Искусство обмана - [85]

Существует несколько утвержденных стандартов в отношении пентестинга, а также ряд нормативных требований, на основе которых пентестеры могут подобрать подходящие практики для решения профессиональных задач. В 2009 году я начал разрабатывать системный подход к пониманию социальной инженерии (своего рода СИ-фреймворк), который и лег в основу ресурса https://www.social-engineer.org/. В настоящий момент многие организации по всему миру используют эту систему для описания оказываемых в ходе пентестинга услуг. И несмотря на это, нельзя сказать, что стандарты социальной инженерии разработаны и утверждены. Думаю, в первую очередь это связано с динамической природой социальной инженерии, из-за которой практически невозможно заранее распланировать все аспекты воздействия на людей.

Тем не менее можно выделить определенные фазы, из которых состоит любая социально-инженерная атака (см. схему на илл. 9.1).

Информация — важнейшая часть любой такой атаки, поэтому первый шаг — это всегда сбор данных из открытых и иных источников. Невозможно спланировать атаку, не собрав предварительно все необходимые данные.

После проведения сбора данных из открытых источников вы узнаете, как в компании используются социальные сети и другие средства коммуникации, где расположены офисы. В вашем распоряжении будут и другие подробности внутренних корпоративных механизмов — а значит, вам будет намного проще разработать подходящую и эффективную легенду.

Дальше логично перейти к планированию векторов атаки. Будете ли вы устраивать фишинговую рассылку? Или собирать личную информацию с помощью вишинга? Может, нужно будет использовать мобильные устройства? Придется ли пробираться на территорию компании? А может, стоит использовать сразу несколько векторов? Все эти вопросы помогут составить полноценный план атаки.

После составления плана можно будет переходить к его реализации: сбору данных на всех этапах атаки и подготовке отчета о проделанной работе. На практике, однако, нередко оказывается, что провести пентест в строгом соответствии с этими шагами не удается. Скажем, вы завершили сбор данных из открытых источников, на основании которого выбрали отличный вектор атаки, но затем выяснилось, что без сбора дополнительной информации не обойтись — в таком случае логично вернуться к первому шагу.

Вне зависимости от того, какую последовательность шагов необходимо будет осуществить для проведения конкретной операции, в процессе пентестинга всегда должны учитываться следующие принципы:

• Необходимо заранее понимать, собираетесь ли вы записывать телефонные разговоры. Во многих штатах запись разговоров без согласия собеседника считается нарушением закона. Не стоит полагать, что, наняв вас, клиент автоматически дал согласие на любые действия с вашей стороны. То же самое касается записи видео в процессе проникновения на территорию объекта. Обязательно давайте клиенту подписывать официальное согласие на подобные действия.

• Не думайте, что клиент представляет себе все необходимые для проведения социально-инженерного пентеста шаги. Проговаривайте все услуги, которые готовы предложить, чтобы заказчик ясно представил себе, чего ожидать. Такое обсуждение позволит ему задать вам всевозможные вопросы, ответив на которые вы сможете свободно и не создавая ни для кого проблем двигаться дальше.

• Обязательно расписывайте все шаги поиска через Google и называйте инструменты, которые используете в ходе подготовки. При желании клиент должен иметь возможность повторить ваши действия.

• Некоторые пентестеры переживают, что тем самым лишат себя работы: якобы после этого клиент сможет проводить проверки самостоятельно. Но за годы работы я ни разу не потерял заказчика из-за того, что слишком многому его научил.

• Процесс так же важен, как и результат.

Да, вы можете сообщить клиенту, что 90 % получателей перешли по ссылке из письма, а 47 % сотрудников, которым вы звонили, сообщили свои идентификационные данные по телефону. Получится пугающая статистика, но ведь это еще не все. Вы должны объяснить заказчику каждый проделанный в процессе подготовки шаг, мотивировать выбор конкретного вектора атаки, а также выделить людей, которые не повелись на ваши уловки, — потому что все это не менее важно, чем цифры и проценты.

• Не стоит активно публиковать в социальных сетях информацию об эксплойтах, которые сработали на ваших клиентах. (Очень неприятно бывает сталкиваться со специалистами, которые это практикуют.)

• Представьте, что вы обратились к врачу за весьма неприятной процедурой, в ходе которой он побывал в таких закоулках вашего тела, куда никому не стоит соваться. Этот опыт был для вас крайне неприятным, возможно даже болезненным, и уж точно заставил вас покраснеть. Но процедура наконец завершена, и врач на минуту отлучился из кабинета. Ожидая его возвращения, вы достали телефон, чтобы глянуть, не написал ли кто чего-то важного в соцсетях. Как вдруг увидели свежий твит своего врача: «Зацените размер опухоли, которую я только что нашел у одного жирного недотепы. Ахах». Да, имени вашего он не называл и лица вашего никто не увидит, но тем не менее, что вы