Методы атаки, которые может предотвратить служба безопасности. Социальная инженерия. Часть 1.
Есть мнение у большинства, что психология – это гуманитарная наука. Про социальную инженерию, думают так же. На бытовом уровне кухонная психология – это и правда для гуманитариев. Также и с социальной инженерией, она воспринимается, как что - то простое.
Вот еще один нюанс, когда вы пойдете искать информацию по социальной инженерии, вы найдете много всего, но не по хакингу. Данное понятие было заимствовано и у него уже свое значение, которое зависит от контекста действия (многие со мной могут не согласиться и оспорить, мне проще согласиться с Вашим мнением, чем спорить по поводу определений или заимствований. Вступать в спор, по поводу данного определения, для меня нет смысла).
Самый простой пример социальной инженерии в атаке – это фишинговые письма: «Серега, пройди по ссылке и проголосуй за рисунок моего сына», сколько людей так сломали…? Пример чуть сложнее: «Акт сверки во вложении, прошу срочно обработать, налоги».
Простые примеры и простой фишинг, они на слуху. Они попадают в новости. «Новая схема мошенников», «рассылают повестки» или еще какая то лабуда, рассчитанная на массы. Такое рассылают спамом, иногда даже с подстановкой ФИО. Весь этот фишинг на почте, в соц сетях – это социальная инженерия.
Что может сделать служба безопасности, с простым вариантом социального инжиниринга:
1. Подготовить методичку по основным методам, которые сейчас в ходу. А значит нужно их отслеживать и обновлять.
2. Подготовить методички по основам сетевой безопасности.
3. Довести эти методички до сотрудников, хотя бы до тех, кто занимает руководящие посты или имеет доступ к секретным данным.
4. Отдельно стоит довести эти методички до бухгалтерии и закупок. До каждого.
5. Выбить у руководства денег на повышение квалификации для ваших ключевых сотрудников, отправив их на курсы по основам сетевой безопасности. Пусть они сдадут экзамен на знание того, что можно делать и что нельзя.
Зачем учить персонал, распознавать основы фишинга? Потому что он рассылается спамом и даже умение различать основы может помочь и с подобными атаками: https://www.banki.ru/news/lenta/?id=10931444
В целом для введения по социальной инженерии, более чем достаточно.
Давайте посмотрим на более интересные моменты социальной инженерии и их применение в «дикой природе».
Таргетированная атака, на домашний компьютер с целью получить доступ в рабочую сеть предприятия.
Многие из нас, берут работу на дом. А у кого из вас настроен удаленный рабочий стол на сервер или на свой рабочий компьютер с домашнего компьютера? Вот вы потенциальные цели! Забрать работу на дом это буквально говоря, создать уязвимость в периметре вашего предприятия.
Пандемия внесла жуткие коррективы в работу предприятий. ИБ не успело перестроиться у многих и прямо сейчас идут последствия этого. Удаленщики, которые имеют доступ к критическим областям периметра – отдельная боль для ИБ.
Рассмотрим придуманный мной пример:
Наша цель - главбух. Мы с помощью OSINT («пробили» данные) и выяснили кто является главбухом, где живет, номер телефона, ФИО, наличие детей, родителей и их данные и т.д. Провели полноценную разведку по личности. Данных для работы достаточно.
Наша задача - получить доступ к рабочей почте (мониторить переписки, отправлять вирусы, вариантов достаточно):
1. Атакуем простым способом его окружение: «проголосуй за моего сына на конкурсе…». Смотрим чьи доступы получилось увести и какие. Цель атаки, получить в работу соц. сети/мессенджеры друзей/родственников. Прокатило – хорошо. Не используем полученные доступы, просто храним пока не потребуется.
2. И вот тут я осознал, что я пишу статью, а не инструкцию.
Почему мы не атакуем напрямую рабочую почту, к которой хотим получить доступ? Во-первых – прямая атака на компанию, не лучшая идея. Во-вторых, мы в таргетированной атаке на компанию будем атаковать не только главбуха, а еще целый список персон. Наша задача, не обнаружить себя. Прямую атаку на компанию мы начнем делать, если поймем, что таргетированная атака на персон, не принесла желаемого результата. Периметр это нам пройти не позволило, даже в случае полного успеха.
Что происходит в случае успеха, при таргетированной атаке: конечный результат это полный доступ и контроль за компьютером атакуемого. Мы видим все, владеем всеми паролями, знаем о всех доступах и можем в целом на этом остановиться, если человек часто работает из дома. Просто может уже не нужно проходить периметр предприятия. Так же появляется возможность встроить свои вирусы в рабочие файлы жертвы атаки и жертва сама принесет их к себе на рабочий компьютер.
Возвращаемся к статье:
3. Пробуем пробить оборону жертвы прямой атакой без использования доступов друзей/родственников. Для подобной атаки будет использоваться анализ связей жертвы и ее потребностей. Помните пример из прошлой статьи, с инструментом по проверке персонала для СБ? Минус того примера в том, что если перестараться, жертва принесет эту заразу себе на рабочий компьютер. Подобное может оказаться полным провалом всей атаки. Потому что все станет известно.
4. В том примере не упоминалось, что для проведения подобной атаки нужно войти в контакт с жертвой, через интеграцию своего «фейка» в сообщество, в котором жертва проявляет активность.
«Я обращаюсь к читателю и приношу свои извинения за то, как я излагаю мысли. Я специально скрываю важные моменты по принципам атаки, что бы статья не превратилась в инструкцию для атакующего. Данный цикл статей – это общая информация для служб безопасности.»
Конечно самый простой вариант, это когда жертва сама себя хочет «заразить». Например, мы наблюдали за жертвой и узнали, что она ищет подработку. Мы нашли резюме жертвы. Могли найти, что жертва проявляет активность в чатах по заработку или инвестициям (вы удивитесь, но людей на высоких должностях, вполне можно встретить в местах, в которых их как бы быть не должно). Проверяется все просто, по уровню закредитованности жертвы и ее близких. Зачем я об этом написал? Что бы дать еще один пример социальной инженерии и чуть затронуть моральный облик атакующих.
Как набирают людей в «блек темы», для использования их как расходного материала, низкого уровня:
Алгоритм набора «расходки»:
1. создаем курс по тому, как легко «поднять денег»
2. продаем этот курс за 300-600 баксов
3. в курсе есть контакты, по которым тебе начинают писать особо умные люди
4. приглашаешь их на работу, на которой даешь им второй этап обучения, который они должны отработать 300-900 баксов
5. уведомляешь их, что за увольнение, тоже нужно заплатить. Это еще и в самом курсе нужно указать.
6. не забываем слить курс по заработку в паблик и написать новый.
7. повторяем алгоритм
нюансы:
1. надо знать где продавать
2. нужно обладать репутацией (вопрос на самом деле спорный)
3. нужно иметь тему, которую ты продаешь, что бы к тебе шли люди
4. нельзя кидать этих людей - репутация твое все (нет потока «расходки», нет прибыли). Хотя давайте на чистоту, они не должны знать, что их кинули.
5. добавляем курс на складчины
6. через какое то время, сливаем курс в паблик пространство (если его за вас не сольют, что более вероятно)
Основной поток пойдет от слива в паблик, т.к. там будут те, кто уверен, что обошел системы - он самый умный. Кстати, вы этот принцип видите в маркетинге постоянно. И это хороший пример того, как применяют социальную инженерию в бизнесе.
Ну а как набрать тех, кто не может купить курс и у кого «мозги куриные», что он не способен найти бесплатно курс? Вот тут начинается магия.
Магия тут в том, что нужно понять, где такие люди обитают (а вот это уже информация, которая стоит денег. Хотя в нашем случае, мы уже собрали информацию на жертв и знаем, в каких группах они обитают. Мы через эти группы можем на них повлиять, слить там курс или связаться на прямую)
Предположим, что мы знаем где они обитают. Что дальше?
1. Связываемся на прямую или через размещения объявление о простой работе.
2. Даем денег, до 100 баксов. Ну предлагаем «чутка поработать», например написать рецензию на фильм за 10 баксов, потом хвалим и даем следующее задание и так далее. Втягиваем.
3. Проводим обучение более сложной работе, где денег платят больше.
4. Вытаскиваем на работу
Главный минус - это твой личный моральный облик. То как ты относишься к людям и как намеренно ломаешь их судьбы, фактически лишая любого будущего. Мамочка с 4-я детьми и вся в долгах, не проблема, а идеальная жертва, т.е. «расходка». Среди тех, кто реально идет туда работать, очень много «поломанных судеб», которым и так по жизни не повезло. Но и дурачков, которых привлекает воровская романтика или которые по их мнению - самые умные и удачливые, тоже не мало.
А вот теперь гайд, для служб безопасности. Большую часть атак построенных на принципах социальной инженерии, может предотвратить служба безопасности. Вам для этого достаточно сделать 4 пункта:
1. Убедить руководство в том, что ключевые сотрудники и сотрудники с критическим допуском, должны читать методички по базовой безопасности, которые вы будете обновлять. В идеале отправить всех на курсы по основам безопасности.
2. Выстроить с ними доверительную систему общения. Объяснить, что вы тут, для того, чтобы обеспечить ИХ безопасность. Ну не уверен в том, что происходит подойди, скажи. Мне платят деньги, что бы я тебя защищал. Защищая тебя, я защищаю компанию, которая нам с тобой платит деньги и для которого, мы с тобой зарабатываем!
3. Создать правило на предприятии, которое обязывает ВСЕХ сотрудников сообщать в службу безопасности, о случаях, когда их «развели на деньги» мошенники, когда у них увели аккаунт в соц. сетях/мессенджерах/почту. Хотя бы на таком уровне. И вести журнал по инцидентам. Он нужен, на случай всплеска атак на сотрудников.
4. Создать правило на предприятии, которое обязывает ВСЕХ сотрудников сообщать в службу безопасности, о случаях, буллинга (возможно неудачно подобрано слово, тут не только про булинг) в сети, в отношении их. Завести журнал инцидентов. Если случаев стало слишком много, в короткий промежуток времени – скорее всего предприятие атакуют.
Главный минус всей социальной инженерии, что если человек понимает или хотя бы предполагает, что его атакуют, он способен от нее защититься. Если атака носит системный характер, а у предприятия настроена система информирования об инцидентах – то может включиться система реагирования на атаку. Если вы не знаете об атаке на ваших сотрудников, вы сидите и ждете, пока предприятие понесет убытки. Ваша задача предотвращать, создавать систему, которые помогут выявлять убытки на ранних этапах и помогать бизнесу, вообще избегать убытков. Бизнесу нужно, что бы вы работали в коммерции, а не в органах. И когда вы начнете работать в коммерции, выясниться, что многие из вас, очень хорошо подходят на роль руководителей коммерческих подразделений, региональных представителей и так далее.
Продолжение следует…
P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.
#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики #социальнаяинженерия