ИНТЕРВЬЮ. В среду утром девушка-хакер без пропусков и ключей проникла в здание «очень крупного города» с целью украсть чувствительные данные, «взломав» вход не только в физическое пространство, но и корпоративную сеть Wi-Fi.
Как в итоге оказалось, ей вообще не потребовалось ничего взламывать.
Она поднялась на лифте до этажа с приёмной без использования электронного пропуска, обнаружила открытую дверь в офисный коридор и, минуя сидящего за столом охранника, прошла прямо в зал совещаний.
«Вредоносное устройство уже было готово. — сообщила она «The Register». — Накануне вечером, порывшись в мусорном контейнере на улице, мы нашли в нём учётные данные от корпоративной сети Wi-Fi. Устройство мы установили за телевизором в зале совещаний, подключили его к сети и смогли без чьего-либо ведома в течение недели передавать вовне данные компании, используя их собственную сеть».
В этом случае командно-контрольный сервер (C2) управлялся «красной командой» из компании по обеспечению безопасности, которую нанял владелец этого здания, обеспокоенный тем, что арендаторы «слишком расслаблены» в отношении безопасности офисов — так что украденные данные отправлялись не на преступный С2.
▍ Кто такая Алет Денис
Выполнившая задачу хакер, Алет Денис, является старшим консультантом по безопасности в Bishop Fox, специализируясь на анализе физической безопасности. Или, как говорит сама Денис: «Я проникаю в здания».
Она также является победителем конкурса DEF CON «Social Engineering Capture the Flag» и обладателем почётной награды Black Badge, полученной на Hacker Summer Camp. Будучи пентестером в компании, занимающейся наступательной безопасностью, Денис часто разрабатывает атаки по типу «социальной инженерии», обычно посредством телефонных звонков и электронных писем. «Мы притворяемся плохими ребятами». — говорит она.
«Но моим любимым видом социальной инженерии является общение лицом к лицу. — признала Денис. Отчасти потому, что это позволяет ей проживать свою старую мечту стать актрисой. — Это также даёт мне возможность отыгрывать поистине убедительных персонажей, взаимодействовать с людьми и придумывать более достоверные предлоги».
Зачастую это связано с выдачей себя за бывших или текущих сотрудников или поставщиков, которые сотрудничают с компанией, нанявшей Денис и её команду для проникновения в их здание. Обычно в этом случае целью является подключение к корпоративной сети и кража материалов, доступ к которым должен быть только у старшего управляющего персонала.
«Наша задача — выдать себя за бывшего уволенного сотрудника, и они дают нам деактивированный пропуск, — сказала она в качестве примера конкретного проникновения, когда «рассерженный бывший работник пытается вернуться в здание, чтобы нанести компании какой-нибудь вред.
Обычно причиной для найма нашей команды является то, что компания вложила большие средства в физические меры безопасности, а озлобленные работники являются внутренней угрозой». — добавила Денис.
▍ Даже профессионалов можно раскрыть
Но «красная команда» не всегда добивается успеха. В одной из недавних задач Денис нужно было проникнуть в сеть компании по разработке ПО. Они с коллегами решили выдать себя за IT-подрядчика, который должен провести осмотр внутренних помещений компании и приблизительно подсчитать стоимость обновления внутренней системы видеонаблюдения.
«Так как, если бы мы смогли получить доступ к каждому месту установки камеры, то смогли бы проникнуть в каждую серверную и установить своё устройство, что и являлось целью анализа», — сказала Денис.
Подготовка заняла около месяца, в течение которого «красные» создали фейковую компанию с собственным телефонным номером, а также службой записи и переадресации звонков, в том числе, подготовив фиктивный заказ на обновление системы видеонаблюдения.
«Думая, что мы пришли с целью произвести примерные расчёты, они не должны были понять, являемся ли мы настоящим поставщиком этих услуг — мы ещё только пытались им стать», — поделилась Денис.
Но так случилось, что в день запланированного проникновения на ресепшене как раз дежурила управляющая по безопасности.
«Мы рассказали о причине нашего визита, и она тут же пригласила директора по безопасности, чьё имя я указала в заказ-наряде».
Оказалось, что этот директор ранее служил в «красной команде» израильского оборонного ведомства и являлся автором книги о скрытом наблюдении и обнаружении.
«Это был один из тех случаев, когда нас обломали, — сказала Денис, — он выслушал нашу легенду, разоблачил задуманную схему и отправил восвояси. Я позволила ему нас выдворить, а он позволил нам уйти с достоинством».
▍ Всё завязано не только на ИИ и дипфейках
Несмотря на всю шумиху вокруг социального инжиниринга на основе ИИ и дипфейков, человеческие диалоги — по телефону, электронными средствами или лично — по-прежнему используются чаще всего и являются наиболее эффективными тактиками для преступников, желающих получить наживу со своих жертв.
«Их тактики довольно отличны от тех, которые обычно приводятся на курсах по безопасности или в рекомендациях поставщиков оборудования о том, как предотвратить фишинг или подобные атаки. Просто сейчас передовые техники преимущественно связаны с ИИ и ключевыми словами».
Несмотря на то, что некоторые скаммеры используют инструменты социальной инженерии на базе искусственного интеллекта, и существует потенциал для нанесения «очень разрушительных атак» посредством дипфейков, в целом эта технология не обеспечивает той высокой отдачи от вложений, которая интересует киберпреступников.
«У меня есть друзья и связи в государственных агентствах по безопасности. Эти люди говорят, что правительства начинают уходить от практики создания дипфейков, возвращаясь к более традиционным методам голосового фишинга по телефону. И те, кто становится жертвой хорошо обученного социального инженера, даже не смогут понять, что попались на уловку злоумышленника.
Именно это мы и наблюдаем в большинстве случаев за последние годы, когда происходит масштабный взлом, или доступ предоставляется тому, у кого его быть не должно: человек, взаимодействовавший с хакером, становится ничего не подозревающей внутренней угрозой.
Атакующий проделывает прекрасную работу по внушению доверия, выдавая себя за сотрудника или человека, который должен иметь этот доступ. И тот, с кем он говорит, даже об этом не догадывается — он никак не может определить, что здесь кроется подвох — и это является реальным слабым местом».
▍ Приёмы фишинга «красной команды»
Специалисты «красных команд» выступают в роли злоумышленников, используя аналогичные техники и инструменты для обхода средств защиты, которые должны обнаруживать и предотвращать фишинг.
Для создания фишинговых рассылок они также используют продукты из разряда «программное обеспечение как услуга». В этом случае письма как будто поступают от стороннего поставщика. Например, в виде опроса сотрудников для выявления степени их вовлечённости, либо от отдела кадров или IT-специалиста.
И хотя большинство людей хорошо обучены не вестись на фишинг, где в качестве приманки используются такие уловки, как вопросы политики, религии или горячие новости, есть и много других связанных с работой моментов, которые скаммеры применяют для вызова у жертвы аналогичной эмоциональной реакции.
«Это может выглядеть как ссылка на политику, которую необходимо просмотреть, чтобы ответить на вопрос анкеты. Темой в этом случае может быть дресс-код, возвращение к офисному режиму работы или выданные компанией устройства. Вроде бы привычные вещи, но такие, которые сильно волнуют людей: сколько времени они хотят проводить в офисе, или какую одежду они бы предпочли носить на работу. Как они оценивают выданный компанией ноутбук, поскольку все их ненавидят». — говорит Денис.
Денис с командой отправляют письмо со ссылкой на PDF-документ, замаскированный под политику, с которой нужно ознакомиться, чтобы ответить на вопросы анкеты. В реальности же этот документ содержит вредоносную полезную нагрузку, которая выполняется, когда сотрудник кликает по нему.
«Задача социального инженера — вызвать у человека эмоциональную реакцию. Ему нужно, чтобы решение было принято в обход логического мышления на основе глубинного животного инстинкта. Таким образом, вызвав реакцию на уровне миндалины, мы подводим человека к первому вопросу анкеты, просим его кликнуть по вложенной ссылке, которая ведёт на лэндинг, собирающий учётные данные профиля этого пользователя». — делится Денис.
Обычно целью является получение административных прав на скомпрометированной машине, повышение привилегий и анализ, к чему ещё «красная команда» может получить доступ в IT-системе организации. Если уловка с письмом не срабатывает, то в качестве альтернативного и весьма эффективного приёма хакер может воспользоваться телефонным звонком.
«Я старюсь задействовать обе этих техники, — говорит Денис, — я звоню и говорю: «Здравствуйте, я отправила вам письмо на прошлой неделе, вы его получили?» Обычно люди отвечают: «Нет, не получал». Естественно, ведь я его не отправляла».
Но в этот момент жертва уже чувствует некую вину в том, что упустила письмо, и теперь испытывает своеобразный долг в отношении злоумышленника.
«Они ощущают некое обязательство передо мной. Тогда я могу сказать: «Давайте я отправлю его ещё раз, пока мы с вами на связи? Можете уделить внимание и выполнить то, что в нём указано?
Лучшее, что человек может сделать для разоблачения подобного голосового фишинга — это начать задавать уточняющие вопросы. Обычно это выбивает атакующего из скрипта достаточно, чтобы тот положил трубку и переключился на следующую цель». — сказала Денис.
И хотя цель Денис как пентестера заключается в том, чтобы завершить звонок получением доступа к организации так, чтобы человек по ту сторону телефонной линии даже ничего не заподозрил — реальные злоумышленники далеко не столь деликатны.
«Скаммеров нисколько не волнуют ваши чувства. — сказала она. — они бьют в самое уязвимое место». ®
Telegram-канал со скидками, розыгрышами призов и новостями IT 💻