Hãy tưởng tượng tình huống này. Buổi sáng tháng XNUMX lạnh lẽo, viện thiết kế ở trung tâm khu vực của một trong những vùng của Nga. Một người nào đó từ bộ phận nhân sự vào một trong những trang tuyển dụng trên trang web của viện, được đăng cách đây vài ngày và nhìn thấy bức ảnh của một con mèo ở đó. Buổi sáng nhanh chóng không còn nhàm chán nữa...
Trong bài viết này, Pavel Suprunyuk, trưởng bộ phận kỹ thuật của bộ phận kiểm toán và tư vấn tại Group-IB, nói về vị trí của các cuộc tấn công kỹ thuật xã hội trong các dự án đánh giá an ninh thực tế, những hình thức bất thường mà chúng có thể thực hiện và cách bảo vệ trước các cuộc tấn công như vậy. Tác giả xin nói rõ rằng bài viết mang tính chất review, tuy nhiên, nếu có khía cạnh nào khiến độc giả quan tâm, các chuyên gia của Group-IB sẽ sẵn sàng giải đáp thắc mắc ở phần bình luận.
Phần 1. Tại sao lại nghiêm trọng như vậy?
Hãy quay trở lại với con mèo của chúng ta. Sau một thời gian, bộ phận nhân sự xóa ảnh (ảnh chụp màn hình ở đây và bên dưới được chỉnh sửa một phần để không tiết lộ tên thật), nhưng nó ngoan cố quay lại, lại xóa và điều này xảy ra vài lần nữa. Bộ phận nhân sự hiểu rằng con mèo có ý định nghiêm túc nhất, nó không muốn rời đi và họ kêu gọi sự giúp đỡ từ một lập trình viên web - một người đã tạo ra trang web và hiểu nó và hiện đang quản lý nó. Lập trình viên vào trang web, một lần nữa xóa con mèo phiền phức, phát hiện ra rằng nó được đăng thay mặt cho chính bộ phận nhân sự, sau đó đưa ra giả định rằng mật khẩu của bộ phận nhân sự đã bị rò rỉ cho một số côn đồ trực tuyến và thay đổi nó. Con mèo không xuất hiện nữa.
Điều gì thực sự đã xảy ra? Đối với nhóm các công ty bao gồm viện, các chuyên gia của Group-IB đã tiến hành thử nghiệm thâm nhập theo định dạng gần giống với Red Teaming (nói cách khác, đây là sự bắt chước các cuộc tấn công có chủ đích vào công ty của bạn bằng cách sử dụng các phương pháp và công cụ tiên tiến nhất từ kho vũ khí của các nhóm hacker). Chúng tôi đã nói chuyện chi tiết về Red Teaming . Điều quan trọng cần biết là khi tiến hành thử nghiệm như vậy, có thể sử dụng rất nhiều loại tấn công đã được thỏa thuận trước, bao gồm cả kỹ thuật lừa đảo xã hội. Rõ ràng là vị trí của con mèo không phải là mục đích cuối cùng của những gì đang xảy ra. Và có những điều sau đây:
- trang web của viện được lưu trữ trên một máy chủ trong chính mạng của viện chứ không phải trên máy chủ của bên thứ ba;
- Đã tìm thấy rò rỉ trong tài khoản của bộ phận nhân sự (tệp nhật ký email nằm ở thư mục gốc của trang web). Không thể quản trị trang web bằng tài khoản này, nhưng có thể chỉnh sửa các trang việc làm;
- Bằng cách thay đổi các trang, bạn có thể đặt tập lệnh của mình bằng JavaScript. Thông thường, họ làm cho các trang có tính tương tác, nhưng trong tình huống này, các tập lệnh tương tự có thể đánh cắp trình duyệt của khách truy cập để phân biệt bộ phận nhân sự với lập trình viên và lập trình viên với một khách truy cập đơn giản - mã nhận dạng phiên trên trang web. Con mèo là ngòi nổ tấn công và là hình ảnh để thu hút sự chú ý. Trong ngôn ngữ đánh dấu trang web HTML, nó trông như thế này: nếu hình ảnh của bạn đã được tải, JavaScript đã được thực thi và ID phiên của bạn cùng với dữ liệu về trình duyệt và địa chỉ IP của bạn đã bị đánh cắp.
- Với ID phiên quản trị viên bị đánh cắp, có thể có quyền truy cập đầy đủ vào trang web, lưu trữ các trang thực thi bằng PHP và do đó có quyền truy cập vào hệ điều hành máy chủ và sau đó vào chính mạng cục bộ, đây là mục tiêu trung gian quan trọng của dự án.
Cuộc tấn công đã thành công một phần: ID phiên của quản trị viên đã bị đánh cắp nhưng nó được gắn với một địa chỉ IP. Chúng tôi không thể giải quyết vấn đề này; chúng tôi không thể nâng đặc quyền trang web của mình lên đặc quyền quản trị viên, nhưng chúng tôi đã cải thiện được tâm trạng của mình. Kết quả cuối cùng cuối cùng đã thu được ở một phần khác của chu vi mạng.
Phần 2. Tôi đang viết cho bạn - còn gì nữa? Tôi cũng gọi điện và quanh quẩn trong văn phòng của bạn, đánh rơi ổ đĩa flash.
Điều xảy ra trong tình huống với con mèo là một ví dụ về kỹ thuật xã hội, mặc dù không hoàn toàn cổ điển. Trên thực tế, có nhiều sự kiện hơn trong câu chuyện này: có một con mèo, một viện nghiên cứu, một bộ phận nhân sự và một lập trình viên, nhưng cũng có những email kèm theo những câu hỏi làm rõ mà được cho là “ứng viên” đã viết cho chính bộ phận nhân sự và cá nhân. tới người lập trình để kích thích họ đi tới trang của trang web.
Nói về chữ cái. Email thông thường, có lẽ là phương tiện chính để thực hiện kỹ thuật xã hội, đã không mất đi sự liên quan trong một vài thập kỷ và đôi khi dẫn đến những hậu quả bất thường nhất.
Chúng tôi thường kể câu chuyện sau đây tại các sự kiện của mình vì nó rất tiết lộ.
Thông thường, dựa trên kết quả của các dự án kỹ thuật xã hội, chúng tôi tổng hợp số liệu thống kê, như chúng tôi biết, là một điều khô khan và nhàm chán. Rất nhiều phần trăm người nhận đã mở tệp đính kèm từ bức thư, rất nhiều người theo liên kết, nhưng ba người này thực sự đã nhập tên người dùng và mật khẩu của họ. Trong một dự án, chúng tôi đã nhận được hơn 100% mật khẩu được nhập - nghĩa là mật khẩu xuất ra nhiều hơn số lượng chúng tôi gửi đi.
Chuyện xảy ra như thế này: một lá thư lừa đảo được gửi đến, được cho là từ CISO của một tập đoàn nhà nước, với yêu cầu “khẩn trương kiểm tra những thay đổi trong dịch vụ thư”. Bức thư đã đến tay người đứng đầu một bộ phận lớn phụ trách hỗ trợ kỹ thuật. Người quản lý đã rất siêng năng thực hiện các chỉ thị từ cấp trên và chuyển chúng đến tất cả cấp dưới. Bản thân trung tâm cuộc gọi hóa ra đã khá lớn. Nhìn chung, tình huống ai đó chuyển tiếp email lừa đảo “thú vị” cho đồng nghiệp của họ và họ cũng bị bắt là xảy ra khá phổ biến. Đối với chúng tôi, đây là phản hồi tốt nhất về chất lượng viết thư.
Một lát sau, họ biết về chúng tôi (bức thư được lấy trong một hộp thư bị xâm nhập):
Sự thành công của cuộc tấn công là do việc gửi thư đã khai thác một số thiếu sót kỹ thuật trong hệ thống thư của khách hàng. Nó được cấu hình theo cách có thể gửi bất kỳ bức thư nào thay mặt cho bất kỳ người gửi nào của chính tổ chức mà không được phép, thậm chí từ Internet. Nghĩa là, bạn có thể giả làm CISO, người đứng đầu bộ phận hỗ trợ kỹ thuật hoặc người khác. Hơn nữa, giao diện thư, quan sát các chữ cái từ miền “của nó”, cẩn thận chèn một bức ảnh từ sổ địa chỉ, điều này tạo thêm sự tự nhiên cho người gửi.
Trên thực tế, cuộc tấn công như vậy không phải là một công nghệ đặc biệt phức tạp; nó là sự khai thác thành công một lỗ hổng rất cơ bản trong cài đặt thư. Nó thường xuyên được xem xét trên các tài nguyên bảo mật thông tin và CNTT chuyên ngành, tuy nhiên, vẫn có những công ty có tất cả những điều này. Vì không ai có xu hướng kiểm tra kỹ lưỡng các tiêu đề dịch vụ của giao thức thư SMTP, nên một lá thư thường được kiểm tra mức độ “nguy hiểm” bằng cách sử dụng các biểu tượng cảnh báo trong giao diện thư, không phải lúc nào cũng hiển thị toàn bộ hình ảnh.
Điều thú vị là một lỗ hổng tương tự cũng hoạt động theo hướng khác: kẻ tấn công có thể gửi email thay mặt công ty của bạn tới người nhận bên thứ ba. Ví dụ: anh ta có thể thay mặt bạn làm giả hóa đơn thanh toán thông thường, chỉ ra các chi tiết khác thay vì của bạn. Ngoài vấn đề chống gian lận và rút tiền, đây có lẽ là một trong những cách dễ dàng nhất để lấy cắp tiền thông qua kỹ thuật xã hội.
Ngoài việc đánh cắp mật khẩu thông qua lừa đảo, một cuộc tấn công kỹ thuật xã hội cổ điển là gửi các tệp đính kèm có thể thực thi được. Nếu những khoản đầu tư này vượt qua được tất cả các biện pháp bảo mật mà các công ty hiện đại thường có rất nhiều, thì một kênh truy cập từ xa vào máy tính của nạn nhân sẽ được tạo ra. Để chứng minh hậu quả của cuộc tấn công, điều khiển từ xa thu được có thể được phát triển để truy cập vào thông tin bí mật đặc biệt quan trọng. Đáng chú ý là phần lớn các cuộc tấn công mà giới truyền thông sử dụng để dọa mọi người đều bắt đầu giống hệt như thế này.
Trong bộ phận kiểm toán của chúng tôi, để giải trí, chúng tôi tính toán số liệu thống kê gần đúng: tổng giá trị tài sản của các công ty mà chúng tôi đã có được quyền truy cập Quản trị viên miền, chủ yếu thông qua lừa đảo và gửi tệp đính kèm thực thi là bao nhiêu? Năm nay nó đạt xấp xỉ 150 tỷ euro.
Rõ ràng rằng việc gửi email khiêu khích và đăng ảnh mèo lên các trang web không phải là phương pháp lừa đảo xã hội duy nhất. Trong những ví dụ này, chúng tôi đã cố gắng chỉ ra sự đa dạng của các hình thức tấn công và hậu quả của chúng. Ngoài các bức thư, kẻ tấn công tiềm năng có thể gọi điện để lấy thông tin cần thiết, phân tán phương tiện (ví dụ: ổ đĩa flash) với các tệp thực thi trong văn phòng của công ty mục tiêu, nhận công việc thực tập, giành quyền truy cập vật lý vào mạng cục bộ dưới vỏ bọc của một người lắp đặt camera quan sát. Nhân tiện, tất cả những điều này đều là ví dụ từ các dự án đã hoàn thành thành công của chúng tôi.
Phần 3. Dạy là ánh sáng, người không học là bóng tối
Một câu hỏi hợp lý được đặt ra: à, được rồi, có kỹ thuật xã hội, nó có vẻ nguy hiểm, nhưng các công ty nên làm gì với tất cả những điều này? Thuyền trưởng Rõ ràng đến giải cứu: bạn cần phải tự vệ một cách toàn diện. Một phần của việc bảo vệ sẽ nhằm vào các biện pháp bảo mật vốn đã cổ điển, chẳng hạn như các phương tiện kỹ thuật để bảo vệ thông tin, giám sát, hỗ trợ về mặt tổ chức và pháp lý cho các quy trình, nhưng phần chính, theo quan điểm của chúng tôi, nên hướng tới làm việc trực tiếp với nhân viên với tư cách là liên kết yếu nhất. Suy cho cùng, cho dù bạn có củng cố công nghệ hay viết ra những quy định khắc nghiệt đến mức nào thì vẫn sẽ luôn có một người dùng khám phá ra cách mới để phá vỡ mọi thứ. Hơn nữa, cả quy định lẫn công nghệ đều không theo kịp khả năng sáng tạo của người dùng, đặc biệt nếu anh ta bị kẻ tấn công có trình độ thúc đẩy.
Trước hết, điều quan trọng là phải đào tạo người dùng: giải thích rằng ngay cả trong công việc thường ngày của anh ta, các tình huống liên quan đến kỹ thuật xã hội vẫn có thể phát sinh. Đối với khách hàng, chúng tôi thường tiến hành về vệ sinh kỹ thuật số - sự kiện dạy các kỹ năng cơ bản để chống lại các cuộc tấn công nói chung.
Tôi có thể nói thêm rằng một trong những biện pháp bảo vệ tốt nhất không phải là ghi nhớ các quy tắc bảo mật thông tin mà là đánh giá tình hình theo cách hơi tách biệt:
- Người đối thoại của tôi là ai?
- Đề xuất hoặc yêu cầu của anh ấy đến từ đâu (điều này chưa từng xảy ra trước đây và bây giờ nó đã xuất hiện)?
- Yêu cầu này có gì bất thường?
Ngay cả một loại phông chữ hoặc phong cách nói chuyện khác thường đối với người gửi cũng có thể gây ra một chuỗi nghi ngờ sẽ ngăn chặn một cuộc tấn công. Các hướng dẫn quy định cũng cần thiết, nhưng chúng hoạt động khác nhau và không thể chỉ định tất cả các tình huống có thể xảy ra. Ví dụ: quản trị viên bảo mật thông tin viết trong đó rằng bạn không thể nhập mật khẩu của mình vào tài nguyên của bên thứ ba. Điều gì sẽ xảy ra nếu tài nguyên mạng “của bạn”, “công ty” yêu cầu mật khẩu? Người dùng nghĩ: “Công ty chúng tôi đã có hàng chục dịch vụ chỉ với một tài khoản, tại sao không có một tài khoản khác?” Điều này dẫn đến một quy tắc khác: quy trình làm việc có cấu trúc tốt cũng ảnh hưởng trực tiếp đến an ninh: nếu bộ phận lân cận chỉ có thể yêu cầu thông tin từ bạn bằng văn bản và chỉ thông qua người quản lý của bạn, thì một người “từ một đối tác đáng tin cậy của công ty” chắc chắn sẽ không được phép. có thể yêu cầu nó qua điện thoại - điều này đối với bạn sẽ thật vô nghĩa. Bạn nên đặc biệt cảnh giác nếu người đối thoại của bạn yêu cầu làm mọi thứ ngay bây giờ, hoặc “CÀNG SỚM CÀNG TỐT”, vì việc viết thư là mốt. Ngay cả trong công việc bình thường, tình trạng này thường không tốt cho sức khỏe và khi đối mặt với các cuộc tấn công có thể xảy ra, nó là nguyên nhân mạnh mẽ. Không có thời gian giải thích, chạy file của tôi đi!
Chúng tôi nhận thấy rằng người dùng luôn là mục tiêu của các cuộc tấn công kỹ thuật xã hội theo các chủ đề liên quan đến tiền bạc dưới hình thức này hay hình thức khác: lời hứa về khuyến mãi, ưu đãi, quà tặng cũng như thông tin được cho là tin đồn và âm mưu ở địa phương. Nói cách khác, những “tội lỗi chết người” tầm thường đang hoạt động: ham muốn lợi nhuận, tham lam và tò mò quá mức.
Đào tạo tốt phải luôn bao gồm thực hành. Đây là nơi các chuyên gia thử nghiệm thâm nhập có thể đến giải cứu. Câu hỏi tiếp theo là: chúng ta sẽ kiểm tra cái gì và như thế nào? Tại Group-IB, chúng tôi đề xuất phương pháp sau: chọn ngay trọng tâm thử nghiệm: đánh giá mức độ sẵn sàng cho các cuộc tấn công của chính người dùng hoặc kiểm tra tính bảo mật của toàn bộ công ty. Và thử nghiệm bằng các phương pháp kỹ thuật xã hội, mô phỏng các cuộc tấn công thực - tức là cùng một hành vi lừa đảo, gửi tài liệu thực thi, cuộc gọi và các kỹ thuật khác.
Trong trường hợp đầu tiên, cuộc tấn công được chuẩn bị cẩn thận cùng với đại diện của khách hàng, chủ yếu là với các chuyên gia CNTT và bảo mật thông tin. Huyền thoại, công cụ và kỹ thuật tấn công đều nhất quán. Bản thân khách hàng cung cấp các nhóm trọng tâm và danh sách người dùng để tấn công, bao gồm tất cả các liên hệ cần thiết. Các ngoại lệ được tạo ra đối với các biện pháp bảo mật, vì các tin nhắn và tải thực thi phải đến được với người nhận, bởi vì trong một dự án như vậy, chỉ có phản ứng của mọi người mới được quan tâm. Theo tùy chọn, bạn có thể đưa các điểm đánh dấu vào cuộc tấn công, nhờ đó người dùng có thể đoán rằng đây là một cuộc tấn công - ví dụ: bạn có thể mắc một số lỗi chính tả trong tin nhắn hoặc để lại những điểm không chính xác khi sao chép phong cách công ty. Khi kết thúc dự án, người ta thu được “số liệu thống kê khô khan” tương tự: nhóm trọng tâm nào đã phản ứng với các kịch bản và ở mức độ nào.
Trong trường hợp thứ hai, cuộc tấn công được thực hiện mà không có kiến thức ban đầu, sử dụng phương pháp “hộp đen”. Chúng tôi thu thập thông tin một cách độc lập về công ty, nhân viên, chu vi mạng, tạo các chú thích tấn công, chọn phương pháp, tìm kiếm các biện pháp bảo mật có thể được sử dụng trong công ty mục tiêu, điều chỉnh công cụ và tạo kịch bản. Các chuyên gia của chúng tôi sử dụng cả phương pháp thông tin nguồn mở cổ điển (OSINT) và sản phẩm riêng của Group-IB - Thông tin về mối đe dọa, một hệ thống mà khi chuẩn bị lừa đảo, có thể hoạt động như một công cụ tổng hợp thông tin về một công ty trong một thời gian dài, bao gồm cả thông tin mật. Tất nhiên, để cuộc tấn công không trở thành một bất ngờ khó chịu, các chi tiết của nó cũng đã được thỏa thuận với khách hàng. Nó hóa ra là một thử nghiệm thâm nhập chính thức, nhưng nó sẽ dựa trên kỹ thuật xã hội tiên tiến. Tùy chọn hợp lý trong trường hợp này là phát triển một cuộc tấn công trong mạng để đạt được quyền cao nhất trong hệ thống nội bộ. Nhân tiện, theo cách tương tự, chúng tôi sử dụng các cuộc tấn công kỹ thuật xã hội trong và trong một số thử nghiệm thâm nhập. Do đó, khách hàng sẽ nhận được cái nhìn toàn diện độc lập về khả năng bảo mật của họ trước một loại tấn công kỹ thuật xã hội nhất định, cũng như minh chứng về tính hiệu quả (hoặc ngược lại, không hiệu quả) của tuyến phòng thủ được xây dựng trước các mối đe dọa bên ngoài.
Chúng tôi khuyên bạn nên tiến hành khóa đào tạo này ít nhất hai lần một năm. Thứ nhất, ở bất kỳ công ty nào cũng có sự luân chuyển nhân viên và kinh nghiệm trước đây dần bị nhân viên lãng quên. Thứ hai, các phương pháp và kỹ thuật tấn công liên tục thay đổi và điều này dẫn đến nhu cầu điều chỉnh các quy trình bảo mật và công cụ bảo vệ.
Nếu chúng ta nói về các biện pháp kỹ thuật để bảo vệ khỏi các cuộc tấn công, thì những biện pháp sau đây sẽ hữu ích nhất:
- Sự hiện diện của xác thực hai yếu tố bắt buộc trên các dịch vụ được công bố trên Internet. Việc phát hành các dịch vụ như vậy vào năm 2019 mà không có hệ thống Đăng nhập một lần, không có biện pháp bảo vệ chống lại sự ép buộc bằng mật khẩu và không có xác thực hai yếu tố trong một công ty có hàng trăm người cũng tương tự như một lời kêu gọi công khai “phá vỡ tôi”. Việc bảo vệ được triển khai đúng cách sẽ khiến việc sử dụng nhanh mật khẩu bị đánh cắp là không thể và sẽ có thời gian để loại bỏ hậu quả của một cuộc tấn công lừa đảo.
- Kiểm soát quyền truy cập, giảm thiểu quyền của người dùng trong hệ thống và tuân theo các hướng dẫn về cấu hình sản phẩm an toàn do mỗi nhà sản xuất lớn đưa ra. Đây thường là những biện pháp đơn giản nhưng rất hiệu quả và khó thực hiện, mà mọi người, ở mức độ này hay mức độ khác, đều bỏ qua vì mục đích tốc độ. Và một số cần thiết đến mức nếu không có chúng thì không có phương tiện bảo vệ nào có thể cứu được.
- Dòng lọc email được xây dựng tốt. Chống thư rác, quét toàn bộ các tệp đính kèm để tìm mã độc, bao gồm kiểm tra động thông qua hộp cát. Một cuộc tấn công được chuẩn bị kỹ lưỡng có nghĩa là các công cụ chống vi-rút sẽ không phát hiện được tệp đính kèm có thể thực thi được. Ngược lại, hộp cát sẽ tự kiểm tra mọi thứ, sử dụng các tệp giống như cách một người sử dụng chúng. Do đó, một thành phần độc hại có thể sẽ bị phát hiện bởi những thay đổi được thực hiện bên trong hộp cát.
- Phương tiện bảo vệ chống lại các cuộc tấn công có chủ đích. Như đã lưu ý, các công cụ chống vi-rút cổ điển sẽ không phát hiện các tệp độc hại trong trường hợp có một cuộc tấn công được chuẩn bị kỹ lưỡng. Các sản phẩm tiên tiến nhất sẽ tự động giám sát tổng số sự kiện xảy ra trên mạng - cả ở cấp độ máy chủ riêng lẻ và cấp độ lưu lượng truy cập trong mạng. Trong trường hợp xảy ra các cuộc tấn công, các chuỗi sự kiện rất đặc trưng xuất hiện có thể được theo dõi và dừng lại nếu bạn tập trung giám sát vào các sự kiện thuộc loại này.
Bài báo gốc trên tạp chí “An toàn thông tin/ An toàn thông tin” số 6, 2019.
Nguồn: www.habr.com