Введение в социальную инженерию
От
t.me/morgenxshtern
telegra.ph
10 min
Небольшое введение.
Информация – является одним из важнейших активов компании. Информация может составлять коммерческую тайну компании, т.е. при существующих или возможных обстоятельствах увеличить доходы, избежать неоправданных расходов, сохранить положение на рынке товаров, работ, услуг или принести иную коммерческую выгоду компании. Соответственно, такую информацию необходимо защищать.
Поскольку в любой компании работают люди, то неизбежно возникает влияние человеческого фактора на все процессы организации. В том числе и на процесс защиты конфиденциальной информации.
Человеческий фактор — устойчивое выражение, которым обозначают психические способности человека как потенциальный и актуальный источник (причину) информационных проблем при использовании этим человеком современных технологий.
Любые действия человека, связанные с нарушением режима безопасности можно разделить на две большие категории: умышленные и неумышленные действия.
К умышленным действиям относятся кражи информации сотрудниками, модификация информации, либо её уничтожение (диверсии). Это крайний случай и с ним приходиться бороться постфактум, привлекая сотрудников внутренних дел.
К неумышленным действиям относятся: утрата носителей информации, уничтожение или искажение информации по неосторожности. Человек не осознаёт, что его действия приводят к нарушению режима коммерческой тайны.
Так же к неумышленным действиям относиться «помощь» не тем лицам, или так называемая социальная инженерия. Когда сотрудник не осознаёт, что его действия направлены на нарушение режима коммерческой тайны, но при этом тот, кто его просит это сделать, чётко знает, что нарушает режим.
Социальная инженерия — это метод (атак) несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и является очень эффективным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки, с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе. Очень часто этот трюк проходит. Самое сильное оружие в этом случае — приятный голос и актёрские способности злоумышленника. Имена служащих удается узнать после череды звонков и изучения имён руководителей на сайте компании и других источников открытой информации (отчётов, рекламы и т.п.). Используя реальные имена в разговоре со службой технической поддержки, злоумышленник рассказывает придуманную историю, что не может попасть на важное совещание на сайте со своей учетной записью удаленного доступа. Другим подспорьем в данном методе являются исследование мусорных контейнеров организаций, виртуальных мусорных корзин, кража портативного компьютера и других носителей информации. Данный метод используется, когда злоумышленник наметил в качестве жертвы конкретную компанию.
Основная модель социнженерии
Предполагается, что каждый сотрудник имеет свой уровень компетентности в вопросах безопасности и свой уровень доступа. Линейные сотрудники (например, девушки с ресепшна) не имеют доступа к критичной информации, то есть даже захват их аккаунтов и получение всех известных им данных не нанесёт компании серьёзного урона. Но их данные могут использоваться для перехода на следующую ступень уже внутри защищённой зоны. Например, вы можете получить имена сотрудников и позвонить уровнем выше, представившись одним из них. При этом можно играть в авторитета (как в примере с врачами выше), а можно просто задать пару невинных вопросов и получить кусочек мозаики. Или же продвинуться дальше, к следующему более знающему сотруднику, используя тот факт, что в команде принято помогать друг другу, а не включать паранойю на вопросы о ряде важных данных. Даже при наличии жесткой инструкции есть шансы, что эмоции всегда перевесят.
Не верите? Представьте ситуацию, когда злоумышленник звонит одной и той же девушке из колл-центра несколько раз в неделю в течение месяца. Он представляется сотрудником, приносит море позитива, живо разговаривает, уточняет какие-то открытые мелочи, иногда просит мелкой помощи. Чёткую авторизацию заменяет тот факт, что человек звонит часто. Десять, двадцать, если надо — тридцать раз. До тех пор, пока не становится одним из явлений жизни. Он свой, ведь он в курсе разных мелочей работы компании и звонит постоянно. На 31-й раз атакующий опять делает мелкую просьбу, но на этот раз касающуюся важных данных. И если надо, приводит логичное и правдоподобное обоснование, почему это требуется, и в какой он беде. Конечно же, нормальный человек ему поможет.
Если вы думаете, что таким атакам подвержены только некомпетентные пользователи, то откройте книгу «Искусство обмана», где ещё во вступлении Митник рассказывает о том, как представился ведущим разработчиком проекта и заставил, на секундочку, сисадмина дать привилегированный доступ к системе. Заметьте, человека, который прекрасно понимал, что конкретно он делает.
Разберем основные методы социальной инженерии:
Несуществующие ссылки
Атака, которая заключается в отправлении письма с соблазнительной причиной посетить сайт и прямой ссылкой на него, которая лишь имеет сходство с ожидаемым сайтом, например, www.PayPai.com. Выглядит это, будто это ссылка на PayPal, мало кто заметит, что буква "l" заменена на "i". Таким образом, при переходе по ссылке жертва увидит сайт, максимально идентичный ожидаемому, и при вводе данных своей кредитной карты эта информация сразу направляется к злоумышленнику.
Одним из наиболее известных примеров глобальной фишинговой рассылки может служить афера 2003 года, во время которой тысячи пользователей eBay получили электронные письма, в которых утверждалось, что их учетная запись была заблокирована, и для её разблокировки требуется обновить данные о кредитных картах. Во всех этих письмах присутствовала ссылка, ведущая на поддельную веб-страницу, в точности похожую на официальную. Впрочем, по подсчетам экспертов, убытки от этой аферы составили менее миллиона долларов
Мошенничество с использованием брендов известных корпораций
В таких фишинговых схемах используются поддельные сообщения электронной почты или веб-сайты, содержащие названия крупных или известных компаний. В сообщениях может быть поздравление с победой в каком-либо конкурсе, проводимом компанией, о том, что срочно требуется изменить учетные данные или пароль. Подобные мошеннические схемы от лица службы технической поддержки также могут производиться по телефону
Ложные письма с предложениями халявы|чего-то интересного.
Жертва может получить предложение которые затрагивают главные струны души большинства людей -- это жадность и любопытство, например:
Фейковые антивирусы также известные под названием «scareware», — это программы, которые выглядят как антивирусы, хотя, на самом деле, все обстоит совсем наоборот. Такие программы генерируют ложные уведомления о различных угрозах, а также пытаются завлечь пользователя в мошеннические транзакции. Пользователь может столкнуться с ними в электронной почте, онлайн объявлениях, в социальных сетях, в результатах поисковых систем и даже во всплывающих окнах на компьютере, которые имитируют системные сообщения
Пользователь может получить сообщения, в которых говорится о том, что он выиграл в лотерею, которая проводилась какой-либо известной компанией. Внешне эти сообщения могут выглядеть так, как будто они были отправлены от лица одного из высокопоставленных сотрудников корпорации.
В фильме Whoami используется данный метод, когда хакеры отправлют жертве зараженное письмо от якобы знакомой жертвы с открыткой и подписью смотри какие котятки.
IVR или телефонный фишинг
Телефонный фишинг — Вишинг (англ. vishing — voice fishing) назван так по аналогии с фишингом.Это один из методов мошенничества с использованием социальной инженерии, который заключается в том, что злоумышленники, используя телефонную коммуникацию и играя определенную роль (сотрудника банка, покупателя и т. д.), под разными предлогами выманивают у держателя платежной карты конфиденциальную информацию или стимулируют к совершению определенных действий со своим карточным счетом / платежной картой.
Что касается IVR систем данная техника основана на использовании системы предварительно записанных голосовых сообщений, с целью воссоздать «официальные звонки» банковских и других IVR систем. Обычно, жертва получает запрос (чаще всего через фишинг электронной почты) связаться с банком и подтвердить или обновить какую-либо информацию. Система требует аутентификации пользователя, посредством ввода PIN-кода или пароля. Поэтому, предварительно записав ключевую фразу, можно выведать всю нужную информацию. Например, любой может записать типичную команду: «Нажмите единицу, чтобы сменить пароль. Нажмите двойку, чтобы получить ответ оператора» и воспроизвести её вручную в нужный момент времени, создав впечатление работающей в данный момент системы предварительно записанных голосовых сообщений, ещё один пример когда жертва атаки получает письмо с фишинговым номером «клиентского центра», где автоответчик на каком-то шаге просит для авторизации ввести важные реквизиты карты.
Телефонный фрикинг
Телефонный фрикинг (англ. phreaking) — термин, описывающий эксперименты и взлом телефонных систем с помощью звуковых манипуляций с тоновым набором. Эта техника появилась в конце 50-х в Америке. Телефонная корпорация Bell, которая тогда покрывала практически всю территорию соединенных штатов, использовала тоновый набор для передачи различных служебных сигналов. Энтузиасты, попытавшиеся повторить некоторые из этих сигналов, получали возможность бесплатно звонить, организовывать телефонные конференции и администрировать телефонную сеть.
Претекстинг
Претекстинг (англ. pretexting) — атака, в которой злоумышленник представляется другим человеком и по заранее подготовленному сценарию выуживает конфиденциальную информацию. Эта атака подразумевает должную подготовку, как то: день рождения, ИНН, номер паспорта либо последние цифры счета, для того, чтобы не вызвать подозрений у жертвы. Обычно реализуется через телефон или электронную почту.
В сериале mr.robot в одной из серий используется данный метод, когда хакер звонит жертве представляется сотрудником банка и выуживает у его личную информацию, такую как кличка питомца, дата рождения и т.д. которую он в дальнейшем использует для брута пароля к учетной записи жертвы.
Квид про кво
Квид про кво (от лат. Quid pro quo — «то за это») — в английском языке это выражение обычно используется в значении «услуга за услугу». Данный вид атаки подразумевает обращение злоумышленника в компанию по корпоративному телефону (используя актерское мастерство) или электронной почте. Зачастую злоумышленник представляется сотрудником технической поддержки, который сообщает о возникновении технических проблем на рабочем месте сотрудника и предлагает помощь в их устранении. В процессе «решения» технических проблем, злоумышленник вынуждает цель атаки совершать действия, позволяющие атакующему запускать команды или устанавливать различное программное обеспечение на компьютере жертвы.
Дорожное яблоко
Этот метод атаки представляет собой адаптацию троянского коня, и состоит в использовании физических носителей. Злоумышленник подбрасывает «инфицированные» носители информации в местах общего доступа, где эти носители могут быть легко найдены, такими как туалеты, парковки, столовые, или на рабочем месте атакуемого сотрудника. Носители оформляются как официальные для компании, которую атакуют, или сопровождаются подписью, призванной вызвать любопытство. К примеру, злоумышленник может подбросить CD, снабжённый корпоративным логотипом и ссылкой на официальный сайт компании, снабдив его надписью «Заработная плата руководящего состава». Диск может быть оставлен на полу лифта или в вестибюле. Сотрудник по незнанию может подобрать диск и вставить его в компьютер, чтобы удовлетворить своё любопытство.
В сериале mr.robot в одной из серий используется данный метод, когда хакеры разбросали у полицейского участка флэшки с зловредом и один из полицейских подобрал её и вставил в компьютер что бы посмотреть что там такое.
Сбор информации из открытых источников
Применение техник социальной инженерии требует не только знания психологии, но и умения собирать о человеке необходимую информацию. Относительно новым способом получения такой информации стал её сбор из открытых источников, главным образом из социальных сетей. К примеру, такие сайты как livejournal, «Одноклассники», «ВКонтакте», содержат огромное количество данных, которые люди и не пытаются скрыть. Как правило, пользователи не уделяют должного внимания вопросам безопасности, оставляя в свободном доступе данные и сведения, которые могут быть использованы злоумышленником.
Показательным примером может стать история о похищении сына Евгения Касперского. В ходе следствия было установлено, что преступники узнали расписание дня и маршруты следования подростка из его записей на странице в социальной сети.
Даже ограничив доступ к информации на своей странице в социальной сети, пользователь не может быть точно уверен, что она никогда не попадет в руки мошенников. Например, бразильский исследователь по вопросам компьютерной безопасности показал, что существует возможность стать другом любого пользователя Facebook в течение 24 часов, используя методы социальной инженерии. В ходе эксперимента исследователь Нельсон Новаес Нето выбрал жертву и создал фальшивый аккаунт человека из её окружения — её начальника. Сначала Нето отправлял запросы на дружбу друзьям друзей начальника жертвы, а затем и непосредственно его друзьям. Через 7,5 часов исследователь добился добавления в друзья от жертвы. Тем самым, исследователь получил доступ к личной информации пользователя, которой тот делился только со своими друзьями.
В дальнейшем я выложу статью в которой опишу наиболее действенные способы по сбору информации о жертве из открытых источников.
Плечевой серфинг
Плечевой серфинг (англ. shoulder surfing) включает в себя наблюдение личной информации жертвы через её плечо. Этот тип атаки распространён в общественных местах, таких как кафе, торговые центры, аэропорты, вокзалы, а также в общественном транспорте.
Опрос ИТ-специалистов о безопасности показал, что:
85 % опрошенных признались, что видели конфиденциальную информацию, которую им не положено было знать;
82 % признались, что информацию, отображаемую на их экране, могли бы видеть посторонние лица;
82 % слабо уверены в том, что в их организации кто-либо будет защищать свой экран от посторонних лиц.
Обратная социальная инженерия
Об обратной социальной инженерии упоминают тогда, когда жертва сама предлагает злоумышленнику нужную ему информацию. Это может показаться абсурдным, но на самом деле лица, обладающие авторитетом в технической или социальной сфере, часто получают идентификаторы и пароли пользователей и другую важную личную информацию просто потому, что никто не сомневается в их порядочности. Например, сотрудники службы поддержки никогда не спрашивают у пользователей идентификатор или пароль; им не нужна эта информация для решения проблем. Однако, многие пользователи ради скорейшего устранения проблем добровольно сообщают эти конфиденциальные сведения. Получается, что злоумышленнику даже не нужно спрашивать об этом.
Приведу вам несколько примеров:
Злоумышленник, работающий вместе с жертвой, изменяет на её компьютере имя файла или перемещает его в другой каталог. Когда жертва замечает пропажу файла, злоумышленник заявляет, что может все исправить. Желая быстрее завершить работу или избежать наказания за утрату информации, жертва соглашается на это предложение. Злоумышленник заявляет, что решить проблему можно, только войдя в систему с учетными данными жертвы. Теперь уже жертва просит злоумышленника войти в систему под её именем, чтобы попытаться восстановить файл. Злоумышленник неохотно соглашается и восстанавливает файл, а по ходу дела крадет идентификатор и пароль жертвы. Успешно осуществив атаку, он даже улучшил свою репутацию, и вполне возможно, что после этого к нему будут обращаться за помощью и другие коллеги. Этот подход не пересекается с обычными процедурами оказания услуг поддержки и осложняет поимку злоумышленника
Хакер подстраивает неприятность пользователю, обеспечиваете контакт с собой, затем проводит атаку. Пример — приходите в охраняемый периметр как уборщик, заменяете номер техподдержки в распечатке на стене на свой, а затем устраиваете мелкую неполадку. Уже через день вам звонит расстроенный пользователь, готовый поделиться всеми своими знаниями с компетентным специалистом. Ваша авторизация проблем не вызывает — ведь человек сам знает, кому и зачем он звонит.
Одна из задач на хакерском турнире была про девушку на респшене, случайно отлучившуюся на 30 секунд. Лучшие ответы лежали в плоскости социального взаимодействия: наклеить стикер с номером техподдержки, пригласить её на свидание и так далее. За свидание не судят, зато оно даст вам кучу данных про иерархию в компании и личные дела сотрудников.
Заключение
Основные методы социальной инженерии мы разобрали, в дальнейшем мы с вами поговорим о каждом из этих методов более подробно.
Часть информации для этой статьи была взята из википедии, часть с хабры, для вашего и своего удобства я отформатировал это по своему усмотрению и дополнил своими комментариями.
Спасибо за внимание.
Коментарі
Дописати коментар
Олег Мічман в X: «Donations and support for media resources, bloggers, projects, and individuals. https://t.co/HPKsNRd4Uo https://t.co/R6NXVPK62M» / X
https://twitter.com/olukawy/status/1703876551505309973