Целью этой статьи является объединение информации о самых распространенных атаках с помощью социальной инженерии. Существует множество различных материалов, посвященных теме социальной инженерии, но они в большинстве своем либо имеют вид достаточно крупных произведений, таких как, например, работы Кевина Митника, или наоборот, статей и одиночных вебинаров, фокусирующихся на конкретных аспектах. Вдобавок, многие материалы по теме созданы специалистами для специалистов и имеют достаточно высокий порог вхождения. Статей для новичков, дающих общий обзор современного состояния предмета, мне, увы, на глаза не попадалось. Чтобы закрыть этот пробел и была написана эта статья.
Статья нацелена в первую очередь на людей, начинающих знакомство с темой, например, на студентов первых курсов профильных направлений вузов.
В статье будут разобраны основные атаки с применением социальной инженерии, в первую очередь фишинг и рассылка вредоносных вложений. Будут разобраны методы сбора информации о цели перед атакой, маскировки вредоносных нагрузок, и ряд популярных трюков злоумышленников, повышающих эффективность атак. Основное внимание будет уделено атакам с применением электронной почты, не только для простых одношаговых атак, но и для осуществления сложных, многоходовых операций, которых в наше время становится все больше. Однако, атаки с помощью звонков (вишинг) и личного общения также будут упомянуты, пусть и не так подробно.
«Как это сделано?
Все методы применяются ради достижения цели. Цель злоумышленника – заполучить желаемое, то есть деньги, информацию или контроль над компьютером жертвы. Социальная инженерия, позволяет упростить задачу и сэкономить на усилиях по преодолению средств защиты за счет использования человеческого фактора. Вместо взлома шифрования, которым защищены банковские транзакции, можно убедить человека расстаться с деньгами добровольно. Кража денежных средств – не единственное назначение социальной инженерии, но это отличный пример.
Люди, слабо разбирающиеся в вопросе, могут попасться даже на самые ленивые уловки. Но даже и компании, где учения по противодействию методам социальной инженерии проходят регулярно, могут стать жертвой хорошо подготовленной атаки.
Система не может быть сильнее, чем ее самое слабое звено. Компания может вложить миллионы в закупку средств защиты, но сэкономить на подготовке сотрудников из некоторых отделов, плюс многие сотрудники просто не воспринимают угрозы всерьез. На удивление, в такой ситуации может сработать самоуверенность сотрудников. Они уверены, что именно с ними такого никогда не случится. А оно берет и случается, как правило неожиданно.
В массовом понимании социальная инженерия закрепилась как инструмент малоэффективный и почти всегда сопряженный с простыми атаками. Обычно мы сталкиваемся с атаками, которые производятся извне, из внешней сети, не из домена компании и даже без сбора информации о цели. Проще говоря рассылка в пустоту, наугад.
Это атаки простые в своей реализации и от них просто защититься. Просто не трогать лихо и удалять его, не открывая письмо. Зачастую письма даже не выглядят убедительными, а вся атака заключается в попытке выманить у жертвы деньги. При чтении таких писем бросаются в глаза орфографические ошибки, а сценарии бывают уж совершенно фантастическими. Плюс, спам-фильтры могут просто не пустить такое письмо в почтовую ленту, и проблема решится сама собой, потому что почтовая система не даст клиенту попасться на удочку.
Однако простыми атаками возможности социальной инженерии не ограничиваются, она может быть очень мощным инструментом в руках умелого и целеустремленного злоумышленника и быть лишь одним из множества шагов в составе комплексной атаки на компьютерную систему.
Следующим уровнем является рассылка писем с «полезной нагрузкой», троянами, шифровальщиками и прочими разновидностями ВПО. Эти атаки уже можно считать комплексными. В них можно выделить развитый этап подготовки и реализации атаки. Даже в том случае, когда злоумышленник пользуется готовым ВПО, а не разрабатывает его сам, добиться требуемого эффекта может быть труднее, чем разослать письма и ждать, пока начнут «капать» переводы.
Иногда целью является не похищение денежных средств как таковых, а, например, майнинг крипто-валют или расширение ботнета злоумышленника за счет ресурсов компьютера жертвы. А в особых случаях злоумышленников могут интересовать конкретные файлы. На этом стоит, например, промышленный и политический шпионаж.
Мы разобрали значение термина «социальная инженерия» и познакомились с простейшими атаками. Пришло время познакомиться с более развитыми представителями этого вида. И начнем мы с самого начала, с разведки.
Подготовка
Любая атака начинается со сбора информации об уязвимостях цели. Злоумышленники исследуют сайд-проекты, тестовые ресурсы, поддомены фирм, а на основе собранных данных строят модель инфраструктуры жертвы.
Одним из главных инструментов при атаке с применением социальной инженерии является электронная почта. Отсутствие личного контакта позволяет злоумышленнику с легкостью затеряться среди сотен писем от коллег и автоматической внутренней рассылки. И зачастую сама почтовая система ему в этом помогает.
Плохо настроенные почтовые сервисы допускают работу без авторизации и иногда даже подмену отправителя письма (кража личности). Одним из лучших способов сбора информации о почтовом сервисе жертвы является провокация на ответ. Злоумышленник посылает письмо для уточнения контактов или иной общедоступной информации, а в ответ получает письмо, которое может изучить для поиска уязвимостей. [1]
Иногда в письмах есть особенно приятный бонус – некоторые антивирусы при отправке из защищенной системы подписывают письмо, ставя штамп «проверено антивирусом Х». Это относится и к почтовым системам, и к устройствам. Каждое «отправлено с Эппл через G-mail» помогает злоумышленнику лучше проработать атаку и оптимизировать ее под жертву с конкретным набором используемых продуктов и, следовательно, уязвимостей. [2]
Список для рассылки
После сбора информации о почтовой системе цели необходимо сформировать список адресов, на которые будут разосланы письма. Зачастую список неоднороден и против разных людей используются разные сценарии атак.
Для широковещательной атаки в пустоту можно брать и случайные адреса. Спам про африканских родственников рассылается именно по такой схеме. Для мелкого мошенничества выискивать конкретные адреса не нужно.
Адресные атаки на конкретных людей гораздо эффективнее. Чтобы составить свою базу, не обязательно обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Потом к названиям доменов добавляется info@, после проверки получившихся адресов получится около 500 тысяч рабочих почт. [1]
Если же злоумышленника интересует конкретная сфера деятельности жертв, можно добавить модификаторы, такие как director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов заготавливается отдельное письмо, а после рассылки злоумышленник получит от сотен до тысяч ответов от сотрудников определенной сферы деятельности. [1]
Общедоступные личные адреса сотрудников позволяют понять механизм генерации личных адресов. Зачастую они доступны прямо на сайте компании. Вторым по важности поставщиком разведданных являются социальные сети, в которых уже давно реализован поиск сотрудников по месту работы. [2]
После того как жертва была назначена, а список адресов для рассылки сформирован, остается написать убедительное письмо.
Телефон мой – враг мой.
Отвлечемся на время от почты и вспомним про другие средства связи. Да, можно успешно атаковать и при помощи одних только писем, но применение нескольких каналов связи дает преимущество на всех этапах развития атаки.
В новостях регулярно упоминаются случаи того, как телефонные мошенники выманивают деньги у людей, представляясь сотрудниками банков, силовых структур и иногда даже членами семей своих жертв. Как правило телефонная связь применяется при уже упомянутых простых атаках, нацеленных в первую очередь на кражу денег. Однако, этим полезность телефона для злоумышленника не ограничивается.
С помощью звонков можно собрать данные о цели, в первую очередь о контактных данных и должностях. Также злоумышленники притворяются системными администраторами или сотрудниками техподдержки.
Звонки могут также применяться как средство усиления или подготовки атаки.
В сложных атаках могут встречаться ситуации, когда злоумышленник сначала сообщает жертве о важном письме, которое должно прийти, и даже помогает с установкой ВПО на компьютер под видом легального ПО. При помощи звонков также можно противодействовать организационным мерам защиты уже после обнаружения атаки.
Как пример можно привести реальный случай, произошедший во время учений по безопасности, проводимых «Digital Security». После реагирования специалистов по безопасности на атаку по электронной почте, команда «злоумышленников» от имени тех же специалистов обзвонила работников и передали им указание установить антивирусное ПО из вложения к последнему пришедшему письму. И после звонка разослали еще одну партию писем с вредоносной нагрузкой, но уже с измененным сценарием. [2]
Пока такие случаи относительно редки, однако с все большим развитием цифровой экономики нас неизбежно ждет не только количественный рост, который уже наблюдается, но и качественный. А значит комплексных атак с применением телефонной связи в скором времени может стать намного больше чем сейчас.
Сценарий
Три кита успешной атаки через письмо – корпоративный стиль оформления, личное обращение к адресату и использование подписи.
Существует множество сценариев, и они, в идеале, должны использоваться с оглядкой на должность предполагаемой жертвы. Хотя есть и универсальные заготовки, как правило личные вопросы, например, зарплаты.
Письма маскируют под уведомления об обновлении сервисов, (переход на новые сервисы), внутреннюю рассылку, связанную с рабочими вопросами (внесение правок, проверка результатов работы)
Для магазинов особенно эффективны жалобы и обратная связь по поводу бонусных программ.
Часто злоумышленники используют актуальную тему, которая на слуху у масс. Пример – коронавирус. 2020 год прошел под эгидой спама о вакцинации, QR-кодах, запретах на посещение общественных мест и так далее. [3]
Иногда рассылаются ложные уведомления о регистрации. Просто, но эффективно. В ход также идут сообщения о скидках, подарках, бонусных баллах, лотереях.
Методы маскировки
Теперь поговорим про методы маскировки. Письмо должно выглядеть убедительно не только при прочтении, но и при внимательном рассмотрении. Ничего не должно бросаться в глаза. Очень маловероятно что жертва скачает «pdf» из письма, если он будет иметь расширение «exe».
Иногда администраторы сайтов по недосмотру не включают фильтрацию поля «Имя» в форме регистрации. Вместо имени можно вставить текст и ссылку на вредоносный сайт. В поле email вводится адрес жертвы. После регистрации этому человеку придет письмо от сервиса: «Здравствуйте, уважаемый…», а дальше — текст и ссылка. А само сообщение от сервиса будет отображаться внизу, может быть даже вне поля зрения получателя.
Этот трюк позволяет отправлять мошеннические письма с настоящего адреса техподдержки сайта, со всеми цифровыми подписями, шифрованием и так далее. При этом вся верхняя часть оказывается написанной злоумышленником. Такие письма могут прийти откуда угодно. [1]
Регулярно встречается маскировка вредоносных сайтов под новостные ресурсы. Подготовка не занимает много времени. Создается сайт-одностраничник, который оформляется под новостной ресурс. Потом пишется скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке перешел человек. [1]
Далее производится рассылка по базе, состоящей из адресов и названий компаний. В каждом письме содержится уникальная ссылка на «новостной ресурс» с уникальным идентификатором. Идентификатор привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы. [1]
Зайдя на сайт, сотрудник увидит заголовок и короткую новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами. А в архиве будет ВПО, скорее всего – троян. [1]
Фактически это лишь небольшое усложнение относительно классического фишинга с упором на платежные формы. Однако механизм именно «новостного сайта» позволяет доставить ВПО прямиком на компьютер жертвы. Также встречаются одностраничники, маскирующиеся под страницы входа в социальные сети и почтовые клиенты, их используют для: кражи личности и/или содержимого страниц и почтовых ящиков. Почти все регистрации в наше время ведутся с подтверждением через электронную почту. Пробежавшись по сохраненной переписке жертвы, злоумышленник почти гарантированно получит выборку логинов с ресурсов привязанных к этому ящику. Далее он может воспользоваться сбросом пароля и получить доступ куда пожелает. Далеко не все сайты перед сбросом пароля требуют ввести код высылаемый по СМС, так что лишиться аккаунтов на всех ресурсах вместе с почтой очень просто. Вдобавок, будто вышеизложенного мало. Украденный почтовый клиент как правило содержит список
Бывает так, что не требуется даже письмо. Для того чтобы заманить людей с какого-нибудь форума или сайта с открытыми комментариями можно не выдумывать заманчивые тексты — достаточно всего лишь отправить им картинку. Изображение ужимается до потери читабельности, а любопытство неизменно заставляет пользователей кликать по картинке, под которой заранее будет спрятана ссылка. Вложения могут иметь любой вид. Архивы и просто файлы, ссылки для скачивания, ссылки на сайты. Под каждый формат есть своя упаковка и свой прием. Бывает так, что под видом вложения присылают ссылку на скачивание, а иконка файла на самом деле лишь вставленная картинка. Просто и эффективно, радует только, что работает это не везде.
Активная фаза атаки
Подготовка не может длиться вечно. Рано или поздно злоумышленники должны реализовать свой план.
Этап реализации и называется активной фазой.
Его можно разбить на три части.
Первая – установление контакта с жертвой, по этому каналу будут разосланы письма с вредоносной нагрузкой. Список адресов, используемый сценарий и вид нагрузки уже утверждены на этапе подготовки.
Вторая – самая важная. Активация нагрузки письма. Атака не продвинется дальше, если письмо не вызовет нужной реакции у жертвы.
Третья – развитие атаки, после прорыва защиты хотя бы на одном компьютере в сети компании злоумышленникам нужно закрепиться и продвинуться дальше и глубже, чтобы в итоге найти свой приз.
Разберем каждую стадию поподробней.
Шаг 1. Контакт.
· Рассылка писем
· Очное общение.
· Звонок
Все три способа могут применяться по очереди, перед тем как дать атаке «зеленый свет» злоумышленники могут выжидать неделями, собирая информацию. Сценарии могут отличаться от жертвы к жертве, при атаке на фирму злоумышленники могут последовательно прощупывать отдел за отделом, расширяя выборку атакуемых рабочих мест и возможных уязвимостей, тем самым повышая свои шансы на успех. Даже одного зараженного компьютера хватит чтобы перейти на следующий этап.
Злоумышленники могут и лично посетить своих клиентов, чтобы провести разведку или оставить пару закладок, которые пригодятся им позже, хотя это встречается гораздо реже.
Шаг 2. Активация вредоносной нагрузки
Нагрузка - содержимое письма, например, архив с ВПО или ссылка на сайт злоумышленника. Если жертва «клюнула», и ввела свои данные в форму на сайте или скачала архив, то нагрузку можно считать успешно сработавшей.
Тут можно выделить два основных сценария. Но они не всегда четко отделены друг от друга. Преступник может преследовать несколько целей одновременно или разные в зависимости от этапа реализации атаки. Например, пытаться украсть личность сотрудника для отправки посылки с ВПО под видом обновления на репозиторий, к которому у его текущей жертвы нет доступа.
Итак, существуют два основных сценария.
Переход по ссылкам из писем и ввод личных данных. Таким образом выманиваются аутентификационные данные практически всех типов. Очень часто бывает так что после кражи данных злоумышленники на сдачу крадут и личность жертвы, рассылая спам уже со страниц своих жертв, тем самым значительно повышая его эффективность.
Скачивание и запуск вредоносных прикрепленных файлов. Добиться успешного запуска ВПО не так просто, как минимум потому что требуется участие пользователя в запуске. И с каждым кликом вероятность того что жертва будет подыгрывать злоумышленнику падает. Именно поэтому самым популярным видом ВПО по схеме активации является троян, изначально замаскированный под легальное приложение.
Шаг 3. Развитие атаки
С помощью социальной инженерии на компьютер жертвы могут быть доставлены самые разные типы ВПО: Трояны, бэкдоры, руткиты, также на компьютер могут попасть лишь загрузчики, скачивающие основную часть полезной нагрузки из сети.
Социальная инженерия предоставляет лишь канал доставки ВПО, палитра используемых злоумышленниками полезных нагрузок механизмом доставки не регулируется.
Когда целью является похищение важной технической или финансовой информации, злоумышленникам иногда приходится последовательно обыскивать компьютер за компьютером в поисках нужных файлов. Этот процесс можно автоматизировать, но бывает и так что после успешного внедрения вредоносного ПО и его успешной работы злоумышленнику приходится забираться все глубже и глубже в атакованную сеть в поисках своего приза. И, не исключено, что на следующем витке поиска ему снова придется прибегнуть к методам социальной инженерии. Только теперь это будет проще, потому что в его распоряжении окажется настоящая учетная запись сотрудника предприятия и содержимое файлов на захваченном компьютере.
И вот когда «вредоносная нагрузка» успешно доставлена на компьютер пользователя, в полной мере разворачивается «комплексная» составляющая атаки. Зачем бить по одной уязвимости если можно ударить повсюду. Пока атака не обнаружена и не локализована злоумышленник может бесконтрольно совершить практически что угодно внутри защитного периметра компании. Вместе с рассылкой писем может быть организован отказ в обслуживании (DDOS-атака), могут быть активированы уже установленные закладки и установлены новые. Разумеется, лучшая атака, это атака, которую никто не заметил, но, если секретность сохранить не удалось, злоумышленники могут устроить настоящий хаос, чтобы парализовать защиту и скрыть следы своего присутствия.
Успешная атака часто оставляет очень мало следов в пораженных системах, если вообще их оставляет. Так что устранение последствий и поиск путей проникновения в защищаемую систему требуют привлечения целых команд специалистов по расследованию информационных преступлений. [2], [3]
Заключение
Подытожим. Социальная инженерия – мощный инструмент в умелых руках, и в этом вопросе паранойя лучше беспечности.
Первоначальный точечный прорыв даже на единственном компьютере может превратиться в лавину, как только злоумышленник получит доступ во внутренний домен компании. Вместе с письмом можно поймать вредоносное ПО, практически любого уровня сложности и опасности. [2]
Не всегда социальная инженерия применяется против главной цели напрямую. Злоумышленники могут построить многоходовую операцию по достижению цели, используя весь арсенал уловок социальной инженерии и вредоносного ПО, а потом еще и затереть следы своего присутствия в системе.
Недавно появившаяся атака через цепь поставок (печальный случай с компанией SolarWinds) показывает, что злоумышленник может пройти по цепочке с самого низа, со стороны покупателя и добраться до самого верха, до разработчика продукта, а потом уже при помощи возможностей разработчика разослать какие угодно вредоносные посылки всем клиентам жертвы. [3]
С каждым годом количество компьютерных преступлений увеличивается. Копеечный фишинг на актуальную тему (тот же коронавирус) держит уверенное первое место по массовости. И из-за этого многие изощренные схемы с применением социальной инженерии остаются в тени, а потенциальные жертвы остаются в неведении по поводу того, с чем они могут столкнуться. Однако со времен осведомленность растет, и я надеюсь, что эта статья тоже будет полезна в деле повышения осведомленности о том каким опасным и эффективным средством является социальная инженерия.
Источники:
1. «Примеры социальной инженерии»: https://spy-soft.net/social-engineering-examples/
2. Сотрудник–backdoor: современные приёмы социальной инженерии https://www.youtube.com/watch?v=WdaVqgSZDA4&ab_channel=DigitalSecurity
3. https://rt-solar.ru/upload/iblock/7d1/Solar-JSOC-Security-Report_2020_rgb.pdf
Комментарии (3)
valis
03.01.2022 15:35Самое главное слабое звено любой компании -топ менеджеры. Люди с неограниченными привелегиями, люди слишком занятые чтобы лищний раз осторожничать. Главные атаки всегда через них.
Еще отличная черная дыра - удаленные филлиалы. В одной очень известной сети магазинов СБ проводило стресс тест - приесжали на магазины под видом подрядчиков. Их спокойно пускали, садили за рабочие компы в сети, давали все необходимые логины и пароли. Красота в общем. Правда магазины имеют камеры и такой метод атаки очень паливный - но словят уже постфактум
ilmarinnen
Имхо слишком много словес для описания старого как
миринтернет заражения сети через письма с троянами.А как же действительно социальная инженерия для проникновения на территорию объекта с целью, например, разбросать флешки с заразой в курилках (ещё одна итерация социальной инженерии)? Или методы получения контроля над смартфоном крупного начальника с целью отсылки нужных сообщений админам?
RiddickABSent
Только хотел написать: добавить рекомендацию посмотреть сериал "Мистер Робот".