Привет, Хабр!

Мы с очередным рассказом из подкаста Darknet Diaries — историей Рейчел Тобак, специалиста в области социальной инженерии. Ее называют этичным хакером: она изучает, как действуют преступники и как ведет себя жертва во время атаки. Рейчел рассказала, как начиналась ее карьера в социальной инженерии, и поделилась историями нескольких пентестов.

Не взяли в программисты

В детстве Рейчел завораживал фильм «Шпионка Гарриет»: ей было интересно наблюдать, как главная героиня пробирается в дома через любые лазейки. В средней школе девушка начала интересоваться ИТ. Однако консультант про профориентации отказалась записывать Рейчел в группу по программированию: желающих было очень много, и консультант решила, что девочке там не место.

После школы Рейчел продолжила обучение в университете, получила степень по нейронауке и поведенческой психологии, а после этого несколько лет работала преподавателем по статистике. Но страсть к ИТ не отпускала, поэтому в конце концов Рейчел устроилась в технологическую компанию комьюнити-менеджером, а затем возглавила в этой компании исследовательскую группу по UX. Это помогло ей освоить цифровые инструменты и отточить навыки, которые затем пригодились в ипостаси пентестера.

Смена курса

Помня о страсти Рейчел, ее муж однажды предложил ей попробовать силы в чемпионате по социальной инженерии на Defcon (это ежегодная хакерская конференция в Лас-Вегасе). Для участия нужно было снять видео-визитку и пройти жесткий конкурс, где из сотен заявок отбирают всего 14 счастливчиков. Рейчел это удалось.

Суть чемпионата заключается в том, чтобы получить достаточно информации для взлома компании. Около двух недель участники изучают жертву и находят о ней информацию в открытых источниках (Google, LinkedIn, Facebook*, сайт и др.). Уже на этом этапе участники получают очки за информацию, собранную по техническому заданию. Cписок объемный: от названий фирм-партнеров до версии почтового клиента, который установлен в компании. Участникам запрещено звонить, писать или еще каким-либо способом связываться с жертвой до финала.

Финал проходит очно и транслируется в зрительный зал. Каждый участник получает 20 минут на то, чтобы связаться с жертвой и выведать конфиденциальную информацию. Эту информацию участники не могут получить, задав вопрос напрямую, они должны придумать достаточно убедительную историю. Например, притвориться коллегой из другого отдела или новым сотрудником, которому срочно нужно сделать отчет.

Несколько лет подряд Рейчел участвовала в Defcon и занимала вторые места. Не первые — но этого хватило, чтобы к девушке стали обращаться заказчики с просьбами попробовать взломать их компании. Так началась ее карьера в «социальном» пентесте. Девушка основала компанию SocialProof Security, которая помогает заказчикам проверить, уязвимы ли они перед атаками с использованием социальной инженерии. Среди клиентов Рейчел — Facebook*, Snapchat, PayPal, Twitter, NATO, Uber, Google, CISCO. Вот, как она это делает.

История 1. Банк и «крайние случаи»

К Рейчел за пентестом обратился банк. Она должна была взломать этот банк через телефонный звонок, электронную почту или чат и получить доступ к счетам, т. е. фактически украсть деньги. Специально для пентеста были созданы поддельные банковские счета, чтобы Рейчел могла их обчистить и при этом не навредить реальным клиентам банка.

Голос или буква?

На первом этапе теста Рейчел связалась в чате с сотрудниками поддержки. Она рассказала, что путешествует за границей и попала в беду: потеряла доступ к телефону, почте, ноутбуку и осталась без денег, так что ей срочно нужен доступ к своему банковскому счету. Рейчел пыталась убедить сотрудников банка изменить адрес электронной почты или номер телефона, привязанные к счету. Это позволило бы ей сбросить пароль и получить над счетом полный контроль. По протоколу банка, изменение пароля возможно только при отправке кода на привязанную к учетке электронную почту. Однако сотрудники поддержки твердо держались инструкций и отказались менять почту.

Тогда Рейчел перешла к телефонной атаке. По ее наблюдениям, говоря по телефону, люди доверчивей — на них проще надавить эмоционально. Кроме того, звонок оставляет меньше «бумажного следа». С помощью OSINT Рейчел выяснила номер телефона и личные данные клиентки — условно назовем ее Келли Смит — на чье имя был открыт один из поддельных счетов (напомним, что сотрудники банка не знали, что счет тестовый). Номер она подделала с помощью спуфинга, чтобы в банке думали, что им звонит Келли.

В этом банке не использовали KBA (Knowledge‑Based Authentication) — метод аутентификации, при котором пользователю нужно подтвердить свою личность, отвечая на вопросы, ответы на которые известны только ему. С ним было бы проще: Рейчел с помощью OSINT легко могла найти ответы на нужные вопросы и обойти KBA. Зато в банке применяли MFA (многофакторную аутентификацию). Это усложнило атаку: хотя Рейчел и подделала номер Келли Смит, реального доступа к нему у нее не было, и она не смогла бы получить коды подтверждения, которые на него приходили. Рейчел могла бы подменить SIM‑карту, но этого не было в целях атаки, которые ставил заказчик.

Бинго

Итак, Рейчел позвонила в банк и повторила сотруднику свою жалостливую историю о том, как застряла в чужой стране без средств.

Всеми средствами ей нужно было избежать подтверждения личности по MFA. К ее удаче, консультант банка проникся и, проконсультировавшись с руководителем, в качестве исключения решил отступить от протокола — раз уж это «крайний случай». Он предложил Рейчел подтвердить личность, отправив фотографию водительских прав, карты социального страхования и счета за коммунальные услуги.

Далее к атаке присоединился муж Рейчел — Эван. В SocialProof Security он занимается технически вопросами. Рейчел нашла необходимые данные Келли с помощью OSINT и передала Эвану, а тот подделал нужные документы. В интервью Рейчел объяснила: в большинстве случаев банки сверяют не номера документов, а лишь имя и адрес, указанные в счете. Если имя и адрес в документах соответствуют, подделку могут не заметить.

Утром следующего дня Рейчел отправила письмо с документами в банк и уже через час ей предоставили доступ к счету Келли Смит. Рейчел изменила почту и пароль в личном кабинете и фактически завладела деньгами Келли. В течение следующих двух дней она получила доступ еще к нескольким счетам клиентов этого банка.

После тестирования она передала заказчику, какие дыры в защите выявила, и помогла их закрыть.

История 2. ИТ-инвестор и разговорчивые сотрудники

Еще одним заказчиком Рейчел была крупная технологическая компания, которая частенько занималась слияниями и поглощениями. Однако то и дело в компании сталкивались с тем, что информация об очередной покупке попадает в СМИ раньше, чем они были готовы выступить с официальным заявлением. Рейчел предстояло разобраться, как внутренняя информацию утекает к журналистам.

Рейчел разработала два сценария, по которым могла бы определить источник утечки. Во-первых, она планировала выдать себя за журналиста и связаться с сотрудниками компании в соцсетях или по почте. Под предлогом интервью об опыте в сфере технологий Рейчел хотела проверить, получится ли выведать у сотрудников конфиденциальную информацию. Во-вторых, Рейчел собиралась откликнуться на вакансию продакт-менеджера в эту компанию, чтобы попробовать получить конфиденциальную информацию во время собеседования.

Лже-журналистка

Поддельные личности Рейчел называет «призраками». Иногда это настоящие люди, а иногда — поддельные личности, которым создают полноценную жизнь в сети. Для пентеста этой компании Рейчел решила, что будет проще притвориться настоящим журналистом, чем создавать новую личность. Она сделала себе профили в соцсетях и почте на основе данных реального журналиста. Но метод не сработал. С кем бы из сотрудников ни связывалась Рейчел и насколько убедительной ни была ее история, никто не предоставил ей информацию о предстоящих слияниях. Рейчел также связывалась с сотрудниками по телефону, но никаких подробностей получить не удалось.

Идеальный кандидат

Рейчел решила протестировать атаку через трудоустройство. По ее опыту, одних только сведений из открытых вакансий и перечисленных в них обязанностей бывает достаточно для взлома компании. Например, злоумышленники могут прочесть, какие СЗИ используются в компании из вакансии для ИТ- или ИБ-специалиста, и спланировать атаку эффективней. Но здесь потребовалось зайти дальше. Рейчел планировала выдать себя за кандидата, откликнуться на вакансию продакт-менеджера и в ходе собеседования получить инсайдерскую информацию.

У нее не было опыта на должности менеджера по продуктам, при этом ей нужно было хорошо разбираться в нюансах работы, чтобы ее пригласили на собеседование. Рейчел потребовалось три недели, чтобы подготовиться: она просматривала видео на YouTube, проходила бесплатные онлайн-курсы и различные тесты. Она также создала полноценную личность кандидата с релевантным резюме и активными страницами в соцсетях с отзывами от «прошлых работодателей».

С ними Рейчел откликнулась на вакансию и ей предложили пройти телефонное собеседование. Это был важный этап: без него не попасть на следующий этап интервью, а значит, при провале пришлось бы начинать с нуля и создавать новую личность кандидата. Впрочем, спустя 45 минут телефонного разговора Рейчел пригласили на следующий этап, который заключался в личных онлайн-встречах в Zoom с шестью интервьюерами подряд.

В конце первой же встречи у Рейчел спросили, есть ли у нее вопросы. Это был удачный шанс разузнать о слиянии. Рейчел рассказала интервьюеру, что наткнулась на несколько новостей о готовящейся покупке потенциальным работодателем другой компании, и ей интересно, как в будущем может измениться ее роль в рабочих проектах. При этом она подчеркнула, что понимает, что интервьюер не может подтвердить или опровергнуть информацию о слияниях, однако ей хотелось бы знать, как выглядит процесс интеграции и как это может отразиться на ее карьерном росте.

Интервьюер согласился, что действительно не может комментировать подобные темы. Но тут же оговорился: мол, это не означает, что нельзя описать планы в общих чертах. И подмигнул Рейчел, как бы подтверждая слухи.

Процесс слива информации Рейчел описала так: сотрудники ничего не говорили напрямую, ноневербально — мимикой и жестами — показывали, что компания заинтересована в слиянии, например, с компанией «Ромашка». Таким образом к концу дня Рейчел получила «инсайды» от трех из шести интервьюеров.

Собранную информацию Рейчел передала заказчику, тот подтвердил, что с перечисленными компаниями планируются слияния. Проблему обсудили с отделом безопасности. Те решили пересмотреть коммуникацию с сотрудниками и переписать протоколы. Ведь хотя все знали, что им нельзя говорить: «Завтра мы покупаем «Ромашку», для сотрудников было неочевидно, что даже обобщенно говорить о планах и упоминать названия компаний запрещено.

История 3. Телешоу и доверие коллегам

В 2023 году Рейчел активно поднимала тему мошенничества с использованием ИИ у себя в соцсетях. Она рассказывала об атаках с использованием подделки голоса. Этой проблемой заинтересовались представители телешоу «60 минут». Они связались с Рейчел и предложили ей провести атаку в прямом эфире.

Рейчел уже делала так для нескольких крупных медиапроектов. Например, ей удалось «взломать» корреспондента Дони О'Салливана из CNN через одного из его контрагентов. Она также смогла получить доступ к его LinkedIn, используя утекшие ранее пароли.

Телешоу «60 минут» предложили Рейчел атаковать корреспондентку Шэрин Альфонси. Та дала согласие на то, чтобы ее данные «украли». Рейчел должна была сделать это в прямом эфире, используя ИИ.

Подготовка к атаке

Рейчел с помощью OSINT собрала информацию о Шэрин (номер телефона, фрагменты голоса и т. д.) и решила, что будет действовать через ее коллегу и помощницу — Элизабет. Девушку предупредили о готовящемся эксперименте, и она согласилась принять в нем участие.

Для атаки Рейчел решила сгенерировать голос Шэрин, для этого хватило пары записей эфира передачи. Затем по плану предстояло позвонить Элизабет и убедить ее выдать какую-нибудь конфиденциальную информацию о ведущей. Элизабет знала, что в какой-то момент ее атакуют, так что Рейчел нужно было не вызвать подозрений. Действовать было решено в разгар съемок, чтобы жертвы отвлекались на рабочую суету, а операторы могли заснять все вживую. 

Камера, мотор

Итак, день «икс». Рейчел и Элизабет находятся на съемочной площадке, Шэрин в своем кабинете готовится к эфиру. Съемочная группа настраивает оборудование. Рейчел отводит в сторону режиссера и договаривается, что он попросит Элизабет подменить Шэрин на площадке, якобы чтобы проверить звук и настроить камеру. В этот момент Рейчел выйдет в коридор со своим ноутбуком и телефоном и начнет атаку. Съемку договариваются начать, как только Элизабет поступит звонок — она будет в кадре с подключенной петличкой, так что все зрители шоу «60 минут» смогут без купюр видеть и слышать реакцию жертвы социнженера.

Нет времени объяснять, диктуй номер паспорта

В коридоре Рэйчел вводит текст в инструмент для клонирования голоса. Теперь все ее реплики будут воспроизводиться голосом Шэрин. Также она использует спуфинг, чтобы подменить свой номер телефона. Элизабет уверена, что ей звонит Шэрин, даже несмотря на то, что они должны вот‑вот встретиться на площадке: срочные звонки в разгаре рабочего дня — в порядке вещей.

Она на крючке.

Теперь Рейчел переходит к делу. Она рассказывает, что ее — «Шэрин» — якобы вызвали в срочную командировку. Такую срочную, что ей нужно прямо сейчас забронировать билеты и оформить все бумаги, а паспорта под рукой нет. У Элизабет на такие случаи записаны все данные корреспондента, так что Рейчел легко убеждает ее продиктовать номер документа.

Элизабет не распознала обман, уверенная, что передает паспортные данные буквально их владелице. В конце разговора, ничего не подозревая, она еще уточняет, когда Шэрин спустится на площадку. Рейчел заканчивает звонок и возвращается в студию. Тут же прибывает настоящая Шэрин и начинает интервью, в котором Рэйчел раскрывает подробности случившейся только что атаки.

Это была история Рейчел Тобак, которая позволяет заглянуть по ту сторону социальной инженерии. Мы же резюмируем: такие техники манипуляций — кажется, по‑прежнему самые эффективные инструменты злоумышленников. Мотаем на ус, пересматриваем протоколы безопасности и поднимаем ИБ‑грамотность сотрудников в своих коллективах. (Вот, кстати, полезный практикум, как организовать такое обучение).

Каждый сотрудник в компании должен знать, что его могут атаковать с целью заполучить корпоративные данные. А, учитывая тенденции, еще и о социнженерии с использованием дипфейк‑технологий. На этот случай предлагаем почитать статью нашего начальника отдела безопасности о том, как создается «подделка личности» и как детектировать дипфейки.

* - принадлежат компании Meta, которая запрещена в России и признана экстремистской.