«Физический доступ — это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно». Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера».
Социальная инженерия - интересный феномен нашего мира. Она позволяет обойти любую систему безопасности, используя самую уязвимую ее часть - человека. Неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система остается уязвимой.
Есть множество знаменитых историй применения социальной инженерии - обман Аль Капоне, продажа Эйфелевой башни, кража алмазов из бельгийского банка, твит о взрывах в Белом Доме, подорвавший мировую экономику... Зная уловки мошенников, использовавших методы социальной инженерии в корыстных целях, всего этого можно было бы избежать.
Поэтому мы попросили социального инженера ГК Axxtel немного рассказать нам, что ходит в его обязанности, какой запрос наиболее востребован у Заказчиков и как побеждать в "мафии", используя навыки социальной инженерии.
– Что такое социальная инженерия? Кто её использует?
– Если говорить в общих чертах – способ управления действиями человека без использования технических средств, за исключением средств связи. Другими словами, манипулирование человеком в целях извлечения выгоды.
В основном ее используют мошенники. Основываясь на человеческих слабостях, допустим, к быстрой выгоде, они побуждают людей к каким-либо необдуманным действиям.
– Кто такой социальный инженер? Что входит в его обязанности?
– В настоящее время социальный инженер – это неотъемлемая часть команды пентестеров. Социальный инженер постоянно мониторит обстановку в мире для написания актуальных сценариев на остросоциальные темы. Чтобы написать качественные и интересные сценарии атаки, в обязанности инженера входит проведение полной разведки атакуемой организации – определение местоположения, поиск информации о соседних организациях сферы услуг (столовках, банках, развлекательных учреждениях). В общем и целом, обязанности социального инженера – разработка методов атак, проработка сценариев, разработка форм авторизации и полезной нагрузки.
– Что знаете и умеете вы (социальные инженеры), чего не знают и не умеют другие безопасники?
– Сразу выскажусь, что я скажу не за всех безопасников. Обычно безопасники являются инженерами или работают с бумажной (формальной) частью деятельности, упуская важную деталь – психологию людей. Любой социальный инженер использует различные «грязные» трюки, чтобы побудить человека к совершению действий: давит на срочность, поднимает острые темы, притворяется руководством, повышает доверие с помощью каких-либо фактов. Это и отличает нас от других безопасников.
– Вас можно вычислить? Как?
– Если НАС вычислили, значит, мы плохо работаем :). А если серьезно, то 100% легитимности сообщения добиться сложно. Главное – задавать себе и собеседнику правильные вопросы, иметь критическое мышление и способность ставить под сомнение то, о чем вам говорят.
– А в реальной жизни Вы используете свои навыки?
– В реальной жизни использование навыков манипулирования людьми обычно чревато последствиями. А вот в различных настольных играх и ролевых активностях… часто появляется необходимость применять навыки, чтобы не оказаться «вычисленным». А вдруг, ты – мафия? :)
– Вы стали подозрительнее?
– Да, чем больше методов социальной инженерии я узнаю, тем бдительнее я становлюсь. Особенно интересно слушать собеседников, которые пытаются провести со мной какие-либо манипуляции – например, телефонных мошенников и прочих «мамкиных хакеров».
– Можно сказать, что Вы выбрали «светлую сторону»? Почему?
– Честно говоря, я всегда за справедливость. Мне интересно выявлять неблагонадежные элементы как в системах защиты, так и в персонале.
В современном мире ИБ необходима не только компаниям, но и любому активному пользователю Интернета. Мы, социальные инженеры, помогаем людям понять, как не попасть в лапы интернет-мошенников и прочей нечисти.
– И все же, хотелось ли Вам когда-нибудь применить навыки социальной инженерии в корыстных целях? Или, может, уже доводилось делать подобное?
– Честно говоря, бывало. Несколько раз. Но никаких весомых потерь жертвы не понесли :).
– Кто ваш Заказчик, каким компаниям необходимы ваши услуги?
– Обычно это крупные организации, заботящиеся о своей информационной безопасности. Услуги социального инженера необходимы организациям, которые уже внедрили все возможные СЗИ (прим. – средства защиты информации), и теперь их основная проблема – слабая осведомленность пользователей. Ведь из-за человеческого фактора зачастую рушится вся система защиты.
– Какой самый востребованный запрос от Заказчиков?
– Чаще всего заказывают два вида услуг: фишинговые рассылки и обход систем защиты.
При организации работ по фишинговым рассылкам мы делаем все под ключ: от подбора домена до отчета. В редких случаях мы просим добавить отправителей в вайтлисты песочниц и почтовых серверов, потому что целью стоит не проверка периметра, а проверка персонала.
В рамках обхода систем защиты мы проводим усложненный вариант рассылок: действуя по модели «внешний злоумышленник», отправляется письмо с вредоносным вложением, которое должно преодолеть все фильтры безопасности (защиту почты, песочницы, антиспам, EDR/AV) и установить соединение до нашего сервера (в обход NGFW, IDS/IPS, DPI-сенсоров с фильтрацией).
– Фишинг может не сработать?
– Может и не сработать. Все зависит от осведомленности и бдительности людей. Собственно, это и является конечной целью САИБа – обучить сотрудников организаций основам информационной безопасности и грамотному реагированию на инциденты, чтобы их взаимодействие с информационными ресурсами не понесло значительных потерь для компании. Для повышения осведомленности сотрудников у нас есть несколько курсов. Также для наших клиентов мы организовали
– Самые действенные методы социальной инженерии, по Вашему мнению?
– Пожалуй, претекстинг и грамотный фишинг. Под словом «грамотный» я подразумеваю рабочие «горячие» сценарии и формы авторизации либо полезную нагрузку (ссылку на корпоративную форму или запускаемое вложение).
Каждому своё. Для обычных людей – массовый фишинг для «угона» социальных сетей или почтового аккаунта. Для сотрудников – целенаправленный претекстинг с актуальными темами и нагрузка.
– Часто приходится импровизировать?
– Постоянно :).
– Что означает «подобрать похожий домен»? Как вы это делаете?
– Есть много методик подбора доменного имени, но в последнее время все это можно делать автоматизировано. Иногда мы пользуемся фантазией, иногда dns twister’ом.
– Люди действительно не замечают подмены?
– Да. Когда человек получает сообщение с реальной подписью бухгалтера о лишении его премии или вычете из з/п, он, не задумываясь, переходит на форму авторизации своего корпоративного портала. Доменное имя – это последнее, на что он обращает внимание в этот момент.
– Как вы делаете такие похожие формы авторизации? Есть какой-то секрет или инструмент?
– Технические секретики :). На самом деле, любая форма авторизации представляет из себя разметку (HTML), стиль отображения (CSS) и, иногда, написанные скрипты, выполняемые браузером (JavaScript). На основе этих трех компонентов браузер формирует (рендерит) страницу, и эти компоненты всегда доступны клиенту (в том числе и нам). Таким образом, скопировать страницу – достаточно легкая задача.
– Почему люди вообще клюют на это? Почему именно ваши атаки проходят, а атаки хакеров или спамеров, зачастую, - нет?
– Не все наши атаки проходят, все, как я уже говорил, зависит от осведомленности сотрудников. Если у сотрудников организации постоянно проходят кибер-учения, то шанс провести удачную атаку крайне мал. Это работает не только для нас, но и для хакеров.
– Есть любимая история?
– Есть любимый сценарий – вычет из зарплаты. Проверенный, работает почти в любом проекте, особенно, когда задачей является проведение чего-то массового.
Любимая история тоже есть. Для одного предприятия (отставим конкретику) был придуман сценарий атаки, в рамках которого мы, под видом некой региональной газеты, собираемся выпустить в печать статью о том, что предприятие выбрасывает отходы в водоем. «Статья» была отправлена на согласование PR-отделу предприятия. Эту «статью» пытались открыть всем отделом, а когда поняли, что она почему-то не открывается (и действительно!), позвали айтишника. Он пришел, взял статью, попробовал открыть у себя. И всё, с этого момента права администратора предприятия были уже у нас.
– Что Вы можете посоветовать нашим читателям, желающим развиваться в этой сфере? Где и как можно научиться социальной инженерии?
– Кевин Митник рассказывает много невероятных историй. Настоятельно рекомендую начинать с него. Также не помешает пройти несколько курсов по психологии, в части рекламы, например. Социалочка прокачивается только в социалочке. Один из курсов, который я могу порекомендовать, чтобы прокачаться, –
– Если бы не социальная инженерия, то что?
– Пас бы овечек в Новой Зеландии или поехал бы на чайную плантацию в Кению… Занимался бы другими частями пентеста, рекламой, продажами. Такие навыки везде нужны.
– И напоследок, пользователи с годами становятся умнее?
– Это работает немного не так. Надо понимать, что выявление попытки соц. инженерии – такой же навык, как и любой другой. Необходимо, как уже говорилось, учиться ставить факты под сомнения, не доверять безусловно. Это главное.