Go offline. Используем социальную инженерию в реальном мире

Са­мая зах­ватыва­ющая и роман­тизиро­ван­ная часть соци­аль­ной инже­нерии — это, конеч­но, офлайн‑ата­ки. Фишинг по элек­трон­ной поч­те — инте­рес­ный про­цесс, но в офлай­не пен­тестер по‑нас­тояще­му рас­кры­вает­ся как твор­ческая лич­ность. Вот об этой сто­роне искусс­тва соци­аль­ной инже­нерии мы сегод­ня и погово­рим, раз­берем прак­тичес­кие методы работы пен­тесте­ра в офлай­не, а так­же обсу­дим при­меры успешных атак.

С вос­хищени­ем мы слу­шаем исто­рии о том, как пен­тесте­ры готовят­ся к ата­ке, при­думы­вая под­ходящую леген­ду. Нап­ример, выда­ют себя за устра­ивающе­гося на работу соис­кателя, под­делыва­ют про­пуск, а потом про­ника­ют в периметр орга­низа­ции, под­клю­чают­ся к внут­ренней сети, химичат в сер­верной, рас­кле­ивают пла­каты с QR-кодами или прос­то раз­бра­сыва­ют флеш­ки с «сюр­при­зом». В этой статье мы раз­берем при­меры таких атак.

Наз­вание это­го типа ата­ки мож­но перевес­ти как «упасть на хвост» или «парово­зик». Она пред­полага­ет физичес­кое сле­дова­ние за упол­номочен­ным лицом для получе­ния дос­тупа в зап­рещен­ную зону или зда­ние. Вот пять при­меров реали­зации этой ата­ки.

Вто­рой при­мер из видео, где показы­вает­ся про­ник­новение на объ­ект через откры­тую дверь, я реаль­но наб­людал в одной из орга­низа­ций со стро­гими муж­чинами на про­ход­ной. Все бы хорошо, но запас­ной вход был открыт нарас­пашку.

Во­обще, сто­ит отме­тить, что один из глав­ных навыков соци­аль­ного инже­нера — это не пси­холо­гия или, боже упа­си, НЛП, а наб­людатель­ность. С помощью нее собира­ется информа­ция о цели, что уже сос­тавля­ет при­мер­но полови­ну работы. Ну а при реали­зации офлайн‑сце­нария важ­ным навыком будет хлад­нокро­вие, ведь не так прос­то сдер­жать эмо­ции, ког­да ты пыта­ешь­ся прой­ти мимо охра­ны по под­дель­ному про­пус­ку.

По­мимо «обыч­ных» спо­собов про­ник­новения в офис целевой ком­пании под видом потен­циаль­ного работ­ника, при­шед­шего на собесе­дова­ние, или сот­рудни­ка сер­висной служ­бы, которо­го яко­бы прис­лали что‑то там ремон­тировать, есть и необыч­ные спо­собы. Рас­смот­рим один из них.

Нап­ример, мож­но прой­ти через раз­ные «тур­никеты» с лес­тни­цей под мыш­кой.

Есть еще один при­мер из Яку­тии, ког­да жур­налис­ты при­няли чел­лендж и исполь­зовали для про­хода в суды, МВД, про­кура­туру, а так­же в дру­гие орга­низа­ции... обыч­ную бутыл­ку воды. К сожале­нию, на пуб­личных виде­охос­тингах пос­вящен­ную это­му экспе­римен­ту запись уже выпили­ли, оста­лась ссыл­ка толь­ко на зап­рещен­ную в Рос­сии соци­аль­ную сеть.

Этот вид ата­ки счи­тает­ся клас­сикой жан­ра в соци­аль­ной инже­нерии. Ее еще называ­ют «пле­чевой сер­финг».

Суть метода зак­люча­ется в том, что ты прос­то под­гля­дыва­ешь со сто­роны за источни­ком кон­фиден­циаль­ной информа­ции. Нап­ример, сле­дишь за вво­дом пароля на телефо­не или чита­ешь текст внут­ренне­го докумен­та, который сот­рудник вни­матель­но изу­чает на ноут­буке.

Нап­ример, ожи­дая на про­ход­ной одной ком­пании, я обна­ружил, что совер­шенно спо­кой­но могу наб­людать за монито­ром охра­ны, пост которой находил­ся в отдель­ной кабин­ке. На экра­не были вид­ны таб­лички, ФИО сот­рудни­ков и дру­гая информа­ция, которая пред­назна­чалась явно не для пос­торон­них.

В ви­део показа­на прос­тая демонс­тра­ция «пле­чевой ата­ки» в общес­твен­ном тран­спор­те. Ничего фан­тасти­чес­кого, это прос­то под­смат­ривание пароля.

Наз­вание этой ата­ки мож­но перевес­ти как «катание на спи­не». Она пред­полага­ет исполь­зование активной сес­сии поль­зовате­ля для получе­ния несан­кци­они­рован­ного дос­тупа.

Во­обще, некото­рые авто­ры неред­ко сме­шива­ют воеди­но рас­смот­ренный ранее Tailgating и Piggybacking, при­том зачас­тую пря­мо в заголов­ках одной статьи, яко­бы это одно и то же. Всег­да нап­рягало подоб­ное струк­туриро­вание информа­ции. Либо тер­мин один, либо их два, и тог­да они несут раз­ный смысл и кон­текст. В этой статье я раз­делил их по смыс­лу, так что тебе не при­дет­ся ломать голову над отли­чиями этих атак.

Итак, в этом пос­тановоч­ном видео мы можем наб­людать, как «зло­умыш­ленник» сна­чала исполь­зует «пле­чевую ата­ку», под­гля­дывая за тем, что поль­зователь вво­дит на ком­пе, а пос­ле это­го при­меня­ет Piggybacking, исполь­зуя активную сес­сию в сво­их инте­ресах.

Вот для чего нуж­но бло­киро­вать сес­сию, отхо­дя от устрой­ства, но сей­час не об этом.

На соци­аль­но‑инже­нер­ном слен­ге «дорож­ное ябло­ко» — это ког­да мы под­бра­сыва­ем какое‑то устрой­ство с «сюр­при­зом», а жер­тва под­бира­ет его и исполь­зует. Помимо прес­ловутой флеш­ки, устрой­ства с вре­доно­сом, GPS-тре­кером, прос­лушкой, быва­ют раз­ные: внеш­ний жес­ткий диск, MP3-пле­ер, повер­банк и даже про­вод для заряд­ки телефо­на.

Вот, нап­ример, как ра­бота­ет вре­донос­ное ПО, сох­ранен­ное на флеш­ке и ими­тиру­ющее устрой­ство вво­да (мышь или кла­виату­ру). «Вирус» сра­баты­вает даже нес­мотря на то, что на целевом компь­юте­ре зап­рещен запуск исполня­емых фай­лов. Ролик на англий­ском, одна­ко мож­но исполь­зовать широко извес­тный бра­узер для онлайн‑перево­да видео — он доволь­но неп­лохо справ­ляет­ся со сво­ей задачей.

Ду­маешь, толь­ко в кино десяти­лет­ней дав­ности хакеры копались в мусор­ке в поис­ках полез­ной информа­ции? Почитай кни­гу от прак­тика соци­аль­ной инже­нерии Джон­ни Лон­га No Tech Hacking: A Guide to Social Engineering, Dumpster Diving, and Shoulder Surfing. Отдель­ная гла­ва пос­вящена имен­но копанию в мусор­ных баках.

И опять же, если понима­ешь, о чем говорят на англий­ском язы­ке, можешь пос­мотреть ви­део о том, как ребята исполь­зовали най­ден­ные в мусоре докумен­ты, что­бы про­ник­нуть в авто­салон с дороги­ми авто­моби­лями.

Ви­шинг (англ. vishing, от voice phishing) — исполь­зование телефон­ной свя­зи для обма­на поль­зовате­ля или вымани­вания допол­нитель­ной информа­ции.

По­мимо стан­дар­тно­го звон­ка сот­рудни­ку в пят­ницу под конец рабоче­го дня с прось­бой задер­жать­ся и помочь с вос­ста­нов­лени­ем пароля, пос­коль­ку про­изо­шел тех­ничес­кий сбой, мож­но поп­робовать и нес­тандар­тный спо­соб.

В этом сце­нарии «зло­умыш­ленник» про­сит жер­тву сме­нить пароль на новый, который он теперь, естес­твен­но, зна­ет и которым смо­жет вос­поль­зовать­ся. Если на пор­тале (или в любом дру­гом сер­висе) сто­ит двух­фактор­ная аутен­тифика­ция, то прой­ти ее так­же поможет поль­зователь, раз уж он толь­ко что помог зло­умыш­ленни­ку сме­нить свой пароль.

Вто­рой вари­ант: если человек не зна­ет, что нуж­но делать, что­бы сме­нить пароль, мож­но про­вес­ти при­мер­но сле­дующий диалог.

Пен­тестер: «Хорошо, я помогу вам и сме­ню пароль за вас. Текущий пароль я не знаю, пос­коль­ку он уже сбро­шен, но он сей­час понадо­бит­ся для вос­ста­нов­ления сис­темы».
Жер­тва: «Хорошо».
Пен­тестер: «Про­дик­туй­те пароль по сим­волам».

Тех­ника Find trap («поиск ловуш­ки» или «самос­тоятель­ный поиск ловуш­ки») — это метод соци­аль­ной инже­нерии, ког­да жер­тве дос­тавля­ется часть информа­ции, оставшу­юся часть которой она самос­тоятель­но ищет в поис­ковых сис­темах, попадая на вре­донос­ный ресурс. Давай рас­смот­рим вари­ант при­мене­ния этой тех­ники с исполь­зовани­ем телефон­ных звон­ков, а не email-рас­сылок.

Ес­ли ата­куют физичес­ких лиц, а не сот­рудни­ков орга­низа­ции, дела­ется проз­вон кли­ентов по какой‑либо сли­той базе. Потен­циаль­ные жер­твы ищут в поис­ковике, кто им зво­нил, и попада­ют на фей­ковый сайт.

Нап­ример, сли­та база сети магази­нов «Чет­вероч­ка», тог­да на под­кон­троль­ном фей­ковом сай­те зло­умыш­ленник ука­жет «полез­ную» информа­цию, яко­бы «Чет­вероч­ка» из‑за неп­равиль­но нас­читан­ного НДС дела­ет воз­врат 20% средств для тех, кто совер­шал покуп­ки в этом году. Нуж­но лишь ввес­ти дан­ные сво­ей бан­ков­ской кар­ты и получить воз­мещение.

Был такой слу­чай: однажды мне поз­вонили с какого‑то вен­гер­ско­го номера. Труб­ку я не снял, но номер погуг­лил. На пер­вом или вто­ром мес­те в резуль­татах поис­ка обна­ружи­лась ссыл­ка, перей­дя по которой я ока­зал­ся в чьем‑то лич­ном кабине­те некой пла­теж­ной сис­темы. На балан­се яко­бы име­лась круг­лая сум­ма в крип­товалю­те. Рас­чет на то, что алчная жер­тва поп­робу­ет вывес­ти средс­тва на собс­твен­ную кар­ту, рек­визиты которой и попадут мошен­никам.

Но в этой статье мы боль­ше не говорим про физ­лиц, а изу­чаем при­меры с кор­поратив­ной нап­равлен­ностью. Сот­рудни­ку орга­низа­ции мож­но 2–3 раза поз­вонить на мобиль­ный (ожи­дая по одно­му гуд­ку), что­бы он погуг­лил номер. А затем под­сунуть ему сайт с некой информа­цией для сот­рудни­ков имен­но этой орга­низа­ции и полез­ной наг­рузкой в виде фишин­говой фор­мы или ска­чива­емо­го вре­донос­ного фай­ла.

Рас­смот­рим нес­коль­ко при­меров, ког­да бумаж­ный носитель информа­ции мож­но исполь­зовать в сво­их пен­тестер­ских целях.

Подбрасывание корпоративных документов

Под­бра­сывать мож­но не толь­ко флеш­ки с полез­ной наг­рузкой, но и «кор­поратив­ные» докумен­ты (при­казы, спис­ки на уволь­нение и так далее). Если ты попал внутрь перимет­ра, иди в убор­ную, общую кух­ню (но ничего там не ешь, оно чужое), к жур­наль­ному сто­лику и положи на вид­ное мес­то яко­бы офи­циаль­ный документ, за под­писью какого‑нибудь началь­ника орга­низа­ции.

В докумен­те не забудь ука­зать ссыл­ку на сайт, собира­ющий логины и пароли.

Бумажная реклама

С помощью бумаж­ного пись­ма с закосом под рек­ламу мож­но пре­дос­тавить дос­туп сот­рудни­ку яко­бы к толь­ко что открыв­шемуся полез­ному сер­вису. Нап­ример, бух­галте­рам или юрис­там мож­но под­сунуть какую‑нибудь бес­плат­ную базу нор­матив­ных докумен­тов или плат­ную, но с халяв­ным дос­тупом. В пись­ме будет ссыл­ка на «сер­вис» и неболь­шая леген­да на самом сай­те, рас­ска­зыва­ющая, почему нуж­но ввес­ти логин и пароль имен­но от кор­поратив­ной учет­ной записи. Нап­ример: «В целях при­вяз­ки кабине­та к вашей ком­пании исполь­зуйте учет­ную запись орга­низа­ции и пароль от нее».

А если в ком­пании исполь­зуют кор­поратив­ный пор­тал вро­де какого‑нибудь «Итрикс34», в рек­ламе мож­но написать, что у раз­работ­чиков появил­ся сер­вис для бух­галте­ров с неверо­ятны­ми воз­можнос­тями. Но вой­ти в сер­вис мож­но толь­ко с учет­ной записью от «Итрикс34».

Та­кие коды обыч­но нак­леивают на чей‑то пла­кат, рек­ламу, опо­веще­ния для сот­рудни­ков в общес­твен­ных (и не толь­ко) помеще­ниях. Разуме­ется, мож­но не толь­ко «парази­тиро­вать» на чужих пла­катах, но и соз­давать свои.

Про­ник в зда­ние орга­низа­ции? При­нимай­ся рас­кла­дывать кра­сиво офор­млен­ные, брен­дирован­ные под стиль орга­низа­ции‑жер­твы лис­товки и кле­ить пла­каты (ско­рее все­го, без­наказан­но это получит­ся сде­лать толь­ко в туале­те, где нет виде­онаб­людения, но все зависит от наличия виде­ока­мер по перимет­ру. Кто‑то спо­кой­но кле­ит пла­каты воз­ле лиф­тов и в коридо­рах).

Текст акции, нап­ример, для ретейл‑ком­пании, может быть таким: «Кол­леги, в свя­зи с обновле­нием ассорти­мен­та про­дук­ция будет рас­про­дана сре­ди сот­рудни­ков с 90%-й скид­кой. На нашем пор­тале в спе­циаль­ном раз­деле (QR-код со ссыл­кой ниже) есть спи­сок оставшей­ся про­дук­ции. То, что Вы решите выкупить, пометь­те в таб­лице зна­ком +. Мероп­риятие дей­ству­ет до кон­ца недели».

Ко­неч­но, для раз­ных орга­низа­ций лис­товки будут со сво­им бонусом, ведь про­дук­ция далеко не вся­кой орга­низа­ции нуж­на каж­дому ее сот­рудни­ку. В таком слу­чае при­думай «акцию» от пар­тне­ров. Нап­ример: «В рам­ках стра­теги­чес­кого сот­рудни­чес­тва для сот­рудни­ков ООО „Ромаш­ка“ сеть магази­нов „Бук­варь вку­са“ пре­дос­тавила сер­тифика­ты номина­лом 7500 руб. Для это­го…»

Еще неп­лохо заходит раз­дача чего угод­но, если это яко­бы было куп­лено в качес­тве подар­ков пар­тне­рам, но ока­залось невос­тре­бован­ным.

Речь идет о соци­аль­ной инже­нерии с помощью под­дель­ных про­пус­ков и бей­джи­ков. В тех слу­чаях, ког­да на пун­кте охра­ны про­пуск явля­ется не тех­ничес­ким, а чис­то визу­аль­ным атри­бутом для про­ник­новения за периметр (понаб­людай, как ведет себя охра­на), мож­но сде­лать копию такого про­пус­ка. В сто­ловой, кафе, рес­торане, где появ­ляют­ся сот­рудни­ки, мож­но без тру­да сфо­тог­рафиро­вать обра­зец.

Кста­ти, если, помимо про­пус­ка, пот­ребу­ется исполь­зовать фир­менную одеж­ду целевой орга­низа­ции, в этом видео инос­тран­цы под­робно рас­ска­зыва­ют, как они добыва­ют ори­гиналь­ную уни­фор­му для про­ник­новения на объ­ект.

Ме­роп­риятия — это отличный повод поз­накомить­ся с жер­твой или целой груп­пой жертв (нап­ример, на кор­порати­ве орга­низа­ции). Рас­смот­рим некото­рые при­емы и при­меры экс­плу­ата­ции это­го век­тора атак.

Двухдневное мероприятие

За­бытые где‑нибудь бей­джи­ки с пер­вого дня, явля­ющиеся про­пус­ками при вхо­де, — неред­кое явле­ние. На сво­ем собс­твен­ном опы­те я неод­нократ­но сумел убе­дить­ся, что на вто­рые сут­ки мероп­риятия верифи­кация вхо­дящих была не такая стро­гая, как в пер­вый день. Прос­то понаб­людай, что про­исхо­дит на про­ход­ной.

На вто­рой день, наз­вав свое имя в качес­тве учас­тни­ка, ты получишь копию «потерян­ного» бей­джи­ка и смо­жешь прой­ти внутрь перимет­ра. То же самое мож­но про­вер­нуть и на пер­вый день, под­слу­шав дан­ные о регис­тра­ции от дру­гого регис­три­руемо­го и потом ска­зав дру­гому регис­тра­тору, что ты потерял про­пуск учас­тни­ка. Или сооб­щить, что во вре­мя переры­ва ты сидел с кол­легой в машине, а он уехал с бей­джи­ком.

Организовал на свою голову

Ес­ли жер­тва орга­низо­выва­ет мероп­риятие на сво­ей тер­ритории, то за периметр мож­но попасть гораз­до про­ще. Мониторь соци­аль­ные сети и офи­циаль­ный сайт орга­низа­ции и регис­три­руй­ся в спис­ке учас­тни­ков. Ну или не регис­три­руй­ся, если это дорого сто­ит, и при­меняй соци­аль­ную инже­нерию, что­бы попасть внутрь. Заод­но про­ведешь пен­тест охра­ны кор­поратив­ного мероп­риятия. Я знаю, что некото­рые безопас­ники орга­низа­ций так и дела­ют, ког­да «забыва­ют» билет в машине, а попасть на мероп­риятие очень хочет­ся.

Конференции, выставки и форумы

Ес­ли ты зна­ешь, что жер­тва будет на каком‑то мероп­риятии, — это хороший спо­соб поз­накомить­ся с ней вжи­вую или как минимум надеть фут­болку и кеп­ку, при­кинуть­ся про­моуте­ром и раз­давать на вхо­де USB-устрой­ства. Толь­ко не све­тись перед сот­рудни­ками орга­низа­тора, ты ведь не опла­тил ком­мерчес­кое учас­тие в мероп­риятии.

Корпоратив

Пе­ред Новым годом или в рам­ках локаль­ных праз­дни­ков орга­низа­ции, круп­ные и не очень ком­пании устра­ивают кор­порати­вы. Если обыч­ное мес­то их работы пред­став­ляет Форт‑Нокс с биомет­рией, снай­перами по перимет­ру и «неуго­вари­ваемой» охра­ной, то может так получить­ся, что в арен­дован­ном бан­кетном зале не будет таких мер безопас­ности, а раз­горячен­ные шам­пан­ским сот­рудни­ки потеря­ют бди­тель­ность и с радостью с тобой пооб­щают­ся. Можешь при­кинуть­ся нович­ком, ста­жером, сот­рудни­ком служ­бы ИБ, да кем угод­но, все зависит лишь от выб­ранной жер­твы и сце­нария.

Пришел к одним, пошел к другим

Ес­ли тебя инте­ресу­ет само зда­ние ком­пании, а на тер­ритории это­го зда­ния про­водит мероп­риятие какая‑то дру­гая орга­низа­ция, то это может сыг­рать на руку. Ты про­ходишь через пер­вый кор­дон охра­ны и даль­ше можешь нап­равлять­ся на тер­риторию инте­ресу­ющей тебя фир­мы. Так я гулял по раз­ным эта­жам орга­низа­ции, в то вре­мя как мероп­риятие про­ходи­ло на пер­вом.

Ес­ли ты про­водил пен­тест с исполь­зовани­ем соци­аль­ной инже­нерии в реаль­ной жиз­ни и готов «спа­лить связ­ку», напиши его сюжет в ком­мента­риях или прос­то поделись слу­чаем из жиз­ни, ког­да ты наб­людал работу пен­тесте­ров или Red Team в сво­ей орга­низа­ции. Кажет­ся, что такие слу­чаи будут луч­шим допол­нени­ем к статье, пос­коль­ку в рунете исполь­зование офлайн‑методик соци­аль­ной инже­нерии рас­кры­то недос­таточ­но, а пен­тестов про­водит­ся мно­го.