Перейти к публикации
worldcup

Оружие массового заблуждения. Разбираем 10 простых рецептов социальной инженерии.

Рекомендованные сообщения

Социальная инженерия обычно считается частью таргетированной атаки, но что, если применять подобные схемы массово? Я разработал и протестировал десять таких сценариев, чтобы понять, как люди будут на них реагировать и какие могут быть последствия.

Я часто слышу, что среди всех видов атак на организации социальная инженерия считается якобы самым разрушительным и опасным. Но почему же тогда на каждой конференции по информационной безопасности этому вопросу не отводится отдельный блок?

При этом большинство кейсов в русскоговорящем сегменте интернета приводится из иностранных источников и историй Кевина Митника. Я не утверждаю, что в Рунете таких случаев мало, просто о них почему-то не говорят. Я решил разобраться в том, насколько в реальности опасна социальная инженерия, и прикинуть, какими могут быть последствия ее массового применения.

Социальная инженерия в ИБ и пентестинге обычно ассоциируется с точечной атакой на конкретную организацию. В этой подборке кейсов я хочу рассмотреть несколько способов применения социальной инженерии, когда «атаки» производились массово (без разбора) или массово-таргетированно (по организациям определенной сферы).

Давай определимся с понятиями, чтобы было ясно, что я имею в виду. Я буду использовать термин «социальная инженерия» в следующем значении: «совокупность методов достижения цели, основанная на использовании слабостей человека». Не всегда это что-то криминальное, но это определенно имеет негативный окрас и ассоциируется с обманом, мошенничеством, манипулированием и тому подобными вещами. А вот всякие психологические штучки по выбиванию скидки в магазине — это не социальная инженерия.

Сразу скажу, в данной сфере я выступал лишь как исследователь, никаких вредоносных сайтов и файлов я не создавал. Если кому-то приходило письмо от меня со ссылкой на сайт, то этот сайт был безопасен. Самое страшное, что там могло быть, — это отслеживание пользователя счетчиком «Яндекс.Метрики».

Наверняка ты слышал про спам с «актами выполненных работ» или договорами, в которые вшиты трояны. Такой рассылкой бухгалтеров уже не удивишь. Или всплывающие окна с «рекомендациями» скачать плагин для просмотра видео — это уже скучно. Я разработал несколько менее очевидных сценариев и представляю их здесь в качестве пищи для размышлений. Надеюсь, что они не станут руководством к действию, а, наоборот, помогут сделать Рунет безопаснее.

Что проще хакнуть — софт или человека?

  • Софт. Его можно изучать хоть побитно, не вызывая подозрений, и самому найти новые уязвимости.
  • Человека. Эксплоиты быстро устаревают, а у людей есть стандартные уязвимые поведенческие модели.
  • Гибридная атака эффективнее. Берём популярный софт и думаем, как с его помощью сыграть на человеческих слабостях.

 «Фейковая подписка на рассылку»

Вот совсем уж простой способ заставить человека перейти на сайт по ссылке в письме. Пишем текст: «Спасибо, что подписались на нашу рассылку! Ежедневно вы будете получать прайс-лист железобетонной продукции. С уважением, …». Дальше добавляем ссылку «Отписаться от рассылки», которая будет вести на наш сайт. Конечно, никто на эту рассылку не подписывался, но ты удивишься, узнав число спешно отписывающихся.

Кто чаще всего становится жертвой таргетированного фишинга?

  • Рядовые сотрудники. Они не разбираются в ИТ (65%)
  • Служба безопасности. Они считают себя умнее хакеров и нарушают собственные правила (21%)
  • Руководители. Их аккаунты открывают доступ к коммерческой тайне (14%)

 «Майнинг имейлов»

Чтобы составить свою базу, необязательно даже писать собственный краулер и обходить сайты в поисках плохо лежащих адресов. Достаточно списка всех русскоязычных доменов, которых сейчас насчитывается около пяти миллионов. Добавляем к ним [email protected], проверяем получившиеся адреса и в итоге имеем где-то 500 тысяч рабочих почт. Точно так же можно приписывать director, dir, admin, buhgalter, bg, hr и так далее. Под каждый из этих отделов готовим письмо, рассылаем и получаем от сотен до тысяч ответов от сотрудников определенной сферы деятельности.

«Мультилендинг»

К этому способу нужно будет подготовиться. Создаем сайт-одностраничник, оформляем под новостной ресурс. Ставим скрипт, который меняет текст на сайте в зависимости от того, по какой ссылке человек перешел.

Делаем рассылку по базе, состоящей из адресов и названий компаний. В каждом письме — уникальная ссылка на наш новостной ресурс, например news.ru/?1234. Параметр 1234 привязывается к определенному названию компании. Скрипт на сайте определяет, по какой ссылке пришел посетитель, и показывает в тексте название компании, соответствующее почте из базы.

Зайдя на сайт, сотрудник увидит заголовок «Компания … (название компании жертвы) снова бесчинствует». Далее идет короткая новость с какими-нибудь небылицами, а в ней — ссылка на архив с разоблачительными материалами (трояном).

Выводы

Понятно, что в атаках на крупные организации массовая рассылка не поможет, — там нужен индивидуальный подход. А вот малый бизнес, где слыхом не слыхивали ни про какую социальную инженерию, легко может пострадать от таких атак.


View full article

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

не совсем конечно рецепты, но польза есть от инфы

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

майнинг имейлов занятная тема. Оригинально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да Сб  в крупных фирмах тоже такое себе.
Калава Кутятишна во всех фирмах есть.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да даже если эта клава и нажмёт на ссылку, то софт её заблочит.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Присоединяйтесь к обсуждению

Вы можете опубликовать сообщение сейчас, а зарегистрироваться позже. Если у вас есть аккаунт, войдите в него для написания от своего имени.
Примечание: вашему сообщению потребуется утверждение модератора, прежде чем оно станет доступным.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.


×
×
  • Создать...