Этот учебный раздел охватывает следующие цели обучения:

Фишеры преследуют разные цели: запуск вредоносного кода или кража учётных данных. Эта цель определяет стратегию проведения атаки.

После выбора цели злоумышленники, как правило, определяют способ коммуникации.

Электронная почта остаётся наиболее традиционным и распространённым каналом фишинга. Однако smishing (фишинг через SMS), vishing (голосовой фишинг), а также атаки с использованием дипфейков становятся всё более распространёнными. Эти методы могут комбинироваться для повышения эффективности.

Этот учебный раздел объясняет подходы к фишингу и то, как генеративный ИИ усиливает такие атаки.

Чтобы лучше понять социальные и технические механизмы фишинговых кампаний, давайте рассмотрим создание собственной демонстрационной фишинговой кампании через email.

Текст письма обычно создаётся с определённой целью — например, убедить жертву выполнить действие, которое приведёт к выполнению вредоносного кода. В таком случае злоумышленник, скорее всего, прикрепит к письму вредоносное вложение и попытается убедить пользователя открыть его, что приведёт к запуску payload’а. Вредоносные вложения могут принимать различные формы, включая документы Office, PDF-файлы, архивы 7zip/zip, ярлыки и приглашения календаря.

Злоумышленники также могут вставлять ссылки, ведущие на сайты с эксплойтами. Переход по таким ссылкам может привести к эксплуатации уязвимостей браузера и выполнению кода на машине жертвы.

Альтернативно текст письма может убеждать пользователя перейти по ссылке на вредоносный сайт, который внешне очень похож на знакомый сервис, куда пользователь обычно входит. Если пользователь вводит свои данные, злоумышленник получает эти учётные данные.

В фишинге pretext — это вымышленная история, созданная для того, чтобы убедить человека открыть ссылку или вложение. Успех атаки напрямую зависит от правдоподобности такого сценария. Даже мелкие детали важны — опечатки, плохая грамматика и ошибки форматирования могут выдать мошенничество. Pretext должен выглядеть максимально естественно и незаметно, чтобы не вызывать подозрений.

Это требует развитых навыков социальной инженерии, хорошего владения языком цели и предварительного сбора информации, чтобы добавить реалистичности атаке и убедить жертву выполнить нужное действие.

Несмотря на это, создание убедительного сценария остаётся сложной задачей. Например, письмо должно приходить от знакомого или хотя бы выглядящего безопасным источника, а метаданные письма должны соответствовать ожиданиям пользователя. Если письмо приходит с неизвестного домена, вероятность того, что его откроют, значительно снижается. Поэтому злоумышленники часто регистрируют домены, похожие на домены организации-жертвы, её партнёров или известных сервисов.

Кроме того, если злоумышленник получает доступ к реальной почте внутри организации или у её клиентов (например, через утечки данных или скомпрометированные учётные данные), он будет использовать этот аккаунт, так как это значительно повышает вероятность успеха атаки.

Сценарий (pretext) должен соответствовать контексту цели. Например, если атака направлена на HR-отдел, текст письма должен соответствовать типичным письмам, которые получают сотрудники HR. Для этого требуется исследование и понимание структуры и процессов организации.

Также стоит упомянуть whaling — разновидность spear phishing, направленная на высокопоставленных сотрудников. Такие атаки требуют больше подготовки и внимания, а сценарии в них максимально персонализированы и часто основаны на глубоком исследовании или внутренней информации.

При проведении фишинговых тестов в организациях обычно предоставляется список адресов, на которые нельзя направлять атаки — как правило, это высокопоставленные сотрудники.

Существуют и более массовые подходы к фишингу. Один из них — имитация писем от популярных сервисов, таких как Slack, Zoom, Gmail или Microsoft Teams. Такие письма ведут на поддельные сайты, копирующие оригинальные сервисы. Этот метод называется clone phishing и часто используется в массовых кампаниях.

В целом, фишинг через email начинается с глубокого изучения цели и постановки задачи. Затем создаётся сценарий (pretext), который помогает достичь этой цели. После этого проводится сама кампания, объединяющая исследование и техническую реализацию.

В следующем разделе рассматриваются другие технологии, которые используются при проведении фишинговых атак.

Помимо традиционных фишинговых кампаний через email, злоумышленники могут использовать smishing (сочетание слов SMS и phishing) для атак через SMS или другие мобильные мессенджеры.

SMS — более личный и прямой канал связи по сравнению с электронной почтой. Эффективность smishing-атаки сильно зависит от цели. Например, сообщение, отправленное на рабочий телефон, должно выглядеть как связанное с работой, тогда как сообщение на личный номер будет более правдоподобным, если содержит упоминания друзей или семьи. Кроме того, поскольку номер отправителя, скорее всего, отсутствует в контактах жертвы, злоумышленнику необходимо продумать сценарий (pretext), объясняющий это. Эти детали критически важны при проведении smishing-атаки.

Например, в распространённой схеме «CEO gift card scam» злоумышленник выдаёт себя за руководителя компании и просит сотрудника купить подарочную карту. Такая атака может быть особенно эффективной, если жертва верит, что сообщение действительно пришло от руководства.

Ещё одна категория — голосовой фишинг, или vishing. В этом случае злоумышленник звонит жертве и взаимодействует с ней напрямую. Традиционный vishing в большей степени опирается на навыки социальной инженерии, чем на технические средства.

В smishing и vishing-кампаниях также могут использоваться техники подмены номера (caller ID spoofing), позволяющие изменить отображаемый номер отправителя или звонящего. Это стало особенно распространено благодаря развитию технологий VoIP (Voice over Internet Protocol).

Смежной атакой является SIM swapping — когда злоумышленник обращается к оператору мобильной связи, выдавая себя за владельца номера, и убеждает перенести номер на SIM-карту, находящуюся под его контролем. Это даёт полный контроль над номером жертвы до тех пор, пока доступ не будет восстановлен. Такая техника может использоваться не только для подмены номера, но и для обхода механизмов Multi-Factor Authentication.

Также важно отметить, что чат-приложения и мессенджеры часто становятся целью фишинга. Это касается таких платформ, как Discord, Slack и Microsoft Teams.

Независимо от канала коммуникации, злоумышленники могут использовать либо массовые и универсальные подходы, направленные на широкую аудиторию, либо более точечные атаки против ограниченного числа целей — в зависимости от поставленной задачи.

Теперь, когда мы кратко рассмотрели различные техники социальной инженерии, давайте обсудим несколько фундаментальных концепций и приёмов, которые злоумышленники обычно используют в атаках.

Социальная инженерия опирается на психологическое воздействие, а не на технические навыки. Это означает, что злоумышленники используют «человеческий» фактор, совершенствуя свои методы со временем методом проб и ошибок. Исходя из этого, как специалисты по тестированию на проникновение, мы должны стремиться сделать фишинговую кампанию максимально правдоподобной. Добавление элементов социальной инженерии может создать дополнительное давление, побуждающее цель игнорировать рациональное мышление.

Завоевание доверия — ключевая цель любой успешной фишинговой кампании. Нам нужно, чтобы цель доверяла нашему сообщению настолько, чтобы выполнить требуемое действие. Для этого необходимо произвести хорошее впечатление. Проще говоря, сценарий (pretext) должен соответствовать ожиданиям цели и не вызывать подозрений.

Кроме того, сценарий должен соответствовать payload’у. Например, если мы выдаём себя за определённую компанию, страница, на которую ведёт вредоносная ссылка, должна визуально совпадать с её официальным сайтом. Домен отправителя и URL также должны выглядеть правдоподобно, поэтому злоумышленники часто регистрируют похожие доменные имена. Важны даже мелкие детали, например наличие защищённого соединения (HTTPS), поскольку HTTP может вызвать подозрения. Небрежность снижает доверие — детали имеют значение.

Однако технических аспектов недостаточно. Важно использовать и «мягкие» навыки. Например, если мы имитируем конкретного человека (или используем его скомпрометированный аккаунт), следует воспроизвести его стиль письма. Сообщение должно выглядеть знакомым и не вызывать подозрений. Более продвинутый подход — установить контакт с целью заранее, прежде чем убеждать её открыть вредоносный файл или перейти по ссылке.

Понимание того, как выстраивать доверие (или использовать уже существующие доверительные отношения), — один из самых важных навыков в фишинге. Однако есть и другие стратегии.

Срочность (urgency) — распространённая техника, заставляющая жертву действовать быстро, не задумываясь о безопасности. Она особенно эффективна в организациях с нездоровой культурой, где сотрудники привыкли к срочным задачам и не имеют времени на проверку.

Страх (fear) — ещё один метод, который может временно подавить критическое мышление и повысить вероятность выполнения требований.

Авторитет (authority) — похожая стратегия, усиливающая эффект срочности. Она часто включает имитацию руководителя или даже генерального директора. Эти методы нужно балансировать, учитывая важность доверия и установления контакта.

Наконец, часто используется вознаграждение (reward) в рамках техники baiting — предложение материальной или нематериальной выгоды для побуждения к действию. Это может быть подарочная карта, деньги или, например, обещание карьерных преимуществ. Подобные предложения могут выглядеть правдоподобно, поскольку компании сами иногда используют похожие механики (например, опросы с вознаграждением).

Социальные аспекты напрямую влияют на успешность фишинговой кампании. Использование доверия и добавление психологических манипуляций могут заставить цель временно отключить критическое мышление, что значительно повышает эффективность атаки.

Появление Large Language Models (LLM) и технологий Generative AI открывает новые возможности для фишинга и социальной инженерии. Генеративный ИИ особенно полезен на этапе разведки, а LLM — при разработке правдоподобного сценария (pretext).

Некоторые группы threat intelligence уже отмечают использование Gen AI в реальных фишинговых кампаниях. Например, в 2023 году Microsoft предупредила о росте использования LLM при создании фишинговых писем. В отчёте M-Trends 2024 от Mandiant также отмечается увеличение применения генеративного ИИ в социальной инженерии и информационных операциях.

Однако такие отчёты отражают только наблюдаемую активность. Например, они не могут точно определить, как злоумышленники используют Gen AI на этапах планирования и исследования атак. В частности, LLM могут собирать релевантную информацию о цели и генерировать текст для писем и веб-страниц. Например, модель может использовать подход Retrieval Augmented Generation для обработки большого объёма публично доступной информации о цели и преобразования её в основу для убедительного сценария. В случае известных целей RAG может быть даже не нужен, так как модель уже может обладать необходимыми знаниями. Креативное использование Gen AI позволяет создавать более персонализированные и убедительные атаки.

Кроме того, такие технологии, как voice cloning, стали значительно доступнее. Они позволяют создать модель голоса человека на основе небольшого количества аудиозаписей и затем воспроизводить произвольную речь от его имени. По мере развития Gen AI такие технологии становятся всё более реалистичными и трудными для обнаружения.

Дипфейк-видео также используются в фишинговых атаках. В 2024 году архитектурная компания Arup стала жертвой мошенничества с дипфейком: во время видеозвонка злоумышленники использовали поддельные образы CFO и других сотрудников. «Финансовый директор» одобрил перевод 25 миллионов долларов, которые были отправлены злоумышленникам.

По мере развития технологий генеративного ИИ специалисты по тестированию на проникновение могут использовать их для усиления традиционных фишинговых техник.