Интервью социального инженера: как "взломать" человека

Интервью социального инженера: как "взломать" человека
8ffab8886ef52d0dc5e479f656e77e3b.jpg

«Физический доступ — это проникновение в здание интересующей вас компании. Мне это никогда не нравилось. Слишком рискованно». Кевин Митник, «Призрак в Сети. Мемуары величайшего хакера».

Социальная инженерия - интересный феномен нашего мира. Она позволяет обойти любую систему безопасности, используя самую уязвимую ее часть - человека. Неважно, какой вид технологии используется и насколько он дорог — пока есть человеческий фактор, система остается уязвимой.

Есть множество знаменитых историй применения социальной инженерии - обман Аль Капоне, продажа Эйфелевой башни, кража алмазов из бельгийского банка, твит о взрывах в Белом Доме, подорвавший мировую экономику... Зная уловки мошенников, использовавших методы социальной инженерии в корыстных целях, всего этого можно было бы избежать.

Поэтому мы попросили социального инженера ГК Axxtel немного рассказать нам, что ходит в его обязанности, какой запрос наиболее востребован у Заказчиков и как побеждать в "мафии", используя навыки социальной инженерии.

Что такое социальная инженерия? Кто её использует?
– Если говорить в общих чертах – способ управления действиями человека без использования технических средств, за исключением средств связи. Другими словами, манипулирование человеком в целях извлечения выгоды.
В основном ее используют мошенники. Основываясь на человеческих слабостях, допустим, к быстрой выгоде, они побуждают людей к каким-либо необдуманным действиям.

Кто такой социальный инженер? Что входит в его обязанности?
– В настоящее время социальный инженер – это неотъемлемая часть команды пентестеров. Социальный инженер постоянно мониторит обстановку в мире для написания актуальных сценариев на остросоциальные темы. Чтобы написать качественные и интересные сценарии атаки, в обязанности инженера входит проведение полной разведки атакуемой организации – определение местоположения, поиск информации о соседних организациях сферы услуг (столовках, банках, развлекательных учреждениях). В общем и целом, обязанности социального инженера – разработка методов атак, проработка сценариев, разработка форм авторизации и полезной нагрузки.

Что знаете и умеете вы (социальные инженеры), чего не знают и не умеют другие безопасники?
– Сразу выскажусь, что я скажу не за всех безопасников. Обычно безопасники являются инженерами или работают с бумажной (формальной) частью деятельности, упуская важную деталь – психологию людей. Любой социальный инженер использует различные «грязные» трюки, чтобы побудить человека к совершению действий: давит на срочность, поднимает острые темы, притворяется руководством, повышает доверие с помощью каких-либо фактов. Это и отличает нас от других безопасников.

Вас можно вычислить? Как?
– Если НАС вычислили, значит, мы плохо работаем :). А если серьезно, то 100% легитимности сообщения добиться сложно. Главное – задавать себе и собеседнику правильные вопросы, иметь критическое мышление и способность ставить под сомнение то, о чем вам говорят.

А в реальной жизни Вы используете свои навыки?
– В реальной жизни использование навыков манипулирования людьми обычно чревато последствиями. А вот в различных настольных играх и ролевых активностях… часто появляется необходимость применять навыки, чтобы не оказаться «вычисленным». А вдруг, ты – мафия? :)

Вы стали подозрительнее?
– Да, чем больше методов социальной инженерии я узнаю, тем бдительнее я становлюсь. Особенно интересно слушать собеседников, которые пытаются провести со мной какие-либо манипуляции – например, телефонных мошенников и прочих «мамкиных хакеров».

Можно сказать, что Вы выбрали «светлую сторону»? Почему?
– Честно говоря, я всегда за справедливость. Мне интересно выявлять неблагонадежные элементы как в системах защиты, так и в персонале.
В современном мире ИБ необходима не только компаниям, но и любому активному пользователю Интернета. Мы, социальные инженеры, помогаем людям понять, как не попасть в лапы интернет-мошенников и прочей нечисти.

И все же, хотелось ли Вам когда-нибудь применить навыки социальной инженерии в корыстных целях? Или, может, уже доводилось делать подобное?
– Честно говоря, бывало. Несколько раз. Но никаких весомых потерь жертвы не понесли :).

Кто ваш Заказчик, каким компаниям необходимы ваши услуги?
– Обычно это крупные организации, заботящиеся о своей информационной безопасности. Услуги социального инженера необходимы организациям, которые уже внедрили все возможные СЗИ (прим. – средства защиты информации), и теперь их основная проблема – слабая осведомленность пользователей. Ведь из-за человеческого фактора зачастую рушится вся система защиты.

Какой самый востребованный запрос от Заказчиков?
– Чаще всего заказывают два вида услуг: фишинговые рассылки и обход систем защиты.
При организации работ по фишинговым рассылкам мы делаем все под ключ: от подбора домена до отчета. В редких случаях мы просим добавить отправителей в вайтлисты песочниц и почтовых серверов, потому что целью стоит не проверка периметра, а проверка персонала.
В рамках обхода систем защиты мы проводим усложненный вариант рассылок: действуя по модели «внешний злоумышленник», отправляется письмо с вредоносным вложением, которое должно преодолеть все фильтры безопасности (защиту почты, песочницы, антиспам, EDR/AV) и установить соединение до нашего сервера (в обход NGFW, IDS/IPS, DPI-сенсоров с фильтрацией).

Фишинг может не сработать?
– Может и не сработать. Все зависит от осведомленности и бдительности людей. Собственно, это и является конечной целью САИБа – обучить сотрудников организаций основам информационной безопасности и грамотному реагированию на инциденты, чтобы их взаимодействие с информационными ресурсами не понесло значительных потерь для компании. Для повышения осведомленности сотрудников у нас есть несколько курсов. Также для наших клиентов мы организовали периодическую рассылку информационных листовок .

Самые действенные методы социальной инженерии, по Вашему мнению?
– Пожалуй, претекстинг и грамотный фишинг. Под словом «грамотный» я подразумеваю рабочие «горячие» сценарии и формы авторизации либо полезную нагрузку (ссылку на корпоративную форму или запускаемое вложение).
Каждому своё. Для обычных людей – массовый фишинг для «угона» социальных сетей или почтового аккаунта. Для сотрудников – целенаправленный претекстинг с актуальными темами и нагрузка.

Часто приходится импровизировать?
– Постоянно :).

Что означает «подобрать похожий домен»? Как вы это делаете?
– Есть много методик подбора доменного имени, но в последнее время все это можно делать автоматизировано. Иногда мы пользуемся фантазией, иногда dns twister’ом.

Люди действительно не замечают подмены?
– Да. Когда человек получает сообщение с реальной подписью бухгалтера о лишении его премии или вычете из з/п, он, не задумываясь, переходит на форму авторизации своего корпоративного портала. Доменное имя – это последнее, на что он обращает внимание в этот момент.

Как вы делаете такие похожие формы авторизации? Есть какой-то секрет или инструмент?
– Технические секретики :). На самом деле, любая форма авторизации представляет из себя разметку (HTML), стиль отображения (CSS) и, иногда, написанные скрипты, выполняемые браузером (JavaScript). На основе этих трех компонентов браузер формирует (рендерит) страницу, и эти компоненты всегда доступны клиенту (в том числе и нам). Таким образом, скопировать страницу – достаточно легкая задача.

Почему люди вообще клюют на это? Почему именно ваши атаки проходят, а атаки хакеров или спамеров, зачастую, - нет?
– Не все наши атаки проходят, все, как я уже говорил, зависит от осведомленности сотрудников. Если у сотрудников организации постоянно проходят кибер-учения, то шанс провести удачную атаку крайне мал. Это работает не только для нас, но и для хакеров.

Есть любимая история?
– Есть любимый сценарий – вычет из зарплаты. Проверенный, работает почти в любом проекте, особенно, когда задачей является проведение чего-то массового.
Любимая история тоже есть. Для одного предприятия (отставим конкретику) был придуман сценарий атаки, в рамках которого мы, под видом некой региональной газеты, собираемся выпустить в печать статью о том, что предприятие выбрасывает отходы в водоем. «Статья» была отправлена на согласование PR-отделу предприятия. Эту «статью» пытались открыть всем отделом, а когда поняли, что она почему-то не открывается (и действительно!), позвали айтишника. Он пришел, взял статью, попробовал открыть у себя. И всё, с этого момента права администратора предприятия были уже у нас.

Что Вы можете посоветовать нашим читателям, желающим развиваться в этой сфере? Где и как можно научиться социальной инженерии?
– Кевин Митник рассказывает много невероятных историй. Настоятельно рекомендую начинать с него. Также не помешает пройти несколько курсов по психологии, в части рекламы, например. Социалочка прокачивается только в социалочке. Один из курсов, который я могу порекомендовать, чтобы прокачаться, – курс «Python для Пентестера» от компании Codeby . Курс позволит обновить и пополнить знания в области программирования, а также автоматизировать процессы фишинга.

Если бы не социальная инженерия, то что?
– Пас бы овечек в Новой Зеландии или поехал бы на чайную плантацию в Кению… Занимался бы другими частями пентеста, рекламой, продажами. Такие навыки везде нужны.

И напоследок, пользователи с годами становятся умнее?
– Это работает немного не так. Надо понимать, что выявление попытки соц. инженерии – такой же навык, как и любой другой. Необходимо, как уже говорилось, учиться ставить факты под сомнения, не доверять безусловно. Это главное.
Alt text

Anonymous объявили войну Илону Маску, ФБР следило за преступниками по всему миру через собственный зашифрованный чат, Apple возместила моральный вред американской студентке за слив ее интимных фото в новом выпуске Security-новостей на нашем Youtube канале.

ООО «Акстел-Безопасность»

Axxtel - команда экспертов в области информационной безопасности занимающая ведущие позиции в СФО. Мы следим за последними новинками и тенденциями в области информационной безопасности и создаем их. Всегда рады узнать новое и поделиться своим опытом.