Несколько уловок социальной инженерии

Статья предназначена для белых шляп, профессиональных пентестеров и руководителей отделов информационной безопасности (CISO). Сегодня я хочу поделиться несколькими методами социальной инженерии, которые могут быть использованы в целевых атаках, то есть в тех случаях, когда выбирается конкретная жертва (человек или компания).

Целевые атаки занимают много времени на подготовку. Во время массовых атак легче заставить несколько человек перейти по вашей ссылке, но массовые атаки не очень подходят для тестов на проникновение. Пентестер не может позволить себе полагаться на теорию вероятностей и распространять свои мышеловки среди всех сотрудников организации в надежде, что кого-то поймают. Один или два бдительных пользователя обязательно уведомят об этом менеджера безопасности, и пентест провалится. Тщательная подготовка необходима для каждой новой компании и инфраструктуры. Методы социального инженера должны быть нестандартными.

Правила безопасности всегда пишутся постфактум, и поэтому они инертны и слабо защищают от новых угроз. Необходимость грабить банки с оружием уже прошла. Сегодня электронной почты достаточно, чтобы проникнуть в большинство организаций. Однако во многих, даже крупных компаниях старые стереотипы все еще присутствуют. Они уделяют большое внимание физической безопасности, считая цифровой менее важным.

ИТ-специалисты не устали постоянно повторять, что социальная инженерия — самое большое зло в мире информационной безопасности. В то же время многие «охранники» по-прежнему считают, что для защиты от хакерских атак достаточно определенного программного обеспечения для обеспечения безопасности и письменных инструкций для сотрудников.

Зло @ знак

Этот метод социальной инженерии не будет эффективен с внимательными сотрудниками, но если бы все пользователи были внимательны, социальная инженерия как таковая не существовала бы.

Для тех, кто привык смотреть, что происходит сразу после https: // при проверке безопасности URL, такая ссылка: https: //bankname.com@hacksite.com ни к чему хорошему не приведет.

Все действительные символы для URL задокументированы в RFC 1738. Символ @ используется в URL в качестве специального разделителя, когда вам нужно дать разрешение на доступ к странице непосредственно в URL. Он должен выглядеть следующим образом: https: // @, Таким образом, вы можете поставить что-нибудь перед @. Браузер все равно отправит пользователя на хост, указанный после @.

Злая кодировка

Давайте добавим к нашему URL несколько арабских или ивритских символов, закодированных в UTF-8> HEX, чтобы он начал выглядеть непостижимым для людей и казаться безопасным на первый взгляд:

https: //bankname.com@%D0%B9%32%D1%D1%81%D0%B0%D0%B9%

Когда вы наводите курсор мыши на закодированный URL-адрес, браузеры на рабочем столе декодируют символы, но этого не происходит с почтовым клиентом Outlook и браузерами на мобильных устройствах.

Предварительный просмотр переполнения

Вы, наверное, уже знаете, что настоящее расширение файла может быть скрыто с помощью встроенного в Windows ограничения, определяющего длину линии расширения. Нечто подобное можно использовать и с URL. Злые ссылки, например, могут выглядеть так:

https://bankname.com:eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee@hacksite.com/nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn.html

Вместо eeee и nnnn вы можете указать другие ключевые слова, которые обычно используются на исходном сайте.

В Firefox такие длинные строки укорачиваются посередине, поэтому часть с hacksite.com не видна. Вы можете видеть только те символы, которые не выглядят подозрительно:

https://bankname.com:eeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeeee…nnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnnn.html

Различные браузеры по-разному обрабатывают длинные URL-адреса. Есть трюки для Edge и Chrome. Точный метод выбирается, когда браузер жертвы известен.

Обычная почта и социальная инженерия

Если жертва занимает руководящую должность в целевой компании, вы можете попытаться использовать его чувство собственной значимости. Создается фальшивый сайт, который спроектирован как конференция, бизнес-мероприятие, бизнес-форум и т. Д. Теперь вам нужно заставить жертву посетить этот сайт. Почему бы не отправить бумажное письмо? Здесь вы обязательно обойдете все механизмы цифровой защиты и даже межсетевой экран нейронной сети в виде секретаря, потому что, по ее мнению, если она выбросит такое письмо в мусорную корзину, ее начальник не будет счастлив.

Конверт и письмо имеют профессиональный дизайн. Содержание звучит очень привлекательно — приглашение принять участие в пафосном мероприятии в качестве докладчика или члена жюри, лауреата престижной премии и т. Д. В конце письма предлагается заполнить регистрационную форму участника. Там может быть напечатан QR-код или URL-адрес веб-сайта.

Личное или общедоступное?

Следующие несколько методов социальной инженерии относятся к атакам на организацию с использованием информации о личной жизни конкретного сотрудника. Говоря о защите от социальной инженерии, все люди должны соблюдать правила безопасности не только ради организаций, в которых они работают, но, прежде всего, ради собственной безопасности.

Если вы просматриваете аккаунты пользователя в социальных сетях, обратите внимание на места, где он недавно отдыхал. Если вы укажете название отеля, не стесняйтесь писать от имени администрации отеля и требовать дополнительную плату за услугу. В письме добавьте примечание, что это сообщение генерируется автоматически, и для ответа вам необходимо воспользоваться формой на официальном сайте в разделе поддержки клиентов. После предоставления поддельной ссылки предложите жертве войти в систему. Кто знает, может, он использует тот же самый номер / пароль на других сайтах.

Если потенциальная жертва предпочитает летать Southwest Airlines, напишите, что он срочно
Необходимо активировать дополнительную программу бонусных миль, чтобы удвоить его общее количество.

Недавно жертва присутствовала на мероприятии? Вы можете попросить его войти (используя вашу ссылку), чтобы получить дополнительные важные материалы конференции и скидку на участие в следующем мероприятии.

Таким образом, что жертва ничего не подозревает после входа в систему, его можно перенаправить на страницу 404, сообщив, что что-то пошло не так, или перенаправить на домашнюю страницу реального сайта.

Здесь были описаны несколько методов фишинга. Этого достаточно часто. Истинное зло, однако, на этом не остановится и будет использовать уязвимости браузера и вредоносные файлы для заражения устройства жертвы, но это уже техническая часть, а не социальная.

СМС перенаправления

Давайте посмотрим, как с помощью фишинга вы можете получить доступ к онлайн-сервисам сотрудника, защищенным многофакторной аутентификацией.

Сотруднику отправляется SMS с просьбой сделать что-то в кабинете своего мобильного оператора. Лучше выбрать страшную причину (или поиграть с жадностью), чтобы жертва пошла туда прямо сейчас, а не для того, чтобы вызвать техническую поддержку. Вам просто нужно знать, какому оператору принадлежит его номер телефона, и дать подходящую фишинговую ссылку. Получив доступ к мобильной учетной записи, человек со злонамеренными намерениями настраивает свой телефон для получения SMS в разделе «Пересылка сообщений». Большинство поставщиков мобильных услуг предлагают гибкие правила для настройки перенаправлений. Например, вы можете указать конкретные временные рамки для переадресации.

бонус

Наконец, я приведу еще несколько советов:

1) Отправьте письмо на корпоративный адрес электронной почты целевой компании, получите ответ и посмотрите, как отформатировано сообщение. Затем скопируйте этот дизайн сообщения для ваших фишинговых сообщений от имени этой компании.

2) Услышав сообщение автоответчика о том, что сотрудник находится в отпуске, вы можете писать от его имени письма другим сотрудникам (предположительно из личного, не корпоративного электронного письма), а также делать посты в социальных сетях из его « вторичный аккаунт. »

3) Новое направление в социальной инженерии называется Find Trap. Это способ, когда жертва получает информационную приманку и начинает искать дополнительные детали с помощью поисковых систем. Жертва находит ваш сайт, так как все предназначено для отображения вашего сайта в верхней части результатов поиска.

Вывод

Вы, наверное, много знаете о технических механизмах защиты от хакерских атак. К сожалению, их недостаточно. Независимо от того, какие технологии безопасности вы используете, все становится бессмысленным, если сотрудники открывают подозрительные вложения, нажимают на фишинговые ссылки или используют слабые пароли. Поэтому крайне важно систематически обучать своих сотрудников, чтобы не поддаваться на уловки социальных инженеров.

————————————————— ————————————————

Об авторе:

Дэвид Балабан — специалист по кибербезопасности для TechShielder.com, Его ключевые компетенции включают анализ вредоносных программ, конфиденциальность в Интернете и тестирование программного обеспечения. Кроме того, он делает все возможное, чтобы быть в курсе событий, связанных с электронными угрозами, и следить за развитием компьютерных вирусов.
Имея за плечами 15-летний опыт, Дэвид знает, как работает безопасность и насколько важно поддерживать конфиденциальность в Интернете.



Источник: Несколько уловок социальной инженерии


Похожие материалы по теме: Несколько уловок социальной инженерии

Leave a comment