Эксперт по социальной инженерии Крис Хэднаги делится сочными историями об успешных махинациях, которых он видел в качестве консультанта по безопасности, и шестью советами по предотвращению.
Крису Хэднаги платят за то, чтобы он дурачил людей, и с годами он неплохо в этом преуспел. Соучредитель social-engineering.org и автор книги «Социальная инженерия: искусство взлома человека», Хаднаги уже более десяти лет использует тактику манипуляции, чтобы показать клиентам, как преступники получают инсайдерскую информацию.
Хаднаги обрисовывает в общих чертах три запоминающихся истории тестов социальной инженерии, которые он включил в свою новую книгу, и указывает, чему организации могут научиться из этих результатов.
Самоуверенный генеральный директор
В одном тематическом исследовании Хаднаги описывает, как его наняли в качестве аудитора SE, чтобы получить доступ к серверам полиграфической компании, у которой были некоторые проприетарные процессы и поставщики, за которыми охотились конкуренты. Во время телефонной встречи с деловым партнером Хаднаги генеральный директор сообщил ему, что «взломать его будет практически невозможно», потому что он «хранил свои секреты своей жизнью».
Расширение масштабов предотвращения и обнаружения мошенничества и кибербезопасности.
«Он был тем парнем, который никогда не попадется на эту удочку», - сказал Хэднаги. «Он думал, что кто-то, вероятно, позвонит и спросит его пароль, и был готов к такому подходу».
После сбора некоторой информации Хаднаги обнаружил расположение серверов, IP-адреса, адреса электронной почты, номера телефонов, физические адреса, почтовые серверы, имена и должности сотрудников и многое другое. Но настоящий приз знаний пришел, когда Хаднаги удалось узнать, что у генерального директора есть член семьи, который боролся с раком и выжил. В результате он заинтересовался и принял участие в сборе средств и исследованиях рака. Через Facebook он также смог получить другие личные данные о генеральном директоре, такие как его любимый ресторан и спортивная команда.
Вооруженный информацией, он был готов нанести удар. Он позвонил генеральному директору и представился сборщиком средств от благотворительной организации по борьбе с раком, с которой генеральный директор имел дело в прошлом. Он сообщил ему, что они предлагают розыгрыш призов в обмен на пожертвования - и среди призов были билеты на игру его любимой спортивной команды, а также подарочные сертификаты в несколько ресторанов, в том числе в его любимое заведение.
Генеральный директор укусил и согласился позволить Хэднаги прислать ему PDF-файл с дополнительной информацией о движении фонда. Ему даже удалось заставить генерального директора сказать ему, какую версию Adobe Reader он использует, потому что он сказал генеральному директору: «Я хочу убедиться, что отправляю вам PDF-файл, который вы можете прочитать». Вскоре после того, как он отправил PDF-файл, генеральный директор открыл его, установив оболочку, которая позволила Хаднаги получить доступ к его машине.
Когда Хаднаги и его партнер сообщили компании об успехе взлома компьютера генерального директора, генеральный директор был по понятным причинам рассержен, сказал Хаднаги.
«Он считал несправедливым, что мы использовали что-то подобное, но так устроен мир», - сказал Хаднаги. «Злонамеренный хакер не подумает дважды, прежде чем использовать эту информацию против себя».
Вывод 1. Никакая информация, независимо от ее личного или эмоционального характера, не является закрытой для социального инженера, стремящегося причинить вред.
Вывод 2: часто именно тот, кто считает себя наиболее защищенным, представляет наибольшую уязвимость. Один консультант по безопасности недавно сказал CSO, что руководители - это самая легкая цель социальной инженерии.
Скандал вокруг тематического парка
Целью этого следующего тематического исследования был клиент тематического парка, который был обеспокоен потенциальной компрометацией его системы продажи билетов. Компьютеры, используемые для регистрации посетителей, также содержали ссылки на серверы, информацию о клиентах и финансовые записи. Клиент был обеспокоен тем, что в случае взлома компьютера регистрации может произойти серьезная утечка данных.
Хаднаги начал свой тест с того, что позвонил в парк, представившись продавцом программного обеспечения. Он предлагал новый тип программного обеспечения для чтения PDF-файлов, которое он хотел, чтобы парк опробовал пробное предложение. Он спросил, какую версию они сейчас используют, легко получил информацию и был готов ко второму шагу.
На следующем этапе потребовалась социальная инженерия на месте, и Хаднаги использовал свою семью, чтобы добиться успеха. Подойдя к одной из касс с женой и ребенком на буксире, он спросил одного из сотрудников, могут ли они использовать свой компьютер, чтобы открыть файл из его электронной почты. Письмо содержало вложение в формате pdf для купона, дающего им скидку на вход.
«Все могло пойти на юг, если бы она сказала:« Нет, извините, я не могу этого сделать», - объяснил Хаднаги. «Но выглядеть как папа с ребенком, стремящимся попасть в парк, дергает за струны сердца».
Сотрудник согласился, и компьютерная система парка была быстро взломана плохим PDF-файлом Хаднаги. Через несколько минут партнер Хаднаги написал ему, чтобы сообщить, что он «в деле», и «собирает информацию для своего отчета».
Хаднаги также отмечает, что, хотя политика сотрудников парка гласит, что они не должны открывать вложения из неизвестных источников (даже если клиент нуждается в помощи), не было никаких правил, которые бы фактически обеспечивали ее соблюдение.
«Люди готовы на многое, чтобы помочь другим», - сказал Хаднаги.
Вывод 3: Политика безопасности хороша лишь в том случае, если она обеспечивает соблюдение
Вывод 4: Преступники часто играют на благонравии сотрудника и желают ему помочь.
Хакер взломан
Хаднаги приводит третий пример, показывающий, как социальная инженерия использовалась в оборонительных целях. Он описывает «Джона», тестера на проникновение, нанятого для проведения стандартного теста проникновения в сеть для клиента. Он запустил сканирование с помощью Metasploit, которое выявило открытый сервер VNC (виртуальные сетевые вычисления), сервер, который позволяет управлять другими машинами в сети.
Он документировал находку с открытым сеансом VNC, когда внезапно в фоновом режиме по экрану начала перемещаться мышь. Джон новый, это был красный флаг, потому что в то время, когда это происходило, ни один пользователь не мог быть подключен к сети по законной причине. Он подозревал, что в сети был злоумышленник.
Рискнув, Джон открыл Блокнот и начал болтать со злоумышленником, представившись хакером «n00b», новичком и неквалифицированным человеком.
«Он подумал:«Как я могу получить больше информации от этого парня и быть более ценным для моего клиента?», - сказал Хаднаги. «Джон сыграл на эго этого парня, пытаясь представить, что он новичок, который хочет узнать больше от опытного хакера».
Джон задал хакеру несколько вопросов, притворившись более молодым человеком, который хотел научиться некоторым хитростям хакерского дела и который хотел поддерживать связь с другим хакером. К тому времени, когда беседа закончилась, у него был адрес электронной почты злоумышленника, его контактная информация и даже его фотография. Он сообщил информацию своему клиенту, и проблема легкого доступа к системе также была исправлена.
Хаднаги также отмечает, что Джон узнал из разговора с хакером, что хакер на самом деле не нацелился на взломанную им компанию, он просто искал что-то, что легко скомпрометировать, и довольно легко нашел эту открытую систему.
Вывод 5: Социальная инженерия может быть частью стратегии защиты организации
Вывод 6: Преступники часто выбирают низко висящие плоды. Любой может стать целью, если уровень безопасности низкий
Крису Хэднаги платят за то, чтобы он дурачил людей, и с годами он неплохо в этом преуспел. Соучредитель social-engineering.org и автор книги «Социальная инженерия: искусство взлома человека», Хаднаги уже более десяти лет использует тактику манипуляции, чтобы показать клиентам, как преступники получают инсайдерскую информацию.
Хаднаги обрисовывает в общих чертах три запоминающихся истории тестов социальной инженерии, которые он включил в свою новую книгу, и указывает, чему организации могут научиться из этих результатов.
Самоуверенный генеральный директор
В одном тематическом исследовании Хаднаги описывает, как его наняли в качестве аудитора SE, чтобы получить доступ к серверам полиграфической компании, у которой были некоторые проприетарные процессы и поставщики, за которыми охотились конкуренты. Во время телефонной встречи с деловым партнером Хаднаги генеральный директор сообщил ему, что «взломать его будет практически невозможно», потому что он «хранил свои секреты своей жизнью».
Расширение масштабов предотвращения и обнаружения мошенничества и кибербезопасности.
«Он был тем парнем, который никогда не попадется на эту удочку», - сказал Хэднаги. «Он думал, что кто-то, вероятно, позвонит и спросит его пароль, и был готов к такому подходу».
После сбора некоторой информации Хаднаги обнаружил расположение серверов, IP-адреса, адреса электронной почты, номера телефонов, физические адреса, почтовые серверы, имена и должности сотрудников и многое другое. Но настоящий приз знаний пришел, когда Хаднаги удалось узнать, что у генерального директора есть член семьи, который боролся с раком и выжил. В результате он заинтересовался и принял участие в сборе средств и исследованиях рака. Через Facebook он также смог получить другие личные данные о генеральном директоре, такие как его любимый ресторан и спортивная команда.
Вооруженный информацией, он был готов нанести удар. Он позвонил генеральному директору и представился сборщиком средств от благотворительной организации по борьбе с раком, с которой генеральный директор имел дело в прошлом. Он сообщил ему, что они предлагают розыгрыш призов в обмен на пожертвования - и среди призов были билеты на игру его любимой спортивной команды, а также подарочные сертификаты в несколько ресторанов, в том числе в его любимое заведение.
Генеральный директор укусил и согласился позволить Хэднаги прислать ему PDF-файл с дополнительной информацией о движении фонда. Ему даже удалось заставить генерального директора сказать ему, какую версию Adobe Reader он использует, потому что он сказал генеральному директору: «Я хочу убедиться, что отправляю вам PDF-файл, который вы можете прочитать». Вскоре после того, как он отправил PDF-файл, генеральный директор открыл его, установив оболочку, которая позволила Хаднаги получить доступ к его машине.
Когда Хаднаги и его партнер сообщили компании об успехе взлома компьютера генерального директора, генеральный директор был по понятным причинам рассержен, сказал Хаднаги.
«Он считал несправедливым, что мы использовали что-то подобное, но так устроен мир», - сказал Хаднаги. «Злонамеренный хакер не подумает дважды, прежде чем использовать эту информацию против себя».
Вывод 1. Никакая информация, независимо от ее личного или эмоционального характера, не является закрытой для социального инженера, стремящегося причинить вред.
Вывод 2: часто именно тот, кто считает себя наиболее защищенным, представляет наибольшую уязвимость. Один консультант по безопасности недавно сказал CSO, что руководители - это самая легкая цель социальной инженерии.
Скандал вокруг тематического парка
Целью этого следующего тематического исследования был клиент тематического парка, который был обеспокоен потенциальной компрометацией его системы продажи билетов. Компьютеры, используемые для регистрации посетителей, также содержали ссылки на серверы, информацию о клиентах и финансовые записи. Клиент был обеспокоен тем, что в случае взлома компьютера регистрации может произойти серьезная утечка данных.
Хаднаги начал свой тест с того, что позвонил в парк, представившись продавцом программного обеспечения. Он предлагал новый тип программного обеспечения для чтения PDF-файлов, которое он хотел, чтобы парк опробовал пробное предложение. Он спросил, какую версию они сейчас используют, легко получил информацию и был готов ко второму шагу.
На следующем этапе потребовалась социальная инженерия на месте, и Хаднаги использовал свою семью, чтобы добиться успеха. Подойдя к одной из касс с женой и ребенком на буксире, он спросил одного из сотрудников, могут ли они использовать свой компьютер, чтобы открыть файл из его электронной почты. Письмо содержало вложение в формате pdf для купона, дающего им скидку на вход.
«Все могло пойти на юг, если бы она сказала:« Нет, извините, я не могу этого сделать», - объяснил Хаднаги. «Но выглядеть как папа с ребенком, стремящимся попасть в парк, дергает за струны сердца».
Сотрудник согласился, и компьютерная система парка была быстро взломана плохим PDF-файлом Хаднаги. Через несколько минут партнер Хаднаги написал ему, чтобы сообщить, что он «в деле», и «собирает информацию для своего отчета».
Хаднаги также отмечает, что, хотя политика сотрудников парка гласит, что они не должны открывать вложения из неизвестных источников (даже если клиент нуждается в помощи), не было никаких правил, которые бы фактически обеспечивали ее соблюдение.
«Люди готовы на многое, чтобы помочь другим», - сказал Хаднаги.
Вывод 3: Политика безопасности хороша лишь в том случае, если она обеспечивает соблюдение
Вывод 4: Преступники часто играют на благонравии сотрудника и желают ему помочь.
Хакер взломан
Хаднаги приводит третий пример, показывающий, как социальная инженерия использовалась в оборонительных целях. Он описывает «Джона», тестера на проникновение, нанятого для проведения стандартного теста проникновения в сеть для клиента. Он запустил сканирование с помощью Metasploit, которое выявило открытый сервер VNC (виртуальные сетевые вычисления), сервер, который позволяет управлять другими машинами в сети.
Он документировал находку с открытым сеансом VNC, когда внезапно в фоновом режиме по экрану начала перемещаться мышь. Джон новый, это был красный флаг, потому что в то время, когда это происходило, ни один пользователь не мог быть подключен к сети по законной причине. Он подозревал, что в сети был злоумышленник.
Рискнув, Джон открыл Блокнот и начал болтать со злоумышленником, представившись хакером «n00b», новичком и неквалифицированным человеком.
«Он подумал:«Как я могу получить больше информации от этого парня и быть более ценным для моего клиента?», - сказал Хаднаги. «Джон сыграл на эго этого парня, пытаясь представить, что он новичок, который хочет узнать больше от опытного хакера».
Джон задал хакеру несколько вопросов, притворившись более молодым человеком, который хотел научиться некоторым хитростям хакерского дела и который хотел поддерживать связь с другим хакером. К тому времени, когда беседа закончилась, у него был адрес электронной почты злоумышленника, его контактная информация и даже его фотография. Он сообщил информацию своему клиенту, и проблема легкого доступа к системе также была исправлена.
Хаднаги также отмечает, что Джон узнал из разговора с хакером, что хакер на самом деле не нацелился на взломанную им компанию, он просто искал что-то, что легко скомпрометировать, и довольно легко нашел эту открытую систему.
Вывод 5: Социальная инженерия может быть частью стратегии защиты организации
Вывод 6: Преступники часто выбирают низко висящие плоды. Любой может стать целью, если уровень безопасности низкий
