Imagine esta situação. Manhã fria de outubro, instituto de design no centro regional de uma das regiões da Rússia. Alguém do departamento de RH vai até uma das páginas de vagas do site do instituto, postada há alguns dias, e vê ali a foto de um gato. A manhã rapidamente deixa de ser chata...
Neste artigo, Pavel Suprunyuk, chefe técnico do departamento de auditoria e consultoria do Grupo-IB, fala sobre o lugar dos ataques sociotécnicos em projetos que avaliam a segurança prática, que formas incomuns eles podem assumir e como se proteger contra tais ataques. O autor esclarece que o artigo tem caráter de revisão, porém, caso algum aspecto interesse aos leitores, os especialistas do Grupo-IB responderão prontamente às dúvidas nos comentários.
Parte 1. Por que tão sério?
Voltemos ao nosso gato. Depois de algum tempo, o departamento de RH apaga a foto (as capturas de tela aqui e abaixo são parcialmente retocadas para não revelar nomes reais), mas ela retorna teimosamente, é apagada novamente, e isso acontece várias vezes. O departamento de RH entende que o gato tem as intenções mais sérias, não quer ir embora e pede ajuda a um programador web - pessoa que criou o site e o entende, e agora o administra. O programador vai ao site, mais uma vez exclui o gato chato, descobre que ele foi postado em nome do próprio departamento de RH, então presume que a senha do departamento de RH vazou para alguns hooligans online e a altera. O gato não aparece novamente.
O que realmente aconteceu? Em relação ao grupo de empresas que integra o instituto, os especialistas do Grupo-IB realizaram testes de penetração em formato próximo ao Red Teaming (ou seja, trata-se de uma imitação de ataques direcionados à sua empresa utilizando os métodos e ferramentas mais avançados do arsenal de grupos de hackers). Conversamos em detalhes sobre Red Teaming . É importante saber que ao realizar tal teste, uma gama muito ampla de ataques pré-acordados pode ser utilizada, incluindo engenharia social. É claro que a colocação do gato em si não era o objetivo final do que estava acontecendo. E houve o seguinte:
- o site do instituto estava hospedado em servidor da própria rede do instituto e não em servidores de terceiros;
- Foi encontrado um vazamento na conta do departamento de RH (o arquivo de registro de e-mail está na raiz do site). Era impossível administrar o site com esta conta, mas era possível editar as páginas de vagas;
- Ao alterar as páginas, você poderá colocar seus scripts em JavaScript. Normalmente eles tornam as páginas interativas, mas nesta situação, os mesmos scripts poderiam roubar do navegador do visitante o que distinguia o departamento de RH do programador, e o programador de um simples visitante - o identificador da sessão no site. O gato era um gatilho de ataque e uma imagem para chamar a atenção. Na linguagem de marcação HTML do site, era assim: se sua imagem foi carregada, o JavaScript já foi executado e seu ID de sessão, junto com os dados sobre seu navegador e endereço IP, já foram roubados.
- Com um ID de sessão de administrador roubado, seria possível obter acesso total ao site, hospedar páginas executáveis em PHP e, portanto, obter acesso ao sistema operacional do servidor e, em seguida, à própria rede local, o que era um importante objetivo intermediário do o projeto.
O ataque foi parcialmente bem-sucedido: o ID da sessão do administrador foi roubado, mas estava vinculado a um endereço IP. Não conseguimos contornar isso; não conseguimos elevar os privilégios do nosso site para privilégios de administrador, mas melhoramos o nosso humor. O resultado final acabou sendo obtido em outro trecho do perímetro da rede.
Parte 2. Estou escrevendo para você - o que mais? Eu também ligo e fico no seu escritório, deixando pen drives.
O que aconteceu na situação do gato é um exemplo de engenharia social, embora não muito clássico. Na verdade, houve mais acontecimentos nesta história: havia um gato, e um instituto, e um departamento de pessoal, e um programador, mas também havia e-mails com dúvidas esclarecedoras que supostamente “candidatos” escreveram para o próprio departamento de pessoal e pessoalmente ao programador para provocá-lo a acessar a página do site.
Falando em cartas. O e-mail comum, provavelmente o principal veículo para a realização de engenharia social, não perde sua relevância há algumas décadas e às vezes leva às consequências mais inusitadas.
Muitas vezes contamos a seguinte história em nossos eventos, pois é muito reveladora.
Normalmente, com base nos resultados de projetos de engenharia social, compilamos estatísticas, que, como sabemos, são uma coisa seca e enfadonha. Muitos por cento dos destinatários abriram o anexo da carta, muitos seguiram o link, mas esses três realmente inseriram seu nome de usuário e senha. Em um projeto, recebemos mais de 100% das senhas inseridas – ou seja, saíram mais do que enviamos.
Aconteceu assim: foi enviada uma carta de phishing, supostamente do CISO de uma empresa estatal, com a exigência de “testar urgentemente mudanças no serviço de correio”. A carta chegou ao chefe de um grande departamento que tratava de suporte técnico. O gerente foi muito diligente no cumprimento das instruções das altas autoridades e as encaminhou a todos os subordinados. O call center em si revelou-se bastante grande. Em geral, situações em que alguém encaminha e-mails de phishing “interessantes” para seus colegas e eles também são pegos são ocorrências bastante comuns. Para nós, este é o melhor feedback sobre a qualidade de escrever uma carta.
Pouco depois descobriram sobre nós (a carta foi levada em uma caixa de correio comprometida):
O sucesso do ataque deveu-se ao facto de o mailing explorar uma série de deficiências técnicas no sistema de correio do cliente. Foi configurado de forma que fosse possível enviar qualquer carta em nome de qualquer remetente da própria organização sem autorização, até mesmo pela Internet. Ou seja, você pode fingir ser um CISO, ou chefe de suporte técnico, ou outra pessoa. Além disso, a interface do correio, observando as cartas do “seu” domínio, inseriu cuidadosamente uma foto da agenda, o que conferiu naturalidade ao remetente.
Na verdade, tal ataque não é uma tecnologia particularmente complexa; é uma exploração bem sucedida de uma falha muito básica nas configurações de correio. É revisado regularmente em recursos especializados de TI e segurança da informação, mas mesmo assim ainda existem empresas que têm tudo isso presente. Como ninguém está inclinado a verificar minuciosamente os cabeçalhos de serviço do protocolo de correio SMTP, uma carta geralmente é verificada quanto a “perigo” usando ícones de aviso na interface de correio, que nem sempre exibem a imagem completa.
Curiosamente, uma vulnerabilidade semelhante também funciona na outra direção: um invasor pode enviar um e-mail em nome da sua empresa para um destinatário terceirizado. Por exemplo, ele pode falsificar uma fatura para pagamento regular em seu nome, indicando outros detalhes em vez dos seus. Além das questões antifraude e de saque, esta é provavelmente uma das maneiras mais fáceis de roubar dinheiro por meio de engenharia social.
Além de roubar senhas por meio de phishing, um ataque sociotécnico clássico é o envio de anexos executáveis. Se esses investimentos superarem todas as medidas de segurança, das quais as empresas modernas costumam ter muitas, será criado um canal de acesso remoto ao computador da vítima. Para demonstrar as consequências do ataque, o controle remoto resultante pode ser desenvolvido para acessar informações confidenciais particularmente importantes. Vale ressaltar que a grande maioria dos ataques que a mídia utiliza para assustar a todos começa exatamente assim.
No nosso departamento de auditoria, por diversão, calculamos estatísticas aproximadas: qual é o valor total dos ativos das empresas às quais obtivemos acesso de Administrador de Domínio, principalmente através de phishing e envio de anexos executáveis? Este ano atingiu cerca de 150 mil milhões de euros.
É claro que enviar e-mails provocativos e publicar fotos de gatos em sites não são os únicos métodos de engenharia social. Nestes exemplos tentamos mostrar a variedade de formas de ataque e suas consequências. Além das cartas, um potencial invasor pode ligar para obter as informações necessárias, espalhar mídias (por exemplo, pen drives) com arquivos executáveis no escritório da empresa alvo, conseguir um emprego como estagiário, obter acesso físico à rede local sob o disfarce de um instalador de câmeras CCTV. Tudo isso, aliás, são exemplos de nossos projetos concluídos com sucesso.
Parte 3. Ensinar é luz, mas o inculto é escuridão
Surge uma pergunta razoável: bem, tudo bem, existe engenharia social, parece perigosa, mas o que as empresas devem fazer sobre tudo isso? O Capitão Óbvio vem em socorro: você precisa se defender, e de forma abrangente. Parte da proteção será voltada para medidas de segurança já clássicas, como meios técnicos de proteção da informação, monitoramento, suporte organizacional e jurídico de processos, mas a parte principal, em nossa opinião, deverá ser direcionada para o trabalho direto com os colaboradores como o elo mais fraco. Afinal, não importa o quanto você fortaleça a tecnologia ou elabore regulamentações rígidas, sempre haverá um usuário que descobrirá uma nova maneira de quebrar tudo. Além disso, nem os regulamentos nem a tecnologia acompanharão a fuga da criatividade do utilizador, especialmente se este for instigado por um atacante qualificado.
Antes de tudo, é importante treinar o usuário: explicar que mesmo na sua rotina de trabalho podem surgir situações relacionadas à engenharia social. Para nossos clientes, frequentemente realizamos sobre higiene digital – evento que ensina habilidades básicas para combater ataques em geral.
Posso acrescentar que uma das melhores medidas de proteção não seria memorizar de forma alguma as regras de segurança da informação, mas sim avaliar a situação de forma um pouco distanciada:
- Quem é meu interlocutor?
- De onde veio sua proposta ou pedido (isso nunca aconteceu antes e agora apareceu)?
- O que há de incomum nesse pedido?
Mesmo um tipo incomum de fonte de carta ou um estilo de discurso incomum para o remetente pode desencadear uma cadeia de dúvidas que impedirá um ataque. Instruções prescritas também são necessárias, mas funcionam de maneira diferente e não podem especificar todas as situações possíveis. Por exemplo, os administradores de segurança da informação escrevem neles que você não pode inserir sua senha em recursos de terceiros. E se o recurso de rede “seu” e “corporativo” solicitar uma senha? O usuário pensa: “Nossa empresa já tem duas dezenas de serviços com uma única conta, por que não ter outra?” Isso leva a outra regra: um processo de trabalho bem estruturado também afeta diretamente a segurança: se um departamento vizinho puder solicitar informações de você apenas por escrito e somente através do seu gestor, uma pessoa “de um parceiro de confiança da empresa” certamente não será poder solicitá-lo por telefone - isso é um absurdo para você. Você deve ser especialmente cauteloso se o seu interlocutor exigir fazer tudo agora, ou “o mais rápido possível”, como está na moda escrever. Mesmo no trabalho normal, muitas vezes esta situação não é saudável e, diante de possíveis ataques, é um forte gatilho. Não há tempo para explicar, execute meu arquivo!
Notamos que os usuários são sempre apontados como lendas para um ataque sociotécnico por temas relacionados ao dinheiro de uma forma ou de outra: promessas de promoções, preferências, presentes, bem como informações com fofocas e intrigas supostamente locais. Em outras palavras, os banais “pecados capitais” estão em ação: sede de lucro, ganância e curiosidade excessiva.
Um bom treinamento deve sempre incluir prática. É aqui que os especialistas em testes de penetração podem ajudar. A próxima pergunta é: o que e como testaremos? Nós do Group-IB propomos a seguinte abordagem: selecionar imediatamente o foco dos testes: ou avaliar a prontidão para ataques apenas dos próprios usuários, ou verificar a segurança da empresa como um todo. E teste usando métodos de engenharia social, simulando ataques reais – ou seja, o mesmo phishing, envio de documentos executáveis, ligações e outras técnicas.
No primeiro caso, o ataque é cuidadosamente preparado em conjunto com representantes do cliente, principalmente com seus especialistas em TI e segurança da informação. Lendas, ferramentas e técnicas de ataque são consistentes. O próprio cliente fornece grupos focais e listas de usuários para ataque, que incluem todos os contatos necessários. São criadas exceções nas medidas de segurança, uma vez que as mensagens e cargas executáveis devem chegar ao destinatário, pois em tal projeto apenas interessam as reações das pessoas. Opcionalmente, você pode incluir marcadores no ataque, pelos quais o usuário pode adivinhar que se trata de um ataque - por exemplo, você pode cometer alguns erros ortográficos nas mensagens ou deixar imprecisões na cópia do estilo corporativo. No final do projeto, são obtidas as mesmas “estatísticas secas”: quais grupos focais responderam aos cenários e em que medida.
No segundo caso, o ataque é realizado com conhecimento inicial zero, utilizando o método “caixa preta”. Coletamos de forma independente informações sobre a empresa, seus funcionários, o perímetro da rede, criamos lendas de ataque, selecionamos métodos, buscamos possíveis medidas de segurança utilizadas na empresa alvo, adaptamos ferramentas e criamos cenários. Nossos especialistas utilizam métodos clássicos de inteligência de código aberto (OSINT) e o próprio produto do Grupo-IB - Threat Intelligence, um sistema que, ao se preparar para phishing, pode atuar como um agregador de informações sobre uma empresa por um longo período, incluindo informações classificadas. Claro que para que o ataque não se torne uma surpresa desagradável, seus detalhes também são acertados com o cliente. Acontece que é um teste de penetração completo, mas será baseado em engenharia social avançada. A opção lógica neste caso é desenvolver um ataque dentro da rede, até obter os direitos mais elevados nos sistemas internos. Aliás, de forma semelhante utilizamos ataques sociotécnicos em e em alguns testes de penetração. Como resultado, o cliente receberá uma visão abrangente e independente da sua segurança contra um determinado tipo de ataques sociotécnicos, bem como uma demonstração da eficácia (ou, inversamente, ineficácia) da linha de defesa construída contra ameaças externas.
Recomendamos a realização deste treinamento pelo menos duas vezes por ano. Em primeiro lugar, em qualquer empresa há rotatividade de pessoal e a experiência anterior é gradualmente esquecida pelos colaboradores. Em segundo lugar, os métodos e técnicas de ataques estão em constante mudança e isso leva à necessidade de adaptar os processos de segurança e as ferramentas de proteção.
Se falamos de medidas técnicas de proteção contra ataques, as seguintes são as que mais ajudam:
- A presença de autenticação obrigatória de dois fatores nos serviços publicados na Internet. Lançar tais serviços em 2019 sem sistemas de login único, sem proteção contra força bruta de senha e sem autenticação de dois fatores em uma empresa com várias centenas de pessoas equivale a um apelo aberto para “quebrar-me”. A proteção implementada corretamente tornará impossível o uso rápido de senhas roubadas e dará tempo para eliminar as consequências de um ataque de phishing.
- Controlar o controle de acesso, minimizar os direitos do usuário nos sistemas e seguir as diretrizes para configuração segura de produtos divulgadas por cada grande fabricante. Estas são muitas vezes de natureza simples, mas muito eficazes e difíceis de implementar, que todos, de uma forma ou de outra, negligenciam por uma questão de rapidez. E alguns são tão necessários que sem eles nenhum meio de proteção salvará.
- Linha de filtragem de e-mail bem construída. Antispam, verificação total de anexos em busca de códigos maliciosos, incluindo testes dinâmicos por meio de sandboxes. Um ataque bem preparado significa que o anexo executável não será detectado pelas ferramentas antivírus. O sandbox, ao contrário, testará tudo por si só, utilizando os arquivos da mesma forma que uma pessoa os utiliza. Como resultado, um possível componente malicioso será revelado pelas alterações feitas dentro da sandbox.
- Meios de proteção contra ataques direcionados. Como já foi observado, as ferramentas antivírus clássicas não detectarão arquivos maliciosos no caso de um ataque bem preparado. Os produtos mais avançados devem monitorar automaticamente a totalidade dos eventos que ocorrem na rede - tanto no nível de um host individual quanto no nível do tráfego dentro da rede. No caso dos ataques, surgem cadeias de eventos muito características que podem ser rastreadas e interrompidas se você tiver um monitoramento focado em eventos desse tipo.
Artigo original na revista “Segurança da Informação/Segurança da Informação” nº 6, 2019.
Fonte: habr.com