экономию (скидки, акции, замена чего‑либо альтернативным, лучшим вариантом), про что‑то бесплатное и, конечно, про деньги (повышение, премия, надбавка). Вот пример такого письма:

Коллеги. В связи со сменой ассортимента продукция со склада будет распродана среди работников предприятия по 1 руб. Дешевле продать не можем в связи с требованиями законодательства.

На скриншоте ниже еще один пример из практики.

Пример письма, вызывающего желание узнать зарплату коллег

Анна Николаевна в данном случае — это настоящее имя главного бухгалтера. Мы пишем от имени начальника отдела по работе с персоналом, но сразу всем сотрудникам. Просто делаем вид, что ошиблись адресатом.

Эту атаку (якобы с ошибкой в адресате и приложенной зарплатной ведомостью) мы осуществляли в одном из банков. Что интересно, нам дали 100 пользователей, 50 из них месяцем ранее обучались правилам ИБ в учебном центре, а 50 не обучались. В результате попалось 60% в обеих группах, с разницей в два процента.

Контекст: «непонятки»

Выше я не упоминал эту категорию. Люблю письма, в которых нет призыва к вредоносному действию и пользователь сам додумывает, что ему нужно сделать.

Переписка-ссылка

В самом простом случае просто пишем получателю: «Хорошо!» — и вставляем ссылку, на которой ему нужно кликнуть. Примерно так это выглядит в интерфейсе Яндекс‑почты.

Пример письма со ссылкой для раскрытия подробностей

После перехода по ссылке можно просто проверять, что у получателя за устройство, а можно имитировать разлогин системы, чтобы он по новой ввел логин и пароль, но только теперь на специально подготовленном фишинговом сайте.

Одинокий файл

Аналогично способу выше, отправляем файл во вложении, а в теле письма не пишем вообще ничего. Только тема письма и файл. Тему тоже лучше выбрать нейтральную, но чтобы было понятно, что это не совсем спам. Например, там можно указать название организации пользователя или название подразделения (скажем, «В отдел маркетинга»).

Усиление контекста: эмоции

Усиление контекста — это просто добавка в виде одного предложения или упоминание усилителя в теме письма. Мы придумали повод, по которому пишем пользователю, а теперь нужно «дожать» его. Какую эмоцию мы вызываем своим сообщением или с какой эмоцией пишем?

Сочувствие (к чему/кому‑либо). Например, подбираем сотрудника, который в отпуске, и пишем: «Отправляю оставшиеся документы. Меня уволили, в отпуск пошла, и сказали, с последующим увольнением. Но всё нормально. Почта сегодня будет заблокирована, так что отвечать уже не нужно. Желаю успехов и достижений».
Страх (штраф, увольнение, лишение, потеря ценностей). Самые нелюбимые мною векторы. Вообще не люблю обманывать, но раз хакер может такое написать, значит, и нам нужно протестировать работников подобным способом. Пример: «В связи с реорганизацией опубликован предварительный список сотрудников на сокращение». Более простой пример усиления контекста страхом: «Андрей Николаевич злой, надо срочно все заполнить». Представителям службы ИБ я рекомендую не слишком часто практиковать усиление страхом. Лояльность сотрудников падает, и как минимум полдня у бизнеса после такой рассылки вылетит в трубу: все только и будут обсуждать предстоящую реорганизацию.
Гнев (от начальника, клиента, партнера, близкого). Например: «Быстро всё заполнить, и чтобы я больше такого не видел!!» Кстати, низкие эмоции в рамках регулярных работ по повышению осведомленности лучше использовать не чаще раза в год. Да, хакер церемониться не будет и напишет что угодно, но лучше не перебарщивать, если лояльность сотрудников для организации важна.
Консерватизм. Тут все просто: в сообщениях про раздачу криптовалюты можешь безумствовать, а в деловой переписке придерживайся официального тона деловой переписки: «Копию на sales@...ru (или support@) также отправил. Прошу впредь таких ошибок не допускать: (здесь вставляем фишинговую ссылку)». Способ подходит для сотрудников, которые в любой непонятной ситуации решают, что письмо относится к другому отделу, и отправляют сообщения туда. В этом сообщении мы делаем вид, что уже отправили в другой отдел информацию и теперь сотрудник должен провзаимодействовать с нашим письмом лично.
Интерес. Тут работает старое доброе любопытство. Если в теме письма говорилось про премии персоналу, то в тексте можно просто вставить ссылку якобы на корпоративный портал и больше вообще ничего не писать, ни приветствия, ни подписи, ничего.
Радость. Дарим какой‑то подарок или иным способом повышаем лояльность сотрудников. Например:

В связи с успешным закрытием года сотрудники, добирающиеся до места работы более 20 минут, в первом квартале будут обеспечены поездками на такси за счет организации. Для этого нужно заполнить анкету.

Усиление контекста: давление

Давление также работает хорошо, ведь оно тоже вызывает эмоции. Как обычно используется этот вариант усиления контекста?

Упоминаем в письме начальника или пишем от его имени.
Просим о помощи. Добавляем в сообщение, например, такое: «Не могли бы вы помочь, мне необходимо...»
Давим на срочность. Например: «Изучить приказ нужно сегодня до конца рабочего дня».
Угрожаем негативными последствиями. Например: «Всех, кто не заполнит анкету, обещали лишить ежегодной премии».

Письма от госорганов

Часто такими письмами пугают физлиц, но способы атак на них — это тема для отдельной книги. В случае с корпоративными получателями гораздо эффективнее представляться госорганами, например так:

В рамках плановой проверки на предмет легализации средств, полученных преступным путем, уведомляем, что вам нужно подготовить документы по представленному во вложении списку.

Срок предоставления информации — 2 рабочих дня.

Росфинмониторинг

Поначалу я хотел вставить сюда список всех органов власти, но ты и сам их сможешь загуглить. Принцип составления писем от госорганов простой:

Думаешь, с каким из органов в списке может взаимодействовать организация.
Смотришь, чем занимается этот госорган, чтобы выбрать повод для сообщения.
Пишешь письмо с упоминанием этого повода и прикрепляешь нагрузку — ссылку или файл.

Не забывай, что госорганы могут не только пугать, но и предложить заработать.

Пример письма с запросом коммерческих предложений

Срочно обновитесь

Вот пример письма в формате «сделайте это сразу».

Усиление контекста: ложь

Тут всё просто: чтобы усилить воздействие на получателя, используем обман. Вся социальная инженерия — это по сути обман, но тут мы дополнительно усиливаем сообщение ложной информацией. Например, ссылаемся на руководителя, сообщаем, что с ним этот вопрос обсуждался и он якобы отправил автора письма к нашей жертве.

Можно упомянуть в сообщении фейкового сотрудника, например помощника заведующего производством (даже если такой должности не существует), который якобы переправил наш запрос к жертве.

Хороший метод обмана — вставка в письмо фейковой переписки со знакомыми жертве людьми в виде скриншота.

Один из вариантов лжи — подтасовка фактов. Например, можно разослать сотрудникам такое письмо: «В связи с тем что у нас планируется ежегодный корпоратив, посвященный празднованию Дня основания компании, необходимо заполнить опрос». Или такое: «В связи с происходящим слиянием/поглощением с ОАО «...», нужно сделать следующее...»

Фейковая переписка

В письмо вставляем переписку с сотрудником, которой не было, и просим что‑то сделать. Например, так:

От кого: Начальник КБ
Почта: v.n.babanov@org.gov.ru
Тема: Fwd: NDA сотрудникам

Добрый день.

Просьба ознакомиться.

С уважением,

Бабанов В. В.

АО «Альфа»

https://org.gov.ru

+7 495 777-44-11

г. Москва, Средний Овчинниковский переулок, 21

---Пересылаемое сообщение---

From: Игорь Перлов [mailto:igor.perlov@org.gov.ru]

Sent: Thursday, July 22, 2021 2:45 PM

To: Babanov V.v.Babanov@org.gov.ru

Subject: Re: NDA

Отправляю NDA, нужно сегодня довести до сотрудников.

С уважением,

Виктор Перлов

Фейковая пересылка

По аналогии с предыдущим примером делаем фейковую пересылку. Пишем от имени одного из начальников: «Сделать сегодня», а ниже якобы приказ от гендиректора, который говорит, что именно нужно сделать (перейти по ссылке или скачать файл).

В данном случае мы не комментируем приказ гендиректора и пересылаем сообщение как есть.

А вот еще один пример пересылки, но от имени клиента. В письме мы просим сотрудника посмотреть, что там хочет автор исходного сообщения, а ниже якобы просьба клиента с упоминанием жертвы или жалоба, в которой присутствует вредоносная ссылка или вложенный файл.

Усиление контекста: совпадение

Когда у жертвы часть идентичности совпадает с твоей вымышленной — лояльность растет. Часть идентичности — это признак, по которому человека отличают от других. Например, Андрей Иванов, рыбак, который ездит на красной Ferrari и живет в Воркуте.

Какие части идентичности можно использовать? Тезки, однофамильцы, профпринадлежность, политические взгляды, землячество, увлечения, учебные заведения, воинская служба. На этом делается акцент в сообщении. Другими словами, если пользователя зовут Андрей Иванов и он юрист, можно тоже представиться Андреем Петровым или юристом Сергеем Жуковым.

Выводы

Мы рассмотрели лишь основные методы фишинга, которые используют настоящие злоумышленники. Эти методы можно применять во время учебных атак. А еще в качестве источника вдохновения можно использовать готовые примеры фишинговых сообщений.

Если ты читаешь на английском, на сайте app.any.run тебе могут отсыпать еще около десяти тысяч образцов ссылок и файлов, основанных на социальной инженерии. Помимо прочего, там можно скачать вложения, которые злоумышленники отправляли жертвам, и изучить образцы свежей малвари.