Анализ проведенных экспертами компании пентестов в 2022 году показывает, что 83% протестированных компаний имели в своих информационных системах уязвимости среднего уровня, 69% – высокого и 46% – критического!
Зачастую эксплуатация этих уязвимостей требует от злоумышленника высокой квалификации и обеспечения определенных условий (на которые он часто не может повлиять).
Но в рукаве преступника может оставаться еще один козырь – ваши же сотрудники. К сожалению, самая совершенная система защиты информации может оказаться бесполезна из-за человеческого фактора, который может выразиться в игнорировании использования средств защиты, непреднамеренном распространении конфиденциальной информации, намеренном саботаже и подобном. По некоторым оценкам до 75% всех компьютерных инцидентов связаны с человеческим фактором.
Компонентами человеческого фактора являются:
- Психологические свойства личности. Потребности, интересы, мотивы, дисциплинированность, ценностные ориентиры;
- Профессионализм и компетентность персонала. Понимание информационных процессов, используемых механизмов защиты, знание регламентов;
- Межличностное взаимодействием внутри организации. Морально-психологический климат, чувство принадлежности и так далее.
С каждым из этих компонентов можно и нужно работать. Но, к сожалению, в отличие от технических аспектов защиты информации, человеческий фактор – слишком сложное, многозначное и непостоянное явление.
Социальная инженерия в пентесте
Одной из превентивных мер противодействия угрозам человеческого фактора является проведение тестирования на проникновение (пентеста) с использованием техник социальной инженерии.
Следует отметить, что пентест с использованием методов социальной инженерии имеет строго обозначенную область применения, ограничиваясь лишь «этичными» мерами воздействия, и не использует такие способы, как подкуп, шантаж, не исследует межличностные взаимоотношения. И все же он является эффективным способом оценки обученности персонала, его дисциплинированности, способности противостоять внешнему воздействию.
Методы социально инженерии и методы управления мотивацией людей в настоящее время хорошо описаны в специализированной литературе.
По нашему опыту мы могли бы рекомендовать следующие книги:
- Мотивация человека / Д. Макклелланд – СПб.: Питер, 2007. – 672с.: ил.
- Явление мотивации слов. Лексикологический аспект / О.И. Блинова. – М.: Либроком, 2017. – 208с.
- Мотивология и ее аспекты: «Язык глазами человека» / О.И. Блинова. – М.: URSS, 2021. - 302с.
- Социальная инженерия и социальные хакеры / М.В. Кузнецов, И. В. Симдянов. — СПб.: БХВ-Петербург, 2007. — 368 с.: ил.
- The Art of Deception - "Искусство обмана" / Кевин Д. Митник, Вильям Л. Саймон
- Психология влияния / Роберт Чалдини – СПб.: Питер, 2020. – 480с.
Методы социальной инженерии
OSINT
Для снижения критичности восприятия информации пользователем лучше всего использовать какую-то личную информации о нем, о контексте, в котором пребывает человек, о его личности.
Такую информацию о сотруднике может предоставить заказчик. Но с точки зрения эффективности тестирования лучше, если мы соберем ее в результате анализа открытых источников – OSINT.
OSINT – это дополнительная услуга, которая может быть полезна для анализа информации, которая находится в открытом доступе и которая может быть использована злоумышленником. Владение такой информацией повысит готовность персонала противодействовать реальному злоумышленнику.
Способ получения исходной информации для проведения пентеста методами социальной инженерии определяется целями, которые преследует заказчик.
Фишинг
Самым популярным методом социальной инженерии, в том числе в нашей работе, является Фишинг.
Фишинг – это вид атаки социальной инженерии, при котором атакующий пытается получить конфиденциальную информацию от пользователей, выдавая себя за легитимного отправителя или ресурс. Обычно используется электронная почта, но также мы работаем с сообщениями в социальных сетях или мессенджерах.
Если, к примеру, недавно в организации составлялся график отпусков, то тогда мы можем направить фишинговое письмо с сообщением о том, что в графике произошли изменения, с которыми можно ознакомиться по ссылке. Изменение в графике отпусков важное событие, к тому же его недавно формировали. Поэтому человек с большой вероятностью и охотой перейдет по вашей ссылке. Либо можно сообщить о том, что произошли изменения в системе премирования сотрудников. Эффективно работает что угодно, что может касаться лично сотрудника.
Информация о том, что сотрудник, например, посещает спортзал или занимается еще каким-либо хобби, также может оказаться полезной. Тогда мы можем отправить сообщение от имени фитнес-центра или соответствующего магазина о какой-то акции.
Наш опыт показывает, что примерно 10% отправленных поддельных сообщений по электронной почте достигают цели – пользователь переходит по нужной ссылке, скачивает зараженный файл или выполняет другие нужные исследователю действия.
Более эффективным методом удаленного воздействия, при этом одновременно и более сложным, является телефонный звонок. Он требует от эксперта особой подготовки и даже определенного таланта. Помимо предварительного сбора информации и создания качественной легенды от эксперта требуется еще и хорошее актерское мастерство.
Метод с телефонными звонками работает и вне пентеста. К сожалению, в нашем обществе существует такое негативное явление, как телефонные мошенники. В некоторой степени и с некоторой долей шутки мы воспринимаем их как своего рода «коллег», у которых можно чему-то поучиться. В основном тому, как делать не надо.
В телефонном воздействии каждая мелочь имеет значение.: количество предварительно собранной информации о человеке, голос говорящего, тон, которым он произносит слова, знание предметной области, о которой идет речь, и смежных областей, понимание основ мотивации человека и так далее. Практика показывает, что телефонные мошенники ограничиваются минимальной информацией о том, кому звонят (буквально имя и телефон), к тому ж практически полностью не понимают предметную область, которая обсуждается.
По нашему опыту эффективность таких атак гораздо выше, чем посредством электронной почты. Практически 99% всех звонков приводят к цели, однако и подготовка к таким воздействиям гораздо более сложная задача.
Red Team
Самым сложным и одновременно интересным является очный контакт. Обычно мы проводим такое тестирование в рамках пентестов в формате Red Team. Здесь разыгрывается не просто спектакль, как в телефонном звонке, а целое костюмированное шоу.
Например, наши сотрудники, стремясь проникнуть в серверную комнату организации, представлялись сотрудниками провайдера, одевшись соответствующим образом. И вполне успешно получали доступ. Также представлялись рабочими управляющей компании, эксплуатирующей офисное здание, приходили со стремянками, разводными ключами и необходимостью «сервисного обслуживания подвесных потолков в районе серверной». Думаем когда-нибудь представиться сотрудниками клининговой компании – вот уж перед кем все двери открыты.
Даже не имея возможности, что-либо подключить, такой сотрудник имеет возможность осуществлять плечевой серфинг (сбор личной информации жертвы буквально за её плечом).
По согласованию с заказчиком мы также готовим и «разбрасываем» на территории организации носители с вредоносным ПО. Эффективность такой атаки мы бы оценили примерно в 15%. Почему эффективность так мала сказать трудно. Возможно, носители оставались ненайденными, может срабатывала антивирусная защита (при том, что вредоносное ПО было обфусцировано) или же носители подключались к компьютерам без доступа в интернет. Однако даже одного такого запущенного бэкдора достаточно, чтобы иметь шанс скомпрометировать всю сеть.
Методы защиты компании
В заключение следует отметить, что человеческий фактор является самым слабым звеном в системе защиты. Поэтому работа в этом направлении важна ничуть не меньше, чем своевременное обновление антивирусных баз или операционных систем.
Существует ряд методов, которые направлены на противодействие способам социальной инженерии и которые должны быть внедрены в каждой организации:
- Обучение персонала – наиболее эффективный из них. Необходимо обучать сотрудников, объяснять, какие приемы используют злоумышленники, чтобы они могли распознать и предотвратить подобные атаки. Повышение осведомленности сотрудников о возможных рисках и угрозах может уменьшить опасность успешного применения методов социальной инженерии. Регулярные напоминания, обучающие материалы и тестирование на подобные атаки могут помочь в этом.
- Проверка подлинности. Перед тем, как предоставить какую-либо информацию, необходимо проверять подлинность запроса. Например, если вы получили звонок или электронное письмо от неизвестного отправителя, то следует связаться с ним через официальный канал связи и убедиться в его подлинности.
- Ограничение доступа к информации. Сотрудники должны иметь доступ только к той информации, которая необходима для выполнения их рабочих обязанностей. Ограничение доступа к конфиденциальной информации может уменьшить риски утечек и нежелательных действий со стороны сотрудников.
- Использование специального программного обеспечения. Существуют программы, которые могут помочь в борьбе с социальной инженерией, например, программа, которая анализирует электронную почту на наличие вредоносных ссылок или вложений.
- Регулярное тестирование на уязвимости в компании RTM Group. Регулярное тестирование на уязвимости может помочь выявить слабые места в системе и принять меры по их устранению.