IT ManagerБезопасностьУгрозы

Особенности национальной социально-инженерной охоты

Ян Герман | 11.03.2019

Особенности национальной социально-инженерной охоты

Не секрет, что можно обойти IPS, антивирус, заставить молчать «песочницу» или индикаторы компрометации. Речь не об этом. Кажется, тема хакерства в массах немного утрачивает злободневность. Исходя из отчета Group-IB за 2018 год, некоторые векторы атак теряют популярность и их число, к удивлению многих, сокращается. Advanced Persistent Threat теперь становится уделом мировых группировок (Cobalt, Silence и т. д.), а также оружием на государственном уровне. Причем спрос на атаки в SMB-секторе колоссален, но, во-первых, об этом никому не интересно говорить, а во-вторых, в малом и среднем бизнесе чаще всего экономически не целесообразно проводить целевую Advanced-кампанию. Смещаем вектор от «продвинутых угроз» к «хитрым угрозам». На мой взгляд, термин Tricky Threat более чем актуален. Изменить вектор атаки помогает ответ на вопрос: «Что проще: найти того, кто обойдет периметр и средства защиты (пусть даже не самые сложные), или человека «внутри», который осуществит задуманное?»

Сегодня речь идет о социальной инженерии.

Социальную инженерию на данный момент можно в целом расценивать как хобби. Процесс как таковой появился гораздо раньше термина. Это не то, что требует компетенций инженера, понимания логики кода и т. д. Не замечали, как порой пролистывание ленты соцсетей отбирает часы? Как случайно вы находите неожиданных общих знакомых с друзьями из разных кругов общения, открывая про них что-то для себя новое? Бесконечно проваливаясь из одного аккаунта в другой. Кто-то делает это бесцельно, кто-то что-то ищет. Занятно, что двигателем здесь нередко выступает всего-навсего любопытство, искреннее, не подкрепленное финансовой подоплекой.

Что делать? Как искать? Можно ли по одной картинке или какому-то факту найти о человеке то, что хотелось бы отыскать? Данные, информацию, больше данных, больше информации... Это вообще можно как-то предотвратить?

Не хотелось бы отделываться общими ответами на поставленные вопросы. Мы не склонны верить теории, которая никак не подкреплена практикой. Что вполне логично, ведь заниматься безопасностью все равно что быть мнительным. А потому поступим наоборот, пойдем от практики к теории.

Возьмем простейший, но реальный кейс (имена заменены, любое сходство – чистая случайность):

Иван познакомился с человеком в Интернете на тематическом форуме, пообщались они недолго, но на его взгляд, интересно, во всяком случае для того, чтобы больше узнать о своем собеседнике. Они не успели обменяться контактами, да и никакой информацией, кроме имени и двух фото из профиля, Иван не располагал. Зато имел желание получить больше информации о своем новом приятеле.

Наш герой пошел от простого и начал поиск по фото в «Яндексе». И, нужно сказать, данный поисковик работает по соотечественникам просто отменно (ФСБ, ты ли это?..)! Буквально 15 минут – и Иван уже знает настоящее имя собеседника, находит пару старых аккаунтов на livejournal и еще на незнакомых Ивану сайтах, где когда-то, давным-давно регистрировался Николай (соль в том, что эти сайты предоставляют нужную информацию по поиску фото). Плюс из ценного – нашел небольшой пресс-релиз, судя по всему, писал релиз какой-то его знакомый. Из этих аккаунтов стал понятен общий круг интересов, сфера, где трудился в прошлом новый знакомый, а также некоторые персональные данные, в частности ФИО и дата рождения. Что немаловажно, Ивану стала окончательно ясна модель изъяснения и построения предложений, которой пользуется его жертва, что могло бы в теории ему пригодиться.

Вот с этой информацией Иван уже смело отправился за новыми данными в соцсети. Найти по ФИО и дате рождения «ВКонтакте»? – проще простого. Не вышло? Ничего страшного, посмотрите внимательнее другие источники (в данном кейсе livejournal), там есть информация о хобби и в нашем случае о некоторых местах работы жертвы. Иван отыскал группы фирм-работодателей «ВКонтакте», а там уже убедился, что нашел именно того человека, который был ему нужен.

Тайное в соцсетях стало явным. Иван уже знает о своем «собеседнике» достаточно, чтобы шокировать его объемом информации о нем самом. Только, а делать-то с этим что?

Продолжив копать информацию по группам «ВКонтакте», «Фейсбуке» и «Инстаграме», выяснил, что собеседник с форума, работает на заводе, который производит комплектующие для ядерных реакторов, используемых на АЭС. Иван был человеком, немного падким на несложные схемы заработка, но достаточно аккуратным, чтобы заниматься неправомерными вещами, видимо, у него еще не было предложения, которое бы перебивало все возможные риски, или сам он все же не из «плохих парней».

Определенная работа уже была проделана, какая-то информация уже была получена. А дальше что? Как это монетизировать? А можно ли вообще?

Иван зарегистрировал «левый» почтовый адрес на gmail, назвал его так, чтобы для Николая (сотрудника завода), адрес выглядел как вполне рабочий.

В фишинге он был не ас, но попытка не пытка. Отправил Николаю письмо на личную почту, информирующего характера, с предупреждением о том, что с личной почты запрещено вести рабочую переписку. Подтвердить прочтение Иван попросил уже с рабочей почты на свой подменный почтовый адрес.

Итоги шестичасовой работы

  • Удалось узнать персональные данные Николая (ФИО, дата рождения, личная почта, номер мобильного телефона).

  • Удалось узнать, где он работает.

  • Удачное фишинговое письмо, не имеющее вредоносных вложений, позволило узнать должность Николая. Он ожидаемо оказался не простым рабочим производства, а руководителем, пусть и низшего звена.

  • Посидев на hh.ru Иван узнал, что в компанию требуются Иб-специалисты, которые должны уметь работать с конкретными вендорами, то есть представление о средствах защиты формируется абсолютно реальное.

Иван понятия не имел, что с этой информацией делать дальше, копнул все же глубоко в рамках своих компетенций, с правовой стороны – на грани фола, но пока что чисто. Деяния Роскомнадзора в борьбе с «Телеграмом» позволили Ивану узнать о базовых постулатах анонимности в Интернете. Так он взял старый ноутбук, дюжину сим-карт с выходом в Интернет и onion-браузер, отыскал сайты, на которых на его информацию нашелся покупатель.

Иван получил свое вознаграждение за проделанную работу. Чем продолжилось и было ли продолжение – неизвестно. Новости с заголовком «Взлом» не было. Зато был выброс в СМИ с утечкой о том, что данное предприятие поставляло свои комплектующие по достаточно сомнительной схеме с целью обхода санкций… Связаны ли оба события между собой? История умалчивает.

Кто-то может быть первоклассным хакером, но плохим социальным инженером, кто-то наоборот. Часто такие люди находят друг друга в рамках единичного взаимодействия. Кто-то объединяет усилия, становясь группировкой с четко распределенными ролями. Стать хакером – сложно. Стать социальным инженером – любите социальные сети и умейте искать, будьте усидчивым. White Hat в социальной инженерии? Тоже вполне реально, делитесь своими информационными находками с их обладателями, давая рекомендация по анонимности в Сети.

Кто ищет, тот всегда найдет. Не так ли?

Несмотря на нововведение «ВКонтакте», которое позволяет закрыть страницу от всех посторонних лиц, фичей не пользуется и половина пользователей. Социальные сети учат людей вести жизнь «на показ», особенно молодое поколение. Чем охотно могут пользоваться злоумышленники и, скорее всего, это делают. Отдельного комментария здесь заслуживает «Инстаграм». Полагаю, у каждого есть такой друг, который постит в истории чуть ли не каждый свой шаг. И здесь «Инстаграм» открывает колоссальные возможности злоумышленникам. Где ты живешь, куда ходишь, на чем ездишь, куда ездишь, с кем etc. Благо есть возможность так же закрыть профиль, но, из практики, куда интереснее сделать его публичным (бизнес-аккаунт) и наблюдать за динамикой вовлеченности подписчиков в контент. Ну или если страница закрыта у вас, то не факт, что она закрыта у ваших друзей, с которыми вы часто проводите время, где есть информация и о вас. От себя рекомендую, хотя бы не заливать истории «здесь и сейчас», давайте хоть немного сбивать с толку тех, кто использует информацию в недобросовестных целях. HR-отделу, на мой взгляд, не стоит указывать в вакансиях ИБ-специалистов, с какими средствами защиты им предстоит иметь дело. Возможно, это усложнит и без того не тривиальный процесс поиска нужного сотрудника. Но я смотрю на это с точки зрения рисков безопасности. Безопасность никогда не будет равняться удобству, одним приходится жертвовать ради второго. В пользу чего? Решать вам.

С White-hat’ством в социальной инженерии есть одно большое «НО», такого рода умельцам не будут платить вознаграждение за находки, как, например, компании платят хакерам за информирование об обнаружении эксплоитов и уязвимостей. Благотворительных фондов в духе «Save your confidence» пока, насколько мне известно, замечено не было. Соответственно, наша анонимность в наших руках, ну либо в руках злоумышленников.

 

 

Ключевые слова: информационная безопасность

Горячие темы: Аксиомы кибербезопасности


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Компании сообщают

Мероприятия

19.11.2019 — 20.11.2019
MarTech Expo 2019

Москва, DigitalLoft

20.11.2019
BIS-2019

Санкт-Петербург, отель «Holiday Inn Московские ворота»,

28.11.2019
Второй Северо-Западный Форум

Санкт-Петербург, Гранд Отель Европа

03.12.2019
NetApp Insight Moscow 2019

Москва, Hyatt Regency Moscow Petrovsky Park