Перед социальной инженерией все равны

С

разу хочу подчеркнуть, что социальную инженерию можно применять не только к простакам и дуракам. Ее методы действуют на всех нас. Если подобрать правильное эмоциональное воздействие, осуществить его в правильной ситуации с использованием правильной легенды, то в роли жертвы сможет оказаться любой.

Меня часто спрашивают, попадался ли я сам на удочку социальных инженеров-мошенников. К сожалению, попадался. Грамотное эмоциональное воздействие, осуществленное в правильное время, заставили меня купиться на фишинг. К счастью, я отделался легко, но потом было стыдно. Впрочем, мне повезло: я знал, как действовать, чтобы быстро нивелировать последствия. У меня был ПМиП (которому посвящена вся десятая глава этой книги).

Я не любитель слоганов в духе «Нет пределов человеческой глупости». Понятное дело, многие проблемы, связанные с обеспечением безопасности, возникают вследствие лени, а иногда и действительно глупости. Но это вовсе не значит, что мошенники способны обмануть только дураков.

Например, однажды на пресловутое «нигерийское письмо» повелся университетский профессор. Причем он поверил мошенникам до такой степени, что не только опустошил семейный бюджет, но и залез в университетскую казну. Даже после того, как его поймали с поличным и за дело взялось ФБР, профессор обвинял федеральных агентов в желании забрать его деньги и самим поживиться миллионами, которые вот-вот перечислят на его счет.

 

ОБРАТИТЕ ВНИМАНИЕ

«Нигерийские письма» (они же «схема 419») получили свое название благодаря нигерийскому закону по борьбе с мошенничеством. Обычно эти письма начинались с фразы в духе «Я наследный принц с состоянием в миллионы долларов…», хотя в последнее время все чаще пишутся от лица попавшей в беду вдовы. В любом случае эта схема продолжает работать на людях, которые надеются получить огромную прибыль за небольшое вложение.

 

Согласитесь, глупый поступок. Но это — легкий ответ для тех, кто не хочет разбираться в деталях. Я же предлагаю проанализировать все обстоятельства в целом и подумать о том, что заставило профессора так упорно продолжать верить мошенникам:

• Он столкнулся с серьезными денежными трудностями, а мошенники дали ему надежду на финансовую свободу.

• Когда профессор увидел огромные суммы, которые должны были в итоге оказаться на его банковском счете, им овладела жадность.

• Однажды вложившись, он хотел быть последовательным и не противоречить принятым ранее решениям.

• Он был уверен, что помогает жителю страны третьего мира, а заодно и себе.

 

Если смотреть на ситуацию с этой точки зрения, несложно понять, почему профессор поверил в мошенничество, которое разрушило его жизнь, пошел на воровство и даже обманул жену. Он руководствовался надеждой, жадностью и желанием оставаться последовательным, помогая другому человеку и себе.

Уже и не сосчитаю, сколько раз руководители разных уровней заявляли, что ни за что не поведутся на мой «развод» — и сколько раз потом злились на самих себя за слив информации, необходимой для получения удаленного доступа в ходе пентеста. Жертвой атаки может стать любой человек, вне зависимости от положения в корпоративной иерархии.

Принципы пентестинга

П

ентестинг (или тестирование на проникновение) заказывают компании, желающие проверить, насколько их корпоративная сеть защищена от посягательств профессиональных взломщиков. Главная цель подобных мероприятий — выявить существующие в системе проблемы и найти для них решение до того, как уязвимостью воспользуются реальные преступники.

Со временем пентестинг превратился в стандартный инструмент обеспечения безопасности, и отделы корпоративного регулирования во многих компаниях требуют проводить подобные проверки ежегодно. Однако законов, которые требовали бы использования социальной инженерии в ходе пентестинга, на государственном уровне сейчас существует немного.

Поэтому компании, стремящиеся просто поставить галочку в графе «проверка безопасности», обычно оказываются не лучшими клиентами. Они заказывают проверки, повинуясь требованиям, а не потому, что видят необходимость подобных мероприятий. Как дети, которые убирают за собой на кухне не потому, что любят чистоту или хотят вас удивить, а потому, что вы их заставили.

Существует несколько утвержденных стандартов в отношении пентестинга, а также ряд нормативных требований, на основе которых пентестеры могут подобрать подходящие практики для решения профессиональных задач. В 2009 году я начал разрабатывать системный подход к пониманию социальной инженерии (своего рода СИ-фреймворк), который и лег в основу ресурса https://www.social-engineer.org/. В настоящий момент многие организации по всему миру используют эту систему для описания оказываемых в ходе пентестинга услуг. И несмотря на это, нельзя сказать, что стандарты социальной инженерии разработаны и утверждены. Думаю, в первую очередь это связано с динамической природой социальной инженерии, из-за которой практически невозможно заранее распланировать все аспекты воздействия на людей.

Тем не менее можно выделить определенные фазы, из которых состоит любая социально-инженерная атака (см. схему на илл. 9.1).

Информация — важнейшая часть любой такой атаки, поэтому первый шаг — это всегда сбор данных из открытых и иных источников. Невозможно спланировать атаку, не собрав предварительно все необходимые данные.

 

 

 

После проведения сбора данных из открытых источников вы узнаете, как в компании используются социальные сети и другие средства коммуникации, где расположены офисы. В вашем распоряжении будут и другие подробности внутренних корпоративных механизмов — а значит, вам будет намного проще разработать подходящую и эффективную легенду.

Дальше логично перейти к планированию векторов атаки. Будете ли вы устраивать фишинговую рассылку? Или собирать личную информацию с помощью вишинга? Может, нужно будет использовать мобильные устройства? Придется ли пробираться на территорию компании? А может, стоит использовать сразу несколько векторов? Все эти вопросы помогут составить полноценный план атаки.

После составления плана можно будет переходить к его реализации: сбору данных на всех этапах атаки и подготовке отчета о проделанной работе. На практике, однако, нередко оказывается, что провести пентест в строгом соответствии с этими шагами не удается. Скажем, вы завершили сбор данных из открытых источников, на основании которого выбрали отличный вектор атаки, но затем выяснилось, что без сбора дополнительной информации не обойтись — в таком случае логично вернуться к первому шагу.

Вне зависимости от того, какую последовательность шагов необходимо будет осуществить для проведения конкретной операции, в процессе пентестинга всегда должны учитываться следующие принципы:

• Необходимо заранее понимать, собираетесь ли вы записывать телефонные разговоры. Во многих штатах запись разговоров без согласия собеседника считается нарушением закона. Не стоит полагать, что, наняв вас, клиент автоматически дал согласие на любые действия с вашей стороны. То же самое касается записи видео в процессе проникновения на территорию объекта. Обязательно давайте клиенту подписывать официальное согласие на подобные действия.

• Не думайте, что клиент представляет себе все необходимые для проведения социально-инженерного пентеста шаги. Проговаривайте все услуги, которые готовы предложить, чтобы заказчик ясно представил себе, чего ожидать. Такое обсуждение позволит ему задать вам всевозможные вопросы, ответив на которые вы сможете свободно и не создавая ни для кого проблем двигаться дальше.

• Обязательно расписывайте все шаги поиска через Google и называйте инструменты, которые используете в ходе подготовки. При желании клиент должен иметь возможность повторить ваши действия.

• Некоторые пентестеры переживают, что тем самым лишат себя работы: якобы после этого клиент сможет проводить проверки самостоятельно. Но за годы работы я ни разу не потерял заказчика из-за того, что слишком многому его научил.

• Процесс так же важен, как и результат.

Да, вы можете сообщить клиенту, что 90 % получателей перешли по ссылке из письма, а 47 % сотрудников, которым вы звонили, сообщили свои идентификационные данные по телефону. Получится пугающая статистика, но ведь это еще не все. Вы должны объяснить заказчику каждый проделанный в процессе подготовки шаг, мотивировать выбор конкретного вектора атаки, а также выделить людей, которые не повелись на ваши уловки, — потому что все это не менее важно, чем цифры и проценты.

• Не стоит активно публиковать в социальных сетях информацию об эксплойтах, которые сработали на ваших клиентах. (Очень неприятно бывает сталкиваться со специалистами, которые это практикуют.)

• Представьте, что вы обратились к врачу за весьма неприятной процедурой, в ходе которой он побывал в таких закоулках вашего тела, куда никому не стоит соваться. Этот опыт был для вас крайне неприятным, возможно даже болезненным, и уж точно заставил вас покраснеть. Но процедура наконец завершена, и врач на минуту отлучился из кабинета. Ожидая его возвращения, вы достали телефон, чтобы глянуть, не написал ли кто чего-то важного в соцсетях. Как вдруг увидели свежий твит своего врача: «Зацените размер опухоли, которую я только что нашел у одного жирного недотепы. Ахах». Да, имени вашего он не называл и лица вашего никто не увидит, но тем не менее, что вы почувствовали бы? Понравился бы вам такой доктор? Поверили бы вы, что он желает вам добра? Я бы точно не вернулся к такому врачу.

То же самое касается постов о том, как легко вам удалось проникнуть в офис клиента или как плохо у него организована охрана. Такие публикации заставляют людей ощущать стыд. Делать их просто непрофессионально.

 

На эти пять принципов можно ориентироваться при подготовке любой операции. И прежде чем переходить к правилам организации каждого из векторов атаки, хочу дать вам еще два совета: документируйте все и придирчиво выбирайте легенды.

Зачем все документировать

К

лиенты платят вам за максимально тщательное исследование вопросов безопасности их компаний. Поэтому даже если какой-то материал, найденный в открытых источниках, для организации атаки не пригодился, сообщить о его существовании заказчику все же стоит. Безусловно, иногда вы будете находить информацию, которая сможет нанести заказчику серьезный вред. Как поступать в таком случае?

Однажды нашей компании заказали проверку того, насколько одна высокопоставленная руководительница финансовой компании соблюдает необходимые требования безопасности. В процессе поиска мы обнаружили фотоснимки, которые она делала в молодости и которые из промоматериалов фотографа перекочевали на порносайт. Что делать в такой ситуации социальному инженеру?

Мы решили, что такая информация слишком деструктивна, чтобы использовать ее в фишинге. Поэтому для пентеста мы выбрали другую стратегию. Но уже после завершения проверки запросили личную встречу с этой руководительницей, рассказали ей о своей находке и предложили помощь в том, чтобы добиться удаления фотографий с сайта без огласки в компании. Женщина была очень нам благодарна, и я до сих пор поддерживаю с ней дружеские отношения.