Нас целая команда экспертов по проникновению в информационные сети.
Предположим, мы хотим понять, можно ли украсть данные с крупного промышленного комплекса. Обычно мы стараемся подключиться ко внутренней сети предприятия (однажды даже удалось подключить своё маленькое устройство к свободно висящему патч-корду, пока ходили на собеседование). Иногда мы делаем рассылку по всей компании, с просьбой что-то проверить в зарплатном файле, и приземляем людей на фишинговый сайт, изображающий их Джиру или корпоративный портал. Иногда просто просим срочно прислать, потому что у нас контракт на 100 миллионов горит и «ЕСЛИ СЕЙЧАС НЕ БУДЕТ, ТО УВОЛЮ К ЧЕРТЯМ!!»
Практически в любом случае нам нужно как можно больше данных о компании. Нужно знать, какие стоят средства защиты на рабочих станциях пользователей: для этого можно забросить исполняемый файл, позвонить человеку, попросить его открыть, а потом прочитать логи прямо с экрана. Нам очень важно знать, как зовут ИТ-директора, главного безопасника или руководителя направления, потому что письмам от них поверят. Часто бывают нужны коды двухфакторной авторизации из SMS или почты.
Или, например, в отношении тестируемой компании мы сначала смотрим на геометки доставки. Затем, сопоставляя данные различных утечек, можно найти практически всех сотрудников, их имена, почты и телефоны. Плюс данные из социальных сетей и сайта — и вот у нас уже есть телефонный справочник компании, понимание, кто когда онлайн, кто где находится (спасибо фото из отпуска), хобби, имена детей, собак и всё нужное, чтобы составить сценарий разговора.
Социальную инженерию через телефон очень сильно недооценивают
Мы проводим социотехнические пентесты предприятий, госкомпаний, крупных финансовых компаний, ретейла и так далее. Понятно, везде разный уровень паранойи и грамотности, но обычно цели у таких проектов обозначаются достаточно похоже:
Понять, насколько сотрудники бдительны и осведомлены про ИБ.
Понять, насколько глубоко можно пройти через неосведомлённых сотрудников.
Понять, можно ли получить закрытые данные.
На вопрос, насколько сотрудники бдительны и осведомлены про ИБ, сразу можно дать ответ. Не осведомлены. У средних и крупных компаний хватает 0,01% неосведомлённости, чтобы мы просочились.
Обычно мы разведываем инфраструктуру, находим контакты руководителей, потом придумываем отличный сценарий массовой рассылки или массового обзвона, который будет казаться всем достоверным, а потом находится герой, который сливает свою учётку.
В общем, мало кто, по нашему проектному опыту, не попадается на уловки социнженерии. И наша масштабная разведка приносит массу полезной информации о сотрудниках из социальных сетей, опубликованные утечки данных, сведения для анализа публичных ресурсов компании (включая её организационную структуру) и прочее.
Например, однажды удалось узнать, что в компании несколько лет подряд на Новый год HR-служба устраивала конкурс с премиями за особые достижения. Нужно было заходить на их лендинг, отмечать свои достижения и ждать шанса выиграть в лотерее. Мы собрали точно такой же сайт (точнее, только форму логина), отправили письмо от руководителя HR-службы (с опечаткой в одну букву в домене) в корпоративном шаблоне, рассказали похожую историю с премиями и попросили всех сотрудников отметить свои успехи. Что характерно, в этом тесте стояла особая задача: не включать в рассылку директора подразделения, чтобы его случайно не скомпрометировать. Так вот, он взял ссылку у своего подчинённого, прошёл по ней, ввёл свой логин-пароль, не смог авторизоваться (странно, почему), взял ссылку у другой сотрудницы, повторил попытку, а затем проделал то же самое с третьим человеком. А после неудач начал вводить другие пароли от своих сторонних аккаунтов.
Я всё это рассказываю к тому, что уязвимость мы найдём при достаточном усердии всё равно. Вопрос в цене этой уязвимости и в том, что с ней можно сделать. И это обычно главная задача социнженерии — проверить, как можно развить атаку и насколько далеко получится зайти. Например, узнали мы пароль и логин сотрудника бухгалтерии — а что дальше? Если там нормальный админ и нормальный отдел ИБ, то у них будет VPN внутри собственного контура (и наружу будет торчать только он), а на всё критичное будет через двухфакторку. Причём если мы ошибёмся хотя бы пару раз с попыткой подключения, нас поймает система отслеживания инцидентов по совокупности странных факторов. Внутри будет нормально настроено разграничение прав. И даже если попытаемся что-то вынести изнутри контура — остановит DLP.
Разумеется, это редко касается промышленных комплексов в глубинке, там ИБ больше следит, чтобы пароли на листках не клеили на монитор. Хотя бывают и очень здравые заказчики, где всё по высшему уровню. И ещё отмечу, что в финансовых компаниях, где регулярно проводятся курсы по ИБ, социнжиниринг работает очень плохо. Обычно бывает проще пробовать другие способы, например, физическое проникновение.
Во время социальной атаки можно попросить сделать пользователя следующие вещи:
— Срочно поменять пароль, потому что угроза. Если жертва социально ответственна и беспокоится о своей карьере и репутации, то мы будем говорить о том, что она наносит вред всем окружающим. Например, мы позвонили сотруднице финансового отдела, которая работала всего три недели. И сказали, что с её ящика сейчас рассылается спам по всей компании. Я — сотрудник поддержки, мне нужен доступ, чтобы срочно это остановить, попросил поменять пароль на Qwerty123! (минимальный подходящий по их политике паролей), чтобы прямо сейчас я мог войти. Поменяла. Я получил учётку, она получила тяжёлый разговор с безопасниками и требование обязательно сдать экзамен по ИБ без ошибок до конца испытательного.
— Получить одноразовый код и продиктовать мне. Лучше всего, когда двухфакторка на почту, а не на телефон, потому что SMS уже почти все научились не диктовать. Самый частый сценарий — мы прямо во время диалога просим зайти в почту и отправляем запрос на второй фактор. Приходит письмо прямо при собеседнике, это повышает доверие. Последний пример — мы нашли сотрудника, у которого дедлайн по отчёту, позвонили, сказали, что «в сети массовый сбой, развернули резервную площадку, сейчас сервисы мигрируют туда». Сейчас отправим на почту код, мы хотим авторизовать вас во втором дата-центре, чтобы вы могли продолжить пользоваться системой. Ну или скажите, что не надо, тогда минут через 10–15 доступ закроется». Код он продиктовал.
— Передать конфиденциальные данные. Это достаточно частые звонки в тендерные отделы от лица директоров подразделений из других городов. Когда вся разведка уже есть, можно играть в «Ну что там с тендером, какое предложение отправили?» — а если не говорят, объяснять, что лично этот человек подведёт через 10 минут компанию на примерно 200 миллионов. Причём можно орать и давить, а можно все эти подробности озвучивать спокойно и хмыкая, зависит от профиля жертвы. Два раза посылают, на третий — отправляют ценовое предложение или просто озвучивают сумму, готово. Ну или вот так: «Вчера рассылали финансовый отчёт, у вас на странице с общим показателем что написано?! Вы хоть читали, что рассылаете?!».
— Раскрыть внутреннюю структуру компании. В ходе атаки со стороны жертвы последовало возражение: «А мне безопасники сказали так не делать»! — Важно понимать, что это ещё не конец звонка. Можно спросить: «А кто именно? Андрей Максимович? А у него кто руководитель? Сейчас разберусь» — и вот у вас уже имена руководителей ИБ, которые обычно не так-то просто найти. Ну или найти легко, а вот понять, что они ИБ и кто в структуре, — не так-то просто. Теперь перед вами недостающий кусок пазла корпоративной разведки для новой атаки.
— Запустить нужный нам макрос. На нашей практике встретился случай, когда мы в социальных сетях нашли информацию о человеке и его личном транспорте. Мы составили сценарий «Большое количество штрафов» с подтекстом, что мы не можем дозвониться до сотрудника и поэтому написали ему на его корпоративный почтовый адрес от имени представителя ГИБДД. В контексте сценария обозначалось, что если сотрудник хочет ознакомиться с детальной информацией о нарушениях, ему необходимо перейти по ссылке (которая запускала макрос). Сценарий отработал успешно — пользователь несколько раз пытался запустить макрос, так как машина у него была «спортивная» и он явно любил превысить скорость на дороге.
Насколько люди доверчивы
Зависит от компании, тренингов ИБ, ситуации, настроения, случайностей. Чего угодно. Если брать среднюю сферическую компанию в вакууме, например, какую-нибудь крупную розничную сеть с развитым ИТ-подразделением, то, по нашей практике, — достаточно доверчивы. Когда я звоню и представляюсь человеком из соседнего офиса, только 2 из 10 проверяют через корпоративный мессенджер или почту, что я — это он.
Второй раз человек обычно напрягается, когда мы его просим совершить как раз целевое действие. Бывает по-разному. Один раз попали на человека, который 10 лет работал в компании (это потом уже узнали, таким лучше вообще не звонить), он очень хорошо знал процессы. Я представился сотрудником поддержки, он тоже представился и попросил всё то же самое в виде заявки в письменной форме, сказал, что обязательно рассмотрит в течение 10 рабочих дней. Бюрократия победила хакеров.
Или вот женщина. Как обычно, напугали её тем, что с её рабочей станции идёт рассылка спама, она запаниковала, всё как положено. Попросили поменять пароль, продиктовал. Она попросила ещё раз на всякий случай представиться. Потом проверила по корпоративному справочнику, сказала «вы знаете, я вас не вижу» и положила трубку. Высший балл за действия в условиях нестабильного эмоционального состояния.
Вот вы сейчас, возможно, думаете, что вас-то не засоциалить, вы все такие разводки знаете. Со стороны все эти случаи действительно звучат простыми. Но в моменте им сопротивляться очень сложно — мы целенаправленно выбираем самые сложные моменты с эмоциональной точки зрения, ищем самые эмоционально-нестабильные цели, выбираем не до конца обученных людей, ставим их в очень неприятные ситуации, в которых нужно быстро решать. Добавляем сверху страх за репутацию, страх причинить проблемы окружающим или компании, социальную ответственность — и буквально используем как рычаг всё хорошее, что есть в человеке. Если сценарий подобран правильно, сопротивляться такому очень сложно.
Но бывает, когда атака срывается буквально благодаря случайности: ресепшен офиса, соединяют с продажником, я прошу срочно переслать документ, представляюсь директором из соседнего города. Только вот этот директор сидел у него прямо в кабинете. Неудобно получилось.
Общий процесс
Начинается всё с постановки задачи. Иногда нам облегчают работу и сразу дают оргструктуру и прочее, иногда заказчики хотят, чтобы мы сами всё разведывали. Второе случается чаще. Дальше изучение соцсетей, баз утечек, геоданных по местам офисов. Человек может быть в соцсети не под своим именем, может поставить анимешного персонажа на аватарку, может не подписаться на группу во ВКонтакте своей компании. Но ресепшен обычно радостно сдаёт номера продажников, имена мы узнаём из утечек — и дальше снежный ком нарастает.
Дальше мы ищем цель. Нужно прямо воссоздать персонажа по форумам, соцсетям, профилям. Женщина с 3 детьми — скорее всего, будем говорить однотонно и уныло, задавать простые вопросы. Скорее всего, ей не до работы, надо превратить атаку в рутинную задачу, которую просто надо закрыть. Мужчина с дорогой машиной — наверное, ему будет важна карьера, сыграем на жадности или страхе потерь. Спокойный уравновешенный ИТ-специалист — бесполезно на него орать и угрожать, так же спокойно и уравновешенно положит трубку. Тусовщик в клубах и очень активный в диалогах — так же активно будем вести разговор, засыпем подробностями, «поймаем» его волну. Под каждого человека свой персональный сценарий.
Дальше ищем подходящую обстановку. Хорошо знать ближайшие праздники компании, у кого когда дни рождения. Как-то сделали рассылку перед корпоративом ко дню рождения компании, попросили от имени главы HR-отдела выбрать один из трёх подарков на 3 тысячи рублей. Собрали 30 учёток за час.
Часто звоним не для конкретного действия, а для разведки. Узнать про софт на рабочей станции, кто и где работает, получить новые имена и так далее, получить какие-то примеры типовых писем.
Как правило, на одного человека у нас один звонок, потому что минут через 10–15 человек начинает что-то подозревать и начинает оценивать свои действия. Как правило, догадывается, что, возможно его начинают обманывать. Кстати, мало кто догадавшийся после звонка потом рассказывает об этом безопасникам. На звонки больше не отвечает, чаще всего отключает телефон.
Дальше всё кончается либо очень хорошо таргетированной рассылкой от кого-то из топов или полученной доменной учёткой, которая предоставляет доступ в сеть компании. Как правило, конкретных людей наказывают за непрохождение проверки административно курсами или лишением премии — это я считаю более-менее справедливым, если было обучение до этого и они его успели пройти.
Но иногда бывает — успешно сработаешь и засоциалишь кого-то, а его потом уволят. Причём по статье. Такой тяжёлый результат социальным инженерам порой неприятно осознавать — вот поэтому в нашей профессии место только самым психологически устойчивым.