IT ManagerБезопасностьУгрозы

Особенности национальной социально-инженерной охоты

Ян Герман | 11.03.2019

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Особенности национальной социально-инженерной охоты

Не секрет, что можно обойти IPS, антивирус, заставить молчать «песочницу» или индикаторы компрометации. Речь не об этом. Кажется, тема хакерства в массах немного утрачивает злободневность. Исходя из отчета Group-IB за 2018 год, некоторые векторы атак теряют популярность и их число, к удивлению многих, сокращается. Advanced Persistent Threat теперь становится уделом мировых группировок (Cobalt, Silence и т. д.), а также оружием на государственном уровне. Причем спрос на атаки в SMB-секторе колоссален, но, во-первых, об этом никому не интересно говорить, а во-вторых, в малом и среднем бизнесе чаще всего экономически не целесообразно проводить целевую Advanced-кампанию. Смещаем вектор от «продвинутых угроз» к «хитрым угрозам». На мой взгляд, термин Tricky Threat более чем актуален. Изменить вектор атаки помогает ответ на вопрос: «Что проще: найти того, кто обойдет периметр и средства защиты (пусть даже не самые сложные), или человека «внутри», который осуществит задуманное?»

Сегодня речь идет о социальной инженерии.

Социальную инженерию на данный момент можно в целом расценивать как хобби. Процесс как таковой появился гораздо раньше термина. Это не то, что требует компетенций инженера, понимания логики кода и т. д. Не замечали, как порой пролистывание ленты соцсетей отбирает часы? Как случайно вы находите неожиданных общих знакомых с друзьями из разных кругов общения, открывая про них что-то для себя новое? Бесконечно проваливаясь из одного аккаунта в другой. Кто-то делает это бесцельно, кто-то что-то ищет. Занятно, что двигателем здесь нередко выступает всего-навсего любопытство, искреннее, не подкрепленное финансовой подоплекой.

Что делать? Как искать? Можно ли по одной картинке или какому-то факту найти о человеке то, что хотелось бы отыскать? Данные, информацию, больше данных, больше информации... Это вообще можно как-то предотвратить?

Не хотелось бы отделываться общими ответами на поставленные вопросы. Мы не склонны верить теории, которая никак не подкреплена практикой. Что вполне логично, ведь заниматься безопасностью все равно что быть мнительным. А потому поступим наоборот, пойдем от практики к теории.

Возьмем простейший, но реальный кейс (имена заменены, любое сходство – чистая случайность):

Иван познакомился с человеком в Интернете на тематическом форуме, пообщались они недолго, но на его взгляд, интересно, во всяком случае для того, чтобы больше узнать о своем собеседнике. Они не успели обменяться контактами, да и никакой информацией, кроме имени и двух фото из профиля, Иван не располагал. Зато имел желание получить больше информации о своем новом приятеле.

Наш герой пошел от простого и начал поиск по фото в «Яндексе». И, нужно сказать, данный поисковик работает по соотечественникам просто отменно (ФСБ, ты ли это?..)! Буквально 15 минут – и Иван уже знает настоящее имя собеседника, находит пару старых аккаунтов на livejournal и еще на незнакомых Ивану сайтах, где когда-то, давным-давно регистрировался Николай (соль в том, что эти сайты предоставляют нужную информацию по поиску фото). Плюс из ценного – нашел небольшой пресс-релиз, судя по всему, писал релиз какой-то его знакомый. Из этих аккаунтов стал понятен общий круг интересов, сфера, где трудился в прошлом новый знакомый, а также некоторые персональные данные, в частности ФИО и дата рождения. Что немаловажно, Ивану стала окончательно ясна модель изъяснения и построения предложений, которой пользуется его жертва, что могло бы в теории ему пригодиться.

Вот с этой информацией Иван уже смело отправился за новыми данными в соцсети. Найти по ФИО и дате рождения «ВКонтакте»? – проще простого. Не вышло? Ничего страшного, посмотрите внимательнее другие источники (в данном кейсе livejournal), там есть информация о хобби и в нашем случае о некоторых местах работы жертвы. Иван отыскал группы фирм-работодателей «ВКонтакте», а там уже убедился, что нашел именно того человека, который был ему нужен.

Тайное в соцсетях стало явным. Иван уже знает о своем «собеседнике» достаточно, чтобы шокировать его объемом информации о нем самом. Только, а делать-то с этим что?

Продолжив копать информацию по группам «ВКонтакте», «Фейсбуке» и «Инстаграме», выяснил, что собеседник с форума, работает на заводе, который производит комплектующие для ядерных реакторов, используемых на АЭС. Иван был человеком, немного падким на несложные схемы заработка, но достаточно аккуратным, чтобы заниматься неправомерными вещами, видимо, у него еще не было предложения, которое бы перебивало все возможные риски, или сам он все же не из «плохих парней».

Определенная работа уже была проделана, какая-то информация уже была получена. А дальше что? Как это монетизировать? А можно ли вообще?

Иван зарегистрировал «левый» почтовый адрес на gmail, назвал его так, чтобы для Николая (сотрудника завода), адрес выглядел как вполне рабочий.

В фишинге он был не ас, но попытка не пытка. Отправил Николаю письмо на личную почту, информирующего характера, с предупреждением о том, что с личной почты запрещено вести рабочую переписку. Подтвердить прочтение Иван попросил уже с рабочей почты на свой подменный почтовый адрес.

Итоги шестичасовой работы

  • Удалось узнать персональные данные Николая (ФИО, дата рождения, личная почта, номер мобильного телефона).

  • Удалось узнать, где он работает.

  • Удачное фишинговое письмо, не имеющее вредоносных вложений, позволило узнать должность Николая. Он ожидаемо оказался не простым рабочим производства, а руководителем, пусть и низшего звена.

  • Посидев на hh.ru Иван узнал, что в компанию требуются Иб-специалисты, которые должны уметь работать с конкретными вендорами, то есть представление о средствах защиты формируется абсолютно реальное.

Иван понятия не имел, что с этой информацией делать дальше, копнул все же глубоко в рамках своих компетенций, с правовой стороны – на грани фола, но пока что чисто. Деяния Роскомнадзора в борьбе с «Телеграмом» позволили Ивану узнать о базовых постулатах анонимности в Интернете. Так он взял старый ноутбук, дюжину сим-карт с выходом в Интернет и onion-браузер, отыскал сайты, на которых на его информацию нашелся покупатель.

Иван получил свое вознаграждение за проделанную работу. Чем продолжилось и было ли продолжение – неизвестно. Новости с заголовком «Взлом» не было. Зато был выброс в СМИ с утечкой о том, что данное предприятие поставляло свои комплектующие по достаточно сомнительной схеме с целью обхода санкций… Связаны ли оба события между собой? История умалчивает.

Кто-то может быть первоклассным хакером, но плохим социальным инженером, кто-то наоборот. Часто такие люди находят друг друга в рамках единичного взаимодействия. Кто-то объединяет усилия, становясь группировкой с четко распределенными ролями. Стать хакером – сложно. Стать социальным инженером – любите социальные сети и умейте искать, будьте усидчивым. White Hat в социальной инженерии? Тоже вполне реально, делитесь своими информационными находками с их обладателями, давая рекомендация по анонимности в Сети.

Кто ищет, тот всегда найдет. Не так ли?

Несмотря на нововведение «ВКонтакте», которое позволяет закрыть страницу от всех посторонних лиц, фичей не пользуется и половина пользователей. Социальные сети учат людей вести жизнь «на показ», особенно молодое поколение. Чем охотно могут пользоваться злоумышленники и, скорее всего, это делают. Отдельного комментария здесь заслуживает «Инстаграм». Полагаю, у каждого есть такой друг, который постит в истории чуть ли не каждый свой шаг. И здесь «Инстаграм» открывает колоссальные возможности злоумышленникам. Где ты живешь, куда ходишь, на чем ездишь, куда ездишь, с кем etc. Благо есть возможность так же закрыть профиль, но, из практики, куда интереснее сделать его публичным (бизнес-аккаунт) и наблюдать за динамикой вовлеченности подписчиков в контент. Ну или если страница закрыта у вас, то не факт, что она закрыта у ваших друзей, с которыми вы часто проводите время, где есть информация и о вас. От себя рекомендую, хотя бы не заливать истории «здесь и сейчас», давайте хоть немного сбивать с толку тех, кто использует информацию в недобросовестных целях. HR-отделу, на мой взгляд, не стоит указывать в вакансиях ИБ-специалистов, с какими средствами защиты им предстоит иметь дело. Возможно, это усложнит и без того не тривиальный процесс поиска нужного сотрудника. Но я смотрю на это с точки зрения рисков безопасности. Безопасность никогда не будет равняться удобству, одним приходится жертвовать ради второго. В пользу чего? Решать вам.

С White-hat’ством в социальной инженерии есть одно большое «НО», такого рода умельцам не будут платить вознаграждение за находки, как, например, компании платят хакерам за информирование об обнаружении эксплоитов и уязвимостей. Благотворительных фондов в духе «Save your confidence» пока, насколько мне известно, замечено не было. Соответственно, наша анонимность в наших руках, ну либо в руках злоумышленников.

 

 

Ключевые слова: информационная безопасность

Горячие темы: Угрозы и риски ИБ

Об авторах

Ян Герман

Ян Герман

Работал менеджером по развитию бизнеса в компании Cezurity (ГК Инфовотч), в настоящий момент занимается ИБ-проектами на фрилансе. Интересующие темы: экономика, рынок ИБ, практическая безопасность, тесты на проникновение. 


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Загрузка...

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

16.05.2019 — 25.06.2019
Growth Marketing Summit

онлайн

21.05.2019
Digital Construction Forum 2019

Центр цифрового лидерства SAP Космодамианская наб., 52к7,

24.05.2019
Google Cloud Day

Москва, ул.Балчуг. д. 7, БЦ Балчуг Плаза

27.05.2019
Conference for best brands

Москва, Центр "Открытый мир"

28.05.2019
Smart City 2019: госпроекты и их реализация

Москва, Веранда ЦМТ, Краснопресненская наб., 12