תטעה אותי אם אתה יכול: תכונות של עריכת מבחן סוציוטכני

דמיינו את המצב הזה. בוקר קר באוקטובר, מכון עיצוב במרכז האזורי של אחד מאזורי רוסיה. מישהו ממחלקת משאבי אנוש נכנס לאחד מדפי המשרות הפנויות באתר המכון, שפורסם לפני כמה ימים, ורואה שם תמונה של חתול. הבוקר מפסיק מהר להיות משעמם...

במאמר זה, Pavel Suprunyuk, ראש טכני של מחלקת ביקורת וייעוץ ב-Group-IB, מדבר על מקומן של התקפות סוציו-טכניות בפרויקטים המעריכים אבטחה מעשית, אילו צורות חריגות הן יכולות ללבוש וכיצד להגן מפני התקפות כאלה. המחבר מבהיר כי המאמר הוא בעל אופי סקירה, אולם אם היבט כלשהו מעניין את הקוראים, מומחי Group-IB יענה בקלות על שאלות בהערות.

חלק 1. למה כל כך רציני?

בואו נחזור לחתול שלנו. לאחר זמן מה, מחלקת משאבי אנוש מוחקת את התמונה (צילומי המסך כאן ומטה עוברים ריטוש חלקי כדי לא לחשוף שמות אמיתיים), אבל היא חוזרת בעקשנות, היא נמחקת שוב, וזה קורה עוד כמה פעמים. במחלקת משאבי אנוש מבינים שלחתול יש את הכוונות הכי רציניות, הוא לא רוצה לעזוב, והם קוראים לעזרה ממתכנת אינטרנט - אדם שיצר את האתר ומבין אותו, ועכשיו מנהל אותו. המתכנת נכנס לאתר, שוב מוחק את החתול המעצבן, מגלה שזה פורסם מטעם מחלקת משאבי אנוש עצמה, ואז מניח שסיסמת מחלקת משאבי אנוש דלפה לכמה חוליגנים מקוונים ומשנה אותה. החתול לא מופיע שוב.

מה באמת קרה? ביחס לקבוצת החברות שכללה את המכון, מומחי Group-IB ערכו בדיקות חדירה במתכונת קרובה ל-Red Teaming (במילים אחרות, מדובר בחיקוי של התקפות ממוקדות על החברה שלכם בשיטות וכלים מתקדמים ביותר מבית ארסנל של קבוצות האקרים). דיברנו בפירוט על Red Teaming כאן. חשוב לדעת שכאשר עורכים בדיקה כזו, ניתן להשתמש במגוון רחב מאוד של התקפות מוסכמות מראש, כולל הנדסה חברתית. ברור שמיקום החתול עצמו לא היה המטרה הסופית של המתרחש. והיה את הדברים הבאים:

• אתר האינטרנט של המכון התארח בשרת בתוך רשת המכון עצמו, ולא בשרתים של צד ג';
• נמצאה דליפה בחשבון מחלקת משאבי אנוש (קובץ יומן הדוא"ל נמצא בשורש האתר). אי אפשר היה לנהל את האתר עם החשבון הזה, אבל אפשר היה לערוך דפי עבודה;
• על ידי שינוי הדפים, תוכל למקם את הסקריפטים שלך ב-JavaScript. בדרך כלל הם הופכים דפים לאינטראקטיביים, אבל במצב זה, אותם סקריפטים עלולים לגנוב מהדפדפן של המבקר את מה שהבדיל בין מחלקת משאבי אנוש לבין המתכנת, ואת המתכנת ממבקר פשוט - מזהה הפגישה באתר. החתול היה טריגר להתקפה ותמונה למשוך תשומת לב. בשפת סימון אתר HTML זה נראה כך: אם התמונה שלך נטענה, JavaScript כבר הופעל ומזהה ההפעלה שלך, יחד עם נתונים על הדפדפן וכתובת ה-IP שלך, כבר נגנבו.
• עם מזהה הפעלה של מנהל מערכת גנוב, ניתן יהיה לקבל גישה מלאה לאתר, לארח דפי הפעלה ב-PHP, ולכן לקבל גישה למערכת ההפעלה של השרת, ולאחר מכן לרשת המקומית עצמה, שהייתה מטרת ביניים חשובה של הפרויקט.

המתקפה הצליחה חלקית: מזהה הפגישה של מנהל המערכת נגנב, אך הוא היה קשור לכתובת IP. לא יכולנו לעקוף את זה; לא יכולנו להעלות את הרשאות האתר שלנו להרשאות מנהל, אבל שיפרנו את מצב הרוח שלנו. התוצאה הסופית התקבלה בסופו של דבר בקטע אחר של היקף הרשת.

חלק 2. אני כותב לך - מה עוד? אני גם מתקשר ומסתובב במשרד שלך, מפיל כונני פלאש.

מה שקרה במצב עם החתול הוא דוגמה להנדסה חברתית, אם כי לא ממש קלאסית. למעשה, היו עוד אירועים בסיפור הזה: היה חתול, ומכון, ומחלקת כוח אדם, ומתכנת, אבל היו גם מיילים עם שאלות הבהרה שכביכול "מועמדים" כתבו למחלקת כוח אדם עצמה ובאופן אישי. למתכנת על מנת לעורר אותם להיכנס לדף האתר.

אם כבר מדברים על מכתבים. אימייל רגיל, כנראה הכלי העיקרי לביצוע הנדסה חברתית, לא איבד מהרלוונטיות שלו כבר כמה עשורים ולפעמים מוביל להשלכות חריגות ביותר.

לעתים קרובות אנו מספרים את הסיפור הבא באירועים שלנו, מכיוון שהוא מאוד חושפני.

בדרך כלל, על סמך תוצאות של פרויקטים של הנדסה חברתית, אנו עורכים סטטיסטיקות, שכידוע הן דבר יבש ומשעמם. כל כך הרבה אחוזים מהנמענים פתחו את הקובץ המצורף מהמכתב, כל כך הרבה עקבו אחרי הקישור, אבל השלושה האלה ממש הזינו את שם המשתמש והסיסמה שלהם. בפרויקט אחד קיבלנו יותר מ-100% מהסיסמאות שהוזנו – כלומר יצאו יותר ממה ששלחנו.

זה קרה כך: נשלח מכתב פישינג, כביכול מה-CISO של תאגיד ממלכתי, עם דרישה "לבדוק בדחיפות שינויים בשירות הדואר". המכתב הגיע לראש מחלקה גדולה שעסקה בתמיכה טכנית. המנהל שקד מאוד בביצוע הנחיות מרשויות גבוהות והעביר אותן לכל הכפופים. המוקד הטלפוני עצמו התברר כגדול למדי. באופן כללי, מצבים שבהם מישהו מעביר מיילים "מעניינים" של פישינג לעמיתיו והם גם נתפסים הם תופעה שכיחה למדי. עבורנו, זהו המשוב הטוב ביותר על איכות כתיבת מכתב.

קצת אחר כך הם גילו עלינו (המכתב נלקח בתיבת דואר שנפגעה):

הצלחת המתקפה נבעה מכך שהדיוור ניצל מספר ליקויים טכניים במערכת הדואר של הלקוח. היא הוגדרה כך שניתן היה לשלוח כל מכתב מטעם כל שולח של הארגון עצמו ללא אישור, אפילו מהאינטרנט. כלומר, אתה יכול להעמיד פנים שאתה CISO, או ראש התמיכה הטכנית, או מישהו אחר. יתרה מכך, ממשק הדואר, תוך התבוננות במכתבים מהדומיין "שלו", הכניס בקפידה תמונה מפנקס הכתובות, מה שהוסיף טבעיות לשולח.

למען האמת, מתקפה כזו אינה טכנולוגיה מורכבת במיוחד, היא ניצול מוצלח של פגם בסיסי מאוד בהגדרות הדואר. הוא נבדק בקביעות על משאבי IT ואבטחת מידע מיוחדים, אך עם זאת, יש עדיין חברות שיש להן את כל זה. מכיוון שאיש אינו נוטה לבדוק היטב את כותרות השירות של פרוטוקול הדואר SMTP, בדרך כלל בודקים מכתב "סכנה" באמצעות סמלי אזהרה בממשק הדואר, שלא תמיד מציגים את כל התמונה.

מעניין לציין שפגיעות דומה פועלת גם בכיוון השני: תוקף יכול לשלוח אימייל בשם החברה שלך לנמען צד שלישי. לדוגמה, הוא יכול לזייף בשמך חשבונית לתשלום רגיל, תוך ציון פרטים אחרים במקום שלך. מלבד בעיות נגד הונאה ומזומנים, זו כנראה אחת הדרכים הקלות ביותר לגנוב כסף באמצעות הנדסה חברתית.

בנוסף לגניבת סיסמאות באמצעות פישינג, מתקפה סוציו-טכנית קלאסית היא שליחת קבצים מצורפים להפעלה. אם ההשקעות הללו יתגברו על כל אמצעי האבטחה, שלרוב יש לחברות מודרניות רבים מהם, ייווצר ערוץ גישה מרחוק למחשב הנפגע. כדי להדגים את ההשלכות של המתקפה, ניתן לפתח את השלט הרחוק שנוצר עד לגישה למידע סודי חשוב במיוחד. ראוי לציין שהרוב המכריע של ההתקפות שהתקשורת משתמשת בהן כדי להפחיד את כולם מתחילות בדיוק כך.

במחלקת הביקורת שלנו, בשביל הכיף, אנו מחשבים נתונים סטטיסטיים משוערים: מהו הערך הכולל של הנכסים של חברות אליהן השגנו גישה ל-Domain Administrator, בעיקר באמצעות פישינג ושליחת קבצים מצורפים להפעלה? השנה הוא הגיע לכ-150 מיליארד יורו.

ברור ששליחת מיילים פרובוקטיביים ופרסום תמונות של חתולים באתרי אינטרנט הם לא השיטות היחידות להנדסה חברתית. בדוגמאות אלו ניסינו להראות את מגוון צורות ההתקפה והשלכותיהן. בנוסף למכתבים, תוקף פוטנציאלי יכול להתקשר כדי לקבל את המידע הדרוש, לפזר מדיה (למשל, כונני הבזק) עם קבצי הפעלה במשרד של חברת המטרה, לקבל עבודה כמתמחה, לקבל גישה פיזית לרשת המקומית במסווה של מתקין מצלמות במעגל סגור. כל אלה, אגב, הם דוגמאות מהפרויקטים שהסתיימו בהצלחה.

חלק 3. הוראה היא אור, אבל הבלתי נלמד הוא חושך

נשאלת שאלה סבירה: טוב, אוקיי, יש הנדסה חברתית, זה נראה מסוכן, אבל מה חברות צריכות לעשות עם כל זה? קפטן אובביוס בא להציל: אתה צריך להגן על עצמך, ובצורה מקיפה. חלק מההגנה יכוון לאמצעי אבטחה קלאסיים ממילא, כגון אמצעים טכניים להגנה על מידע, ניטור, תמיכה ארגונית ומשפטית בתהליכים, אך חלקו העיקרי, לדעתנו, צריך להיות מופנה לעבודה ישירה מול העובדים כ- החוליה החלשה ביותר. הרי לא משנה כמה תחזק את הטכנולוגיה או תכתוב תקנות קשות, תמיד יהיה משתמש שיגלה דרך חדשה לשבור הכל. יתרה מכך, תקנות או טכנולוגיה לא יעמדו בקצב המעוף של היצירתיות של המשתמש, במיוחד אם הוא מתבקש על ידי תוקף מוסמך.

קודם כל, חשוב להכשיר את המשתמש: להסביר שגם בעבודה השגרתית שלו עלולים להיווצר מצבים הקשורים להנדסה חברתית. עבור לקוחותינו אנו מבצעים לעתים קרובות קורסים על היגיינה דיגיטלית - אירוע המלמד מיומנויות בסיסיות להתמודדות עם התקפות באופן כללי.

אני יכול להוסיף שאחד מאמצעי ההגנה הטובים ביותר לא יהיה לשנן כללים של אבטחת מידע כלל, אלא להעריך את המצב בצורה מעט מנותקת:

1. מי בן שיחי?
2. מאיפה ההצעה או הבקשה שלו (זה מעולם לא קרה בעבר, ועכשיו זה הופיע)?
3. מה יוצא דופן בבקשה הזו?

גם סוג חריג של גופן אותיות או סגנון דיבור יוצא דופן עבור השולח יכולים לעורר שרשרת של ספקות שתעצור מתקפה. יש צורך גם בהוראות שנקבעו, אך הן פועלות אחרת ואינן יכולות לציין את כל המצבים האפשריים. לדוגמה, מנהלי אבטחת מידע כותבים בהם שאינך יכול להזין את הסיסמה שלך במשאבים של צד שלישי. מה אם משאב הרשת "שלך", "הארגוני" יבקש סיסמה? המשתמש חושב: "לחברה שלנו יש כבר שני תריסר שירותים עם חשבון בודד, למה שלא יהיה עוד אחד?" זה מוביל לכלל נוסף: תהליך עבודה מובנה היטב משפיע ישירות על האבטחה: אם מחלקה שכנה תוכל לבקש ממך מידע רק בכתב ורק דרך המנהל שלך, אדם "משותף מהימן של החברה" בוודאי לא יהיה מסוגל לבקש את זה בטלפון - זה בשבילך זה יהיה שטויות. אתה צריך להיות זהיר במיוחד אם בן השיח שלך דורש לעשות הכל עכשיו, או "בהקדם האפשרי", כפי שאופנתי לכתוב. גם בעבודה רגילה מצב זה לרוב אינו בריא, ומול התקפות אפשריות הוא מהווה טריגר חזק. אין זמן להסביר, הפעל את הקובץ שלי!

אנו שמים לב שמשתמשים תמיד מכוונים כאגדות להתקפה סוציוטכנית על ידי נושאים הקשורים לכסף בצורה כזו או אחרת: הבטחות למבצעים, העדפות, מתנות, כמו גם מידע עם רכילות ותככים מקומיים כביכול. במילים אחרות, "חטאי המוות" הבנאליים פועלים: צמא לרווח, חמדנות וסקרנות מוגזמת.

אימון טוב צריך תמיד לכלול תרגול. זה המקום שבו מומחי בדיקות חדירה יכולים לבוא לעזרה. השאלה הבאה היא: מה ואיך נבדוק? אנו ב-Group-IB מציעים את הגישה הבאה: בחר מיד את מוקד הבדיקה: או להעריך את המוכנות להתקפות של המשתמשים עצמם בלבד, או לבדוק את אבטחת החברה כולה. ובדוק באמצעות שיטות הנדסה חברתית, הדמיית התקפות אמיתיות - כלומר, אותו דיוג, שליחת מסמכי הפעלה, שיחות וטכניקות אחרות.

במקרה הראשון, המתקפה ערוכה בקפידה יחד עם נציגי הלקוח, בעיקר עם מומחי ה-IT ואבטחת המידע שלו. אגדות, כלים וטכניקות התקפה עקביות. הלקוח עצמו מספק קבוצות מיקוד ורשימות משתמשים להתקפה, הכוללות את כל אנשי הקשר הדרושים. חריגים נוצרים על אמצעי אבטחה, שכן הודעות ועומסי הפעלה חייבים להגיע לנמען, כי בפרויקט כזה רק תגובות של אנשים מעוררות עניין. לחלופין, אתה יכול לכלול סמנים בהתקפה, שבאמצעותם המשתמש יכול לנחש שמדובר בהתקפה - למשל, אתה יכול לעשות כמה שגיאות כתיב בהודעות או להשאיר אי דיוקים בהעתקת הסגנון הארגוני. בסיום הפרויקט מתקבלות אותן "סטטיסטיקות יבשות": אילו קבוצות מיקוד הגיבו לתרחישים ובאיזו מידה.

במקרה השני, המתקפה מתבצעת עם אפס ידע ראשוני, בשיטת "הקופסה השחורה". אנו אוספים באופן עצמאי מידע על החברה, עובדיה, היקף הרשת, יוצרים אגדות תקיפה, בוחרים שיטות, מחפשים אמצעי אבטחה אפשריים בשימוש בחברת היעד, מתאימים כלים ויוצרים תרחישים. המומחים שלנו משתמשים הן בשיטות הקלאסיות של מודיעין קוד פתוח (OSINT) והן במוצר של Group-IB עצמו - Threat Intelligence, מערכת שבמהלך הכנה להתחזות, יכולה לשמש כצבירת מידע על חברה לאורך תקופה ארוכה, כולל מידע מסווג. . כמובן שכדי שהמתקפה לא תהפוך להפתעה לא נעימה, גם פרטיה מסוכמים עם הלקוח. מסתבר שזהו מבחן חדירה מן המניין, אבל הוא יתבסס על הנדסה חברתית מתקדמת. האפשרות ההגיונית במקרה זה היא לפתח התקפה בתוך הרשת, עד לקבלת הזכויות הגבוהות ביותר במערכות פנימיות. אגב, באופן דומה אנו משתמשים בהתקפות סוציוטכניות ב צוות אדום, ובכמה מבחני חדירה. כתוצאה מכך, הלקוח יקבל ראייה מקיפה עצמאית של אבטחתו מפני סוג מסוים של התקפות סוציו-טכניות, וכן הדגמה של יעילות (או להיפך, חוסר יעילות) של קו ההגנה הבנוי מפני איומים חיצוניים.

אנו ממליצים לבצע הכשרה זו לפחות פעמיים בשנה. ראשית, בכל חברה יש תחלופת עובדים וניסיון קודם נשכח בהדרגה מהעובדים. שנית, שיטות וטכניקות של התקפות משתנות כל הזמן וזה מוביל לצורך להתאים תהליכי אבטחה וכלי הגנה.

אם אנחנו מדברים על אמצעים טכניים להגנה מפני התקפות, הדברים הבאים עוזרים ביותר:

• נוכחות של אימות דו-גורמי חובה בשירותים המתפרסמים באינטרנט. לשחרר שירותים כאלה ב-2019 ללא מערכות Single Sign On, ללא הגנה מפני כוח גס סיסמה וללא אימות דו-גורמי בחברה של כמה מאות אנשים זה בגדר קריאה פתוחה "לשבור אותי". הגנה מיושמת כהלכה תהפוך את השימוש המהיר בסיסמאות גנובות לבלתי אפשרית ותיתן זמן לחסל את ההשלכות של מתקפת פישינג.
• שליטה בבקרת גישה, מזעור זכויות משתמש במערכות וביצוע ההנחיות לתצורת מוצר מאובטחת שמפרסמים כל יצרן גדול. אלה הם לרוב פשוטים באופיים, אך יעילים מאוד וקשים ליישום, שכולם, במידה זו או אחרת, מזניחים למען המהירות. וחלקם כל כך נחוצים שבלעדיהם שום אמצעי הגנה לא יציל.
• קו סינון דואר אלקטרוני בנוי היטב. אנטי ספאם, סריקה מלאה של קבצים מצורפים לאיתור קוד זדוני, כולל בדיקות דינמיות דרך ארגזי חול. התקפה מוכנה היטב פירושה שהקובץ המצורף להפעלה לא יזוהה על ידי כלי אנטי וירוס. ארגז החול, להיפך, יבדוק הכל בעצמו, תוך שימוש בקבצים באותו אופן שבו אדם משתמש בהם. כתוצאה מכך, רכיב זדוני אפשרי יתגלה על ידי שינויים שנעשו בתוך ארגז החול.
• אמצעי הגנה מפני התקפות ממוקדות. כפי שכבר צוין, כלי אנטי וירוס קלאסיים לא יזהו קבצים זדוניים במקרה של התקפה מוכנה היטב. המוצרים המתקדמים ביותר צריכים לנטר אוטומטית את מכלול האירועים המתרחשים ברשת - הן ברמת מארח בודד והן ברמת התעבורה בתוך הרשת. במקרה של תקיפות, מופיעות שרשראות אירועים מאוד אופייניים שניתן לעקוב ולעצור אם יש לך ניטור ממוקד באירועים מהסוג הזה.

מאמר מקורי פורסם במגזין "אבטחת מידע/ אבטחת מידע" מס' 6, 2019.

מקור: www.habr.com