Samhlaigh an cás seo. Maidin fuar Deireadh Fómhair, institiúid dearaidh i lár réigiúnach ceann de réigiúin na Rúise. Téann duine ón Roinn Acmhainní Daonna chuig ceann de na leathanaigh folúntas ar shuíomh Gréasáin na hinstitiúide, postáladh é cúpla lá ó shin, agus feiceann sé grianghraf de chat ann. Éiríonn an mhaidin as a bheith leadránach go tapa...
San Airteagal seo, labhraíonn Pavel Suprunyuk, ceann teicniúil na roinne iniúchta agus comhairliúcháin ag Group-IB, faoi áit na n-ionsaithe sochtheicniúla i dtionscadail a dhéanann measúnú ar shlándáil phraiticiúil, cad iad na foirmeacha neamhghnácha is féidir leo a dhéanamh, agus conas iad a chosaint i gcoinne ionsaithe den sórt sin. Soiléiríonn an t-údar go bhfuil an t-alt de chineál athbhreithnithe, áfach, má tá aon ghné leas léitheoirí, beidh saineolaithe Grúpa-IB freagraí go héasca ceisteanna sna tuairimí.
Cuid 1. Cén fáth chomh tromchúiseach sin?
Fillfimid ar ár gcat. Tar éis roinnt ama, scriosann an roinn AD an grianghraf (tá na screenshots anseo agus thíos athshuiteáil go páirteach ionas nach nochtfar ainmneacha fíor), ach filleann sé go stubbornly, scriostar arís é, agus tarlaíonn sé seo arís agus arís eile. Tuigeann an roinn AD go bhfuil na hintinn is tromchúisí ag an gcat, nach bhfuil sé ag iarraidh imeacht, agus iarrann siad cabhair ó ríomhchláraitheoir gréasáin - duine a chruthaigh an suíomh agus a thuigeann é, agus a riarann é anois. Téann an ríomhchláraitheoir chuig an suíomh, scriosann sé an cat annoying arís, faigheann sé amach gur postáladh é thar ceann na roinne AD féin, ansin déanann sé an toimhde go bhfuil pasfhocal na roinne AD tar éis sceitheadh go roinnt maistíní ar líne, agus athraíonn sé é. Níl an cat le feiceáil arís.
Cad a tharla i ndáiríre? Maidir leis an ngrúpa cuideachtaí a chuimsigh an institiúid, rinne speisialtóirí Group-IB tástáil treá i bhformáid gar don Fhoireann Dhearg (i bhfocail eile, is aithris é seo ar ionsaithe spriocdhírithe ar do chuideachta ag baint úsáide as na modhanna agus na huirlisí is airde ó na Arsenal na ngrúpaí hacker). Labhair muid go mion faoi Fhoireann Dhearg . Tá sé tábhachtach go mbeadh a fhios gur féidir úsáid a bhaint as raon an-leathan ionsaithe réamhaontaithe, lena n-áirítear innealtóireacht shóisialta, agus tástáil den sórt sin á dhéanamh. Is léir nach raibh socrúchán an chait féin mar sprioc deiridh lena raibh ag tarlú. Agus bhí an méid seo a leanas:
- óstáiltear suíomh Gréasáin na hinstitiúide ar fhreastalaí laistigh de líonra na hinstitiúide féin, agus ní ar fhreastalaithe tríú páirtí;
- Fuarthas sceitheadh i gcuntas na roinne AD (tá an logchomhad ríomhphoist ag bun an tsuímh). Níorbh fhéidir an suíomh a riar leis an gcuntas seo, ach bhíothas in ann leathanaigh poist a chur in eagar;
- Trí na leathanaigh a athrú, d'fhéadfá do scripteanna a chur i JavaScript. De ghnáth déanann siad leathanaigh idirghníomhacha, ach sa chás seo, d'fhéadfadh na scripteanna céanna a ghoid ó bhrabhsálaí an chuairteora an rud a rinne idirdhealú idir an roinn AD agus an ríomhchláraitheoir, agus an ríomhchláraitheoir ó chuairteoir simplí - aitheantóir an tseisiúin ar an suíomh. Bhí an cat ina spreagthóir ionsaithe agus ina phictiúr chun aird a tharraingt. I dteanga mharcála an tsuímh Ghréasáin HTML, d’fhéach sé mar seo: má tá d’íomhá lódáilte, tá JavaScript curtha i gcrích cheana féin agus tá d’aitheantas seisiúin, chomh maith le sonraí faoi do bhrabhsálaí agus seoladh IP, goidte cheana féin.
- Le haitheantas seisiúin riarthóra goidte, d’fhéadfaí rochtain iomlán a fháil ar an suíomh, leathanaigh inrite a óstáil i PHP, agus dá bhrí sin rochtain a fháil ar chóras oibriúcháin an fhreastalaí, agus ansin ar an líonra áitiúil féin, rud a bhí ina sprioc idirmheánach tábhachtach de an tionscadal.
D'éirigh leis an ionsaí go páirteach: goideadh ID seisiún an riarthóra, ach bhí sé ceangailte le seoladh IP. Níorbh fhéidir linn dul timpeall air seo; níorbh fhéidir linn ár bpribhléidí suímh a ardú go dtí pribhléidí riarthóra, ach chuireamar feabhas ar ár n-giúmar. Fuarthas an toradh deiridh ar deireadh i gcuid eile d'imlíne an ghréasáin.
Cuid 2. Táim ag scríobh chugat - cad eile? Glaoim freisin agus bím ag crochadh thart i d'oifig, ag titim thiomáineann splanc.
Is sampla den innealtóireacht shóisialta é an rud a tharla sa chás leis an gcat, cé nach bhfuil sé clasaiceach go leor. Go deimhin, bhí níos mó imeachtaí sa scéal seo: bhí cat, agus institiúid, agus roinn pearsanra, agus ríomhchláraitheoir, ach bhí ríomhphoist ann freisin le ceisteanna soiléirithe a deir “iarrthóirí” a scríobh chuig an roinn pearsanra féin agus go pearsanta. chuig an ríomhchláraitheoir chun iad a spreagadh chun dul go dtí an leathanach suímh.
Ag caint ar litreacha. Níor chaill gnáth-ríomhphost, is dócha gurb é an príomhfheithicil chun innealtóireacht shóisialta a dhéanamh, a ábharthacht le cúpla scór bliain agus uaireanta bíonn na hiarmhairtí is neamhghnách mar thoradh air.
Is minic a insíonn muid an scéal seo a leanas ag ár n-imeachtaí, mar is an-nochtadh é.
De ghnáth, bunaithe ar thorthaí na dtionscadal innealtóireachta sóisialta, tiomsaimid staitisticí, a bhfuil, mar is eol dúinn, rud tirim agus leadránach. D'oscail an oiread sin faoin gcéad de na faighteoirí an ceangaltán ón litir, lean an oiread sin an nasc, ach chuir an triúr seo a n-ainm úsáideora agus a bpasfhocal isteach. I dtionscadal amháin, fuaireamar níos mó ná 100% de na pasfhocail a cuireadh isteach - is é sin, tháinig níos mó amach ná mar a chuireamar amach.
Tharla sé mar seo: seoladh litir fioscaireachta, ó CISO corparáide stáit de réir dealraimh, ag éileamh “athruithe sa tseirbhís poist a thástáil go práinneach”. Shroich an litir ceann roinne mór a dhéileáil le tacaíocht theicniúil. Bhí an bainisteoir an-díograiseach ag comhlíonadh treoracha ó údaráis arda agus chuir sé ar aghaidh chuig na fochomhlachtaí go léir iad. Bhí an t-ionad glaonna féin sách mór. Go ginearálta, is rud coitianta go leor cásanna nuair a chuireann duine ríomhphoist fioscaireachta “suimiúla” ar aghaidh chuig a gcomhghleacaithe agus go mbíonn siad gafa freisin. Maidir linne, is é seo an t-aiseolas is fearr maidir le cáilíocht na litreach a scríobh.
Tamall ina dhiaidh sin fuair siad amach fúinn (tógadh an litir i mbosca poist comhréitigh):
D'éirigh leis an ionsaí toisc gur bhain an postáil leas as roinnt easnamh teicniúil i gcóras poist an chliaint. Bhí sé cumraithe sa chaoi is gur féidir litreacha ar bith a sheoladh thar ceann aon sheoltóra de chuid na heagraíochta féin gan údarú, fiú ón Idirlíon. Is é sin, d’fhéadfá ligean ort gur CISO, nó ceannaire na tacaíochta teicniúla, nó duine éigin eile tú. Ina theannta sin, chuir an comhéadan ríomhphoist, ag breathnú ar litreacha ón bhfearann “a”, isteach go cúramach grianghraf ón leabhar seoltaí, rud a chuir nádúrthacht leis an seoltóir.
I bhfírinne, ní teicneolaíocht thar a bheith casta é ionsaí den sórt sin; is saothrú rathúil é ar locht an-bhunúsach i socruithe poist. Déantar athbhreithniú rialta air ar shainacmhainní TF agus slándála faisnéise, ach mar sin féin, tá cuideachtaí ann fós a bhfuil sé seo ar fad acu. Ós rud é nach bhfuil sé de nós ag éinne ceanntásca seirbhíse an phrótacail ríomhphoist SMTP a sheiceáil go críochnúil, is gnách litir a sheiceáil le haghaidh “contúirte” ag baint úsáide as deilbhíní rabhaidh sa chomhéadan ríomhphoist, nach dtaispeánann an pictiúr iomlán i gcónaí.
Is díol spéise é go n-oibríonn leochaileacht den chineál céanna sa treo eile freisin: is féidir le hionsaitheoir ríomhphost a sheoladh thar ceann do chuideachta chuig faighteoir tríú páirtí. Mar shampla, is féidir leis sonrasc a fhalsú le haghaidh íocaíochta rialta ar do shon, ag léiriú sonraí eile seachas do chuid féin. Seachas saincheisteanna frith-chalaoise agus airgid amach, is dócha gurb é seo ceann de na bealaí is éasca chun airgead a ghoid trí innealtóireacht shóisialta.
Chomh maith le pasfhocail a ghoid trí phishing, tá ionsaí sochtheicniúil clasaiceach ag seoladh ceangaltáin inrite. Má sháraíonn na hinfheistíochtaí seo gach beart slándála, a mbíonn go leor acu de ghnáth ag cuideachtaí nua-aimseartha, cruthófar cainéal cianrochtana ar ríomhaire an íospartaigh. Chun iarmhairtí an ionsaithe a léiriú, is féidir an cianrialtán a eascraíonn as seo a fhorbairt chun rochtain a fháil ar fhaisnéis rúnda atá thar a bheith tábhachtach. Is fiú a lua go dtosaíonn formhór mór na n-ionsaithe a úsáideann na meáin chun eagla a chur ar gach duine díreach mar seo.
Inár roinn iniúchta, le haghaidh spraoi, ríomhaimid neas-staitisticí: cad é luach iomlán shócmhainní na gcuideachtaí a bhfuil rochtain faighte againn ar an Riarthóir Fearainn, go príomha trí fhioscaireacht agus trí cheangaltáin inrite a sheoladh? I mbliana shroich sé thart ar 150 billiún euro.
Is léir nach modhanna innealtóireachta sóisialta amháin iad ríomhphoist ghríosaitheacha a sheoladh agus grianghraif de chait a phostáil ar láithreáin ghréasáin. Sna samplaí seo rinneamar iarracht éagsúlacht na bhfoirmeacha ionsaithe agus a n-iarmhairtí a thaispeáint. Chomh maith le litreacha, is féidir le ionsaitheoir ionchasach glaoch chun an fhaisnéis riachtanach a fháil, meáin scaipthe (mar shampla, thiomáineann flash) le comhaid inrite in oifig na cuideachta sprice, post a fháil mar intéirneach, rochtain fhisiciúil a fháil ar an líonra áitiúil. faoi chruth suiteálaí ceamara CCTV. Is samplaí iad seo go léir, dála an scéil, ónár dtionscadail a críochnaíodh go rathúil.
Cuid 3. Is solas an teagasc, ach is dorchadas é an neamhfhoghlaim
Éiríonn ceist réasúnta: go maith, ceart go leor, tá innealtóireacht shóisialta ann, tá cuma contúirteach air, ach cad ba cheart do chuideachtaí a dhéanamh faoi seo go léir? Tagann Captaen Obvious chun tarrthála: ní mór duit tú féin a chosaint, agus ar bhealach cuimsitheach. Beidh cuid den chosaint dírithe ar bhearta slándála atá clasaiceach cheana féin, amhail modhanna teicniúla cosanta faisnéise, faireachán, tacaíocht eagraíochtúil agus dhlíthiúil do phróisis, ach ba cheart an phríomhchuid, inár dtuairim, a dhíriú ar obair dhíreach le fostaithe mar an nasc is laige. Tar éis an tsaoil, is cuma cé mhéad a neartaíonn tú an teicneolaíocht nó a scríobhann tú rialacháin chrua, beidh úsáideoir ann i gcónaí a gheobhaidh amach bealach nua chun gach rud a bhriseadh. Ina theannta sin, ní choimeádfaidh rialacháin ná teicneolaíocht suas le cruthaitheacht an úsáideora, go háirithe má spreagann ionsaitheoir cáilithe é.
Ar an gcéad dul síos, tá sé tábhachtach an t-úsáideoir a oiliúint: mínigh go bhféadfadh cásanna a bhaineann le hinnealtóireacht shóisialta teacht chun cinn fiú ina ghnáth-obair. Is minic a dhéanaimid ár gcliaint ar shláinteachas digiteach - imeacht a mhúineann scileanna bunúsacha chun cur i gcoinne ionsaithe i gcoitinne.
Is féidir liom a rá nach mbeadh sé ar cheann de na bearta cosanta is fearr rialacha slándála faisnéise a chur de ghlanmheabhair ar chor ar bith, ach an cás a mheasúnú ar bhealach beagán scoite:
- Cé hé m'idirghabhálaí?
- Cad as ar tháinig a thogra nó a iarratas (níor tharla sé seo riamh cheana, agus anois tá sé le feiceáil)?
- Cad atá neamhghnách faoin iarratas seo?
Is féidir fiú le cineál neamhghnách cló litreach nó stíl cainte atá neamhghnách don seoltóir slabhra amhrais a chur i bhfeidhm a chuirfidh deireadh le ionsaí. Tá treoracha forordaithe ag teastáil freisin, ach oibríonn siad ar bhealach difriúil agus ní féidir leo gach cás féideartha a shonrú. Mar shampla, scríobhann riarthóirí slándála faisnéise isteach iontu nach féidir leat do phasfhocal a chur isteach ar acmhainní tríú páirtí. Cad a tharlaíonn má iarrann acmhainn líonra “do chuid”, “corparáideach” pasfhocal? Ceapann an t-úsáideoir: “Tá dhá dhosaen seirbhís ag ár gcuideachta cheana féin le cuntas amháin, cén fáth nach bhfuil ceann eile agat?” Tagann riail eile as seo: bíonn tionchar díreach ag próiseas oibre dea-struchtúrtha ar shlándáil freisin: más féidir le roinn in aice láimhe faisnéis a iarraidh uait i scríbhinn amháin agus trí do bhainisteoir amháin, is cinnte nach mbeidh duine “ó chomhpháirtí iontaofa de chuid na cuideachta”. in ann é a iarraidh ar an nguthán - tá sé seo duit beidh sé nonsense. Ba cheart duit a bheith fíor-aireach má éilíonn d’idirghabhálaí gach rud a dhéanamh faoi láthair, nó “ ASAP”, mar go bhfuil sé faiseanta scríobh. Fiú amháin i ngnáth-obair, is minic nach mbíonn an staid seo sláintiúil, agus i bhfianaise na n-ionsaithe féideartha, is spreagadh láidir é. Gan am a mhíniú, rith mo chomhad!
Tugaimid faoi deara go bhfuil úsáideoirí dírithe i gcónaí mar finscéalta le haghaidh ionsaí soch-theicniúil ag ábhair a bhaineann le hairgead i bhfoirm amháin nó eile: gealltanais tionscnaimh, roghanna, bronntanais, chomh maith le faisnéis le gossip agus intrigue áitiúil ceaptha. I bhfocail eile, tá na “peacaí marfacha” banal i mbun oibre: tart ar bhrabús, saint agus fiosracht iomarcach.
Ba chóir go gcuimseodh oiliúint mhaith cleachtas i gcónaí. Seo an áit ar féidir le saineolaithe tástála treá teacht chun tarrthála. Is í an chéad cheist eile: cad agus conas a dhéanfaimid tástáil? Molaimid an cur chuige seo a leanas ag Group-IB: roghnaigh láithreach fócas na tástála: measúnú a dhéanamh ar ullmhacht na n-ionsaithe iad féin amháin, nó seiceáil slándáil na cuideachta ina hiomláine. Agus tástáil ag baint úsáide as modhanna innealtóireachta sóisialta, ag insamhladh ionsaithe fíor - is é sin, an phishing céanna, a sheoladh doiciméid inrite, glaonna agus teicnící eile.
Sa chéad chás, ullmhaítear an t-ionsaí go cúramach in éineacht le hionadaithe an chustaiméara, go príomha lena speisialtóirí TF agus slándála faisnéise. Tá finscéalta, uirlisí agus teicnící ionsaithe comhsheasmhach. Soláthraíonn an custaiméir é féin grúpaí fócais agus liostaí úsáideoirí le haghaidh ionsaí, a chuimsíonn na teagmhálacha riachtanacha go léir. Cruthaítear eisceachtaí ar bhearta slándála, ós rud é go gcaithfidh teachtaireachtaí agus ualaí inrite an faighteoir a shroicheadh, mar ní spéisiúil i dtionscadal den sórt sin ach freagairtí daoine. Roghnach, is féidir leat marcóirí a chur san áireamh san ionsaí, trína bhféadfaidh an t-úsáideoir buille faoi thuairim gur ionsaí é seo - mar shampla, is féidir leat cúpla earráid litrithe a dhéanamh i dteachtaireachtaí nó míchruinneas a fhágáil i gcóipeáil an stíl chorparáideach. Ag deireadh an tionscadail, faightear na “staitisticí tirime” céanna: a d’fhreagair na grúpaí fócais do na cásanna agus cé chomh mór agus a d’fhreagair siad.
Sa dara cás, déantar an t-ionsaí gan eolas tosaigh ar bith, ag baint úsáide as an modh "bosca dubh". Bailímid go neamhspleách faisnéis faoin gcuideachta, a cuid fostaithe, imlíne an líonra, cruthaímid finscéalta ionsaithe, roghnaigh modhanna, lorgaimid bearta slándála féideartha a úsáidtear sa spriocchuideachta, oiriúnaimid uirlisí, agus cruthaítear cásanna. Úsáideann ár speisialtóirí modhanna faisnéise foinse oscailte clasaiceach (OSINT) agus táirge Group-IB féin - Threat Intelligence, córas a fhéadfaidh, agus iad ag ullmhú le haghaidh fioscaireachta, gníomhú mar chomhbhailitheoir faisnéise faoi chuideachta thar thréimhse fada, lena n-áirítear faisnéis rúnaicmithe . Ar ndóigh, ionas nach n-éireoidh an t-ionsaí iontas míthaitneamhach, comhaontaítear a sonraí leis an gcustaiméir freisin. Tarlaíonn sé gur tástáil threá iomlán a bheidh ann, ach beidh sé bunaithe ar ard-innealtóireacht shóisialta. Is é an rogha loighciúil sa chás seo ná ionsaí a fhorbairt laistigh den líonra, suas go dtí na cearta is airde a fháil i gcórais inmheánacha. Dála an scéil, ar bhealach comhchosúil úsáidimid ionsaithe sochtheicniúla i , agus i roinnt tástálacha treá. Mar thoradh air sin, gheobhaidh an custaiméir fís chuimsitheach neamhspleách ar a shlándáil i gcoinne cineál áirithe ionsaithe sochtheicniúla, chomh maith le léiriú ar éifeachtacht (nó, os a choinne sin, neamhéifeachtúlacht) na líne cosanta cosanta i gcoinne bagairtí seachtracha.
Molaimid an oiliúint seo a dhéanamh dhá uair sa bhliain ar a laghad. Ar an gcéad dul síos, tá láimhdeachas foirne in aon chuideachta agus déanann fostaithe dearmad de réir a chéile ar an taithí a bhí acu roimhe seo. Ar an dara dul síos, tá modhanna agus teicnící ionsaithe ag athrú i gcónaí agus mar thoradh air sin is gá próisis slándála agus uirlisí cosanta a oiriúnú.
Má labhairt linn faoi bhearta teicniúla chun cosaint a dhéanamh ar ionsaithe, is mó a chabhraíonn na daoine seo a leanas:
- Láithreacht fíordheimhnithe éigeantach dhá fhachtóir ar sheirbhísí a fhoilsítear ar an Idirlíon. Is ionann seirbhísí den sórt sin a scaoileadh in 2019 gan córais Sínithe Aonair, gan chosaint ar fhórsa brúidiúil pasfhocail agus gan fíordheimhniú dhá fhachtóir i gcuideachta de na céadta duine agus glao oscailte chun “mé a bhriseadh”. Le cosaint a chuirtear i bhfeidhm i gceart beidh sé dodhéanta pasfhocail goidte a úsáid go tapa agus tabharfaidh sé am chun deireadh a chur le hiarmhairtí ionsaí fioscaireachta.
- Rialú rochtana a rialú, cearta úsáideoirí i gcórais a íoslaghdú, agus na treoirlínte a leanúint maidir le cumraíocht shlán táirge a scaoileann gach mór-mhonaróir. Is minic a bhíonn siad seo simplí i nádúr, ach an-éifeachtach agus deacair bearta a chur i bhfeidhm, rud a dhéanann gach duine, go pointe nó go pointe eile, faillí ar mhaithe le luas. Agus tá cuid acu chomh riachtanach sin nach sábhálfar aon mhodh cosanta gan iad.
- Líne scagtha ríomhphoist dea-thógtha. Antispam, scanadh iomlán ceangaltán le haghaidh cód mailíseach, lena n-áirítear tástáil dhinimiciúil trí bhoscaí gainimh. Ciallaíonn ionsaí dea-ullmhaithe nach bhfaighidh uirlisí antivirus an ceangaltán inrite. Déanfaidh an bosca gainimh, ar a mhalairt, gach rud a thástáil dó féin, ag baint úsáide as comhaid ar an mbealach céanna a úsáideann duine iad. Mar thoradh air sin, nochtfar comhpháirt mailíseach a d’fhéadfadh a bheith ann trí athruithe a dhéantar taobh istigh den bhosca gainimh.
- Modhanna cosanta ar ionsaithe spriocdhírithe. Mar a luadh cheana, ní bhrath uirlisí antivirus clasaiceach comhaid mailíseach i gcás ionsaí dea-ullmhaithe. Ba cheart go ndéanfadh na táirgí is forbartha monatóireacht uathoibríoch ar iomláine na n-imeachtaí a tharlaíonn ar an líonra - ar leibhéal an óstaigh aonair agus ar leibhéal an tráchta laistigh den líonra. I gcás ionsaithe, is cosúil go bhfuil slabhraí imeachtaí an-tréithiúla ar féidir iad a rianú agus a stopadh má tá monatóireacht dírithe ar imeachtaí den chineál seo.
Alt bunaidh san iris “Slándáil Faisnéise/ Slándáil Faisnéise” #6, 2019.
Foinse: will.com