تواصل معنا عبر الرسائل أو عبر الهاتف.

whatsapp telegram viber phone email
+79214188555

Weapons of mass delusion. 10 simple recipes for social engineering.

DronVR

Private access level
إنضم
1 يونيو 2014
المشاركات
284
مستوى التفاعل
263
النقاط
63
Weapons of mass delusion. 10 simple recipes for social engineering.

Let's define the concepts so that it is clear what I mean. I will use the term "social engineering" in the following meaning: "a set of methods to achieve the goal, based on the use of human weaknesses." This is not always something criminal, but it definitely has a negative connotation and is associated with deception, fraud, manipulation, and the like. But all sorts of psychological little things to knock discounts in the store - this is not social engineering.
Verified Sender
Sometimes site administrators, by oversight, do not include filtering the "Name" field in the registration form (for example, when signing up for a newsletter or when sending an application). Instead of a name, you can insert text (sometimes kilobytes of text) and a link to a malicious site. In the email field, insert the address of the victim. After registration, this person will receive a letter from the service: "Hello, dear ...", and then our text and link. A message from the service will be at the very bottom.

How to turn this into a weapon of mass destruction? Elementary. Here is one case from my practice. In one of the search engines in December 2017, the ability to send messages through the spare email binding form was discovered. Before I sent a report on the bug bounty program, it was possible to send 150 thousand messages per day - it was only necessary to automate the form filling a little.

This trick allows you to send fraudulent emails from a real site technical support address, with all digital signatures, encryption, and so on. That's just the whole upper part is written by an attacker. Such letters came to me, not only from large companies like booking.com or paypal.com, but also from lesser-known sites.

004.jpg

In my test, about 10% of the recipients followed the link. Comments are redundant.
001.jpg

"How to apply it?" I thought. And here’s what came to mind: a fraudster can do, for example, such a text.
002.jpg

When clicking on the link, the user would get to a fake site and leave his password.

003.jpg


Such a collection of passwords can be carried out not only targeted but also in bulk, you only need to slightly automate the process of collecting domains with Google Analytics and parsing email from these sites.
"Curiosity"

This method of getting a person to follow the link requires some preparation. A fake company website is created with a unique name that immediately attracts attention. Well, for example, ZagibaliVygibali LLC. We are waiting for the search engines to index it.

005.jpg

Now we come up with some reason to send congratulations on behalf of this company. Recipients will immediately google it and find our site. Of course, it is better to make the congratulation itself unusual so that the recipients do not swipe the letter into the spam folder. After a short test, I easily earned more than a thousand transitions.

Fake Newsletter Subscription
Here is a very simple way to get a person to go to the site using the link in the letter. We write the text: “Thank you for subscribing to our newsletter! Every day you will receive a price list for reinforced concrete products. Respectfully, …". Then we add the “Unsubscribe from the newsletter” link, which will lead to our website. Of course, no one has subscribed to this newsletter, but you will be surprised to find out the number of unsubscribe unsubscribe.

Email Mining
To compile your base, it is not even necessary to write your own crawler and go around sites in search of badly lying addresses. A list of all Russian-speaking domains, which now number about five million, is sufficient. Add info @ to them, check the resulting addresses, and as a result, we have somewhere around 500 thousand work mails. Similarly, you can attribute director, dir, admin, buhgalter, bg, hr and so on. We prepare a letter for each of these departments, send out and receive from hundreds to thousands of answers from employees of a certain field of activity.

“What is it written there?”
To lure users from any forum or site with open comments, you do not need to invent tempting texts - just post a picture. Just choose something more attractive (some meme) and hold it so that it is impossible to distinguish the text. Curiosity always forces users to click on the picture. I conducted an experiment and got about 10 thousand transitions in this way. And I also know the case when the guys adapted this method for delivering trojans via LJ.

006.jpg


"What is your name?"

Making a user open a file or even a document with a macro is not so difficult, even though many have heard of dangers. With mass mailing, even just knowing the name of a person seriously increases the chances of success.

For example, we can send an email with the text "Is this email still active?" or "Please write your website address." In the answer, at least 10–20% of the cases will be the name of the sender (this is more common in large companies). And after some time we write “Alena, hello. What is the matter with your site (photo attached)? ” Or “Boris, good afternoon. I can’t figure it out with the price. I need the 24th position. I apply the price. " Well, in the price list there is a commonplace phrase “Turn on macros to view contents ...”, with all the ensuing consequences.

In general, personally addressed messages are opened and processed an order of magnitude more often.

"Mass Intelligence"
This scenario is not so much an attack as preparation for it. Suppose we want to know the name of an important employee — for example, an accountant or security manager. It is not difficult to do this if you send someone from the staff who may have this information a letter of the following content: “Please tell me the middle name of the director and the schedule of the office. Need to send a courier. "

We ask working hours to blur our eyes, and asking for a middle name is a trick that allows us not to give out that we do not know the name and surname. Both that and another, most likely, will be contained in the answer of the victim: the full name most often write entirely. In the course of the study, I was able to thus collect the name of more than two thousand directors.

If you need to know the mail of the authorities, then you can safely write to the secretary: “Hello. For a long time did not communicate with Andrei Borisovich, his address andrey.b@company.ru still working? And then I did not receive an answer from him. Roman Gennadievich. ” The secretary sees the email, invented on the basis of the real name of the director and containing the company’s website, and gives the real address of Andrei Borisovich.

"Personalized Evil"
If you need to force a large number of organizations to respond to a letter, then the first thing to do is look for pain points. For example, you can send a complaint about goods to stores and threaten with litigation: “If you do not solve my problem, I will complain to the director! Is that what you delivered to me (photo attached) ?! Password from the archive 123 ". On the basis of car services, in the same way, you can send a photo with a breakdown and the question of whether they can repair it. For builders - the "project of the house." In my small study, at least 10% of the recipients responded to such letters.

"The site does not work"
The database of sites with the mailing addresses of the owners can easily be turned into transitions to any other site. We send letters with the text “For some reason, the page of your site www.site.ru/random.html does not work!". Well, a classic trick: in the text of the link, the victim sees his site, and the link itself leads to a different URL.

"Multileasing"
You will need to prepare for this method. We create a one-page website, draw up a news resource. We put a script that changes the text on the site depending on which link the person clicked on.

We make a newsletter based on a database of addresses and company names. Each letter contains a unique link to our news resource, for example news.ru/?1234. Parameter 1234 is tied to a specific company name. The script on the site determines which link the visitor came to and shows in the text the name of the company corresponding to the mail from the database.

Having visited the site, the employee will see the heading "Company ... (the name of the victim’s company) is again rampaging." Then comes the short news with some fables, and in it is a link to the archive with revealing materials (a trojan).

conclusions
It is clear that mass mailing will not help in attacks on large organizations - an individual approach is needed there. But a small business, where they have never heard of any social engineering, can easily suffer from such attacks.

Source
Yuri Drugach
Social Engineering Blog Author
 
Original message
Оружие массового заблуждения. 10 простых рецептов социальной инженерии.

Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.
«Верифицированный отправитель»
Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации (скажем, при подписке на рассылку или при отправке какой-нибудь заявки). Вместо имени можно вставить текст (иногда килобайты текста) и ссылку на вредоносный сайт. В поле email вставляем адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше — наш текст и ссылка. Сообщение от сервиса будет в самом низу.

Как это превратить в оружие массового поражения? Элементарно. Вот один случай из моей практики. В одном из поисковиков в декабре 2017 года была обнаружена возможность отправки сообщений через форму привязки запасного email. До того как я выслал отчет по программе bug bounty, имелась возможность отправлять 150 тысяч сообщений в сутки — нужно было только немного автоматизировать заполнение формы.

Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. Вот только вся верхняя часть оказывается написанной злоумышленником. Такие письма приходили и мне, причем не только от крупных компаний вроде booking.com или paypal.com, но и от менее именитых сайтов.

004.jpg

В моем тесте по ссылке перешло около 10% получателей. Комментарии излишни.
001.jpg

«Как это применить?» — подумал я. И вот что пришло на ум: мошенник может сделать, например, такой текст.
002.jpg

При переходе по ссылке пользователь попадал бы на поддельный сайт и оставлял бы свой пароль.

003.jpg


Такой сбор паролей можно провести не только адресно, но и массово, нужно лишь немного автоматизировать процесс сбора доменов с Google Analytics и парсинга email с этих сайтов.
«Любопытство»

Этот метод заставить человека перейти по ссылке требует некоторой подготовки. Создается сайт фейковой компании с уникальным названием, которое сразу привлекает внимание. Ну, например, ООО «ЗагибалиВыгибали». Ждем, пока поисковики его проиндексируют.

005.jpg

Теперь придумываем какой-нибудь повод разослать поздравления от имени этой компании. Получатели тут же начнут его гуглить и найдут наш сайт. Конечно, лучше и само поздравление сделать необычным, чтобы получатели не смахнули письмо в папку со спамом. Проведя небольшой тест, я легко заработал более тысячи переходов.

«Фейковая подписка на рассылку»
Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

«Майнинг имейлов»
Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним info@, проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

«А что это там написано?»
Чтобы заманить пользователей с какого-нибудь форума или сайта с открытыми комментариями, не нужно выдумывать заманчивые тексты — достаточно всего лишь запостить картинку. Просто выбери что-нибудь попривлекательнее (какой-нибудь мем) и ужми так, чтобы различить текст было невозможно. Любопытство неизменно заставляет пользователей кликать по картинке. Я провел эксперимент и получил таким способом около 10 тысяч переходов. А еще я знаю случай, когда ребята адаптировали этот метод для доставки троянов через ЖЖ.

006.jpg


«Как вас зовут?»

Заставить пользователя открыть файл или даже документ с макросом не так сложно, даже несмотря на то, что многие слышали о подстерегающих опасностях. При массовой рассылке даже просто знание имени человека серьезно повышает шансы на успех.

Например, мы можем отправить письмо с текстом «Этот email еще активен?» или «Напишите, пожалуйста, адрес вашего сайта». В ответе как минимум в 10–20% случаев придет имя отправителя (чаще это встречается в крупных компаниях). А через какое-то время пишем «Алёна, здравствуйте. Что такое с вашим сайтом (фото приложил)?» Или «Борис, добрый день. Никак не разберусь с прайсом. Мне 24-я позиция нужна. Прайс прикладываю». Ну а в прайсе — банальная фраза «Для просмотра содержимого включите макросы…», со всеми вытекающими последствиями.

В общем, персонально адресованные сообщения открываются и обрабатываются на порядок чаще.

«Массовая разведка»
Этот сценарий — не столько атака, сколько подготовка к ней. Предположим, мы хотим узнать имя какого-то из важных сотрудников — например, бухгалтера или руководителя службы безопасности. Это несложно сделать, если отправить кому-то из сотрудников, которые могут обладать этой информацией, письмо следующего содержания: «Подскажите, пожалуйста, отчество директора и график работы офиса. Нужно отправить курьера».

Время работы спрашиваем, чтобы замылить глаза, а спрашивать отчество — это трюк, который позволяет не выдавать, что мы не знаем имени и фамилии. И то и другое, скорее всего, будет содержаться в ответе жертвы: ФИО чаще всего пишут целиком. Мне в ходе исследования удалось таким образом собрать ФИО более чем двух тысяч директоров.

Если нужно узнать почту начальства, то можно смело писать секретарю: «Здравствуйте. Давно не общался с Андреем Борисовичем, его адрес andrey.b@company.ru еще рабочий? А то ответ не получил от него. Роман Геннадьевич». Секретарь видит email, выдуманный на основе настоящих ФИО директора и содержащий сайт компании, и дает настоящий адрес Андрея Борисовича.

«Персонализированное зло»
Если нужно заставить отреагировать на письмо большое количество организаций, то первым делом надо искать болевые точки. Например, магазинам можно направлять жалобу на товар и грозить разбирательствами: «Если вы не решите мою проблему, буду жаловаться директору! Это что вы мне такое доставили (фото прилагаю)?! Пароль от архива 123». По базе автосервисов точно так же можно рассылать фотографию с поломкой и вопросом, смогут ли отремонтировать. По строителям — «проект дома». В моем небольшом исследовании на такие письма откликались как минимум 10% получателей.

«Сайт не работает»
Базу сайтов с почтовыми адресами владельцев легко превратить в переходы на любой другой сайт. Отправляем письма с текстом «Почему-то страница вашего сайта www.site.ru/random.html не работает!». Ну и классический прием: в тексте ссылки жертва видит свой сайт, а сама ссылка ведет на другой URL.

«Мультилендинг»
К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

Выводы
Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.

Источник
Юрий Другач
Автор блога о социальной инженерии

До нового года осталось