СИ-агент: Огромное вам спасибо, вы не представляете, как я вам благодарна! И мой муж будет просто счастлив, лучшего подарка и не придумаешь! Спасибо!
Объект: Как только коллега сообщит мне, что программа установлена, я отправлю вам на телефон одноразовый пароль. И вы сможете отправить необходимый документ.
СИ-агент: Ой, подождите, так не получится… Я же не взяла с собой рабочий телефон, я не смогу получить СМС…
Объект: Но, миссис Тилли… это правило обойти нельзя. Я не знаю, что еще можно сделать.
СИ-агент: Как же это ужасно. Это мне урок на всю жизнь!!! Как можно быть такой тупицей! Нужно всегда носить с собой рабочий телефон, всегда! Получается, придется отменять перелет и откладывать отпуск. Все равно огромное вам спасибо за помощь, что поделаешь, если я такая дура…
Объект:
СИ-агент: Вы готовы это сделать? Боже мой, я сейчас заплачу.
Объект: Нет, не стоит. Сейчас мы все сделаем, и вы спокойно сядете на свой рейс и полетите отдыхать, не думая о работе.
Таким образом нам удалось получить удаленный доступ, пароль — и найти возможность серьезно навредить компании.
Наверное, вы заметили, что я люблю эмоциональные легенды, в которых объект воздействия «помогает» или даже «спасает» меня. И не безосновательно. Когда мы даем человеку возможность довериться нам, в свою очередь доверяясь ему, это создает между нами сильную связь. Выделяется окситоцин, заставляющий человека быть последовательным в своем желании помочь вам, вне зависимости от того, насколько это действие может оказаться небезопасным.
Использование вишинга в качестве основной стратегии атаки может значительно облегчить работу пентестера. А убедительная легенда для успешного телефонного разговора основывается на открытых данных, которые, в свою очередь, можно собрать с использованием того же вишинга.
Вишинг — эффективный вектор атаки. С его помощью злоумышленники могут нанести компании существенный урон. Он может использоваться на разных этапах социально-инженерной атаки, и потому считается одним из самых мощных инструментов в СИ-арсенале.
Профессиональный социальный инженер, желающий достичь в своем деле успеха, не должен бояться телефонных разговоров. Учитесь их вести, даже если в обычной жизни предпочитаете общаться лично. Нужно уметь устанавливать раппорт, заручаться доверием и получать информацию от объектов воздействия, даже когда они вас не видят.
Раздел, посвященный этому методу, будет довольно коротким, потому что специалистам по проверке безопасности редко приходится использовать СМС-сообщения в ходе атаки. После скандала c Wells Fargo в 2017 году прокатилась волна СМС-мошенничеств. Многие из них были выстроены по той же схеме, что и текст на скриншоте 9.2. Большинство таких сообщений сформулированы просто, однако весьма эффективно справляются со своей задачей (которая чаще всего заключается в загрузке вредоносного кода на мобильное устройство и последующей кражи персональных данных).
В последние годы все чаще организуются атаки с использованием вредоносных кодов для мобильных операционных систем, направленных на получение доступа к устройству жертвы. Кроме того, все шире распространяется практика использования сотрудниками личных устройств на работе (BYOD). А взломав мобильное устройство, злоумышленники получают возможность читать электронную почту его владельца, удаленно включать видеокамеру и микрофон, а также использовать его как удаленную точку доступа. Разумеется, это вызывает беспокойство у представителей многих организаций.
Именно поэтому социальные инженеры тоже должны владеть этим методом воздействия. Вот несколько правил, отличающих SMiSHing от фишинга:
Краткость всему голова. Сообщение должно быть коротким и понятным. Никаких вступлений и заключений — только факты и ссылка.
Ссылки. Я считаю, что всегда имеет смысл создавать под атаку соответствующее доменное имя. Однако если сделать это невозможно, укороченные URL намного лучше работают в СМС, чем в электронной почте. Проверить ссылку на мобильном устройстве намного сложнее, поэтому только продвинутые пользователи сумеют заподозрить, что со ссылкой что-то не так.
