Взлом через QR-код с помощью Gophish Telegram и ChatGPT

В сегодняшней статье я покажу, как с помощью форка Gophish, рассылать фишинговые QR-коды вместо обычных ссылок. В качестве сценария рассылки, для генерации кода бота, интеграции с OpenAI API и общения с пользователями буду использовать «TelegramBot ChatGPT».

Еще по теме: Использование фишинга в пентесте

Взлом через QR-код с помощью Gophish Telegram и ChatGPT

Наша задача выполнить проект по социальной инженерии для крупной финансовой организации с целью повышения уровня осведомленности сотрудников в области ИБ.

Нам известно, что у сотрудников заказчика по умолчанию установлены корпоративный Outlook, антиспам и браузер Chrome. Также отмечается высокий уровень социальной ответственности и бдительности — как в отделе ИБ, так и среди рядовых сотрудников.

Из привычного арсенала средств будем использовать фреймворк Gophish. Мы попробуем заманить пользователя на внешний ресурс с доменом, похожим на корпоративный, и формой авторизации, а затем предложим ввести свои учетные данные.

Почему бы нам не перенаправить пользователя из безопасной рабочей среды на фишинговый ресурс, открытый на персональном устройстве, предложив ему QR-код в письме?

Таким образом, мы, убиваем двух зайцев: защита от спама не будет напрягаться, поскольку у нее нет понижающего коэффициента при наличии внешних ссылок в письме, а браузер на персональном телефоне не склонен, в отличие от десктопной версии Google Chrome, впадать в панику при виде нового домена.

Но каким образом можно вставить QR в письмо? Ведь это тоже изображение, и корпоративный Outlook съест его в сообщениях от внешнего отправителя точно так же, как гофиш-картинку.

Тот же Yandex рассылает ссылки QR на чеки используя верстку слоев ( div).

Другой вариант — это создать QR-код из символов Unicode.

Попытаемся перенести оба варианта в Gophish и выберем, что лучше будет смотреться в Outlook.

Для это­го сна­чала при­несем в биб­лиоте­ку go-qrcode, которая час­то исполь­зует­ся для работы с QR в Go, два новых метода для генера­ции QR в Unicode и HTML.

Даль­ше в Gophish до­бавим генера­цию QR-ссыл­ки в перемен­ную для поч­тового шаб­лона.

В ходе пус­конала­доч­ных испы­таний мы выяви­ли, что для Outlook кор­рек­тней отоб­ражение в Unicode, а для веб‑кли­ентов (Gmail, Mail.ru, Yandex) и мобиль­ных кли­ентов луч­ше выг­лядит HTML QR.

В рас­сылке мож­но под­держать сра­зу оба вари­анта через сле­дующую конс­трук­цию.

Мы получи­ли рабочий спо­соб проб­росить QR со ссыл­кой в пись­мо. Смар­тфон без воп­росов его чита­ет и откры­вает нам веб‑фор­му авто­риза­ции Gophish без намеков на бес­покой­ство. Ура!

Итак, у нас есть новый велоси­пед, куда бы нам на нем поехать?

Нам нужен прав­доподоб­ный пред­лог для поль­зовате­ля, что­бы у него воз­никло желание ска­ниро­вать QR-код со смар­тфо­на и там же ввес­ти свои учет­ные дан­ные.

Ког­да мы работа­ли над про­ектом, из каж­дого утю­га рас­ска­зыва­ли о все новых нишах для при­мене­ния ChatGPT. Почему бы не обыг­рать его и у нас? Так родил­ся сце­нарий про­вер­ки сот­рудни­ков «Новый Telegram-бот IT-под­дер­жки сот­рудни­ков с ChatGPT».

Пись­мо так­же содер­жало при­меры работы с ботом (выб­рали реаль­ные отве­ты ChatGPT) и сооб­щение о подар­ках для пер­вых зарегис­три­ровав­шихся.

И раз уж мы исполь­зуем в сце­нарии ChatGPT, почему бы сам код с логикой для бота не написать имен­но ему? За пару часов, десяток зап­росов и уточ­нений мы получи­ли впол­не рабочий код бота.

Он при­нима­ет поль­зовате­ля по ссыл­ке из пись­ма с RID-мет­кой и про­сит авто­ризо­вать­ся по ссыл­ке на фор­му.

Пос­ле перехо­да на веб‑фор­му авто­риза­ции сот­рудни­ку пред­лагалось ввес­ти свою кор­поратив­ную поч­ту и пароль.

Пос­ле вво­да рек­визитов поль­зователь воз­вра­щает­ся к боту. Соб­ранные рек­визиты сот­рудни­ков сох­ранялись на нашем сер­вере.

Пос­ле авто­риза­ции (и толь­ко пос­ле) бот ловил callback от фор­мы Gophish и оста­вал­ся общать­ся с поль­зовате­лем в задан­ной нами роли бота IT-под­дер­жки орга­низа­ции.

API OpenAI кор­рек­тно вос­при­нял задан­ный стар­товый ввод («Ты веселый бот IT-под­дер­жки сот­рудни­ков бан­ка Х, рас­положен­ного в Y») и даль­ше выдавал впол­не релеван­тные отве­ты попав­шимся на рас­сылку сот­рудни­кам.

Заключение

Итак, мы научи­ли Gophish фор­мировать тек­сто­вые QR-ссыл­ки с помощью Unicode-сим­волов и эле­мен­тов div, выяс­нили, что для кор­поратив­ного Outlook луч­ше все­го подош­ли имен­но QR-коды в Unicode.

Да­лее, что­бы объ­яснить необ­ходимость перей­ти со смар­тфо­на по QR-ссыл­ке, мы выб­рали сце­нарий «Telegram-бот IT-под­дер­жки с ChatGPT» и с помощью этой же ней­росети написа­ли пол­нофун­кци­ональ­ного бота IT-под­дер­жки, исполь­зовав API OpenAI. Задав боту минималь­ный стар­товый кон­текст об орга­низа­ции, мы научи­ли его давать релеван­тные отве­ты об адре­сах и телефо­нах офи­сов, а под­няв боту уро­вень юмо­ра, смог­ли добить­ся вирус­ного эффекта. Такой бот может прив­лечь даже сот­рудни­ков, не вклю­чен­ных в рас­сылку.

Наш кли­ент получил новый инс­тру­мент для обу­чения сот­рудни­ков бди­тель­нос­ти, что дол­жно помочь защитить их от набира­ющих популяр­ность фишин­говых атак в мес­сен­дже­рах. Отдель­ный чел­лендж для кли­ента — раз­работать механиз­мы обна­руже­ния сце­нари­ев, при которых сот­рудни­ки перек­люча­ются на лич­ные устрой­ства.

Спасибо dmarushkin, за интересный способ взлома через QR-код.

ПОЛЕЗНЫЕ ССЫЛКИ:

1. Как пользоваться SkipFish на Kali Linux
2. Деанон пользователя VK с помощью фишинга
3. Создание фишингового сайта на Kali Linux с помощью SET