На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги (Chris Hadnagy), который для получения информации использует особенности человеческой психики и не верит в технический прогресс: «Пока вы ищите уязвимости нулевого дня, мы просто поднимаем трубку телефона и узнаем ваши секреты». В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.

Как заставить сказать PIN-код от кредитки


«Будь я настоящим преступником, то давно бы разбогател, прославился или умер», — признается Крис в своей книге Social Engineering: The Art of Human Hacking. Основатель площадки Social-Engineer.org использовал социальную инженерию в казино, в тотализаторе, на аукционе — всегда только в демонстрационных целях, чтобы показать недостатки защиты.

Однажды Хаднаги принимал участие в съемках телеканала BBC: он должен был украсть портмоне с банковской картой, а потом заставить жертву сообщить ему PIN-код. Телевизионщики, не слишком верившие в положительный исход такого эксперимента, сами выбрали мишень —женщину, которая ничего не подозревая обедала в ресторане. Крис расположился за соседним столиком и ждал удобного момента для «атаки». Рядом с «объектом» сидела подруга, а рука женщины лежала на сумке, — это сильно усложняло задачу. Когда уже стало казаться, что ничего не получится, подруга отлучилась в уборную, и Крис принялся за дело, подав знак своим ассистентам, Алексу и Джесс. «Счастливая пара» подошла к женщине и попросила сфотографировать их, что жертва с удовольствием и сделала, убрав руку с сумки. Пока женщина делала снимки, Крис спрятал ее сумку в свой портфель.

Не успела подставная пара выйти из кафе, как женщина обнаружила пропажу и встала, судорожно оглядываясь. Она явно нуждалась в помощи, которую Крис не замедлил предложить. Наш герой убедил ее успокоиться и вспомнить, что было в сумке. В сумке был телефон, немного наличных, косметичка и кредитная карта. Первым делом Хаднаги выяснил название кредитной организации. Какая удача, Крис раньше работал в этом банке! Все будет хорошо, утешал женщину Хаднаги, надо только аннулировать карту. Женщина согласилась, после чего Крис набрал номер «службы поддержки», роль которой исполнял его ассистент Алекс, дежуривший в фургоне на улице. В автомобиле раздавался офисный шум, запись которого Крис скачал с какого-то сайта. Алекс заверил пострадавшую, что ее карту заблокируют. Но для того чтобы проверить ее личность, нужно было только ввести PIN-код на клавиатуре телефона. (Телефон принадлежал Крису). Остальное вы можете угадать. Настоящие воры, конечно, тут же отправились бы искать банкомат, но Крису и без того хватает гонораров, которые он получает, разоблачая техники мошенников. Женщина поблагодарила Криса, когда он вернул сумку, но он ответил: «Не стоит. Я же ее и украл».

Хаднаги и создатель Linux


Сейчас Хаднаги учит корпорации вычислять социальных инженеров и устраивает соревнования, на которых приветливые люди перед полным зрительным залом по телефону выведывают секреты крупных компаний. Но начинал Крис с малого. Один из его первых экспериментов был проведен на технической конференции в Javits Center в Нью-Йорке.

По соседству, в известном магазине игрушек FAO Schwarz на Пятой авеню, проходила закрытая вечеринка, на которой были топ-менеджеры HP, Microsoft и других крупных компаний. Крис с приятелем решили во что бы то ни стало попасть на мероприятие. Они заняли позицию у стойки регистрации, познакомились с девушками, отвечающими за выдачу бейджей и принялись ждать. Очень скоро из зала вышел не кто иной, как создатель Linux Линус Торвальдс. Крис быстро схватил плюшевую игрушку с логотипом Microsoft с одного из стендов и спросил у Линуса: «Не поставите ли автограф на моей игрушке?» Торвальдс улыбнулся, похлопал Криса по плечу и сказал: «Увидимся внутри, молодой человек». Друзья незамедлительно получили два билета на вечеринку.

Инженеры останавливают заводы


Люди так сосредоточены на новых техниках компьютерных атак, что совсем забывают об атаках «человеческих», пишет Хаднаги в своем блоге на social-engineer.org. Социальная инженерия является простым, но эффективным средством, поэтому преступники, хактивисты и даже спонсируемые государством группы не гнушаются использовать этот вектор. Всем специалистам по безопасности Хаднаги советует внимательно читать книгу бывшего работника ЦРУ Майкла Базела «Разведка на основе открытых источников информации».

Крис собрал обширную коллекцию громких атак 2014 года с использованием имперсонации, фишинга, вишинга и других социальных тактик.

  • Физический ущерб немецкому сталелитейному предприятию. Об этой истории говорились в отчете «IТ-безопасность Германии» (Die Lage der IT-Sicherheit in Deutschland 2014). Подробности захвата компьютерной сети предприятия не уточняются, но известно, что атака проходила в два этапа. Сначала хакеры взяли под контроль электронную почту работников завода, разослав им письма с фишинговыми ссылками. Через почту сотрудников хакеры получили доступ к офисной сети предприятия, а затем — к системе, которая управляла доменными печами. В результате работники завода потеряли контроль над оборудованием: печи перестали отображаться в электронной системе, что привело к повреждению всей системы управления. Специалисты отметили, что хакеры хорошо разбирались в специфике производственного оборудования и электронного управления заводом и атака была целенаправленной.
  • Шумиха, связанная с атакой хакеров на компанию Sony, скорее всего началась с применения методов социальной инженерии в отношении ключевых сотрудников.
  • Социнженерия использовалась и для получения конфиденциальных данных пользователей AT&T.
  • В случае атак на компании Target, Home Depot и JP Morgan, которые понесли значительный финансовый ущерб, применялся фишинг.
  • При взломе iCloud применялись техники социотехнического сбора информации для последующего брутфорса аккаунтов звезд и получения их приватных фото.
  • Фишинг имел место быть и при проведении APT в отношении ряда банков (в основном из России), которые потеряли 25 млн долларов.
  • Компания Experian была взломана в результате «имперсонации»: злоумышленник представился частным детективом и проник в один из филиалов компании.
  • Взлом базы данных eBay, когда в руки злоумышленников попали зашифрованные пароли и другие персональные данные 145 млн аккаунтов пользователей, произошел, вероятно, в результате обмана кого-то из служащих eBay.

Посмотреть выступление Криса Хаднаги можно в плейлисте PHDays V на YouTube.



P.S. Лучшие моменты прошедшего форума PHDays V мы собрали в специальном видео.

Комментарии (12)


  1. iDeBugger
    12.08.2015 16:40
    +10

    Призываю Капитана, поясните, как предложение подписать игрушку с логотипом майкрософта позволило получить билеты?


    1. Greendq
      12.08.2015 17:09

      Рискну предположить, что подразумевалось, что их пропустили через некоторое время в зал — т.е. на ресепшене их знали, а общение с Линусом придало им статус.


    1. JediPhilosopher
      12.08.2015 17:18

      Может они пошли вслед за Торвальдсом, а охрана, видевшая что они только что разговаривали, решила что они вместе и не стали останавливать? Но вообще тоже интересно.


    1. Singerofthefall
      12.08.2015 17:23

      Попробую поработать Капитаном. В оригинале книги написано так:

      So I approached the women in charge of the ticket booth and the guest list and I spoke to them for a few minutes. As I was speaking to them, Linus Torvalds <...> walked by. I had picked up a Microsoft plush toy at one of the booths and as I joke I turned to Linus and said, “Hey, you want to autograph my Microsoft toy? He got a good laugh out of it and as he grabbed his tickets he said, «Nice job, young man. I will see you at the party.». I turned back to the women <...> and was handed two tickets <...>.
      То есть, насколько я понял, авторитет Линуса, и то, что он повел себя так, будто знает Криса, и даже добавил «увидимся на вечеринке» заставил девушек подумать, что Крис действительно был приглашен.

      *flies away*


      1. kost
        12.08.2015 21:56
        +1

        Не добавляет ясности.

        Девушки, выдающие билеты знают в лицо Линуса Торвальдса и потом дают билеты кому-то, который, якобы, знаком с ним?


        1. Milfgard
          13.08.2015 10:37

          На Линусе висел красный бейдж VIP, скорее всего, и девушки это видели. По крайней мере, я так однажды прошёл. Не с Линусом, конечно.


      1. ArjLover
        12.08.2015 22:33

        Они уже познакомились с девушками и не зарегистрировались при этом. То есть девушки их точно знают как неприглашенных лиц. В этом статусе они долго ждут у стойки регистрации и тут все — и девушки и охрана их запоминают как людей вне списков.
        Или я что-то не понимаю в конференциях на Пятой авеню…


      1. Shannon
        13.08.2015 11:27

        Он подошел к Линусу с шуточной просьбой поставить автограф на его Майкрософт игрушке. Он как-бы назвал игрушкой windows — «поделку» от Майкрософт, что вызвало добродушный смех у Линуса, создателя linux, и они с другом получили от него нечто вроде 2 устных приглашения на вечеринку, чем и воспользовались на стойке регистрации


    1. Satyricon
      13.08.2015 09:31

      Может дело в том, что они предложили Линусу подписать игрушку с лого Майкрософт, типа такой троллинг. Линус шутку оценил и просто пригласил их на вечеринку.


  1. eosunknown
    12.08.2015 17:19
    +5

    А можно где-нибудь без перевода глянуть?



  1. Loreweil
    14.08.2015 06:29

    there is no patch for human stupidity ©