Как я получил доступ к администраторскому аккаунту при помощи социальной инженерии

Всем привет, отдельное спасибо Темной Стороне за возможность поделиться своей историей, начнем. Сделать фейк для сайта - это не всегда стопроцентный успех, пусть даже Ваш фейк будет идеальным, а домен очень похожим на домен исходного сайт. Все знают, что главное - это под каким видом фейк подать, как его подкинуть, чтобы не вызвать подозрений, а главное - как заставить жертву кликнуть и ввести необходимую информацию.

Сразу скажу, что я не специалист, и не претендую на такое звание. Моя статья также не претендует на обучение. Я лишь хочу поделиться своим успешным опытом. А если кому-то мой опыт пригодится, что ж. Я буду лишь рад.

Часто фейки рассылаются массовой рассылкой от лица "администрации" сайта или почтового сервиса. Часто это предупреждение о нарушении безопасности и необходимости предпринять какие-то меры, подтвердить аккаунт, или сменить пароль. Такая тактика хороша для массового сбора информации. Как говорится, чем больше разошлём, тем больше получим. Но для точечных атак лучше следует другой метод. 

Получив письмо от администрации сайта, или почтового сервиса, многие просто удаляют данное сообщение. Из своего собственного опыта делаю вывод - пришла какая-то угроза безопасности? Необходимость подтвердить что-то? Перейди на сам сайт, посмотри в чём там дело. Чуть позже. И многие поступают также.

Необходимо подготовиться, и собрать информацию о жертве. Если ты знаешь сферу его деятельности, специфику работы, то считай, что это уже пол дела.

Итак, что сделал я:

1) Изучил подробно предоставляемые услуги на сайте, для которого необходимо было получить админскую учётную запись

2) Изучил клиентов, выбрал того, которым представлюсь я. Для этого:

• собрал информацию о корпоративной почте.
• прочитал непосредственные письма некоторых из работников, которые выступают в качестве заказчиков на сайте-жертве, для которого нужна была админская учетка (для этого пробил почты определенного домена по ликам и своим базам, из живых и работающих на почтах извлек очень много полезной информации). Мне повезло, т.к. ресурс крупный, и следовательно широк круг клиентов, подобрать пароли к почтам хотя бы некоторых из них, чтобы изучить язык переписки, и штатные ситуации, не предоставило проблем
• создал почту на похожем домене, подготовленным и выбранным мною.
• изучил специфику деловой переписки и порядок оформления и обсуждения заказа.

3) А далее уже непосредственно вел переписку, с дальнейшим впариванием фейка.

Итак, что важно в последнем, заключающем шаге:

1) Для начала необходимо написать письмо жертве, с определенным запросом или просьбой о помощи. Пусть всё выглядит так, словно Вы и вправду хотите помощи с определенным заказом. Станьте "клиентом". Мыслите на том же языке, что и жертва. Представьте, что Вы и вправду хотите помощи с заказом. Не нужно сразу кидать ссылку на фейк и что-то впаривать, пообсуждайте для начала свой заказ. Но следуйте тому, как реально ведутся переговоры! Здесь сказанное странное слово, плохой английский или "странный" запрос - сразу увеличивают шансы провала в РАЗЫ.

2) На определенном шаге, когда речь уже идет о стоимости (или о чём-то ещё, зависит от тематики), скажите, что у Вас возникли проблемы. К примеру, необходимо узнать, чем именно отличается товар А от товара Б по каталогу. Вы никак не можете понять, вот по ЭТОЙ ссылке! Нужна помощь, у вас ступор. Естественно здесь уже содержалась ссылка на написанный мною фейк. По внешнему виду копия сайта-жертвы. Очень важно, что и на оригинальном сайте данная ссылка требует введения пароля. Так у жертвы не возникнет возпросов, и пароль будет введен на 99% процентов. Вы уже подготовили жертву, успокоили. Вы не сразу впариваете ссылку, поговорили, а теперь вот помощи просите. Жертва расслаблена.

3) По окончании необходимо продолжить "переговоры" ещё немного. Не исчезайте навеки! Это чревато риском того, что жертва заподозрит что-то, станет исследовать ссылки, просечёт, что это был фейк, и сменит пароль. Ваши старания будут напрасны. Поговорите, поблагодарите. Возможно задать ещё пару штатных вопросов.

Имеено благодаря вышеизложенной схеме удавалось получить учётные записи админов важных мест. Вывод: знайте своих жертв, думайте как они. Если вы хотите эксплуатировать их страх, то подумайте под каким соусом это подать. Если хотите представить всё штатной ситуацией, то изучите досконально язык деловой переписки именно этой сферы. Никаких ошибок и опечаток! 

Иметь качественный фейк, не палимый антивирусом, чистый домен, - это очень важно. Но не менее важно найти ту точку, на которую надавить, не вызвав подозрений. Именно поэтому, как мне кажется, в словосочетании социальная инженерия присутствует слово "социальная". Всем удачи.