Как я собирал «урожай» фишинга и обучал защиту
Меня пытаются взломать!
Всю неделю злые письки с «загнивающего запада» пытаются завладеть моей почтой. Я даже не представляю как такое возможно провернуть, я и сам с большим трудом вхожу в свой аккаунт, особенно «нравятся» приседания с аппаратным ключом и ошибками — что-то пошло не так, обратитесь к администратору.
Блядь! Я и есть администратор!
Если кто-то взломает, пришлите мне пожалуйста мой актуальный пароль, а то я как лох сижу и боюсь проебать сессию.
Вчера на телефоне пришлось входить с помощью резервных кодов, NFC видимо из принципа не работал. Звезды не в той фазе или магнитные бури, а может быть GrapheneOS решила меня от чего-то защитить.
Ну ладно, всегда были желающие, но 99% таких писем попадают в спам. Сейчас на рынке мало кто способен провести подобное мероприятие, причём грамотно.
читать первым в телеграм читать первым в макс
Сегодня расскажу как мы работали с такими «пенетраторами» и обучали нашу корпоративную систему на обнаружение подобной шляпы.
Всё было довольно просто. В бородатые времена активно развивались различные андеграунд форумы (эксплоит.ин, античат и т.п.), сейчас молодежь кличат их общим словом — даркнет.
К андеграунд сцене и её участникам я отношусь с почтением, можно сказать я познавал кишки линукса именно там.
На таких площадках товарищи ежедневно размещали объявления о своих услугах. В том числе по лому почтовых ящиков. Были даже целые сервисы, которые за большие деньги гарантировали успешность мероприятия.
На этом и играли. Предоплату обычно никто не просил, потому что гарантий рядовые исполнители никогда не давали, оплата только по результату. Чтобы убедиться что результат есть, нужно было отправить на заказанный ящик письмо с кодовым словом и это кодовое слово исполнитель должен был тебе назвать.
Ну дак вот. Чтобы от чего-то защищаться, нужно знать с чем и как нападают. А чтобы это узнать, нужно провести аналитику, разобрать фишинговые письма, прошерстить все ссылки и нюансы работы. Так и делали.
А откуда мы брали эти письма на анализ? Вот в этом и была простота. Регистрируется 100500 ящиков, сейчас наверное такое провернуть сложно, но раньше были авторегеры и т.п. утилиты. Эти ящики раскидывались на владельцев сервисов по лому и единичных исполнителей. Ну и затем собирался урожай.
Частый вопрос — а зачем нужны ханипоты? Вот например для этого и нужны. Чтобы заранее спиздить актуальный вектор атаки и защититься от него. Этакая работа на опережение, тут что-то даже от разведки есть.
На новые ящики пачками падали письма с заманухами, кто во что горазд. Ну а затем отдел аналитики разгребал всю эту подноготную и обучал систему для предотвращения вторжений. Этакий всратый вирустотал, который собирает экземпляры вредоносов и затем пополняет свою базу детекта.
Да, правильные пароли от ящиков тоже вводились, чтобы посмотреть, как будет происходить захват. Что изменят, как закрепятся и т.п. Но обычно дальше получения пароля и проверки на вход, ничего не происходило.
Потому что каждое изменение (например пересылка писем) сопутствовалась красной вплывающей плашкой — вы установили адрес пересылки. Естественно владелец ящика такое бы сразу спалил.
Сейчас с этим еще сложнее, на любой чих приходит уведомление, поэтому этот вектор атаки сейчас очень сложный и дорогой. Очень много нюансов. Большинство дохнет на первом рубеже, обойти папку Спам.
А если привязан аппаратный ключ, то пиши пропало. Рынок по таким услугам успешно загнулся, по крайней мере в пабликах такого почти не встретишь.
Хуй знает зачем тебе эта информация, наверное посыл лишь один — если у тебя нет каких-то данных, ты можешь проявить хитрость и раздобыть их, причем бесплатно.
Так что не пренебрегай «гуглением», на все вопросы уже есть ответы, а если не нашел, то значит хуёва искал.