Взломать Администратора

Во многих случаях успешные социальные инженеры обладают сильными навыками работы с людьми.
Они очаровательны, вежливы и практичны — социальные качества, необходимые для установления быстрых связей и доверия.
Кевин Митник Проверка осведомленности персонала об угрозах информационной безопасности – один из самых популярных случаев.
Обычно это осуществляется с использованием методов социальной инженерии.
Этот пост написан мной совместно с коллегами из Perspective Monitoring на основе реальных кейсов, отработанных нашей рабочей группой на практике.
Цель: проверка соблюдения сотрудниками политик информационной безопасности.
Методы: социальная инженерия.
Локальная цель: получение информации, которая позволит реализовать атаку повышения привилегий.
Этапы проведения социальной программы мало чем отличаются от этапов пентеста.

Планирование
Главное в социальных сетях — поставить четкую цель.
Без целеполагания, действуя хаотично, вы мало чего добьетесь, только превратите социальную сферу в балаган, а себя в клоунов.
Мы поставили цель: связаться с системным администратором и получить от него информацию о структуре аккаунта, структуре пароля, а в идеале — получить и сам пароль.

Сбор и анализ информации
Это самый долгий и утомительный этап.
С точки зрения несведущего человека, работа социального инженера состоит из телефонных разговоров, в ходе которых он силой магии, таланта и обаяния добывает конфиденциальную информацию от доверчивых пользователей.
В реальности сбор/переговоры информации соотносятся как многодневные изнурительные тренировки/выступления на чемпионате для спортсмена.
Что нам нужно: максимально полная информация о сотрудниках атакованной компании.
А именно: ФИО, должности, контакты, полномочия.
Самая важная информация – это технологии, используемые в компании.
Также необходима информация о самой компании: положение на рынке, финансовое состояние, слухи, сплетни (последние особенно интересны, поскольку раскрывают неформальную ситуацию в компании).
Что мы используем: сайт организации, сбор информации из открытых источников, фишинг, часть информации может быть предоставлена заказчиком.
Фишинг — идеальное решение, но для белого хакера это не всегда возможно с точки зрения договоренности с заказчиком.
Мы готовим электронное письмо, содержащее вредоносное вложение или ссылку на фишинговый сайт. Цель состоит в том, чтобы получить реальные учетные данные пользователя.
Чтобы фишинговое письмо достигло своей цели, необходимо внимательно изучить информацию о компании и ее специфике.
Какие технологии используются в компании? Где находится офис? Какие бонусы предусмотрены для сотрудников? Какие проблемы есть у компании? Пример фишингового письма:

Вы можете составить несколько писем, каждое из которых направлено на разную целевую группу.

Клиент против фишинга? Хорошо, наберитесь терпения и порыться в открытых источниках: рабочие сайты, сайты обзоров, соцсети, блоги, форумы, тематические группы.
Приготовьтесь убить несколько дней на скучную и зачастую неблагодарную работу.
Сбор информации из открытых источников вручную – трудоемкая задача.
Поскольку один из продуктов, разрабатываемых нашей компанией, представляет собой комплекс для сбора данных из открытых источников, этот этап занимает у нас небольшое количество времени, поскольку все делается достаточно быстро, связи между интересующими объектами строятся автоматически.
Диаграмма дружбы на реальном аккаунте.
Фотографии заменены.

Итоговый результат этапа может быть следующим:
примерная организационная структура атакованной компании;

структура электронного адреса сотрудника;

список потенциальных сотрудников на должности;

контакты сотрудников, номера телефонов, электронная почта, аккаунты в социальных сетях.

Ээксплуатация уязвимостей
Из всех пользователей нам нужно выбрать несколько жертв: тех, кому мы звоним, и тех, от чьего имени мы звоним.
Продумайте их связи, на основе анализа аккаунтов в социальных сетях напишите предполагаемый психологический портрет. Если наша цель — системный администратор, то целевыми группами будут следующие: ресепшн, секретари, HR, бухгалтерия, сотрудники техподдержки и, собственно, администраторы.
Условно, исходя из степени подверженности атакам, мы делим пользователей на следующие группы.
Параноик.
Вы ничего от них не получите.
Неважно, почему они такие, мама запрещала им в детстве разговаривать с незнакомцами или недавно их избил злой охранник.
Их узнают по тканному языку, угрюмости и формализму.
Безразличный.
Такому сотруднику все равно, кто ему звонит и почему.
Прежде чем он даже возьмет трубку, он уже думает о том, как избавиться от вас как можно быстрее, независимо от того, кто вы и что вам нужно.
В небольшом проценте случаев именно потому, что ему все равно, такой сотрудник даст вам всю необходимую информацию.
Чаще он будет ссылаться на обед, конец рабочего дня, занятость или отсутствие полномочий.
Трусливый.
Сотрудники, смертельно боящиеся не угодить начальству или нарушить какие-либо правила и приказы, — это, как правило, те, у кого страх за свое положение в данную конкретную секунду преобладает над критическим мышлением.
Больше властного металла в вашем голосе, и вы его взломаете.
Добрые, хорошие люди, искренне готовые помочь.
Но при этом они не пытаются разобраться, кому на самом деле помогают. Но это наша целевая аудитория.
Как отличить одно от другого? Подготовка, знание психологии, чутье, актерское мастерство, опыт. Итак, на основе анализа профилей сотрудников соцсети мы выбираем 2 жертвы: секретаря приемной и администратора.
Желательно, конечно, не 2, а 5-6. Лучший выбор – яркие личности с ярко выраженными характеристиками, которые легко представить и изобразить.
Сценарий нападения также должен быть написан с учетом психологии и связей найденных «жертв».
Звонить случайному сотруднику и просить пароль — провальная идея.
Потерпевшая, от имени которой будет произведен звонок: секретарь приемной Екатерина Петрова, 21 год, работает в компании полгода, учится заочно на экономиста.
Яркий макияж, розовые волосы, много фотографий в соцсетях, аккаунте Tinder.

Звоним сотруднику отдела технической поддержки, Дмитрий, 35 лет, опыт работы в компании 5 лет, холост, хочет сменить место работы.
Это важно, поскольку возможно, что психологически сотрудник уже меньше ассоциирует себя с компанией и более халатно относится к безопасности.

Разработка сценария атаки
Легенда: девушка на больничном не может получить доступ к своей рабочей электронной почте через owa. Ей нужно разослать топ-менеджерам рассылку о сроках закрытой конференции.
Она 3 раза ввела неправильный пароль и просит выслать ей временный, обещая сменить пароль при первом входе в систему.
Легенду надо придумать заранее и выучить наизусть, чтобы избежать ситуации «Штирлиц никогда не был так близок к провалу».
Импровизировать все равно придется и лучше снизить градус хаоса.

Главное – уверенность, не дайте человеку на другом конце провода прийти в себя.
Ты заблудился, растерялся, начал бормотать, забыл свое имя, не мог быстро найти, что ответить – ты проиграл.
Скрипт звонка: - Дим, привет! Это Катя.
У вас есть минутка? - Привет! Какая Катя? - Да, я! Катя Петрова с ресепшена.
Дим, спаси меня.
Ниже приведены несколько возможных сценариев:
Дима не помнит, кто такая Катя, но ему стыдно в этом признаться.

Дима «узнал» Катю.

Катя стоит рядом с Димой, и он в шоке от происходящего.

В этом случае он, скорее всего, скажет что-то вроде «Чтоооо? Какая Катя?Э» и остается только положить трубку и никогда больше не звонить Диме с этого номера.
Поэтому необходимо заранее выбрать несколько потенциальных целей атаки.
Допустим, у нас все хорошо и Дима готов к диалогу.
- Что случилось? - Дим, я дома, на больничном.
Не могу зайти на наш общий почтовый ящик рецепция@xxx.ru, но мне позарез надо сегодня разослать рассылку по нашим топам.
Охранник, Иванова меня убьет. (Иванова, как мы выяснили в ходе сбора информации, является непосредственным руководителем Кати) .
Во время разговора необходимо молниеносно сканировать эмоциональное состояние Димы.
Настроен ли он на общение? Он зарезервирован? Он торопится? Он флиртует с Катей? Он равнодушен? Если у Димы есть какие-то увлечения, о которых вы читаете в социальных сетях, вы также можете включить их, но очень осторожно, чтобы не переигрывать.
Здесь вам понадобится все ваше сочувствие.
«Вычислите» человека, выберите нужный тон – пароль у вас в кармане.
Фото Кати вы можете держать перед глазами.
На какое-то время вам нужно стать «Катей» до мозга костей.
Далее мы рассмотрим 2 варианта.
1) Дима веселый балабол, ему интересно пообщаться, и он готов помочь.
- Что у тебя не получилось? Вы верстку и шапки проверяли? - Почему я не могу войти? Да, я ввел пароль неправильно 3 раза.
Вот как мне это удалось, мы не так уж часто пользуемся этой коробкой.
Я забыл, у нас там «си» или «эс».
Да, я пробовал и так и эдак, и 3 раза все было не так, я запомнил, но попыток больше не было, заблокировалось.
Что я должен делать!!! Иванова меня убьет, она меня обязательно убьет. Помогите Димаану.
Можете ли вы кинуть временный пароль в мою корзину? И я изменю его обратно при первом входе в систему.
Вариантов разговора может быть много.
Забыл капслок, перепутал раскладку, выбрал не тот браузер.
Общий замысел таков, что «Катя» будет мучить Диму своей глупостью, щебетанием и дебильными вопросами, пока он не плюнет и не продиктует или не пришлет новый пароль.
После смены пароля у вас будет определенное количество времени, ровно до тех пор, пока кто-нибудь не попытается войти под вашим обычным паролем и не позвонит в техподдержку.
Что можно взять из коробки общего секретариата? Ну, например, скачать справочник с контактами сотрудников.
В защиту Димы могу сказать, что ситуации в работе техподдержки не одинаковые, а пользователи порой демонстрируют ещё большую необучаемость и забывчивость.
2) Дима угрюмый, необщительный тип.
— Дмитрий, мне нужен удаленный доступ к электронной почте.
В связи с производственными потребностями.
Мне это нужно срочно.
Что значит, заявки нет, я дома, на больничном.
Да, прошу Вас в порядке исключения сделать запрос самостоятельно! Меня зовут Петрова Екатерина Ивановна, секретариат отдела.
Мне срочно нужно разослать информационный бюллетень высшему руководству.
Должен ли я написать руководству, что не смог отправить данную рассылку по вине сотрудника техподдержки? А теперь идеальный ответ Димы: «Уважаемая Екатерина, прошу Вас перезвонить с номера телефона, указанного в корпоративной информационной системе.
Я не имею права сообщать вам пароль».
Цель проверки на осведомленность — не наказать несчастного Диму, слившего пароль девушке с розовыми волосами.
Главное – выявить и устранить слабые места.
Что делать компании, если социальная инженерия выявляет множество уязвимостей, связанных с человеческим фактором? Наши рекомендации:
периодическое обучение персонала основам информационной безопасности, тренинги с привлечением специализированных компаний;

проверка осведомленности сотрудников по вопросам информационной безопасности;

сотрудник должен точно знать, какая информация является конфиденциальной;

обучение ИТ-сотрудников методам противодействия социальной инженерии.

Самое слабое место системы – человек.
Если вы не обратите внимание на человеческий фактор, то какой бы безопасной и соответствующей всем стандартам и лучшим практикам ваша система ни была, вы потеряете данные через рядового пользователя.