“Внутренняя сеть кажется неприступной, но её ключи регулярно выносят за периметр на фишинговых страницах. Стандартные рекомендации по защите зачастую лишь создают ложное чувство безопасности, потому что злоумышленники давно атакуют не пароль, а сессию или сам процесс входа. Эта статья — о том, почему классический фишинг остаётся действенным и как именно работают современные инструменты для сбора данных.”
Сбор учётных данных (Credential Harvesting)
Credential harvesting — процесс целенаправленного получения логинов, паролей, токенов и других учётных данных. Хотя сама схема не нова, методики постоянно развиваются: если раньше атаки были массовыми и примитивными, то сегодня они превратились в цепочки высокотехнологичных операций, часто использующих уязвимости в самой инфраструктуре аутентификации.
Механика сбора данных через фишинг
Наиболее распространённый сценарий — отправка фишинговых писем, которые перенаправляют пользователя на поддельный сайт. Страница визуально идентична оригинальной, а введённые данные перехватываются и отправляются злоумышленнику.
Целями обычно становятся сервисы, чьи данные дают доступ к ценным ресурсам:
- Корпоративные системы: Office 365, VPN-шлюзы, порталы дистанционной работы.
- Облачные платформы: почтовые и файловые сервисы.
- Социальные сети и мессенджеры, особенно используемые для рабочей коммуникации.
- Банковские и платёжные порталы.
Атака эффективна, потому что эксплуатирует человеческий фактор, а не технические уязвимости ПО. Пользователь сам передаёт свои данные, убеждённый в легитимности запроса.
Защита: многофакторная аутентификация и её обход
Внедрение многофакторной аутентификации (MFA) — базовый и критически важный шаг для защиты. Однако он не является абсолютной панацеей.
Современные атаки могут обходить MFA, перехватывая сессионные файлы cookie после успешного входа пользователя. Для этого используется более сложный фишинг: жертву перенаправляют на промежуточную прокси-страницу, которая в реальном времени передаёт её действия на настоящий сайт, параллельно перехватывая сессию.
Важно понимать: MFA защищает от кражи и подбора пароля, но не от компрометации уже открытой сессии. Поэтому даже с включённой двухфакторной аутентификацией необходимо проявлять бдительность при переходе по ссылкам из непроверенных источников.
Риски единого входа (SSO) и OAuth
Популярность моделей единого входа (SSO) и федеративной аутентификации через OAuth создаёт новые векторы для атак. Многие корпоративные и облачные приложения позволяют войти, используя учётную запись внешнего провайдера, например, Google или Microsoft.
Злоумышленник может создать поддельную страницу, имитирующую окно входа такого провайдера. Пользователь, привыкший к схеме «войти через Google», не задумываясь вводит свои основные учётные данные, которые попадают к атакующему. Скомпрометировав эту основную учётку, злоумышленник получает потенциальный доступ ко всем связанным с ней сервисам.
Инструментарий: Social-Engineer Toolkit (SET) в действии
Social-Engineer Toolkit, это комплексный фреймворк с открытым исходным кодом, автоматизирующий проведение атак социальной инженерии. Он часто используется для моделирования и демонстрации фишинговых сценариев, включая сбор учётных данных.
Работа с Credential Harvester в SET состоит из нескольких этапов, наглядно показывающих, как создаётся и разворачивается фишинг-кампания.
Настройка атаки
После запуска setoolkit и выбора пункта социально-инженерных атак, необходимо перейти к векторам веб-атак:
set> 1
...
set> 2Среди методов веб-атак выбирается «Credential Harvester Attack Method». Его ключевая особенность — клонирование целевого сайта с формами ввода и перехват всех отправляемых на него POST-данных.
Выбор шаблона и запуск
SET предлагает использовать готовый шаблон (например, страницу входа в Twitter) или склонировать произвольный сайт. После выбора шаблона необходимо указать IP-адрес, на который будут отправляться перехваченные данные.
set:webattack> IP address for the POST back: [192.168.1.10]Если система правильно определила сетевой интерфейс, можно использовать адрес по умолчанию. После этого инструмент запускает веб-сервер на порту 80, обслуживающий клонированную фишинговую страницу.
Доставка фишинговой ссылки
Созданная страница сама по себе бесполезна без механизма доставки ссылки на неё жертве. Для этого используются классические фишинговые рассылки или более изощрённые методы, например, эксплуатация уязвимостей на легитимном сайте, который посещает пользователь:
- XSS (Межсайтовый скриптинг): позволяет внедрить на доверенном сайте код, перенаправляющий пользователя на фишинговую страницу.
- CSRF (Межсайтовая подделка запроса): может использоваться для косвенного вовлечения пользователя во взаимодействие с вредоносным ресурсом.
Тактическое разнообразие: другие векторы в SET
Помимо классического сбора данных, SET включает другие методы веб-атак, что делает его универсальным инструментом для тестирования осведомлённости:
| Метод | Принцип действия |
|---|---|
| Java Applet Attack | Имитация подписанного Java-апплета для доставки вредоносной нагрузки. |
| Metasploit Browser Exploit | Использование известных уязвимостей браузеров через скрытый iframe. |
| Tabnabbing | Смена содержимого неактивной вкладки на фишинговую страницу. |
| Web Jacking | Техника подмены URL в адресной строке через iframe. |
| Multi-Attack | Комбинация нескольких векторов в одной атаке. |
| HTA Attack | Внедрение скриптов через файлы приложения HTML (HTA). |
Что нужно учитывать для реальной защиты
Понимание методик атак — первый шаг к построению адекватной защиты. Технические меры должны дополняться регулярным обучением сотрудников. Важно разъяснять не только как выглядит фишинг, но и как работают современные схемы обхода MFA и почему нельзя использовать корпоративные учётные данные для входа на сторонние сайты, даже если они выглядят знакомо.
С точки зрения инфраструктуры, необходимо внедрять решения для анализа и фильтрации почтового трафика, использовать средства защиты от мошеннических сайтов на уровне DNS и шлюзов, а также настраивать политики условного доступа, анализирующие аномалии входа — например, с нового устройства или из неожиданного региона сразу после ввода пароля.