wrangler65
Модератор
Раздел 1: Подготовка
Таргетированная фишинговая кампания (спир-фишинг) включает в себя несколько базовых этапов:
1. Определение целей
2. Сбор информации о цели
3. Подготовка инфраструктуры
4. Запуск кампании, сборка данных и их валидация
5. Отчет для заказчика Цели Первые два этапа относятся к тематике OSINT, а это отдельная большая тема, поэтому обзор всех возможных вариантов я оставлю на будущее. Скажу только, что в рамках тестирования заказчик обычно сам предоставляет список сотрудников и согласует текст рассылки. Так было и на этот раз: заказчик хотел протестировать security awareness сотрудников, обладающих ключевым доступом к ИТ-инфраструктуре и digital assets компании. Был сформирован список из более чем 40 человек - сотрудников отделов R&D, DevOps, IT-Ops - которые и стали целями моей атаки. В будущем будет интересно провести рассылку по сотрудникам теоретически менее квалифицированным в IT - sales and marketing, HR, etc - и сравнить ее результаты с полученными на IT-специалистах. Но не будем забегать вперед.
Инфраструктура Третий этап - подготовка инфраструктуры.
Его можно разделить на два шага:
● Независимая от целевой атаки подготовка: настройка фишингового сервера, почтового сервера или подготовка сервиса рассылки, противодействие сетевым сканерам и антифишинговым решениям. Подробности в разделе 2.
● Подготовка уникальная для каждой целевой фишинговой кампании: аренда домена и настройка записей, создание почтовых адресов, подготовка шаблона рассылки, модификация или создание нового фишлета в случае необходимости, тестирование. Подробности в разделе 3.
Рассылка Четвертый этап - запуск кампании. Согласовав с заказчиком список рассылки, текст письма, время запуска и подготовив инфраструктуру может показаться, что остается только нажать на кнопку старта рассылки, но это далеко не конец. Не менее важно мониторить работу сервисов и зафиксировать все действия пользователей. При возможности дублируйте всю полученную информацию, так как у вас всего одна попытка на проведение фишинговой атаки и в случае потери данных, они потеряны навсегда. Дополнительно рекомендую согласовать с заказчиком валидацию данных, например, в процессе фишинговой кампании не только фиксировать полученные реквизиты доступа, но и проверять их валидность. Делайте скриншоты, записывайте видео экрана, особенно моменты, связанные с получением доступа к конфиденциальной информации. Но ни в коем случае не применяйте полученные реквизиты доступа для авторизации без предварительного согласования с заказчиком и для получения доступа к сторонним сервисам - это может плохо кончиться!
Результаты и отчет Последний этап - это отчет о выполненных работах, самая важная часть для заказчика и то, за что он платит деньги. Фактически, заказчик заказывая услугу рассчитывает получить не сам процесс, а результат, изложенный в отчете. Именно с документом заказчик может продолжить работу, направленную на повышение собственной безопасности: определить слабые места, разработать меры по митигации рисков, наконец, использовать для статистики и анализа данных в будущем. Поэтому очень важно на предыдущем этапе фиксировать и дублировать все данные для минимизации шанса потери информации. Важно помнить, что независимо от успешности фишинговой кампании нельзя просто написать: "все хорошо" или "все плохо". Если есть возможность, то еще до старта фишинговой кампании попробуйте уточнить важные для заказчика моменты, которые он хочет увидеть в отчете.
Отчет должен включать как минимум следующие разделы:
1. Модель атакующего, методология и цели фишинговой кампании;
2. Скоуп работ (целевой домен, список рассылки, текст письма, допустимые действия аудитором);
3. Результат проведения фишинговой атаки и ее анализ;
4. Рекомендации по результатам.
P.S. Тут рекомендации для белого пентестинга, но нам же это не мешает?
Таргетированная фишинговая кампания (спир-фишинг) включает в себя несколько базовых этапов:
1. Определение целей
2. Сбор информации о цели
3. Подготовка инфраструктуры
4. Запуск кампании, сборка данных и их валидация
5. Отчет для заказчика Цели Первые два этапа относятся к тематике OSINT, а это отдельная большая тема, поэтому обзор всех возможных вариантов я оставлю на будущее. Скажу только, что в рамках тестирования заказчик обычно сам предоставляет список сотрудников и согласует текст рассылки. Так было и на этот раз: заказчик хотел протестировать security awareness сотрудников, обладающих ключевым доступом к ИТ-инфраструктуре и digital assets компании. Был сформирован список из более чем 40 человек - сотрудников отделов R&D, DevOps, IT-Ops - которые и стали целями моей атаки. В будущем будет интересно провести рассылку по сотрудникам теоретически менее квалифицированным в IT - sales and marketing, HR, etc - и сравнить ее результаты с полученными на IT-специалистах. Но не будем забегать вперед.
Инфраструктура Третий этап - подготовка инфраструктуры.
Его можно разделить на два шага:
● Независимая от целевой атаки подготовка: настройка фишингового сервера, почтового сервера или подготовка сервиса рассылки, противодействие сетевым сканерам и антифишинговым решениям. Подробности в разделе 2.
● Подготовка уникальная для каждой целевой фишинговой кампании: аренда домена и настройка записей, создание почтовых адресов, подготовка шаблона рассылки, модификация или создание нового фишлета в случае необходимости, тестирование. Подробности в разделе 3.
Рассылка Четвертый этап - запуск кампании. Согласовав с заказчиком список рассылки, текст письма, время запуска и подготовив инфраструктуру может показаться, что остается только нажать на кнопку старта рассылки, но это далеко не конец. Не менее важно мониторить работу сервисов и зафиксировать все действия пользователей. При возможности дублируйте всю полученную информацию, так как у вас всего одна попытка на проведение фишинговой атаки и в случае потери данных, они потеряны навсегда. Дополнительно рекомендую согласовать с заказчиком валидацию данных, например, в процессе фишинговой кампании не только фиксировать полученные реквизиты доступа, но и проверять их валидность. Делайте скриншоты, записывайте видео экрана, особенно моменты, связанные с получением доступа к конфиденциальной информации. Но ни в коем случае не применяйте полученные реквизиты доступа для авторизации без предварительного согласования с заказчиком и для получения доступа к сторонним сервисам - это может плохо кончиться!
Результаты и отчет Последний этап - это отчет о выполненных работах, самая важная часть для заказчика и то, за что он платит деньги. Фактически, заказчик заказывая услугу рассчитывает получить не сам процесс, а результат, изложенный в отчете. Именно с документом заказчик может продолжить работу, направленную на повышение собственной безопасности: определить слабые места, разработать меры по митигации рисков, наконец, использовать для статистики и анализа данных в будущем. Поэтому очень важно на предыдущем этапе фиксировать и дублировать все данные для минимизации шанса потери информации. Важно помнить, что независимо от успешности фишинговой кампании нельзя просто написать: "все хорошо" или "все плохо". Если есть возможность, то еще до старта фишинговой кампании попробуйте уточнить важные для заказчика моменты, которые он хочет увидеть в отчете.
Отчет должен включать как минимум следующие разделы:
1. Модель атакующего, методология и цели фишинговой кампании;
2. Скоуп работ (целевой домен, список рассылки, текст письма, допустимые действия аудитором);
3. Результат проведения фишинговой атаки и ее анализ;
4. Рекомендации по результатам.
P.S. Тут рекомендации для белого пентестинга, но нам же это не мешает?
