Пентестер CICADA8 Михаил Жмайло рассказал о том, какие уязвимости возникают для локальной сети, если система видеоконференцсвязи была развёрнута на скорую руку.
Дейлики и синки, стендапы и митапы, скрамы и традиционные планерки с совещаниями давно стали стандартным ритуалом во множестве компаний. Благодаря развитию технологий видеосвязи, ваши коллеги могут находиться очень далеко от вас, при этом рабочий процесс никак не будет страдать. Любимый начальник будет наслаждаться легким вечерним морским бризом, пока в московской высотке работа только начнет разгораться. Впрочем, работает это и в обратную сторону. Вы можете стать тем самым «Пашей из зума без вебки», которого никто никогда в лицо не видел, но все очень любят и ценят.
Чаще всего случается так, что при улучшении условий работы сотрудников страдает защищенность компании. Как вы понимаете, видеосвязь не исключение. Предлагаю вспомнить различные интересные кейсы, как большие корпорации оказывались взломаны через обычный функционал видеосвязи.
Дипфейки атакуют!
Дипфейк (от англ. DeepFake — Deep от Deep Learning, глубокое обучение; Fake — подделка) позволяет заменить одно лицо на другое. Буквально так :)
Конечно, можно подменять и голос, но с лицом убедительнее. Мошенники не обошли этот механизм стороной. Первая атака с использованием дипфейков была применена в далеком 2019 году. Атакующие позвонили CEO компании и, применив подмену голоса, получили чуть больше 240 000 $ на свои счета. Об инциденте подробно сообщалось здесь.
Время от времени подобные истории появлялись, но не вызвали бурного ажиотажа: то ли людям не особо интересно было, то ли уж совсем смешные суммы воровали....
Начало 2024 года открыло новую главу в истории онлайн-мошенничества. Злодеи сорвали воистину крупный куш — 25 000 000 $ (двадцать пять миллионов!!!), обманув сотрудника компании из Гонконга.
День не предвещал никакой беды, как вдруг на почту работнику пришло сообщение с просьбой о переводе этой крупной суммы на счет. Будем честны, письмо более чем подозрительное.
Чтобы развеять сомнения сотрудника, “финдиректор” предложил обсудить эту операцию на видеозвонке. Помимо них двоих на этом созвоне присутствовали также несколько коллег, лично знакомых атакованному сотруднику.
Участвовавшие в звонке дипфейки выглядели и разговаривали так, что мошенникам в итоге удалось успокоить сомневающегося сотрудника и убедить его перевести им на счет 200 миллионов гонконгских долларов — что примерно эквивалентно 25,5 миллиона американских долларов.
Вот так «за утро» кто-то сколотил неплохой капитал, применив недюжую смекалку, хитрость, щепотку удачи и отличные социотехнические знания.
Кстати, не так давно мы поговорили про дипфейки и их опасность с директором по Big Data Future Crew Кириллом Малковым. Напомним о тех способах распознать мошеннические дипфейки, о которых он рассказал:
- Прислушайтесь к голосу. Если некоторые окончания произносятся неправильно, если фразы обрываются, если звук как будто металлический — то эти признаки могут говорить о том, что вас пытаются обмануть. И всё же возможно, что это просто плохая связь.
- Попробуйте поговорить на темы, которые вряд ли получится «заскриптовать» заранее. И тут технологии, которые сейчас есть, либо упрутся во время генерации и ответ будет долго формироваться, либо не смогут предложить адекватный ответ на нестандартный вопрос. Мошенники не придумают быстро, что сказать, а заготовленной сгенерированной фразы у них не будет.
Целимся не на людей, а на сервера
Не стоит забывать и об атаках на сами устройства для обеспечения связи. Большинство из них работает с помощью протоколов STUN и TURN. Именно с их помощью устанавливаются WebRTC-соединения (видеозвонки). Чаще всего такие сервера оперативно развертывались во времена эпидемии, в далеком 2020 году, поэтому о правильной конфигурации никто особо не задумывался — нужно было «поднять тачку» (прим. — сленг системных администраторов) как можно скорее.
На пентестах подобные сервера не составляет труда обнаружить. Для подключения к ним требуются учетные данные, их можно найти в передаваемых между нашей машиной и сервером сетевых пакетах.
После обнаружения учетных данных можно проверить конфигурацию устройства. Если вдруг оно было настроено неправильно, то у нас появится доступ через этот сервер во всю локальную сеть компании. Это возможно из-за особенностей работы протоколов STUN и TURN. Чаще всего проверки осуществляются с помощью инструментов stunner и turner .
Таким образом, сервер для видеосвязи становится еще одной, достаточно неочевидной точкой входа в компанию. Впрочем, благодаря этим инструментам вы можете собственноручно проверить, присутствует ли уязвимость. А для проведения полноценного пентеста вы знаете, к кому обращаться ;)