Журнал "Information Security/ Информационная безопасность" #6, 2019

Злоумышленник может отправить письмо от имени вашей компании кому-то стороннему. Например, он может подделать счет на регулярную оплату от ваше- го имени, указав вместо ваших реквизитов другие. В нашем отделе аудита мы ради интереса считаем приблизительную статистику по суммарной стоимости активов компаний, к кото- рым нами был получен доступ уровня "администра- тор домена" в основном за счет фишинга и рассылки исполняемых вложений. В этом году она достигла приблизительно 150 млрд евро. Атака закончилась частичным успехом: идентификатор сессии администратора похитили, но он был привязан к IP-адресу. Обойти это не удалось, мы не смогли повысить привилегии на сайте до администраторских, зато повысили себе настроение. Конечный результат в итоге получили на другом участке сетевого периметра. Часть 2. "Я к вам пишу – чего же боле?" А еще звоню и топчусь у вас в офисе, роняя флешки То, что произошло в ситуации с котом, – пример социальной инженерии, пусть и не совсем классической. На самом деле в этой истории событий было больше: был и кот, и институт, и отдел кадров, и программист, но были еще и электронные письма с уточняющими вопро- сами, которые писали якобы кандидаты в сам отдел кадров и лично программисту, чтобы спровоцировать их зайти на страницу сайта. Кстати, о письмах. Обыкно- венный e-mail – наверное, основной транспорт для прове- дения социальной инженерии, он применяется уже пару десят- ков лет и иногда приводит к самым необычным послед- ствиям. Следующую историю мы часто рассказываем на наших мероприятиях, так как она очень показательна. Обычно по результатам про- ектов с социальной инженерией мы составляем статистику, кото- рая, как известно, вещь сухая и скучная. Столько-то процентов получателей открыло вложение из письма, столько-то перешло по ссылке, а вот эти трое вообще ввели свои логин и пароль. В одном проекте мы получили более 100% ввода паролей, т.е. больше, чем разо- слали. Произошло это так: отправлялось фишинговое письмо, якобы от CISO госкор- порации, с требованием "срочно протестировать изменения в почтовом сервисе". Письмо попало на руководителя круп- ного подразделения, которое занималось техподдержкой. Руководитель был очень стара- телен в исполнении поручений от высокого начальства и пере- слал его всем подчиненным. Сам колл-центр оказался довольно большим. В целом ситуации, когда кто-то пересы- лает "интересные" фишинговые письма своим коллегам и те тоже попадаются, довольно частое явление. Для нас это лучшая обратная связь по каче- ству составления письма. Такой успех атаки был вызван тем, что при рассылке исполь- зовался ряд технических недо- статков почтовой системы кли- ента. Она была настроена таким образом, что можно было отправлять любые письма от имени любого отправителя самой организации без автори- зации, даже из Интернета. То есть было возможно притво- риться CISO или начальником техподдержки, или еще кем- нибудь. Более того, почтовый интерфейс, наблюдая за пись- мами из "своего" домена, забот- ливо подставлял фотографию из адресной книги, что добав- ляло натуральности отправите- лю. По правде говоря, такая атака не относится к особо сложным технологиям, это удачная экс- плуатация совсем базового недочета настройки почты. Она регулярно разбирается на про- фильных ИТ- и ИБ-ресурсах, но тем не менее до сих пор встре- чаются компании, у которых все это присутствует. Поскольку никто не склонен досконально проверять служебные заголовки почтового протокола SMTP, письмо обычно проверяется на опасность по предупреждаю- щим значкам интерфейса почты, которые не всегда ото- бражают всю картину. Интересно, что подобная уязвимость работает и в другом направлении: злоумышленник может отправить письмо от имени вашей компании кому- то стороннему. Например, он может подделать счет на регу- лярную оплату от вашего имени, указав вместо ваших реквизи- тов другие. Если не рассматри- вать вопросы антифрода и обналичивания средств, то это, вероятно, один из самых простых способов кражи денег при помощи социальной инже- нерии. Помимо похищения паролей через фишинг, классикой социотехнических атак является рассылка исполняемых вложе- ний. Если эти вложения пре- одолеют все средства защиты, которых у современных компа- ний обычно много, образуется канал удаленного доступа к компьютеру жертвы. Для демонстрации последствий атаки полученное удаленное управление можно развивать вплоть до доступа к особо важ- ной, конфиденциальной инфор- мации. Примечательно, что подавляющее большинство атак, которыми всех пугают СМИ, именно так и начинаются. В нашем отделе аудита мы ради интереса считаем приблизи- тельную статистику по суммар- ной стоимости активов компа- ний, к которым нами был полу- чен доступ уровня "администра- тор домена" в основном за счет фишинга и рассылки исполняе- мых вложений. В этом году она достигла приблизительно 150 млрд евро. • 33 ТЕХНОЛОГИИ www.itsec.ru Рис. 2.