В одной из последних статей мы рассуждали об изменениях в сценариях социальной инженерии, которые спровоцировала мировая пандемия COVID-19. Разумеется, все тонкости рассмотреть в рамках одной публикации невозможно, поэтому сегодня продолжим нашу беседу и расскажем об особенностях физического проникновения злоумышленника на территорию компании. Не лишним будет еще раз напомнить о мерах безопасности, которые должен предпринимать каждый, чтобы не стать невольной жертвой.



Подчеркнем, что хотя наши рекомендации направлены на поддержание бдительности сотрудников компаний, общественности их также стоит взять на вооружение.

При упоминании термина “социальная инженерия” у многих возникают ассоциации с Кевином Д. Митником и его книгами. Работы Митника были опубликованы более пятнадцати лет назад, однако описанные в них сценарии проникновения работают до сих пор, несколько видоизмененные и адаптированные под реалии текущего времени (а некоторые и вовсе в том же виде).

Разумеется, это лишь капля в море. Для каждой компании может использоваться как “шаблонный”, так и уникальный сценарий, учитывающий конкретные особенности предприятия.
Поставив себе задачу проникнуть внутрь компании, злоумышленник будет анализировать такие факторы как:

• сфера деятельности компании;
• особенности физической защиты периметра офисного здания (заборы, камеры, посты охраны и т.п.);
• особенности здания, где располагается офис (целый ли БЦ занимает компания или только часть, местоположение постов охраны, расположение основных и запасных входов и выходов);
• особенности окружающего ландшафта (наличие вокруг здания кустов, скамеек, мусорных контейнеров, куда злоумышленник может спрятать свои устройства);
• распорядок дня сотрудников и их привычки;
• возможность проникновения 3-х лиц на территорию;
• фотографии пропусков, планы этажей, расписания мероприятий и иную информацию, которую можно найти в открытом доступе.

Физическое проникновение подразумевает высокий риск деанонимизации для самого злоумышленника. Так зачем же атакующему идти на такой опасный шаг? Чтобы упростить и удешевить реализацию атаки. Злоумышленник может незаметно закрепиться во внутренней сети и на протяжении некоторого времени получать конфиденциальную информацию, в том числе и об устройстве необходимой ему системы.

Спектр целей, которые преследует злоумышленник, может быть довольно широк: от хищения техники и другого офисного имущества до кражи конфиденциальных и критичных данных. Это чревато финансовыми и репутационными рисками для компании.

В условиях выхода из пандемии возможностей для социального инженера стало больше. Бурные изменения на рынке труда стали причиной оттока работников из одних компаний и притока в другие. Это привело к тому, что многие сотрудники знакомы со своими новыми коллегами исключительно через мессенджеры и электронную почту. Особенно такая ситуация актуальна для крупных компаний, где работает большое количество людей.

Разумный шаг для руководства в таких условиях – сблизить новых и старых сотрудников. Это послужит не только укреплению общего командного духа, но и безопасности предприятия, вне зависимости от профиля деятельности. При этом мы прекрасно понимаем, что для больших компаний перезнакомить всех работников между собой – это далеко не первостепенная, а иногда даже невозможная задача, но в рамках отделов/департаментов ее можно успешно решить.

Какие лица имеют высокий кредит доверия и не вызывают подозрений, находясь у входа в здание компании?

Вне (?) подозрения

1. Технический персонал

Электрики, монтеры, уборщицы – все те, кто носят униформу. Униформа всегда вызывает доверие, и мало кто озадачится вопросом: “Что здесь делает этот человек?” А делать он может что угодно, в том числе оставлять технические “закладки” и изучать устройство инфраструктуры.
Нельзя не вспомнить про недавний громкий случай, когда из Третьяковской галереи неизвестные в одежде рабочих вынесли картину Куинджи. И никто, включая смотрителя, их не остановил.

2. Обслуживающий персонал

Работники, заменяющие ковры, ухаживающие за растениями, обслуживающие вендинговые аппараты… Опять же, зависит от специфики работы конкретного предприятия. На людей, которые обеспечивают функционирование офиса, мало кто обращает внимание. А очень зря, ведь злоумышленник может притвориться представителем такого персонала, чтобы пройти в нужный ему участок здания. Если же ему еще и удастся скопировать пропуск сотрудника или настоящего представителя обслуживающей фирмы, то перемещение по территории компании облегчится в разы.

3. Доставка еды

В пандемию службы доставки еды вышли на новый уровень, и, похоже, сдавать позиции не собираются. Злоумышленник может сделать вид, что ждет заказчика на проходной, и в это время установить фейковую точку доступа Wi-Fi, скопировать пропуски сотрудников и т.п.

Что делать в таком случае?

Если вы точно знаете, что представителям службы доставки еды не разрешено проходить на территорию предприятия, предупредите охрану о постороннем. Так же следует поступить, если вызывающий подозрение курьер обнаружился в холле и не уходит достаточно долгое время.

4. Курьерские службы

Политика безопасности предприятия в принципе не должна позволять посторонним, в том числе и курьерам, заходить дальше, чем на проходную. В противном случае компания сама открывает двери злоумышленнику, который всегда может притвориться курьером.

Что делать в таком случае?

Доставка любых документов и грузов должна ограничиваться постом охраны или стойкой администрации компании. Это касается и доставки крупногабаритных грузов. Если же без помощи посторонних никак не обойтись, обязательно следует назначить сопровождающего, который проводит посторонних на выход по завершении работ.

И снова повторим: ключевое звено социальной инженерии – психология. Если злоумышленник решит взаимодействовать с сотрудниками компании, то постарается, чтобы инициатива помощи исходила с их стороны. Так сценарий будет выглядеть наиболее естественно. Если в случае фишинговых рассылок упор делается в основном на любопытство и боязнь авторитетов, то в данной ситуации злоумышленник сыграет на вежливости, взаимовыручке и желании помочь.

Означает ли это, что никому нельзя придерживать двери или показывать короткий путь в библиотеку? Конечно же да нет. Вежливость и взаимовыручка никогда не бывают лишними. Это лишь означает, что не стоит терять бдительность, какой бы естественной ситуация ни казалась. Лучше перестраховаться, чем сыграть на руку злоумышленнику своей невнимательностью.

Как могут проникнуть в здание?

1. Я на собеседование

Злоумышленник может заранее договориться о собеседовании, чтобы получить легитимный гостевой пропуск и пройти на территорию компании. Если недостаточно внимательно отнестись к процедуре сопровождения незнакомого человека, то это даст злоумышленнику возможность исследовать интересующие его помещения и осуществить свои идеи и задумки.

Что делать в таком случае?

Если вы поймали на этаже подозрительного человека, то спросите, к кому конкретно он пришел. Не получив вразумительного ответа, не спешите с выводами. Предложите вместе пройти на пост охраны или ресепшен, где обязательно помогут найти нужный кабинет или дозвониться до рекрутера. Также следует отметить, что приглашенный на собеседование человек в принципе не должен искать нужный ему кабинет в одиночестве. При нем всегда должен находиться сотрудник, в том числе и при выводе с территории предприятия.

Расскажем про одну атаку с физическим проникновением, где аудитор выступал в качестве кандидата на открытую вакансию тестируемой компании.

Во время проведения разведки и сбора информации он использовал HR-ресурсы для поиска сотрудников, чтобы найти открытые вакансии компании. После аудитор составил резюме, которое максимально соответствовало требованиям вакансии, и стал ждать приглашения на собеседование в офис или прохождения первичного удаленного интервью.

Получив приглашение на собеседование, он провел разведку внутренней планировки офиса, рассмотрел планы этажей и расположение переговорных комнат, как расположены столы, сетевые розетки, источники питания и пр. Стало понятно, что ничего не стоит найти возможность «отлучиться в туалет» или «ответить на важный звонок» во время собеседования, чтобы разместить технические устройства или вставить «флешку» Rubber Duck/HID в чей-нибудь не заблокированный компьютер. Также вполне можно было бы использовать актерские навыки и попросить сотрудников распечатать с «флешки» сертификат или резюме. В таком случае аудитор (читай: злоумышленник) получил бы удаленный доступ в сеть компании.

2. Игра в переодевание

Злоумышленник может облачиться в платье горничной рабочую одежду или спецовку и сделать вид, что он пришел из организации-подрядчика заниматься ремонтными или техническими работами. Под этим прикрытием он может, например, получить физический доступ к внутренней сети предприятия или установить свое оборудование для того, чтобы собрать как можно больше информации об интересующей его системе.

Приведем пример из нашей практики. В ходе аудита безопасности стало известно, что в здании тестируемой компании идет ремонт, поэтому аудитор переоделся в рабочую одежду и попытался пройти без пропуска через турникеты БЦ. Сотруднику охраны он сказал, что пришел забирать строительный мусор по приказу начальства, а пропуска у него нет, потому что понесет в руках тяжелые коробки. После этого сотрудник охраны пропустил аудитора. Через некоторое время аудитор вышел, но, так как коробок у него не было, он объяснил, что еще ничего не готово, и ему было велено вернуться вечером. Далее развивать вектор атаки мы не стали, поскольку цель была достигнута – проникновение на территорию прошло успешно.

Что делать в таком случае?

Обратить внимание охраны или соответствующего отдела на подозрительную ситуацию. Если вы видите, как некий рабочий что-то колдует над сетевыми коммуникациями, уточните у представителя IT-отдела: планировались ли на сегодня какие-либо работы?

3. Опоздание на встречи

Этот сценарий можно разыграть с охранниками, если они недостаточно внимательно относятся к выполнению рабочих обязанностей. Злоумышленник делает вид, что опаздывает на важную встречу, оперирует знакомыми именами, требует пропустить его, поскольку нет времени на оформление пропуска или на поиск нужного человека. При должном уровне актерской игры и убедительности сценарий сработает, и злоумышленник проникнет на внутреннюю территорию компании.

Что делать в таком случае?

Если вы стали свидетелем такой ситуации, предложите сопровождение до пункта назначения. А если же вы представитель охранной организации, то помните, что первостепенной важностью для вас обладают все же ваши рабочие обязанности, и как бы ни пытался человек вас разжалобить или подавить авторитетом, нельзя нарушать служебные инструкции.

4. Вход через курилку

Если у компании место для курения находится возле отдельного входа в здание (а так бывает очень часто), то злоумышленник может дождаться, пока сотрудники интересующей его фирмы закончат перерыв, и зайти в здание за ними, притворившись одним из работников. Для усиления эффекта доверия он может оставаться без верхней одежды, с документами в руках, с коробками и т.п. Или даже с бананом. Ведь человек с бананом просто так по улице не ходит, значит, он точно работает где-то здесь ;)

Что делать в таком случае?

Уточнить у человека, куда конкретно он идет или как зовут начальника его отдела. Если подозрения не оправдаются, вы познакомитесь с новым коллегой. А вот если человек не сможет ответить, не лишним будет предупредить охрану о постороннем на территории.

5. Копирование пропусков

Скопированный пропуск может позволить злоумышленнику не только проникнуть в помещения, вход в которые разрешен ограниченному числу работников, но и в целом свободно перемещаться по территории предприятия под чужой личиной. Вычислить сотрудников нужной компании помогут опознавательные знаки вроде ланъярдов или брендированных ретракторов. Для копирования достаточно всего пару секунд постоять вплотную к жертве. Злоумышленник может осведомиться о кратчайшем пути в библиотеку, попросить прикурить или помочь сориентировать по гугл-картам и найти нужный корпус.

Что делать в таком случае?

Не носить пропуски на виду вне офиса – на шее или на поясе. Убирайте пропуск в карман, сумку или бумажник. Хотя это не так удобно, чем иметь пропуск в зоне быстрой досягаемости, но тем самым вы в разы усложните злоумышленнику задачу. Не выкладывать фотографии пропусков в социальные сети – тем самым вы помогаете злоумышленнику изготовить правдоподобную подделку.

6. Физические носители

В отдельный пункт мы решили вынести технику road apple, когда злоумышленник разбрасывает носители информации в местах общего доступа: туалетах, парковках, столовых и т.п. Движимый любопытством сотрудник может открыть вредоносный файл на носителе, тем самым позволив злоумышленнику, к примеру, получить контроль над своей рабочей станцией.

Что делать в таком случае?

Не запускать подозрительный носитель информации в рабочей среде, используйте для этого виртуальную машину. А лучше вообще не запускать носители неизвестного происхождения. Но если очень хочется узнать, что же на нем находится, то отдайте находку в IT-отдел или отдел безопасности, обязательно уточнив, где вы это нашли.

Это лишь верхушка айсберга. При этом иногда злоумышленнику необязательно проникать непосредственно на территорию предприятия. Например, для проведения атаки типа evil twin он может поднять копию беспроводной точки доступа в вестибюле здания.

Вот пример из нашей практики, где сочетаются элементы нескольких описанных выше сценариев.

В социальной сети Instagram был выполнен поиск по тегу с названием нужной компании. Далее из полученных фото, сделанных в офисе, была извлечена геопозиция. Поиск по геопозиции позволил подобрать ряд фотографий пропусков-бейджей, хорошего качества и разрешения. Таким образом, аудиторы смогли понять, как внешне выглядят пропуски компании.



В холле центрального входа в офис в непосредственной близости от входных дверей располагались кресла для посетителей. Аудиторы положили в крайнее кресло рюкзак с оборудованием для клонирования пропусков. Это дало им возможность находиться от входящих в офис сотрудников на минимальном расстоянии. Так удалось клонировать пропуск одного из сотрудников для получения доступа в офис и сделать его физическую копию, которая внешне выглядела как настоящий пропуск.

Так аудиторы получили неограниченную возможность беспрепятственного входа и выхода на территорию различных корпусов офиса компании для проведения разведки, сбора информации, размещения собственных устройств и других действий с целью симуляции нанесения существенного финансового и репутационного ущерба компании.

Они смогли посетить все этажи корпусов, не вызывая подозрения охраны и сотрудников различных подразделений компании (включая бухгалтерию, HR, департамент разработки, рекламных подразделений различных проектов и т.д.), разместить 3 устройства для обеспечения сетевого доступа во внутреннюю сеть компании, а успешная реализации атаки evil-twin на корпоративный Wi-Fi позволила получить доступ к учетным данным сотрудников.

Рекомендации

Для компаний:

• Проводить обучение охраны. Все заходящие на территорию люди должны либо пользоваться пропусками, либо вручную заноситься в журналы. В той или иной форме следует фиксировать сведения о перемещениях по территории.
• Иметь гостевые пропуски для посетителей с ограниченным радиусом действия. Если возможно, реализовать систему man's trap.
• Внедрить СКУД, которая не подвержена атаке клонирования, например на основе HID iclass se или mifare desfire.
• Проводить тренинги для сотрудников. Сотрудники должны понимать, в какой момент можно стать мишенью и какие есть способы затруднить работу злоумышленника.
• Сохранять баланс между «корпоративной культурой» и задачей защитить компанию.

Это важный пункт, поскольку неосмотрительные действия компании могут поспособствовать возникновению новой угрозы – появлению внутреннего нарушителя в лице обиженного или недовольного сотрудника. Он может совершать деструктивные действия, похищать критичную информацию с целью ее продажи или заниматься саботажем, и вычислить такого сотрудника может быть достаточно сложно.

Поэтому, если во время тренингов или тестирования по социальной инженерии ваши сотрудники попались на фишинг, не нужно применять к ним карательные меры. Мы советуем внести в эту ситуацию элемент игры или шутки, особенно если сотрудник не в первый раз проваливает проверку: пожурить, рассказать, что господин N попался, но не переходить черту.

В качестве штрафа такой сотрудник может пройти дополнительный тренинг, но уж точно не стоит в качестве наказания урезать зарплату или премии.

Для сотрудников:

• Не нужно стесняться разговаривать с людьми. В большинстве случаев вы поможете человеку решить его проблему, однако не стоит в это время забывать о базовых мерах предосторожности.
• Сомневаетесь, но не хотите показаться невежливым, пропуская подозрительную личность за собой “паровозиком”? Замешкайтесь, сделайте вид, что читаете сообщение в телефоне, и посмотрите, куда пойдет этот человек и что он будет делать.
• Не бойтесь показаться параноиком, обращая внимание других на подозрительную активность.
• Следуйте указаниям службы безопасности/IT-отдела. Помните, что тренинги по безопасности проводятся не просто так, а политика ИБ – это не очередной документ, который можно прочитать и забыть.
• Нужно понимать, что никто вас не просит ловить подозрительного человека за рукав и лично тащить к начальству. Это (если обратного не утверждает трудовой договор) не ваша обязанность. Ответственность за поимку возможного преступника лежит на охране объекта, ваше дело – обратить внимание на подозрительную активность и предупредить об этом.
• Отключайте Wi-Fi на телефонах, если он вам не нужен. Особенно это касается владельцев Android-устройств, поскольку они более уязвимы к атакам типа evil-twin ввиду особенностей работы этой ОС.

Вывод

Атаки с использованием средств социальной инженерии могут показаться не самыми опасными, поскольку они подразумевают непосредственное, неудаленное присутствие злоумышленника в процессе подготовки или осуществления атаки. Однако подобная мнимая простота их обнаружения гораздо чаще играют на руку самому атакующему.

Социальные инженеры – люди изобретательные и хитрые. Они прекрасно знают, как использовать не только уязвимости системы, но и слабые стороны человека, которым сотрудник компании в любом случае остается на протяжении всего своего рабочего дня. Не особенно важно, какую должность он занимает, – злоумышленник всегда может найти способ использовать его неосторожность, скромность, доверчивость, а также иные как положительные, так и отрицательные качества личности в своих интересах.

Вполне очевидно в данном случае, что единственный эффективный способ превентивного противодействия атакам социальных инженеров является заблаговременное информирование сотрудников. Это подразумевает как знакомство работников с регламентом поведения на рабочем месте, так и культивирование у них привычек, способствующих безопасному для ресурсов компании разрешению описанных выше ситуаций.

Сотрудники не должны забывать, что вежливость и осторожность никак не исключают друг друга. Даже будучи настороже, вы все равно остаетесь человеком и живете обществе. Однако достаточная информированность и внимательность позволят вам сделать то, чего злоумышленник часто не ожидает, – стать гораздо большей угрозой для него самого, чем он для вас и для компании, в которой вы работаете.