تخدعني إذا استطعت: ميزات إجراء اختبار اجتماعي تقني

تخيل هذا الوضع. صباح أكتوبر البارد، معهد التصميم في المركز الإقليمي لإحدى مناطق روسيا. يذهب أحد الأشخاص من قسم الموارد البشرية إلى إحدى صفحات الوظائف الشاغرة على موقع المعهد، والتي تم نشرها قبل يومين، ويرى صورة قطة هناك. سرعان ما يتوقف الصباح عن أن يكون مملاً..

في هذا المقال، يتحدث بافيل سوبرانيوك، الرئيس الفني لقسم التدقيق والاستشارات في Group-IB، عن مكانة الهجمات الاجتماعية التقنية في المشاريع التي تقيم الأمن العملي، وما هي الأشكال غير العادية التي يمكن أن تتخذها، وكيفية الحماية من مثل هذه الهجمات. يوضح المؤلف أن المقالة ذات طبيعة مراجعة، ومع ذلك، إذا كان هناك أي جانب يهم القراء، فسوف يجيب خبراء Group-IB بسهولة على الأسئلة في التعليقات.

الجزء 1. لماذا هذه الجدية؟

دعنا نعود إلى قطتنا. بعد مرور بعض الوقت، يقوم قسم الموارد البشرية بحذف الصورة (لقطات الشاشة هنا وأدناه تم تنقيحها جزئيًا حتى لا يتم الكشف عن الأسماء الحقيقية)، لكنها تعود بعناد، ويتم حذفها مرة أخرى، ويحدث هذا عدة مرات أخرى. يدرك قسم الموارد البشرية أن القط لديه أخطر النوايا، ولا يريد المغادرة، ويطلبون المساعدة من مبرمج الويب - الشخص الذي أنشأ الموقع ويفهمه، ويديره الآن. يذهب المبرمج إلى الموقع، ويحذف القطة المزعجة مرة أخرى، ويكتشف أنه تم نشرها نيابة عن قسم الموارد البشرية نفسه، ثم يفترض أن كلمة مرور قسم الموارد البشرية قد تسربت إلى بعض المشاغبين عبر الإنترنت، ويقوم بتغييرها. القطة لا تظهر مرة أخرى.

حقيقة ماحصل؟ فيما يتعلق بمجموعة الشركات التي ضمت المعهد، أجرى متخصصو Group-IB اختبار الاختراق بتنسيق قريب من Red Teaming (بمعنى آخر، هذا تقليد للهجمات المستهدفة على شركتك باستخدام الأساليب والأدوات الأكثر تقدمًا من ترسانة من مجموعات القراصنة). تحدثنا بالتفصيل عن الفريق الأحمر هنا. ومن المهم أن تعرف أنه عند إجراء مثل هذا الاختبار، يمكن استخدام مجموعة واسعة جدًا من الهجمات المتفق عليها مسبقًا، بما في ذلك الهندسة الاجتماعية. ومن الواضح أن وضع القطة في حد ذاته لم يكن الهدف النهائي لما كان يحدث. وكان هناك ما يلي:

• تمت استضافة موقع المعهد على خادم داخل شبكة المعهد نفسها، وليس على خوادم خارجية؛
• تم العثور على تسرب في حساب قسم الموارد البشرية (ملف سجل البريد الإلكتروني موجود في جذر الموقع). وكان من المستحيل إدارة الموقع بهذا الحساب، ولكن كان من الممكن تحرير صفحات الوظائف؛
• عن طريق تغيير الصفحات، يمكنك وضع البرامج النصية الخاصة بك في JavaScript. عادةً ما يجعلون الصفحات تفاعلية، لكن في هذه الحالة، يمكن لنفس النصوص البرمجية أن تسرق من متصفح الزائر ما يميز قسم الموارد البشرية عن المبرمج، والمبرمج عن الزائر البسيط - معرف الجلسة في الموقع. كانت القطة بمثابة أداة هجوم وصورة لجذب الانتباه. في لغة ترميز موقع الويب بتنسيق HTML، بدا الأمر كما يلي: إذا تم تحميل صورتك، فقد تم بالفعل تنفيذ JavaScript وتم بالفعل سرقة معرف الجلسة الخاص بك، بالإضافة إلى البيانات المتعلقة بالمتصفح الخاص بك وعنوان IP.
• باستخدام معرف جلسة المسؤول المسروق، سيكون من الممكن الوصول الكامل إلى الموقع، واستضافة الصفحات القابلة للتنفيذ في PHP، وبالتالي الوصول إلى نظام تشغيل الخادم، ومن ثم إلى الشبكة المحلية نفسها، وهو ما كان هدفًا وسيطًا مهمًا لـ المشروع.

كان الهجوم ناجحًا جزئيًا: تمت سرقة معرف جلسة المسؤول، ولكنه كان مرتبطًا بعنوان IP. لم نتمكن من الالتفاف حول هذا الأمر، ولم نتمكن من رفع امتيازات موقعنا إلى امتيازات المسؤول، لكننا قمنا بتحسين مزاجنا. تم الحصول على النتيجة النهائية في النهاية في قسم آخر من محيط الشبكة.

الجزء 2. أكتب إليكم - ماذا أيضًا؟ أنا أيضًا أتصل وأتسكع في مكتبك، وأسقط محركات الأقراص المحمولة.

ما حدث في موقف القطة هو مثال على الهندسة الاجتماعية، وإن لم يكن كلاسيكيًا تمامًا. في الواقع، كان هناك المزيد من الأحداث في هذه القصة: كان هناك قطة، ومعهد، وقسم شؤون الموظفين، ومبرمج، ولكن كانت هناك أيضًا رسائل بريد إلكتروني تحتوي على أسئلة توضيحية يُفترض أن "المرشحين" كتبوها إلى قسم شؤون الموظفين نفسه وشخصيًا للمبرمج من أجل استفزازهم للذهاب إلى صفحة الموقع.

الحديث عن الحروف. البريد الإلكتروني العادي، الذي ربما يكون الوسيلة الرئيسية لتنفيذ الهندسة الاجتماعية، لم يفقد أهميته منذ عقدين من الزمن ويؤدي في بعض الأحيان إلى عواقب غير عادية.

كثيرا ما نروي القصة التالية في مناسباتنا، لأنها كاشفة للغاية.

عادة، بناء على نتائج مشاريع الهندسة الاجتماعية، نقوم بتجميع الإحصاءات، والتي، كما نعلم، شيء جاف وممل. لقد فتح عدد كبير جدًا من المستلمين المرفق من الرسالة، واتبع الكثير منهم الرابط، لكن هؤلاء الثلاثة أدخلوا بالفعل اسم المستخدم وكلمة المرور الخاصة بهم. في أحد المشاريع، تلقينا أكثر من 100% من كلمات المرور التي تم إدخالها - أي أن البيانات الصادرة أكثر مما أرسلناها.

لقد حدث الأمر على النحو التالي: تم إرسال خطاب تصيد، من المفترض أنه من رئيس أمن المعلومات في إحدى الشركات الحكومية، مع طلب "اختبار التغييرات في خدمة البريد بشكل عاجل". وصلت الرسالة إلى رئيس قسم كبير يتعامل مع الدعم الفني. كان المدير مجتهدًا جدًا في تنفيذ تعليمات السلطات العليا وإرسالها إلى جميع مرؤوسيه. تبين أن مركز الاتصال نفسه كبير جدًا. بشكل عام، المواقف التي يقوم فيها شخص ما بإعادة توجيه رسائل البريد الإلكتروني التصيدية "المثيرة للاهتمام" إلى زملائه ويتم القبض عليهم أيضًا هي أمر شائع إلى حد ما. بالنسبة لنا، هذا هو أفضل تعليق على جودة كتابة الرسالة.

بعد ذلك بقليل اكتشفوا أمرنا (تم أخذ الرسالة في صندوق بريد مخترق):

يرجع نجاح الهجوم إلى حقيقة أن البريد استغل عددًا من أوجه القصور الفنية في نظام بريد العميل. تم تكوينه بحيث يمكن إرسال أي رسائل نيابة عن أي مرسل من المنظمة نفسها دون تصريح، حتى من الإنترنت. أي أنه يمكنك التظاهر بأنك كبير مسؤولي أمن المعلومات (CISO) أو رئيس الدعم الفني أو أي شخص آخر. علاوة على ذلك، فإن واجهة البريد، التي تراقب الرسائل من المجال "الخاص بها"، أدخلت بعناية صورة من دفتر العناوين، مما أضاف طبيعية للمرسل.

في الحقيقة، مثل هذا الهجوم ليس تقنية معقدة بشكل خاص، بل هو استغلال ناجح لخلل أساسي جدًا في إعدادات البريد. تتم مراجعتها بانتظام على مصادر متخصصة في تكنولوجيا المعلومات وأمن المعلومات، ولكن مع ذلك، لا تزال هناك شركات تمتلك كل هذا. نظرًا لأنه لا أحد يميل إلى التحقق بدقة من رؤوس الخدمة لبروتوكول بريد SMTP، فعادةً ما يتم فحص الرسالة بحثًا عن "الخطر" باستخدام أيقونات التحذير في واجهة البريد، والتي لا تعرض الصورة بأكملها دائمًا.

ومن المثير للاهتمام أن ثغرة أمنية مماثلة تعمل أيضًا في الاتجاه الآخر: حيث يمكن للمهاجم إرسال بريد إلكتروني نيابة عن شركتك إلى مستلم خارجي. على سبيل المثال، يمكنه تزوير فاتورة للدفع المنتظم نيابة عنك، مع الإشارة إلى تفاصيل أخرى بدلاً من تفاصيلك. بصرف النظر عن قضايا مكافحة الاحتيال والسحب النقدي، ربما تكون هذه إحدى أسهل الطرق لسرقة الأموال من خلال الهندسة الاجتماعية.

بالإضافة إلى سرقة كلمات المرور من خلال التصيد الاحتيالي، يقوم الهجوم الاجتماعي التقني الكلاسيكي بإرسال مرفقات قابلة للتنفيذ. إذا تغلبت هذه الاستثمارات على جميع التدابير الأمنية، والتي عادة ما تمتلك الشركات الحديثة الكثير منها، فسيتم إنشاء قناة وصول عن بعد إلى جهاز الكمبيوتر الخاص بالضحية. ولتوضيح عواقب الهجوم، يمكن تطوير جهاز التحكم عن بعد الناتج للوصول إلى معلومات سرية ذات أهمية خاصة. يشار إلى أن الغالبية العظمى من الهجمات التي تستخدمها وسائل الإعلام لتخويف الجميع تبدأ بهذه الطريقة تمامًا.

في قسم التدقيق لدينا، من أجل المتعة، نقوم بحساب إحصائيات تقريبية: ما هي القيمة الإجمالية لأصول الشركات التي حصلنا على وصول مسؤول المجال إليها، وذلك بشكل رئيسي من خلال التصيد الاحتيالي وإرسال المرفقات القابلة للتنفيذ؟ وبلغت هذا العام حوالي 150 مليار يورو.

ومن الواضح أن إرسال رسائل البريد الإلكتروني الاستفزازية ونشر صور القطط على المواقع الإلكترونية ليست الأساليب الوحيدة للهندسة الاجتماعية. حاولنا في هذه الأمثلة إظهار تنوع أشكال الهجوم وعواقبها. بالإضافة إلى الرسائل، يمكن للمهاجم المحتمل الاتصال للحصول على المعلومات الضرورية، وتشتيت الوسائط (على سبيل المثال، محركات الأقراص المحمولة) مع الملفات القابلة للتنفيذ في مكتب الشركة المستهدفة، والحصول على وظيفة كمتدرب، والوصول الفعلي إلى الشبكة المحلية تحت ستار تركيب كاميرات المراقبة. كل هذه، بالمناسبة، هي أمثلة من مشاريعنا المنجزة بنجاح.

الجزء 3. التعليم نور، أما الجاهل فهو ظلمة

يطرح سؤال معقول: حسنًا، حسنًا، هناك هندسة اجتماعية، وهي تبدو خطيرة، ولكن ماذا يجب على الشركات أن تفعل حيال كل هذا؟ يأتي الكابتن أوبفيوس للإنقاذ: عليك أن تدافع عن نفسك، وبطريقة شاملة. سيتم توجيه جزء من الحماية إلى التدابير الأمنية الكلاسيكية بالفعل، مثل الوسائل التقنية لحماية المعلومات والمراقبة والدعم التنظيمي والقانوني للعمليات، ولكن الجزء الرئيسي، في رأينا، يجب أن يتم توجيهه إلى العمل المباشر مع الموظفين باعتبارهم الحلقة الأضعف. بعد كل شيء، بغض النظر عن مدى تعزيز التكنولوجيا أو كتابة لوائح صارمة، سيكون هناك دائمًا مستخدم سيكتشف طريقة جديدة لكسر كل شيء. علاوة على ذلك، لن تتمكن أي من الأنظمة أو التكنولوجيا من مواكبة رحلة الإبداع لدى المستخدم، خاصة إذا تم مطالبته من قبل مهاجم مؤهل.

بادئ ذي بدء، من المهم تدريب المستخدم: اشرح أنه حتى في عمله الروتيني، قد تنشأ مواقف تتعلق بالهندسة الاجتماعية. لعملائنا نقوم في كثير من الأحيان بإجراء دورات حول النظافة الرقمية - حدث لتعليم المهارات الأساسية لمواجهة الهجمات بشكل عام.

يمكنني أن أضيف أن أحد أفضل تدابير الحماية لن يكون حفظ قواعد أمن المعلومات على الإطلاق، بل تقييم الوضع بطريقة منفصلة قليلاً:

1. من هو محاوري؟
2. ومن أين جاء اقتراحه أو طلبه (وهذا لم يحدث من قبل، والآن ظهر)؟
3. ما هو الشيء غير المعتاد في هذا الطلب؟

حتى النوع غير المعتاد من خطوط الحروف أو أسلوب الكلام غير المعتاد بالنسبة للمرسل يمكن أن يثير سلسلة من الشك من شأنها إيقاف الهجوم. هناك حاجة أيضًا إلى تعليمات موصوفة، ولكنها تعمل بشكل مختلف ولا يمكنها تحديد جميع المواقف المحتملة. على سبيل المثال، يكتب مسؤولو أمن المعلومات فيها أنه لا يمكنك إدخال كلمة المرور الخاصة بك على موارد الطرف الثالث. ماذا لو طلب مورد الشبكة "الخاص بك" أو "الشركة" كلمة مرور؟ يفكر المستخدم: "شركتنا لديها بالفعل عشرين خدمة بحساب واحد، فلماذا لا يكون لدينا حساب آخر؟" يؤدي هذا إلى قاعدة أخرى: تؤثر عملية العمل جيدة التنظيم أيضًا بشكل مباشر على الأمان: إذا كان بإمكان قسم مجاور أن يطلب معلومات منك كتابيًا فقط ومن خلال مديرك فقط، فمن المؤكد أن الشخص "من شريك موثوق به في الشركة" لن يتم قبوله بالتأكيد. القدرة على طلب ذلك عبر الهاتف - سيكون هذا هراء بالنسبة لك. يجب أن تكون حذرًا بشكل خاص إذا طلب محاورك القيام بكل شيء في الوقت الحالي، أو "في أسرع وقت ممكن"، كما هو شائع في الكتابة. حتى في العمل العادي، غالبًا ما يكون هذا الوضع غير صحي، وفي مواجهة الهجمات المحتملة، يكون محفزًا قويًا. لا يوجد وقت للشرح، قم بتشغيل ملفي!

نلاحظ أن المستخدمين يتم استهدافهم دائمًا باعتبارهم أساطير لهجوم اجتماعي تقني من خلال موضوعات تتعلق بالمال بشكل أو بآخر: وعود بالترقيات، والتفضيلات، والهدايا، بالإضافة إلى المعلومات التي تحتوي على شائعات ومكائد محلية مفترضة. وبعبارة أخرى، فإن "الخطايا المميتة" المبتذلة تعمل: التعطش للربح، والجشع، والفضول المفرط.

يجب أن يتضمن التدريب الجيد دائمًا الممارسة. هذا هو المكان الذي يمكن أن يأتي فيه خبراء اختبار الاختراق للإنقاذ. والسؤال التالي هو: ماذا وكيف سنختبر؟ نحن في Group-IB نقترح النهج التالي: حدد على الفور محور الاختبار: إما تقييم مدى استعداد المستخدمين أنفسهم فقط للهجمات، أو التحقق من أمان الشركة ككل. واختبار استخدام أساليب الهندسة الاجتماعية، ومحاكاة الهجمات الحقيقية - أي نفس التصيد، وإرسال المستندات القابلة للتنفيذ والمكالمات وغيرها من التقنيات.

في الحالة الأولى، يتم الإعداد للهجوم بعناية بالتعاون مع ممثلي العميل، وبشكل أساسي مع متخصصي تكنولوجيا المعلومات وأمن المعلومات. الأساطير والأدوات وتقنيات الهجوم متسقة. يوفر العميل نفسه مجموعات التركيز وقوائم المستخدمين للهجوم، والتي تتضمن جميع جهات الاتصال الضرورية. يتم إنشاء استثناءات بشأن التدابير الأمنية، حيث يجب أن تصل الرسائل والأحمال القابلة للتنفيذ إلى المستلم، لأنه في مثل هذا المشروع تكون ردود أفعال الأشخاص فقط هي التي تهم. اختياريًا، يمكنك تضمين علامات في الهجوم، والتي يمكن للمستخدم من خلالها تخمين أن هذا هجوم - على سبيل المثال، يمكنك ارتكاب بعض الأخطاء الإملائية في الرسائل أو ترك أخطاء في نسخ نمط الشركة. في نهاية المشروع، يتم الحصول على نفس "الإحصاءات الجافة": ما هي مجموعات التركيز التي استجابت للسيناريوهات وإلى أي مدى.

وفي الحالة الثانية، يتم تنفيذ الهجوم بدون معرفة أولية، وذلك باستخدام طريقة "الصندوق الأسود". نقوم بشكل مستقل بجمع معلومات حول الشركة وموظفيها ومحيط الشبكة وإنشاء أساطير الهجوم واختيار الأساليب والبحث عن التدابير الأمنية المحتملة المستخدمة في الشركة المستهدفة وتكييف الأدوات وإنشاء السيناريوهات. يستخدم المتخصصون لدينا كلاً من أساليب الاستخبارات الكلاسيكية مفتوحة المصدر (OSINT) ومنتج Group-IB الخاص - Threat Intelligence، وهو نظام يمكنه، عند التحضير للتصيد الاحتيالي، أن يعمل كمجمع للمعلومات حول الشركة على مدى فترة طويلة، بما في ذلك المعلومات السرية. وبالطبع، حتى لا يصبح الهجوم مفاجأة غير سارة، يتم الاتفاق على تفاصيله أيضًا مع العميل. اتضح أنه اختبار اختراق كامل، لكنه سيعتمد على الهندسة الاجتماعية المتقدمة. الخيار المنطقي في هذه الحالة هو تطوير هجوم داخل الشبكة، وصولاً إلى الحصول على أعلى الحقوق في الأنظمة الداخلية. بالمناسبة، بطريقة مماثلة نستخدم الهجمات الاجتماعية التقنية في فريق أحمروفي بعض اختبارات الاختراق. ونتيجة لذلك، سيحصل العميل على رؤية شاملة مستقلة لأمنه ضد نوع معين من الهجمات الاجتماعية التقنية، بالإضافة إلى عرض لفعالية (أو على العكس من ذلك، عدم فعالية) خط الدفاع المدمج ضد التهديدات الخارجية.

نوصي بإجراء هذا التدريب مرتين على الأقل في السنة. أولاً، يوجد في أي شركة معدل دوران للموظفين ويتم نسيان الخبرة السابقة تدريجياً من قبل الموظفين. ثانياً، تتغير أساليب وتقنيات الهجمات باستمرار مما يؤدي إلى ضرورة تكييف العمليات الأمنية وأدوات الحماية.

إذا تحدثنا عن التدابير التقنية للحماية من الهجمات، فإن ما يلي يساعد أكثر:

• وجود المصادقة الثنائية الإلزامية على الخدمات المنشورة على الإنترنت. إن إطلاق مثل هذه الخدمات في عام 2019 من دون أنظمة تسجيل الدخول الموحد، ومن دون حماية ضد القوة الغاشمة لكلمة المرور ومن دون المصادقة الثنائية في شركة تضم عدة مئات من الأشخاص، هو بمثابة دعوة مفتوحة لـ "تحطيمي". الحماية المطبقة بشكل صحيح ستجعل الاستخدام السريع لكلمات المرور المسروقة مستحيلاً وستمنح الوقت للتخلص من عواقب هجوم التصيد الاحتيالي.
• التحكم في التحكم في الوصول، وتقليل حقوق المستخدم في الأنظمة، واتباع الإرشادات الخاصة بالتكوين الآمن للمنتج التي تصدرها كل شركة مصنعة كبرى. غالبًا ما تكون هذه الإجراءات بسيطة بطبيعتها، ولكنها فعالة جدًا ويصعب تنفيذها، والتي يهملها الجميع بدرجة أو بأخرى من أجل السرعة. وبعضها ضروري جدًا لدرجة أنه بدونها لن يتم إنقاذ أي وسيلة للحماية.
• خط تصفية البريد الإلكتروني جيد البناء. مكافحة البريد العشوائي، والمسح الشامل للمرفقات بحثًا عن التعليمات البرمجية الضارة، بما في ذلك الاختبار الديناميكي من خلال صناديق الحماية. ويعني الهجوم المُعد جيدًا أنه لن يتم اكتشاف المرفق القابل للتنفيذ بواسطة أدوات مكافحة الفيروسات. على العكس من ذلك، سيختبر Sandbox كل شيء بنفسه، باستخدام الملفات بنفس الطريقة التي يستخدمها الشخص. ونتيجة لذلك، سيتم الكشف عن مكون ضار محتمل من خلال التغييرات التي تم إجراؤها داخل وضع الحماية.
• وسائل الحماية ضد الهجمات المستهدفة. كما ذكرنا سابقًا، لن تكتشف أدوات مكافحة الفيروسات الكلاسيكية الملفات الضارة في حالة حدوث هجوم مُجهز جيدًا. يجب أن تقوم المنتجات الأكثر تقدمًا بمراقبة مجمل الأحداث التي تحدث على الشبكة تلقائيًا - سواء على مستوى المضيف الفردي أو على مستوى حركة المرور داخل الشبكة. في حالة الهجمات، تظهر سلاسل مميزة جدًا من الأحداث التي يمكن تتبعها وإيقافها إذا ركزت المراقبة على أحداث من هذا النوع.

المقال الأصلي نشرت في مجلة أمن المعلومات/ أمن المعلومات العدد السادس لعام 6.

المصدر: www.habr.com