Случаи из практики пентестеров Digital Security
Пока весь мир сосредоточился на борьбе с вирусом и надвигающимся экономическим кризисом, киберпреступники используют ситуацию в своих интересах. В условиях удаленной работы и повышенного стресса люди стали более уязвимы к атакам социальной инженерии. В результате даже банальная email-рассылка со скидкой на медицинские маски и респираторы может стать трамплином во внутреннюю сеть компании и нанести урон бизнесу.
Чтобы минимизировать риск, работодателям и сотрудникам полезно знать об излюбленных «черными» хакерами приемах социальной инженерии. Пентестеры компании Digital Security делятся своим опытом в этой статье.
Фишинг
Фишинговые сайты маскируются под официальные, имеют идентичный дизайн и знакомый пользователям домен, схожий по написанию с оригинальным (например, доменная зона ru заменяется на su).
Обычно для выуживания данных используются email-рассылки. На электронный адрес приходит письмо от злоумышленника, который представляется коллегой или сотрудником авторитетной организации. Темой письма может быть уведомление о штрафах, банковских операциях, сокращении премий или штата организации, различные инструкции. В самом письме получателя призывают перейти по ссылке на поддельную страницу и ввести персональные данные.
Случай из практики “Акция”
Рассылка от имени ближайшего кафе с предложением корпоративной скидки. К рекламному баннеру прикреплена ссылка, ведущая на фишинговый сайт, где пользователям предлагается авторизоваться с помощью корпоративной учетки. В случае, когда пользователь переходил на сайт и вводил свои данные, информация логировались, а жертва перенаправлялась на настоящий сайт кафе. Пробив атаки составил 18%. Естественно, социальные инженеры быстро адаптируют сценарии атак. Сейчас стоит ожидать писем, например, со скидками на доставку.
Вишинг
При вишинге (от voice phishing, или голосовой фишинг) контакт с жертвой устанавливается с помощью средств голосовой связи. Атакующий представляется коллегой, деловым партнером или клиентом.
Случай из практики «Предупреждение об атаке»
Заметив фишинговую рассылку, служба безопасности разослала сотрудникам предупреждение. Чтобы не провалить атаку, социальный инженер применил вишинг, позвонив одному из сотрудников. Далее приведен примерный диалог, где А – атакующий, а Ж – жертва:
А: «Добрый день, это из службы безопасности. Вы получили предупреждение о фишинговой атаке?»
Ж: «Здравствуйте, да»
А: «Сейчас вам нужно установить защитное ПО, ссылку я отправляю на почту»
Ж: «Хорошо, сейчас все сделаю».
Жертва послушно скачала и запустила «бэкдор».
Обратная социальная инженерия
Особенность состоит в том, что инициатором контакта выступает сама жертва. Злоумышленнику необходимо создать такую проблему, из-за которой атакуемый обратится за помощью к социальному инженеру. В процессе «решения проблемы» атакующий обеспечивает себе доступ к информации, заразив компьютер сотрудника его же руками.
Случай из практики “Новый почтовый сервер”
Сотрудники получили письма от IT-отдела с требованием перейти по (фишинговой) ссылке для аутентификации на новом почтовом сервере. Были получены учетные данные нескольких пользователей, но при попытке залогиниться на настоящем сервере, злоумышленник столкнулся с проблемой – со вторым фактором аутентификации по коду из SMS, который был настроен на всех доступных сервисах компании. Атака бы не состоялась, если бы у одного из пользователей возникли проблемы с аутентификацией. Сотрудник самостоятельно связался с атакующим, ответив на письмо. Дальше – дело техники, код из SMS был легко получен атакующим.
Недостаточная осведомленность сотрудников в сфере кибербезопасности часто играет злую шутку, особенно в условиях массового перехода на удаленный режим работы. Большая часть корпоративных коммуникаций перешла в мессенджеры и электронную почту. Поэтому важно сохранять бдительность и, получив, сомнительное письмо, лишний раз перезвонить коллеге, уточнить, он ли его отправитель. Работодателям же следует поставить вопросы информационной безопасности в приоритет, а также регулярно информировать сотрудников о возможных рисках.
Приведенные примеры – лишь небольшая часть уловок социальных инженеров, о которых полезно знать, чтобы понять ход мысли и возможности атакующих. Проявляйте максимальную осторожность, чтобы защитить конфиденциальную информацию компании и вашу лично.
Команда Digital Security желает вам безопасной и продуктивной удаленной работы!