Cоциальная инженерия. Важные понятия
Социальная инженерия - сфера, в которой обязан разбираться каждый уважающий себя воркеры.
Что такое социальная инженерия?
Социальная инженерия (social engineering) – это любая атака, которая использует человеческую психологию для воздействия на цель, заставляя ее либо выполнить нужное действие, либо предоставить секретную информацию.
Эти атаки играют важнейшую роль в индустрии информационной безопасности и хакерском сообществе, но мы регулярно встречаем примеры подобного поведения и в своей повседневной жизни.
Например, отделы продаж и маркетинга часто используют тактику социальной инженерии. Продавец, который обзванивает потенциальных клиентов, может попытаться повлиять на людей на другом конце линии, предложив решения их проблем. Дети часто ссылаются на «крутых ребят», чтобы добиться желаемого у своих родителей, в то время как родители могут преувеличивать негативный эффект от неправильного поведения ребенка (вспомните, какими последствиями вас пугали взрослые, если вы будете есть много сладкого).
Важные понятия социальной инженерии
Предлог
Согласно концепции социальной инженерии предлог (pretexting) – это акт выдачи себя за кого-то. Вы можете надеть чужую униформу, рассказать выдуманную предысторию или создать фиктивный повод для контакта. Я использую этот термин для обозначения любого вашего предлога для разговора с жертвой. Если, например, вы заявили охраннику на проходной, что работаете в компании по обслуживанию мусорных баков, держите в руках блокнот и одеты в униформу компании – это и есть предлог.
Разведка по открытым источникам
Разведка по открытым источникам (open source intelligence, OSINT) – это сбор информации о вашей цели из общедоступных ресурсов. Источники OSINT включают газеты, поисковые системы, документы из различных регулирующих органов, социальные сети, рекламу и обзорные сайты, и это далеко не полный перечень. OSINT поможет вам придумать повод для контакта.
OSINT может поддержать или разрушить ваши усилия по социальной инженерии, потому, что для достижения успеха вам часто нужно знать важные подробности о компании-жертве и ее сотрудниках.
- Какую виртуальную частную сеть (VPN) они используют?
- Какие еще технологии они применяют в своей работе?
- Какова физическая планировка здания организации?
Зная эту информацию, вы сможете значительно упростить взаимодействие.
Оптимальное отношение времени, затрачиваемого на сбор данных OSINT, к времени, затраченному на фактическое проникновение, колеблется от 30/70 до 70/30.
Фишинг
Это наиболее распространенная форма социальной инженерии.
Фишинг – это отправка мошеннических электронных писем с целью повлиять на жертву или заставить ее предоставить информацию, открыть файлы или перейти по ссылкам.
Обычные фишинговые электронные письма, как правило, не адресованы какому-либо конкретному получателю. Вместо этого их рассылают по обширным спискам адресов электронной почты, купленными на дарк-форумах или добытыми самостоятельно. Это означает, что вы можете отправить электронное письмо большому количеству людей, не собирая о них информацию. Например, почти не владея контекстом жертвы, вы можете разослать одинаковое для всех электронное письмо, которое попытается заставить пользователя либо войти на мошеннический веб-сайт, либо загрузить файл. Когда жертвы открывают файл, на их компьютере может открыться удаленный доступ к оболочке командной строки или произойдет установка вредоносной программы. После того, как хакеры запустили удаленную оболочку или установили вредоносное ПО, они могут в интерактивном режиме взаимодействовать с системой и выполнять атаки, запуск эксплойтов и повышение привилегий, чтобы продолжить компрометацию системы и сети.
Согласно отчету Symantec Internet Security Threat Report (ISTR), 0,5 % всего URL-трафика являются фишинговыми, а 5,8 % этого трафика – вредоносными. Это 1 из 224 всех URL-адресов!
Целевой фишинг
Целевой фишинг – это разновидность обычного фишинга, при котором специалист по социальной инженерии фокусируется на конкретной цели. Если бы вы были рыбаком, использующим копье, а не сеть, вам, вероятно, нужно было бы знать, как ведет себя каждый вид рыб и как к ним подходить. Точно так же вам, как хакеру, нужно будет собирать, объединять и использовать OSINT о вашей целевой компании или человеке, чтобы должным образом заманить их в ловушку.
Целевой фишинг является вектором номер один в целевых атаках. 71% организованных групп, включая национальные разведки, киберпреступников и хактивистов, используют целевой фишинг для достижения своих целей.
Начинать такую атаку стоит с OSINT-расследования в направлении компании-жертвы или конкретного человека. Например, можете раздобыть информацию о поставщиках услуг, которыми они пользуются. Затем – создать фишинговое электронное письмо, в котором сказано, что вы являетесь представителем страховой компании и хотите уточнить некоторые данные. Вы бы вставили логотип страховой компании в электронное письмо вместе с формулировками, характерными для таких компаний, а затем отправили жертву на клон реального веб-сайта компании, чтобы попытаться получить их учетные данные или за- ставить их загрузить файл.
Вейлинг
Вейлинг – это фишинг, направленный на «большую рыбу» – как правило, топ-менеджеров компании. Эти люди вызывают больше доверия, чем их подчиненные. Они также обычно имеют больше прав доступа, чем средний пользователь. Например, они могут быть локальными администраторами в системе компании. Вам нужно подходить к атакам на этих людей иначе, чем к фишингу или целевому фишингу, потому что у этих людей другие мотивы и интересы, чем, скажем, у рядовых сотрудников службы поддержки или отдела продаж.
Представьте, что ваша цель – финансовый директор компании. Можете попытаться изготовить вейлинговое письмо от имени отдела кадров, чтобы установить дополнительные отношения с потенциальной жертвой. Вы можете персонализировать письмо, упомянув имя и должность, или затронуть другие ключевые особенности компании-жертвы, которые должен знать только получатель или отдел кадров. Или вам, возможно, придется задействовать совершенно другой сценарий, включающий торговую организацию или профессиональную группу, к которой принадлежит ваша цель. OSINT может послужить источником профессионального жаргона, чтобы сойти за своего.
Вишинг
При вишинге (vishing) хакер звонит жертве и разговаривает с ней по телефону. Вишинг часто сложнее, чем фишинг, потому что требует навыков импровизации. В то время как фишинг дает вам время подумать о том, что вы хотели бы сказать, прежде чем отправить электронное письмо, при вишинге вам нужно составлять разговор на ходу и постоянно держать его в голове вплоть до малейших деталей. У вас также может возникнуть куча проблем: жертва не отвечает на звонок; вы неправильно поняли, кто кому подчиняется в компании; вы случайно позвонили от имени человека, который сидит в одном кабинете с жертвой, или использовали неправильный акцент или пол. Преимущество вишинга в том, что вы сразу видите результат сво- ей атаки. Отправляя электронное письмо, вам нужно дождаться, пока получатель откроет сообщение, перейдет по ссылке и введет данные. Хотя для этого требуется больше времени, чем при фишинге (особенно, когда потенциальных жертв много), вы можете нанести гораздо больший ущерб за более короткий период с помощью успешной вишинговой кампании.
Приманка
Иногда, чтобы заставить жертву выполнить нужное действие, можно воспользоваться приманкой. Традиционно в этом качестве применяли USB-накопители, но теперь можно воспользоваться и более современным вариантом в виде QR-кода, чтобы заставить жертву скачать вредоносный код.
Вы можете загрузить поддельные документы на USB-накопитель или в специальное устройство, которое хакеры называют Rubber Ducky, а затем положить это устройство в пакет с привлекательной надписью типа «список на увольнение/повышение», «выплата бонусов», «доклад генеральному директору» и подбросить приманку на парковку у офиса или в коридоре компании-жертвы.
Rubber Ducky Hak5 – это устройство с микрокомпьютером внутри, заключенное в корпус, идентичный обычному USB-накопителю, которое действует как клавиатура и может вводить данные в систему так, как если бы пользователь печатал их сам.
Использование Rubber Ducky имеет свои преимущества. С помощью этого устройства вы можете загружать вредоносные скрипты на устройство вместе с законными файлами. Когда кто-то подключает Rubber Ducky к компьютеру, она обходит любые инструменты предотвращения потери данных (программные или аппаратные решения, которые предотвращают перемещение файлов с компью- тера через USB-накопитель, электронную почту или протокол, такой как FTP или SCP), поскольку выдает себя за USB-клавиатуру. Если вы используете обычный USB-накопитель, вас может остановить программное обеспечение для предотвращения потери данных, установленное на компьютере жертвы. В отличие от него Rubber Ducky откроет файл и развернет полезную нагрузку (скрипт или инструмент, помогающий получить желаемый результат).
Мусорные баки
Вероятно, наименее привлекательный прием социальной инженерии – это копание в содержимом мусорных баков или в мешках с мусором, собранным в офисе компании-жертвы, а затем вывоз их за пределы офиса для анализа и сбора информации. Вы можете многое узнать об организации и найти именно то, что искали. Вспомните о вещах, которые сами выбрасываете. Некоторые из них чрезвычайно личные. Впрочем, мешки с мусором могут быть наполнены объедками из офисного кафетерия, не имеющими отношения к секретам компании.
Для этого типа разведки вам, скорее всего, придется притвориться сотрудником мусорной компании и придумать какую-то историю, чтобы добраться до местной помойки. Оказавшись там, первым делом соберите несколько мешков с мусором, вынесите их за пределы офиса и спокойно изучите содержимое.
Ковыряясь в мусорных контейнерах, вероятно, захочется использовать перчатки и респиратор. Вы даже можете стимулировать местную экономику и нанять старшеклассников или студентов для выполнения грязной работы. Делайте заметки о том, что нашли, читайте любые письменные материалы и склеивайте обратно все разорванные документы. Найденное вами может оказаться как окончательной целью проникновения, так и ступенькой к чему-то большему.