← Ко всем статьям
Социальная манипуляция как инструмент пентестера
Автор статьи: Егор Зайцев
← Ко всем статьям
Социальная манипуляция
как инструмент пентестера
Автор статьи: Егор Зайцев
ВСЕМ ПРИВЕТ!
Меня зовут Егор Зайцев. Я специализируюсь на Red Team проектах с физическим проникновением на объекты заказчиков и веду канал PRO:PENTEST на YouTube и в Telegram. В физическом пентесте очень часто применяются атаки методом социальной инженерии. Такие навыки и знания помогают, когда компрометация компании через внешку не получилась. В этой статье я расскажу про применение социальной манипуляции к сотрудникам заказчика на примере реального кейса со всеми этапами: от разведки до получения физического доступа.
Меня зовут Егор Зайцев. Я специализируюсь на Red Team проектах с физическим проникновением на объекты заказчиков и веду канал PRO:PENTEST на YouTube и в Telegram. В физическом пентесте очень часто применяются атаки методом социальной инженерии. Такие навыки и знания помогают, когда компрометация компании через внешку не получилась. В этой статье я расскажу про применение социальной манипуляции к сотрудникам заказчика на примере реального кейса со всеми этапами: от разведки до получения физического доступа.
В реальных атаках технические средства далеко не всегда играют ключевую роль. Зачастую именно человек становится самой уязвимой точкой в цепочке безопасности. Даже хорошо защищённая инфраструктура может быть скомпрометирована через доверие, привычки или особенности поведения сотрудников.
Именно поэтому специалисты по тестированию на проникновение должны понимать не только технические аспекты атак, но и психологию взаимодействия. Социальная инженерия — это не обман ради обмана, а моделирование реальных сценариев, которые могут использовать злоумышленники.
Давайте рассмотрим практические кейсы, которые показывают, как теоретические знания применяются на реальных проектах.
Но перед началом важно понимать, какие категории сотрудников чаще всего представляют интерес.
Именно поэтому специалисты по тестированию на проникновение должны понимать не только технические аспекты атак, но и психологию взаимодействия. Социальная инженерия — это не обман ради обмана, а моделирование реальных сценариев, которые могут использовать злоумышленники.
Давайте рассмотрим практические кейсы, которые показывают, как теоретические знания применяются на реальных проектах.
Но перед началом важно понимать, какие категории сотрудников чаще всего представляют интерес.
НАИБОЛЕЕ ЦЕННЫЕ РОЛИ ДЛЯ МАНИПУЛИРОВАНИЯ
Как правило, при выполнении проекта у вас будет основная задача — захватить домен, получить доступ к персональным данным, или, например, посмотреть зарплатные листы сотрудников. Но порой бывает достаточно только обозначить, что ты можешь достичь выполнения недопустимого события.
Нужно рассуждать: кем же будет ваша цель, кто максимально быстро сможет предоставить вам возможность осуществить нужное недопустимое событие? Представьте себе графическую карту, которую отрисовывает BloodHound, но в качестве узлов тут выступают конкретные люди со своими ролями в компании или месте, которое нужно сломать протестировать.
Очевидные цели:
Наша главная задача — это не вызвать подозрений. Чем проще и естественнее выглядит коммуникация, тем выше вероятность успеха.
Как правило, при выполнении проекта у вас будет основная задача — захватить домен, получить доступ к персональным данным, или, например, посмотреть зарплатные листы сотрудников. Но порой бывает достаточно только обозначить, что ты можешь достичь выполнения недопустимого события.
Нужно рассуждать: кем же будет ваша цель, кто максимально быстро сможет предоставить вам возможность осуществить нужное недопустимое событие? Представьте себе графическую карту, которую отрисовывает BloodHound, но в качестве узлов тут выступают конкретные люди со своими ролями в компании или месте, которое нужно сломать протестировать.
Очевидные цели:
- системные администраторы
- DevOps инженеры
- сотрудники ИБ
- разработчики
- специалисты технической поддержки
- сотрудники с доступом к СКУД
- IT-руководители
- офис-менеджеры
- HR-специалисты
- бухгалтерия
- сотрудники ресепшн
- помощники руководителей
- подрядчики и клининг
- сотрудники call-центров
- специалисты по закупкам
Наша главная задача — это не вызвать подозрений. Чем проще и естественнее выглядит коммуникация, тем выше вероятность успеха.
КЕЙС: МАНИПУЛИРОВАНИЕ РЯДОВЫМ СОТРУДНИКОМ
Этап 1. OSINT и выбор цели
Первоначальный этап включает сбор информации из открытых источников.
Как правило, навести справки и собрать информацию — это 80% успеха. Для этих целей используются:
Далее формируется легенда, которая поможет установить контакт с целью и не вызвать подозрений. Здесь важно не придумывать новую личность, а грамотно расставить акценты в реальной биографии. Когда история основана на реальных фактах, она звучит естественно и не вызывает внутреннего напряжения.
Важно заранее продумать точки соприкосновения с объектом. Именно они позволяют начать разговор органично.
Как правило, на реальных проектах приходится прошерстить целую кучу аккаунтов в разных социальных сетях. Не везде бывают конечные связи. Бывает так, что нашел фото сотрудника, поискал через ТГ-бота, он вывел тебе ник в ТГ, потом ты пошел искать его по нику в Instargram или LinkedIn, а там уже пусто, либо вообще нет таких аккаунтов. (Тут естественно ряд проверок, который нет смысла перечислять).
Приходится выполнять много рутинного перебора, и постепенно откидывать аккаунты, которые не дают нужной информации. Мне всегда нравится читать чьи-нибудь отчеты по OSINT, но самому выполнять эту работу довольно скучно, поскольку 80% перебираемой информации не дают вообще ничего. Но не исключаю, что коллеги по рынку знают способы делать это легко и весело — я же поделюсь советами о том, как установить контакт с выбранной целью.
Этап 1. OSINT и выбор цели
Первоначальный этап включает сбор информации из открытых источников.
Как правило, навести справки и собрать информацию — это 80% успеха. Для этих целей используются:
- Социальные сети (LinkedIn, VK, Instagram, HH, YouTube, Habr, Xakep и прочее)
- Telegram-боты
- Форумы
- Сервисы знакомств
- Комментарии и обсуждения
- Фотографии с мероприятий
Далее формируется легенда, которая поможет установить контакт с целью и не вызвать подозрений. Здесь важно не придумывать новую личность, а грамотно расставить акценты в реальной биографии. Когда история основана на реальных фактах, она звучит естественно и не вызывает внутреннего напряжения.
Важно заранее продумать точки соприкосновения с объектом. Именно они позволяют начать разговор органично.
Как правило, на реальных проектах приходится прошерстить целую кучу аккаунтов в разных социальных сетях. Не везде бывают конечные связи. Бывает так, что нашел фото сотрудника, поискал через ТГ-бота, он вывел тебе ник в ТГ, потом ты пошел искать его по нику в Instargram или LinkedIn, а там уже пусто, либо вообще нет таких аккаунтов. (Тут естественно ряд проверок, который нет смысла перечислять).
Приходится выполнять много рутинного перебора, и постепенно откидывать аккаунты, которые не дают нужной информации. Мне всегда нравится читать чьи-нибудь отчеты по OSINT, но самому выполнять эту работу довольно скучно, поскольку 80% перебираемой информации не дают вообще ничего. Но не исключаю, что коллеги по рынку знают способы делать это легко и весело — я же поделюсь советами о том, как установить контакт с выбранной целью.
Этап 2. Поиск точки соприкосновения
В рамках одного проекта мне удалось выяснить, что сотрудник увлекался любительским дрифтом на Toyota Mark II. Практически каждая сторис — ночные заезды под музыку, жженая резина и комментарии на тему создания независимого контура гидроручника.
Это готовая точка контакта. У меня был релевантный опыт в этом деле, пусть и не совсем удачный, но это не так важно. Главное, что интерес к теме выглядел естественно.
Дополнительно LinkedIn дал понимание, что сотрудник работает системным администратором. То, что нужно. В Instagram обнаружился бар, где он регулярно проводил пятничные вечера.
Не забывайте отмечать ваши любимые места на карте — это очень помогает ;)
Получилась комбинация:
В рамках одного проекта мне удалось выяснить, что сотрудник увлекался любительским дрифтом на Toyota Mark II. Практически каждая сторис — ночные заезды под музыку, жженая резина и комментарии на тему создания независимого контура гидроручника.
Это готовая точка контакта. У меня был релевантный опыт в этом деле, пусть и не совсем удачный, но это не так важно. Главное, что интерес к теме выглядел естественно.
Дополнительно LinkedIn дал понимание, что сотрудник работает системным администратором. То, что нужно. В Instagram обнаружился бар, где он регулярно проводил пятничные вечера.
Не забывайте отмечать ваши любимые места на карте — это очень помогает ;)
Получилась комбинация:
- общие интересы
- понятный формат знакомства
- расслабленная обстановка
Этап 3. Установление первого контакта
Контакт не всегда происходит быстро. Несколько недель пришлось периодически появляться в заведении, пока наконец нужный человек не оказался в баре. В один из вечеров сотрудник изучал объявления о продаже резины для авто. Я начал диалог с простого вопроса про машину, спросил совета и мнения о модели авто.
Разговор быстро перешёл в обсуждение дрифта, тюнинга и ночных поездок. Человек охотно делился опытом, показывал фотографии, рассказывал истории удачных покупок деталей. Когда собеседник много говорит о любимом деле — это хороший сигнал. Нужно обязательно дать ему выговорится, но не опустошить необходимость высказаться до конца, чтобы сосуд был полон энергии — это важно. В свою очередь, мой рассказ был коротким: раньше тоже увлекался гонками, сейчас больше наблюдаю со стороны. После этого снова переключился на вопросы. Люди любят рассказывать про себя. Рокет сайнса тут вообще никакого нет, каждый помнит, как на основе бытовой темы завязываются товарищеские отношения или даже дружба. Истории про более экстравагантные методы установления контактов вам расскажут частные детективы, там этого добра навалом.
Контакт не всегда происходит быстро. Несколько недель пришлось периодически появляться в заведении, пока наконец нужный человек не оказался в баре. В один из вечеров сотрудник изучал объявления о продаже резины для авто. Я начал диалог с простого вопроса про машину, спросил совета и мнения о модели авто.
Разговор быстро перешёл в обсуждение дрифта, тюнинга и ночных поездок. Человек охотно делился опытом, показывал фотографии, рассказывал истории удачных покупок деталей. Когда собеседник много говорит о любимом деле — это хороший сигнал. Нужно обязательно дать ему выговорится, но не опустошить необходимость высказаться до конца, чтобы сосуд был полон энергии — это важно. В свою очередь, мой рассказ был коротким: раньше тоже увлекался гонками, сейчас больше наблюдаю со стороны. После этого снова переключился на вопросы. Люди любят рассказывать про себя. Рокет сайнса тут вообще никакого нет, каждый помнит, как на основе бытовой темы завязываются товарищеские отношения или даже дружба. Истории про более экстравагантные методы установления контактов вам расскажут частные детективы, там этого добра навалом.
Этап 4. Укрепление доверия
Мы договорились встретиться ещё раз, чтобы прокатиться по ночному городу (тут не работает правило мотоциклистов, слава Богу!). В процессе общения удалось аккуратно перейти к теме работы. Я упомянул, что ищу позицию эникейщика — интересно потом админить сервера и строить большие ЦОДы в перспективе.
Собеседник предложил помочь, поскольку на его работе была открыта вакансия, но из-за низкой оплаты никто даже собеседоваться не шел. В ходе разговора мне удалось узнать много интересной информации: начиная от любимой ОС, заканчивая детальным описанием хреновых процессов в компании — дефолтный «крысиный» совет о том, как можно было бы сделать лучше.
Мы договорились встретиться ещё раз, чтобы прокатиться по ночному городу (тут не работает правило мотоциклистов, слава Богу!). В процессе общения удалось аккуратно перейти к теме работы. Я упомянул, что ищу позицию эникейщика — интересно потом админить сервера и строить большие ЦОДы в перспективе.
Собеседник предложил помочь, поскольку на его работе была открыта вакансия, но из-за низкой оплаты никто даже собеседоваться не шел. В ходе разговора мне удалось узнать много интересной информации: начиная от любимой ОС, заканчивая детальным описанием хреновых процессов в компании — дефолтный «крысиный» совет о том, как можно было бы сделать лучше.
Этап 5. Получение физического доступа
Во время встречи, когда мы сели в авто, я заметил рабочий пропуск. Знаете такой кармашек под магнитолой? Вот именно там валялась заветная карточка.
Во время «ночного дожора», пока мой новоиспеченный друг пошел нам за картошкой и колой, у меня появилась возможность считать данные карты при помощи компактного устройства клонирования RFID. Мы отлично провели время, покатались, пожгли резину и разошлись. Несколько позже мой товарищ организовал мне встречу с HR для собеседования на позицию помощника сисадмина.
В рамках экскурсии мне показали мое гипотетическое рабочее место. Представьте себе бесконечные стойки с серверами и растворимый кофе с бутербродами на небольшом столике. По итогу я получил расположение серверных стоек, рабочие зоны, информацию об инфраструктуре и прочее.
Во время встречи, когда мы сели в авто, я заметил рабочий пропуск. Знаете такой кармашек под магнитолой? Вот именно там валялась заветная карточка.
Во время «ночного дожора», пока мой новоиспеченный друг пошел нам за картошкой и колой, у меня появилась возможность считать данные карты при помощи компактного устройства клонирования RFID. Мы отлично провели время, покатались, пожгли резину и разошлись. Несколько позже мой товарищ организовал мне встречу с HR для собеседования на позицию помощника сисадмина.
В рамках экскурсии мне показали мое гипотетическое рабочее место. Представьте себе бесконечные стойки с серверами и растворимый кофе с бутербродами на небольшом столике. По итогу я получил расположение серверных стоек, рабочие зоны, информацию об инфраструктуре и прочее.
Итоги кейса
Своей цели по ТЗ я добился и спокойно закончил заманчивую беседу и ушёл домой.
В данном случае заказчику важно было обозначить возможность того, что я могу достать необходимую информацию — мне не обязательно было продолжать моё фейковое трудоустройство и проверять реализацию возможной серии недопустимых событий.
На следующий день я получил официальное подтверждение о закрытии проекта. Возможно, тут в меня полетят камни, поскольку такое злоупотребление доверием выглядит довольно отвратительно. Но такова работа физ. пентестера — ничего личного.
Своей цели по ТЗ я добился и спокойно закончил заманчивую беседу и ушёл домой.
В данном случае заказчику важно было обозначить возможность того, что я могу достать необходимую информацию — мне не обязательно было продолжать моё фейковое трудоустройство и проверять реализацию возможной серии недопустимых событий.
На следующий день я получил официальное подтверждение о закрытии проекта. Возможно, тут в меня полетят камни, поскольку такое злоупотребление доверием выглядит довольно отвратительно. Но такова работа физ. пентестера — ничего личного.
Альтернативная техника воздействия
Нужно помнить, что не всегда используется позитивная точка соприкосновения.
Иногда эффективнее работает негативная эмоция, такая как страх, разочарование, обида, стресс, выгорание и другое.
Один из способов сделать хук — это рассказать личную историю, которая вызовет отклик у собеседника и будет ассоциироваться с его собственной ситуацией.
Когда человек узнаёт себя в чужом опыте, возникает эффект психологического сближения. После этого коммуникация происходит значительно легче.
Нужно помнить, что не всегда используется позитивная точка соприкосновения.
Иногда эффективнее работает негативная эмоция, такая как страх, разочарование, обида, стресс, выгорание и другое.
Один из способов сделать хук — это рассказать личную историю, которая вызовет отклик у собеседника и будет ассоциироваться с его собственной ситуацией.
Когда человек узнаёт себя в чужом опыте, возникает эффект психологического сближения. После этого коммуникация происходит значительно легче.
ЗАКЛЮЧИТЕЛЬНАЯ МЫСЛЬ
Во многих случаях успех коммуникации определяется не «магическими фразами», а подготовкой, вниманием к деталям, умением слушать, адаптацией к реакции собеседника, спокойствием и естественностью поведения.
Социальная инженерия — это точно не набор трюков, а навык наблюдения и понимания людей. И именно поэтому актеры, психологи и переговорщики часто показывают лучшие результаты, чем те, кто изучил только теорию.
Во многих случаях успех коммуникации определяется не «магическими фразами», а подготовкой, вниманием к деталям, умением слушать, адаптацией к реакции собеседника, спокойствием и естественностью поведения.
Социальная инженерия — это точно не набор трюков, а навык наблюдения и понимания людей. И именно поэтому актеры, психологи и переговорщики часто показывают лучшие результаты, чем те, кто изучил только теорию.
Упражнения для прокачки навыков
социальной инженерии
социальной инженерии
Подпишись на рассылку CyberED, чтобы скачать упражнения для подготовки к физическому пентесту от Егора Зайцева.