Часть третья
Взломать можно любого. Проблема заключается лишь в возможности добраться до человека. Разумеется, существуют сверхзащищённые люди, которые не пользуются гаджетами лично, но их единицы. И на старуху бывает проруха. Каждый может стать старухой. Но сегодня мы поговорим не о настолько сложных целях.
Шок-пример
Меня, специалиста по социальной инженерии, развели с помощью социальной инженерии! Меня протроянили, заставили скачать вирус на рабочий компьютер своими же руками. Усыпили бдительность, использовав на мне мои же методы.
Как это было? В понедельник, на этой неделе, я обучал нового сотрудника основам работы, рассказывал очень много информации и в какой-то момент зашел на почту, где обнаружил письмо от нашего менеджера, которое он переслал от клиента, потому что не понял, что нужно делать. Я прочитал его, увидел нужные мне триггеры, скачал файл и открыл его. На осознание произошедшего у меня ушло секунд двадцать. Чтобы подтвердить, что произошло что-то не то, я запустил файл повторно, и лишь тогда до меня дошло окончательно. В третий раз я запускал файл и пристально наблюдал, что происходит.
Итог: минус моя рабочая виндовая виртуалка. Нет, я не открыл файл в песочнице. Нет, я не открыл файл на специально запущенной для таких целей виртуалке. Да, я скачал его на боевую машину и открыл прямо там. И не такое случается)
Это был неплохой пример социальной инженерии. Так нашу компанию ещё не атаковали. Да и сам троян был слабенький, с точки зрения технического исполнения, что позволило запустить инстинкт самосохранения.
Взломать можно любого, если правильно подобрать триггеры и подгадать обстоятельства. Задача социальной инженерии состоит в умении сочетать эти два фактора.
Руководство к практике
Следующие пункты я сгенерировал с помощью искусственного интеллекта. Мне было интересно посмотреть, что он знает о социальной инженерии. Однако всё же пришлось внести кое-какие коррективы.
1. Жажда информации. Люди стремятся получать новую информацию и могут поддаться на поддельные запросы, направленные на предоставление конфиденциальных данных или доступа к информационным ресурсам.
2. Социальное давление. Люди хотят соответствовать социальным нормам и ожиданиям коллег, друзей или социальной группы. Распространение компромата или фейка может подорвать защиту объекта.
3. Благонадежность. Люди склонны подчиняться авторитетам, не сомневаясь в них, и не проверять информацию, которая от них исходит.
4. Личные проблемы. Люди более склонны к раскрытию информации, если считают, что этого требуют личные проблемы.
5. Привлечение интереса. Люди проявляют интерес к необычным событиям.
6. Симуляция авторитетных лиц. Атакующие могут выдавать себя за работников банка, коммерческих организаций или правительственных агентств, чтобы втереться в доверие.
7. Манипуляция срочностью. Атакующие могут создавать ситуации, в которых люди чувствуют необходимость поскорее предоставить информацию или выполнить определенные действия, чтобы избежать негативных последствий.
8. Использование угроз. Создание или усиление опасности с целью заставить испытывать страх. «Ты охренел? Ты спишь с моей женой!!! Я приеду, и ты пожалеешь!»
9. Манипуляция информацией. Распространение фейков, компромата или создание паники, чтобы жертва почувствовала страх. Это раздел событийной социальной инженерии, созданной для атак. «Мобилизация! Вас призывают, но мы поможем за денежку!»
10. Пропаганда и шоковые методы. Искусственная паника, созданная с помощью захватывающих заголовков, угрожающих изображений или других медийных инструментов. Даже после получения доступа к данным его необходимо сохранить. Следовательно, есть смысл формировать новостную выдачу для объекта.
11. Использование личных страхов. Изучение индивидуальных страхов для манипуляции и управления людьми. Например, путем использования чувства уязвимости, одиночества или потребности в безопасности.
12. Страх перед отвержением. К примеру, можно создать ситуацию, в которой человек долгое время общается с любовным интересом на сайте знакомств, оказываясь жестоко отвергнутым в конце. Он будет сконцентрирован на отказе, а не на защите.
Продолжать можно до бесконечности.
Для социальной инженерии не важно, что использовать: правду или вымысел. Важны лишь воздействие на объект, получение триггеров для атаки, а также подмена или переключение защиты на другие события. Лучшая атака — это та, которую не заметили.
Чат GPT — один из лучших примеров незаметной социальной инженерии. Он может выдумывать что угодно, вырастив целое поколение, которое не понимает, что информация от искусственного интеллекта может быть искажена или попросту являться фейком.
Также Чат GPT, как и множество похожих инструментов, настраивают давать политкорректные ответы. ИИ станут создателями общественного мнения, а социальные инженеры, программирующие их, будут управлять миром.
Что нужно понимать про атаку? Даже проникновение в систему не значит, что атака на объект завершена. Если требуется, чтобы объект не обращал внимание на атаку, необходимо отвлекать внимание и дальше.
Можно, например, совершить неожиданную атаку: провалиться в систему, закрепиться в ней, но продолжить атаковать, нарочно используя кривые способы, которые палят проникновение. Объект будет думать, что его атакуют дилетанты, не замечая происходящее в системе.
Всегда ли атакующие, используют социальную инженерию, чтобы проникнуть в систему? Разумеется, нет.
Цели атак без проникновения в систему
1. Конкретный объект и его окружение. Если руководство структурного подразделения в течении трёх-шести месяцев занято решением личных проблем, а не работой. Думаю, вы поняли…
2. Репутация компании.
3. HR. Совершается для того, чтобы сотрудники компании создавали профсоюзы, выходили на забастовки, а потенциальные сотрудники не шли на собеседования. Пишутся негативные отзывы о работе в компании, создаются фейковые новости и/или видео о тяжелых условиях труда.
Незнание компании об атаке на её сотрудников, репутацию может привести к печальным последствиям. Но давайте начистоту. У кого стоит мониторинг репутации? Это же дорого и не важно! Дело в деньгах. Хантинг стоит денег, негативные отзывы снижают продажи, текучка персонала = прямые потери.
Немного о защите
Когда мне было девятнадцать, я шел по улице. Ко мне подошел мошенник и развёл меня на пять тысяч рублей. Я словно находился под гипнозом и осознал, что произошло, только придя домой и поев.
К тому моменту, меня пару раз грабили на улице. Также ко мне подходили всякие гадалки и разводилы разных мастей. Я уже занимался своей темой почти пять лет, но защита так и не включилась...
Я сделал вывод и пошел изучать вопрос, чтобы выяснить, как он прошел через мою защиту. Вывод неутешительный: взломать можно каждого, это вопрос подбора времени и триггера. Осознание, изучение и понимание заняло у меня два года…
Помните про журнал инцидентов? Для этого он и нужен! У ваших сотрудников необходимо выработать привычку сообщать об аномалиях и атаках. Если они понимают, что происходит, пускай направляют информацию другому человеку, который заточен на обнаружение схем. Лучшая защита от социальной инженерии — это внимательный взгляд со стороны и знание того, что есть человек, у которого намётан глаз.
Как приучить сотрудников определять, что происходит какая то аномалия?Для этого и нужны методички по взлому, мошенническим схемам и подобным вещам. Просто нужно иногда их читать! Разумеется, руководства необходимо регулярно обновлять.
Минус методичек в том, что мы можем случайно заточить персонал на определенные схемы, сделав уязвимым перед остальными. Это проверили ФБР на педофилах. Они обучили население, что нужно боятся «человека в черном плаще», но все мы знаем, что педофилом может оказаться любой, даже учитель младших классов.
Вывод: нужно описывать общую методологию и примерные триггеры, а не саму схему.
Затем в школах появился секспросвет. Изначально он преследовал благие цели и решал вопрос «человека в черном плаще», но, в итоге, его извратили. Что там происходит сейчас, даже знать не хочу.
Обратите внимание на выбор примера, который активирует триггеры. Педофил — это триггер, угроза детям — триггер. Ваши примеры должны триггерить. Негатив очень хорошо откладывается в подсознании.
Методичка должна затрагивать личные чувства людей, которые будут её читать. Но я использую триггер уже после того, как дал необходимый объем информации. Он должен позволить вашему подсознанию закрепить полученный материал.
Методичка должна выдавать материал порционно, легко читаться и быть интересной.
Zero Trust
На словах запрещать переходить на подозрительные сайты, пользоваться соцсетями на рабочем месте, использовать один пароль на всё и прочий бред — всё это противоречит Zero Trust.
Zero Trust — модель безопасности с нулевым доверием, также известная как архитектура с нулевым доверием, а иногда называемая безопасностью без периметра. Она описывает подход к стратегии, проектированию и внедрению IT-систем.
Если Вы считаете, что нужно ЗАПРЕТИТЬ, то сделайте это технически, а написать приказ или дать распоряжение, не делай так – не поможет, вы просто создаете дыру в безопасности, считая что создали защиту, таким способом. Zero Trust не отменяет периметр, она создана для того, что бы когда периметр пройдут, дальше было очень тяжело и это работает.
Как же тогда делать журналы инцидентов, если Zero Trust предполагает, что все должно быть сделано на техническом уровне, а запреты или приказы просто не помогут?
Разберём на примере. Ваш работник получил письмо, акт сверки с вирусом внутри. Это значит, что первый периметр уже пройден. Он его открыл и либо заразился, либо нет. Возможно, это привело к тому, что второй уровень прошли, а может быть нет. Уровни бывают разные, так что прошу прощения за некорректность с технической точки зрения.
На техническом уровне, если ты получил письмо, ему нужно присвоить номер и отработать. В случае, если письмо получено по ошибке, об этом нужно сообщить на уровне системы (условной ЦРМ). Уже там могут быть правила, что и как делать. Таким образом, сообщение с вирусом дойдет до ИБ/СБ. Это грубый пример на уровне почты.
Zero Trust — это просто методология. Она не позволит найти способы исправить все уязвимости. Всё равно останутся места, где сотрудник должен сообщить сам. Это выработка привычек, дело техники.
Приведу ещё один пример. Если не хотите, чтобы пароли утекали, делайте криптоключи на флешках с авторизацией по СМС на рабочий номер телефона, а не на личный.
Сотрудникам нужны соц сети для работы или для личных дел, создайте под соцсети и мессенджеры виртуальное окружение и пусть пользуются, не имея возможности выйти за это виртуальное окружение.
Переходы на подозрительные сайты? Оставьте это антивирусам! «Касперский» идеально борется с подобными проблемами там, где это возможно, а там, где нет, что бы вы не сделали, у данной программы всё равно получится лучше.
Пример на уровне приложений для телефонов. Хакеры размещают в официальных магазинах приложений свои приложения, которые изначально являются модульными вирусами и, при правильном подходе, живут там годами и не палятся.
Нужен мессенджер для работы? Используйте свой JABBER с шифрованием и правильной авторизацией. Он может быть прямо внутри вашей ERP/CRM или почтового клиента.
Нужно передавать файлы? Создайте свой файловый сервер, а не передавайте их сторонним образом. Загрузили файл, выбрали нужного человека/группу, в мессенджер пришла ссылка на защищённый файловый сервер. Мы сразу знаем, кто загрузил, а кто скачал. Кому файл не предназначается, скачать или найти его без наличия особых прав не смогут.
Ограничьте прикрепление файлов к письму во вне. Оставьте эту возможность только тем сотрудникам, которым она остро необходима. Все остальные пусть пользуются вашим публичным файловым сервером и прикрепляют ссылки на файл. Это дает очень много возможностей, для защиты, в том числе, и проактивной.
Я пошёл по кибербезопасности, вместо социальной инженерии… Но на стриме вы спрашивали про защиту от слива данных. Даю основы.
Разделяй и властвуй, Zero Trust. Хотя нет, это же касается и общей защиты от социнженерии, ведь мы ограничиваем доступ и создаем условия, при которых строим защиту данных таким образом, чтобы, в случае атаки на сотрудника, у него была минимальная техническая возможность слить данные путем обмана.
Главная проблема защиты
Защита уникальна для каждой компании, так как у всех свой бизнес-процесс. Она не может быть универсальной и абсолютной.
Задачи защиты
1. Приносить прибыль.
2. Защищать от атак.
3. Восстанавливать деятельность в случае успешной атаки.
Настоятельно рекомендую прочесть статью по теме:
Второй и третий пункт вопросов не вызывают, а вот первый — это всегда боль. Как обосновать расходы на СБ/ИБ и систему защиты, ведь нужно показать, какую прибыль это должно приносить, а не вероятность сокращения потерь в результате инцидента?
Ваши лучшие друзья — это отдел маркетинга и отдел по работе с BigData. На втором месте идут закупки, на третьем — продажи. Системы защиты порождают возможности для заработка денег. Именно эти отделы могут увидеть их, если выстроить правильный диалог.
Обоснование необходимости установки антивируса. Коэффициент ROSI (Return on Investment for Security)
Заказчик имеет право подать на компанию в суд, если она отказывается соблюдать стандарты безопасности (могу ошибаться про РФ, знаю про запад). В скором времени, это будет касаться многих. Но это про потери, а не про прибыль. В целом, весь ROSI направлен на расчеты инвестиций в безопасность и основан на потерях. Снижение потерь = заработок.
Покупку лицензионного софта, например, операционной системы или антивируса очень сложно обосновать с точки зрения прибыли. Операционная система нужна, чтобы компьютер работал и можно было зарабатывать. Но зачем покупать, если можно взять бесплатно? А антивирус вообще не нужен! Платить каждый год? Мрак. Штрафы за отсутствие лицензий? Да пофиг. Кстати, когда будете жаловаться на отставание по софту, вспомните как про отношение бизнеса к покупке лицензионного программного обеспечения, так и про своё личное отношение, а затем осознайте, что вы сами провоцируете ситуацию, в которой на российский рынок разрабатывать не выгодно.
Мой ответ — необходимость обосновать не получиться. Ждите, пока предприятие окажется парализовано шифровальщиком, потеряет все данные и понесет убытки, которые могут привести к банкротству.
Существуют расходы на безопасность, которые, как и расходы на жизнедеятельность компании, не приносят прибыль как таковую. Они необходимы, чтобы бизнес не закрылся. Лично вы должны иметь запасной вариант работы, если попали в организацию, в которой возникает вопрос, зачем покупать лицензионную операционную систему или антивирус. Такая компания должна рухнуть.
Далее происходит одно из двух: либо руководство меняется и компания возрождается, переходя на новый уровень развития, либо наступает банкротство. Первое случается гораздо реже.
Вернёмся к деньгам
Корпоративные решения по операционной системе и антивирусам принципиально отличаются от частных. Они дают вам данные и дополнительные возможности, помогают повысить эффективность работы сотрудников за счет встроенных решений по мониторингу использования рабочих станций, позволяют анализировать получаемые данные, оптимизировать трудовое время и ресурсы, а также дают возможность подменить работникам новостную выдачу, тем самым понизив уровень стресса в коллективе. При должном изучении вопроса возможно многое.
Повышение эффективности труда — это прямое влияние на прибыль компании.
Вы можете применять социальную инженерию к собственной компании, чем повысите эффективность бизнеса, работая с персоналом и их сознанием. На западе так делают. При правильном подходе даже утренние планёрки могут быть эффективными.
P.S. Автор - Алексей Меркулов https://t.me/fobscraft специально для канала - sbprobiz.
#fobscraft #меркулов #безопасностьбизнеса #корпоративнаябезопасность #хакинг #шифровальщики