В мире OSINT и расследований инцидентов безопасности мы часто фокусируемся на сложных цифровых атаках: фишинге, вредоносном ПО, эксплойтах нулевого дня. Однако иногда самые эффективные векторы атаки лежат на поверхности, буквально в радиусе нескольких метров, и используют доверие к самым обыденным вещам. Сегодня поговорим о физической угрозе, о которой многие забывают, злоупотребление беспроводными периферийными устройствами и ее катастрофических последствиях для атрибуции в системах DLP (Data Loss Prevention).
▫️Представьте стандартный офисный набор: беспроводная клавиатура и мышь, подключаемые через USB-донгл (радиомодуль) по протоколу RF (Radio Frequency). Теперь представьте злоумышленника (скажем, недобросовестного коллегу или сотрудника с доступом в помещение), который приобретает такой набор. Подключает оба USB-донгла к целевому компьютеру жертвы. Физически оставляет одно из устройств (клавиатуру или мышь) у себя, вынося его из зоны прямой видимости компьютера жертвы. Теперь, находясь в радиусе действия донгла (который может быть 10-15 метров и даже больше через стены), злоумышленник может удаленно и практически незаметно управлять компьютером жертвы.
Атакующий действует изнутри периметра, часто минуя сетевые системы защиты. Системы безопасности (и пользователи) редко подозревают легитимно подключенные клавиатуры и мыши. Атака не требует установки вредоносного ПО, который могут обнаружить антивирусы или EDR-решения.
❕При этом, DLP-системы фокусируются на пользователях, приложениях, сетевых потоках и контенте. Они видят, что конфиденциальные файлы были открыты, скопированы или отправлены учетной записью легитимного пользователя с его рабочей станции в рабочее время.
