Человек — это главная уязвимость. Немного о социальной инженерии на PHDays V

12.08.2015

На YouTube появились записи выступлений с Positive Hack Days V — несколько десятков докладов по практической безопасности на русском и английском языках. В 2015 году на форуме говорили не только о хардкорных методах взлома, но и о «нетехнических» атаках. Многим запомнился доклад Криса Хаднаги (Chris Hadnagy), который для получения информации использует особенности человеческой психики и не верит в технический прогресс: «Пока вы ищите уязвимости нулевого дня, мы просто поднимаем трубку телефона и узнаем ваши секреты». В этом материале мы расскажем несколько историй и наблюдений из практики 42-летнего американца.

Как заставить сказать PIN-код от кредитки

«Будь я настоящим преступником, то давно бы разбогател, прославился или умер», — признается Крис в своей книге Social Engineering: The Art of Human Hacking. Основатель площадки Social-Engineer.org использовал социальную инженерию в казино, в тотализаторе, на аукционе — всегда только в демонстрационных целях, чтобы показать недостатки защиты.

Однажды Хаднаги принимал участие в съемках телеканала BBC: он должен был украсть портмоне с банковской картой, а потом заставить жертву сообщить ему PIN-код. Телевизионщики, не слишком верившие в положительный исход такого эксперимента, сами выбрали мишень — женщину, которая ничего не подозревая обедала в ресторане. Крис расположился за соседним столиком и ждал удобного момента для «атаки». Рядом с «объектом» сидела подруга, а рука женщины лежала на сумке, — это сильно усложняло задачу. Когда уже стало казаться, что ничего не получится, подруга отлучилась в уборную, и Крис принялся за дело, подав знак своим ассистентам, Алексу и Джесс. «Счастливая пара» подошла к женщине и попросила сфотографировать их, что жертва с удовольствием и сделала, убрав руку с сумки. Пока женщина делала снимки, Крис спрятал ее сумку в свой портфель.

Не успела подставная пара выйти из кафе, как женщина обнаружила пропажу и встала, судорожно оглядываясь. Она явно нуждалась в помощи, которую Крис не замедлил предложить. Наш герой убедил ее успокоиться и вспомнить, что было в сумке. В сумке был телефон, немного наличных, косметичка и кредитная карта. Первым делом Хаднаги выяснил название кредитной организации. Какая удача, Крис раньше работал в этом банке! Все будет хорошо, утешал женщину Хаднаги, надо только аннулировать карту. Женщина согласилась, после чего Крис набрал номер «службы поддержки», роль которой исполнял его ассистент Алекс, дежуривший в фургоне на улице. В автомобиле раздавался офисный шум, запись которого Крис скачал с какого-то сайта. Алекс заверил пострадавшую, что ее карту заблокируют. Но для того чтобы проверить ее личность, нужно было только ввести PIN-код на клавиатуре телефона (телефон принадлежал Крису). Остальное вы можете угадать. Настоящие воры, конечно, тут же отправились бы искать банкомат, но Крису и без того хватает гонораров, которые он получает, разоблачая техники мошенников. Женщина поблагодарила Криса, когда он вернул сумку, но он ответил: «Не стоит. Я же ее и украл».

Хаднаги и создатель Linux

Сейчас Хаднаги учит корпорации вычислять социальных инженеров и устраивает соревнования, на которых приветливые люди перед полным зрительным залом по телефону выведывают секреты крупных компаний. Но начинал Крис с малого. Один из его первых экспериментов был проведен на технической конференции в Javits Center в Нью-Йорке.

По соседству, в известном магазине игрушек FAO Schwarz на Пятой авеню, проходила закрытая вечеринка, на которой были топ-менеджеры HP, Microsoft и других крупных компаний. Крис с приятелем решили во что бы то ни стало попасть на мероприятие. Они заняли позицию у стойки регистрации, познакомились с девушками, отвечающими за выдачу бейджей и принялись ждать. Очень скоро из зала вышел не кто иной, как создатель Linux Линус Торвальдс. Крис быстро схватил плюшевую игрушку с логотипом Microsoft с одного из стендов и спросил у Линуса: «Не поставите ли автограф на моей игрушке?» Торвальдс улыбнулся, похлопал Криса по плечу и сказал: «Увидимся внутри, молодой человек». Друзья незамедлительно получили два билета на вечеринку.

Инженеры останавливают заводы

Люди так сосредоточены на новых техниках компьютерных атак, что совсем забывают об атаках «человеческих», пишет Хаднаги в своем блоге на social-engineer.org. Социальная инженерия является простым, но эффективным средством, поэтому преступники, хактивисты и даже спонсируемые государством группы не гнушаются использовать этот вектор. Всем специалистам по безопасности Хаднаги советует внимательно читать книгу бывшего работника ЦРУ Майкла Базела «Разведка на основе открытых источников информации».

Крис собрал обширную коллекцию громких атак 2014 года с использованием имперсонации, фишинга, вишинга и других социальных тактик.

  • Физический ущерб немецкому сталелитейному предприятию. Об этой истории говорились в отчете «IТ-безопасность Германии» (Die Lage der IT-Sicherheit in Deutschland 2014). Подробности захвата компьютерной сети предприятия не уточняются, но известно, что атака проходила в два этапа. Сначала хакеры взяли под контроль электронную почту работников завода, разослав им письма с фишинговыми ссылками. Через почту сотрудников хакеры получили доступ к офисной сети предприятия, а затем — к системе, которая управляла доменными печами. В результате работники завода потеряли контроль над оборудованием: печи перестали отображаться в электронной системе, что привело к повреждению всей системы управления. Специалисты отметили, что хакеры хорошо разбирались в специфике производственного оборудования и электронного управления заводом и атака была целенаправленной.
  • Шумиха, связанная с атакой хакеров на компанию Sony, скорее всего началась с применения методов социальной инженерии в отношении ключевых сотрудников.
  • Социнженерия использовалась и для получения конфиденциальных данных пользователей AT&T.
  • В случае атак на компании Target, Home Depot и JP Morgan, которые понесли значительный финансовый ущерб, применялся фишинг.
  • При взломе iCloud применялись техники социотехнического сбора информации для последующего брутфорса аккаунтов звезд и получения их приватных фото.
  • Фишинг имел место быть и при проведении APT в отношении ряда банков (в основном из России), которые потеряли 25 млн долларов.
  • Компания Experian была взломана в результате «имперсонации»: злоумышленник представился частным детективом и проник в один из филиалов компании.
  • Взлом базы данных eBay, когда в руки злоумышленников попали зашифрованные пароли и другие персональные данные 145 млн аккаунтов пользователей, произошел, вероятно, в результате обмана кого-то из служащих eBay.

Посмотреть выступление Криса Хаднаги можно в плейлисте PHDays V на YouTube.

video