5 Социальная инженерия
Мы уже достаточно много говорили о приемах и техниках, направленных на то, чтобы заставить информационную систему вести себя именно так, как нам надо, а в будущих главах расскажем об этом еще больше. Пришло время коснуться проблемы несколько с другой стороны — не с машинной, но с человеческой. Как бы тонко системный администратор под чутким руководством специалиста по информационной безопасности ни настраивал свои приобретенные у самых именитых производителей системы, в его сети всегда будет присутствовать слабое звено — человек.
Социальная инженерия — это методы психологической манипуляции человеком, направленные на то, чтобы заставить жертву выполнить определенные действия в пользу атакующего.
На самом деле пользователь — один из важнейших компонентов системы. Ведь все, что только ни создается, создается именно для него. У него есть доступ в систему, определенные привилегии, и он может осуществлять различные операции. Для атакующего непринципиален метод, благодаря которому он проникнет в сеть предприятия, важна лишь цель. Пользователь представляет собой первую линию защиты, и если она падет, то вся система рухнет довольно быстро.
В данной главе мы рассмотрим некоторые техники, успешно применяемые для воздействия на пользователей, а также приведем различные примеры таких атак.
На кого обратить внимание?
Поскольку социальная инженерия во многих случаях не требует особых навыков, то круг людей, которые могут нанести вред организации, существенно увеличивается.
Прежде всего, это, конечно, специалисты по информационной безопасности, системные администраторы и другие ИТ-специалисты информацию о которых можно найти на одном из этапов проникновения в сеть. У этих людей достаточно широкие права доступа практически ко всем системам организации.
Фазы атаки 89
Разочарованные работники представляют собой большую угрозу для организации. Чаще всего это люди, недовольные нынешним положением дел в компании, своей должностью, окладом или, на их взгляд, несправедливо уволенные. По статистике, в США 75% сотрудников крадут что-либо у своего работодателя, а около 60% после ухода с работы забирают с собой данные о компании и клиентах. Чаще всего данные выносят на бумаге, жестких дисках, флеш-картах. 38% сотрудников используют персональную почту для обмена конфиденциальной информацией предприятия.
Информационные брокеры. Даже если организацию не взламывают в данный момент, это не значит, что она не находится под наблюдением. Существуют целые компании, основной задачей которых является сбор персональной информации с целью последующей перепродажи. Например, LexisNexis, KnowX, MasterFiles и другие. С одной стороны, их можно отнести к разряду специалистов, но мы выделили их в отдельную категорию, чтобы еще раз подчеркнуть важность сбора как можно большего количества информации о целевой организации.
Охотники за головами. Специальность появилась совсем не давно. Такие люди занимаются тем, что осуществляют подбор персонала для определенных организаций. У таких компаний есть целые сайты с вакансиями. Чем они могут быть полезны? Обычно такие люди достаточно хорошо знают структуру организации, для которой они ищут людей. Ничто не мешает нам создать профиль — предположим, на LinkedIn, — который будет на 120% отвечать требованиям одной из вакансий. А во время собеседования, которое будет вначале проходить именно с рекрутинговой организацией, узнать больше о целевой компании.
Фазы атаки
Для начала посмотрим на картину в целом. Чтобы удачно провести нацеленную на человека атаку, необходимо:
1)собрать как можно больше информации о нем;
2)установить доверительные отношения;
3)получить информацию;
4)действовать.
Сбор информации. Информацию можно собирать из различных источников — корпоративного сайта, социальных сетей, форумов, публикаций и даже из мусора.
Что может быть прекраснее, чем копаться в мусорном баке вместе с лицами без определенного места жительства?! Но на самом деле из, казалось бы, никому не нужного мусора можно собрать достаточное количество информации для проведения успешной атаки. Люди склонны выбрасывать ненужные вещи — счета, старые рецепты, выписки из банков, фотографии, резюме и многое другое. Используя эти данные, можно определить, чем человек болен, у какого врача лечится, где живет, персональный номер телефона, финансовое состояние и многое другое, что потом
90 Глава 5 • Социальная инженерия
можно использовать против него. Иногда можно неделями пытаться проникнуть в систему, потратив на это большое количество времени и средств, а потом за 10 минут найти в мешке с мусором листик, на котором записаны логин и пароль.
Для сбора информации из социальных сетей очень хорошо подойдет ранее рассмотренный инструмент Maltego.
Установление доверительных отношений. Для этого не обязательно общаться с человеком на протяжении нескольких лет. На самом деле все можно сделать в рамках одного телефонного звонка. Очень хорошо это демонстрирует пример со взломом AOL. Злоумышленник разговаривал с оператором службы технической поддержки более часа. Он установил доверительные отношения с сотрудником, а затем упомянул в разговоре о том, что продает свою машину. Сотрудник компании проявил к ней интерес и попросил прислать фотографии. Злоумышленник прислал троянского коня и таким образом получил доступ ко внутренней сети организации.
Получение информации. Чем больше информации получит злоумышленник от сотрудника, тем успешнее будет атака. В одном из случаев хакер позвонил по общедоступному телефону компании и, представившись новым сотрудником, попросил телефон службы технической поддержки. Позвонив во внутреннюю службу, он, как новый сотрудник, узнал контакты директора ИТ-отдела якобы для согласования подключения к локальной сети.
Эта история плавно переходит к следующей фазе — действию. Злоумышленник звонит в службу технической поддержки и представляется новым сотрудником, которого только недавно приняли на работу и еще не успели сделать ему аккаунт и выдать компьютер. Однако уже сегодня, буквально через пару минут, ему необходимо выступить с презентацией перед начальниками отделов. Проблема в том, что он не может войти в систему, чтобы ее запустить, но он только что разговаривал с начальником ИТ-отдела (называет имя), и тот устно согласовал создание временной учетной записи. Сотрудник службы технической поддержки очень хотела помочь новому сотруднику. К тому же это внутренняя служба и посторонние сюда не звонят, а кроме того, сам начальник ИТ-отдела дал согласие. В результате злоумышленник получил доступ во внутреннюю сеть, не прибегая к использованию технических навыков.
Манипулирование людьми
Поскольку социальная инженерия подразумевает контакт человека с человеком, необходимо рассмотреть методы, при помощи которых можно заставить человека выполнить нужное действие.
Установление временных рамок. Для этого можно начать диалог с фразы «это займет буквально несколько секунд» или, при личном контакте, можно, например, смотреть на часы.
Типы атак 91
Помощь. Один из наиболее эффективных способов заставить человека сделать что-то — просто попросить его о помощи.
Поддержание эго. Люди любят быть правыми, и одна из техник как раз и заключается в том, чтобы заставить человека поверить в свою правоту. Такой человек будет относиться более открыто к собеседнику и не будет воспринимать его как угрозу. Для этого надо просто не показывать свои знания в какой-либо области, а сказать, что вы в этом не разбираетесь, и попросить о помощи.
Ценить собеседника. Еще один способ завоевать доверие собеседника — это сказать ему первым о том, что его помощь для вас неоценима, или подчеркнуть его глубокие знания о предмете обсуждения.
Правильные вопросы. Задавайте верные вопросы, которые помогут получить больше информации. Если на заданный вопрос можно ответить только «да» или «нет», это не очень хорошо. Информативными будут такие вопросы, как «как?», «когда?» и «почему?».
Моральные обязательства. Можно призывать человека сделать что-то потому, что он обязан это сделать ввиду, например, служебного положения.
Угрозы. Не всегда социальные инженеры ведут милые беседы, иногда угроза — достаточно действенный способ добиться желаемого.
Вознаграждение. Предложить собеседнику нечто за что-то. Не обязательно это будут деньги. В ходе одного из исследований случайным прохожим предлагали сувениры в подарок, если они просто напишут свой пароль на листочке. Что интересно, 90% сделали это.
Нейролингвистическое программирование. Целая область психологии, исследующая способы манипулирования людьми. К сожалению, рассмотрение этих техник займет не одну сотню страниц и выходит за рамки нашей книги.
Типы атак
Претекстинг (pretexting). В этом случае человек выдает себя за другого с целью получения от собеседника необходимой информации. Найдя в мусорном баке квитанцию из банка, злоумышленник позвонил жертве, представившись сотрудником кредитного отдела, и сказал, что срок действия карты жертвы истекает и можно заказать новую. В ответ жертва сообщила, что это не так, и уточнила срок действия своей карты. Злоумышленник, сославшись на ошибку в системе, попросил уточнить еще и номер карты, после чего жертва сообщила и его.
Подделка принадлежности. Очень хорошо работает в крупных организациях. В наше время несложно достать униформу сотрудника службы доставки. На Ebay фирменная куртка компании DHL свободно продается за 70 евро. Ни у кого не вызовет подозрения сотрудник службы доставки, который ходит по кабинетам и ищет
92 Глава 5 • Социальная инженерия
нужного человека. Хотя главной задачей для него будет найти незаблокированную рабочую станцию, оставленный без присмотра ноутбук или документы.
Фишинг (phishing). Главная идея данного метода состоит в создании поддельных писем и сайтов организаций для получения доступа к приватной информации.
Например, злоумышленник составляет письмо, в котором говорится о том, что аккаунт пользователя в системе заблокирован и для разблокировки необходимо перейти по указанной ниже ссылке. Такие письма могут рассылаться от имени банков, почтовых и игровых сервисов, а также социальных сетей.
Рис. 5.1. Фишинговое письмо, отправленное от имени Google
Есть техники, которые позволяют скрыть от пользователя реального получателя письма — например, указав в поле «Replay-To» accounts@google.com, в то время как в поле «Sender» будет указан отправитель someuser@google.com. Однако пользователи не склонны анализировать такие письма и увидят только то, что хочет составитель такого письма.
Зачастую в такие письма добавляют вместо ссылок приложения, зараженные вирусом. Еще один классический пример — «письма счастья». В этом случае пользователь получает письмо, в котором говорится, что отправитель стал наследником огромного состояния и для его получения необходим поручитель, которому причитается в качестве вознаграждения 40% от суммы наследства, что составит около
Типы атак 93
5 миллионов долларов США. Для того чтобы стать поручителем, необходимо выслать определенные данные.
Зачастую такие письма не нацелены на какого-то конкретного человека. Отклик на них составляет около 0,1%, однако и этого будет достаточно.
И, конечно же, поддельные сайты. Даже если пользователь очень опытен, его все равно можно обмануть. В наше время можно зарегистрировать домен на подставного человека и получить SSL-сертификат на 60 дней, практически не проходя валидацию.
Для примера возьмем банк с более-менее привычным названием, например Raiffeisen. По правилам Всемирной паутины, зарегистрировать домен raiffаisen.com нам никто не запретит. А большинство конечных пользователей не заметят подмены. Как мы уже писали, для получения тестового SSL-сертификата от Comodo нет необходимости проходить проверку на подлинность. Они проверят только то, что у человека есть доступ к почтовому ящику, находящемуся в этом домене.
Дальше — дело техники. Например, можно разослать пользователям письмо с просьбой ознакомиться с новыми правилами банка, которые находятся по указанному адресу.
Телефонный фишинг. В наше время автоматические АТС стали неотъемлемой частью сферы обслуживания. Для ускорения и упрощения идентификации многие банки просят своих клиентов идентифицироваться по телефону, а именно ввести номер клиента и пароль во время ожидания оператора. Атака при таком типе аутен тификации достаточно проста. Конфигурируется АТС, которая фиксирует все действия пользователя. Далее всем пользователям рассылается письмо с просьбой связаться с банком по заранее подготовленному номеру. Пользователь будет звонить и вводить свои данные, после чего звонок будет сбрасываться. Конечно, после определенного количества раз это ему надоест, но к тому времени у атакующего уже скопится несколько паролей с его карты и номер пользователя.
Приманка. При помощи этого приема была остановлена работа целого предприятия, внутренняя сеть которого не имела связи с внешним миром. Злоумышленник оставил красивую, крупную и привлекающую внимание флеш-карту на парковке для сотрудников, один из которых заметил и подобрал ее. Естественно, это было утром, перед началом рабочего дня. Любопытство взяло верх, и сотрудник решил проверить ее содержимое прямо на рабочем месте. Как вы понимаете, на ней был вирус, который очень быстро распространился по внутренней сети.
Подглядывание. Узнать пароль можно, просто подглядев его, по-английски это называется «shoulder serfing». Подглядеть пароль можно любым способом — через окно при наличии хорошей оптики, получив доступ к камерам наблюдения или просто заглянув через плечо.
Проход «паровозиком» (tailgating). Используется для проникновения на защищенные объекты. Предположим, что на предприятии стоят турникеты и доступ осуществляется по электронным картам. Но если убедить одного из сотрудников