Sociálne inžinierstvo

Jedným z najefektívnejších nástrojov pre získavanie citlivých informácií zo zabezpečených systémov je sociálne inžinierstvo. Nevyžaduje takmer žiadne technické schopnosti a napriek tomu je s jeho využitím možné exfiltrovať informácie aj z technicky dobre zabezpečených informačných systémov. Je to možné vďaka tomu, že sa tento typ útoku zameriava na jednu z najzávažnejších a najrozšírenejších zraniteľností – na človeka.

Útoky pomocou sociálneho inžinierstva sú rôznorodé – od hromadných phishingových emailov až po cielené, viacvrstvové a sofistikované útoky s využitím viacerých techník. Všetky ale majú spoločné to, že sa zameriavajú na manipuláciu bežných spôsobov ľudského chovania a existuje len obmedzená množina technických opatrení na ochranu pred týmito útokmi. Najlepším spôsobom ochrany je zvyšovanie bezpečnostného povedomia o jednotlivých technikách sociálneho inžinierstva, ktoré sú útočníkmi využívané v kombinácii s celkovým prístupom organizácie k informačnej bezpečnosti, ktorý dôsledne vyžaduje dodržiavanie bezpečnostných politík a pravidiel a podporuje aktívnu participáciu zamestnancov na bezpečnosti.

Základným stavebným kameňom sociálneho inžinierstva je dôvera. Útočník podnikne kroky na to, aby si ju u budúcej obeti vybudoval a následne túto dôveru prehlbuje. Pred samotným útokom si útočník zistí informácie potrebné o obeti alebo o organizácii prostredníctvom OSINT (Open-source intelligence) – čo je získavanie spravodajských informácií z verejne dostupných zdrojov (médiá, webové komunity, sociálne siete, blogy, vládne reporty, rozpočty, tlačové konferencie, šedá literatúra a iné). S využitím takto získaných informácií nadviaže útočník s obeťou kontakt, vybuduje si u nej dôveru a na jej základe ju zmanipuluje tak, aby vykonala nejakú činnosť v jeho prospech. Na to, aby obeť zmanipuloval, potrebuje útočník falošný príbeh alebo zámienku, ktorú je možné vytvoriť s pomocou verejne dostupných informácií o organizácii (napr. z ich webovej stránky) a následné zneužiť vlastnosti obete, ku ktorým patrí ochota pomáhať, slabé povedomie o hrozbách na internete, slabé povedomie o bezpečnostných zásadách organizácie, prípadne umiestňovanie citlivých informácií na sociálne média.

Phishing

Phishing je typ útoku, pri ktorom sa útočník pokúša získať citlivé informácie prostredníctvom elektronických komunikácií vydávaním sa za dôveryhodnú entitu. Aj keď niektorí bezpečnostní analytici nepovažujú phishing za techniku sociálneho inžinierstva, pretože nevyužíva priamu interakciu človeka s človekom. Využíva ale manipuláciu človeka a klamstvo na to, aby od používateľa vylákal prihlasovacie údaje, údaje o kreditných kartách alebo nakazil jeho počítač škodlivým kódom. Phishingové emaily sú koncipované tak, aby pôsobili dôveryhodne a tvária sa, že ich odosielateľom sú inštitúcie ako banky, prepravné spoločnosti a iné organizácie, pri ktorých je predpoklad, že s nimi bude mať obeť nejaký vzťah.

Úspešnosť phishingu závisí predovšetkým od dôverčivosti a bezpečnostného povedomia obete, ale aj od bezpečnostných elementov organizácie. Phishing je ale v súčasnosti úspešný predovšetkým kvôli tomu, že kybernetickí kriminálnici sa neustále zlepšujú. Vo phishingových emailoch používajú logá a typografiu organizácie ktorú predstierajú, textácia emailov je profesionálna a personalizovaná a tým aj viac uveriteľná a používateľa navádza na to, aby otvoril prílohu alebo klikol na linku v takomto emaili.

V prípade, že máte záujem otestovať sám seba a zistiť, či by vás útočník bol schopný oklamať prostredníctvom phishingu, vyskúšajte náš phishingový test, ktorý je dostupný na našom webovom sídle.

Spear phishing

Spear phishing email je cieleným útokom na úzku skupinu potenciálnych obetí, väčšinou takých, ktorí majú prístup k citlivým informáciám o organizácii a spravidla sú v organizačnom rebríčku vyššie postavení. Takéto emaily sú úzko zamerané a personalizované, čo je výsledkom prieskumu, ktorý útočník vykonal pred samotným útokom. Takto pripravený je útočník schopný vytvoriť veľmi špecificky zameraný text emailu, ktorý bude pôsobiť dôveryhodne a veľmi uveriteľne. Predstavte si, že ste vedúci zamestnanec ministerstva, vaše kontaktné informácie sú zverejnené na webovej stránke ministerstva, máte vytvorený profil na sociálnych sieťach ako Facebook, Twitter či LinkedIn. S využitím informácií, ktoré ste sám a dobrovoľne poskytli, môže útočník spearphishingové emaily lepšie personalizovať a koncipovať ich spôsobom, ktorý vás prinúti kliknúť na link alebo otvoriť prílohu čo spôsobí inštaláciu malvéru. Po následnej nákaze vašej pracovnej stanice je možné, že škodlivý kód bude v tichosti čakať a nebude vykonávať žiadnu aktivitu a teda ho nebude možné spozorovať. Až po následnom pokyne od útočníka začne malvér exfiltrovať informácie o stlačených klávesových znakoch (keylogger) pri prístupe k emailovým či bankovým účtom, alebo začne odosielať dokumenty či vykonávať aktivitu požadovanú útočníkom.

Útočník – spear phisher – si zakladá na personalizácii emailov. Je možné, že svoju správu bude tvoriť tak, aby vyzerala, že je od niekoho, koho poznáte. Napríklad prezretím vášho profilu na sociálnej sieti zistí, s akými ľuďmi sa poznáte a následne sa bude prezentovať ako váš priateľ. V kombinácii s informáciami, ktoré ste zverejnili na vašom profile potom môže pripraviť email presne pre vás. Napríklad plánujete kúpiť automobil a na Facebooku sa spýtate priateľov na to, aké auto je podľa nich najlepšie kúpiť a kde ho je najlepšie kúpiť. Váš priateľ vám poradí nejakú značku automobilu a útočník pri návšteve vášho profilu tieto informácie získa. Následne si vytvorí nový emailový účet na meno vášho priateľa a zašle vám email s oslovením vašim menom, v predmete bude napísané „link na auto“ a v tele emailu bude priložený odkaz na škodlivú stránku, ktorá pri návšteve stiahne do vášho počítača škodlivý kód. Je preto dobré, aby ste o sebe publikovali čo najmenšie množstvo informácií a neuľahčili tak spear phisherovi prácu.

Baiting

V prípade fyzickej podoby tohto typu sociálneho inžinierstva útočník nastraží infikované fyzické dátové médium (napr. USB kľúč, DVD alebo iné) na mieste, kde ho obeť určite nájde. K takýmto miestam môže patriť výťah, toaleta, chodník, parkovisko alebo spoločná kuchynka. V prípade DVD alebo CD médií sa dôveryhodnosť tohto média zvyšuje jeho atraktívnym označením. Kto zo zamestnancov by napríklad odolal nastraženému CD s označením „návrh miezd na rok 2016“ alebo „plán prepúšťania zamestnancov“. Útočník následne počká, kým obeť pripojí nastražené médium k svojej pracovnej stanici a škodlivý kód sa nainštaluje. V tomto momente už má útočník plný prístup k pracovnej stanici obete a pravdepodobne aj do vnútornej siete cieľovej organizácie. Pokiaľ útočník infikuje nástražné škodlivé médium nejakým štandardným a známym typom škodlivého kódu, tak je možné, že aktualizovaný antivírusový program dokáže činnosť takéhoto kódu zastaviť. Pokiaľ ale útočník použije upravenú verziu takéto kódu alebo napíše vlastný škodlivý kód, tak antivírusové programy sú v podstate bezbranné.

Variáciou fyzického baitingu je baiting prostredníctvom online reklamy a webových stránok. Poznávacím znakom môže byť to, že tieto stránky ponúkajú niečo, čo je príliš dobré na to, aby to bola pravda, prípadne varujú obeť pred vážnym nebezpečenstvom nákazy ich PC s cieľom nalákať ich na stiahnutie softvéru na prečistenie ich PC. Tento softvér je ale len návnadou a v skutočnosti sa do PC obete stiahne a nainštaluje škodlivý kód. Príkladom takéhoto softvéru môže byť Shylock, ktorý je distribuovaný prostredníctvom vyskakovacích okien v prehliadači, upozorňujúcich na chýbajúce zásuvné moduly pre korektné zobrazenie obsahu webovej stránky alebo prehratia videa. Po kliknutí na odkaz vo vyskakovacom okne sa nainštaluje Shylock, ktorý je po spustení schopný útočníkovi zasielať akékoľvek dáta, vrátane prístupových údajov a iných citlivých informácií. Ďalšiu formu baitingu predstavujú bezplatné wifi siete v okolí reštaurácií, letísk alebo hotelových izieb. Tieto wifi siete majú vo svojom názve slovíčko „free“ aby tak obeť nalákali na bezplatný internet, ktorý je im reálne poskytnutý. Všetky dáta obete následné tečú pod drobnohľadom útočníka, ktorý v tomto prípade vystupuje ako človek uprostred (man-in-the-middle útok).

Watering holes

Útoky typu watering hole využívajú, podobne ako baiting, dôveryhodné webové stránky na infikáciu počítača obete. Ide o technicky náročnejšiu formu sociálneho inžinierstva, pretože vyžaduje znalosti potrebné na kompromitáciu dôveryhodnej webovej stránky o ktorej je predpoklad, že ju vytipovaná obeť alebo cieľová skupina často navštevuje. Predpokladom na identifikáciu takejto stránky je vykonanie prieskumu s cieľom zistenia oblastí záujmu obete. Môže ísť o stránky venované nejakej záľube, stránky dodávateľa, ktoré obeť z cieľovej organizácie navštevuje, vládne stránky, stránky s právnymi predpismi a podobne. Po identifikácii takejto stránky alebo stránok útočník zneužije existujúce zraniteľnosti týchto stránok, resp. servera hostujúceho tieto stránky, a vloží do nich kód, ktorý umožní stiahnutie malvéru do počítača obete. Väčšinou sa tento škodlivý kód stiahne s minimálnou interakciou s obeťou – tzv. „drive-by download“.

Reverzné sociálne inžinierstvo

Pri väčšine typov sociálneho inžinierstva ide útočník pre informácie za obeťou. Pri reverznom sociálnom inžinierstve je to presne naopak – útočník vytvorí situáciu, pri ktorej obeť sama príde za útočníkom. Ide o sofistikovanú metódu psychickej manipulácie, pri ktorej útočník za použitia štandardných metód sociálneho inžinierstva uvedie obeť do omylu a presvedčí ju, že on je osoba z dôveryhodnej organizácie a iba on vie obeti pomôcť s jej problémom, ktorý rovnako vytvoril on. Obeť následne zavolá útočníkovi a požiada ho o pomoc. Takto si útočník vytvorí s obeťou dôveryhodný vzťah, ktorý je oproti iným technikám posilnený o fakt, že obeť sama útočníka vyhľadala. Prečo by v tomto prípade mala mať obeť pocit, že je skutočne obeťou? Pri tejto forme útokov môže organizácia utrpieť značné škody, pretože obeť útočníkovi skutočne dôveruje a je ochotná mu ľahšie poskytnúť citlivé informácie. Našťastie sa ale jedná o pomerne náročnú techniku, ktorú je ťažšie dotiahnuť do úspešného konca, pretože vyžaduje aj istú dávku šťastia.

Opatrenia a odporúčania

Existuje len obmedzené množstvo technických riešení, ktoré sú schopné potlačiť útoky prostredníctvom sociálneho inžinierstva. Napríklad antivírusový softvér, spamové filtre a blokovanie webových stránok dokážu predísť niektorým phishingovým útokom. Blokovaním pripojenia neautorizovaných dátových médií je možné predísť množine útokov typu baiting. Schopný sociálny inžinier ale dokáže nájsť cestičky, ako sa spomínaným opatreniam vyhnúť. Najlepšou ochranou pred sociálnym inžinierstvom teda zostáva kvalitné vzdelávanie zamestnancov a zvyšovanie bezpečnostného povedomia o technikách, ktoré sociálni inžinieri používajú.

Prvým krokom pre zabezpečenie komplexnej ochrany pred sociálnym inžinierstvom je vykonanie detailnej analýzy rizík. Organizácia takto dokáže identifikovať kritické aktíva a informácie, ktoré môžu byť v centre záujmu sociálnych inžinierov. Následne môže organizácia identifikovať spôsoby, ktorými sa sociálni inžinieri budú snažiť získať tieto informácie a prostredníctvom vzdelávacieho programu tieto spôsoby predstaviť svojim zamestnancom. Len pokiaľ si budú zamestnanci uvedomovať dôležitosť a hodnotu aktív, s ktorými v organizácii pracujú a budú mať povedomie o tom, ako sa ich útočníci môžu snažiť zmanipulovať a oklamať, sa budú môcť zamestnanci brániť a nepodľahnúť nátlaku zo strany útočníka. Dobrý vzdelávací program by mal zamestnancov viesť k tomu, aby zbytočne nezverejňovali informácie o sebe a o organizácii na sociálnych sieťach, pretože tie bývajú častým zdrojom cenných informácií pre útočníka. Rovnako by zamestnanci nemali zbytočne rozprávať o citlivých pracovných povinnostiach a organizačnom prostredí pri spoločenských stretnutiach, obzvlášť v prítomnosti neznámych osôb. Zamestnancov je potrebné naučiť, ako môžu rozpoznať pokus o útok sociálnym inžinierstvom a čo robiť v prípade, že majú podozrenia na takýto útok – aký je proces nahlasovania incidentov a komu ich nahlásiť. Dôležitým aspektom obrany pred týmito typmi útokov je verifikácia. Zamestnanci by mali vedieť, že nesmú poskytnúť citlivé informácie niekomu len na základe toho, čo hovorí v telefóne. Vždy je potrebné si túto osobu preveriť a to buď vyžadovaním špecifického identifikátora alebo jednoducho tým, že osobe spätne zavolajú na telefónne číslo, ktoré objektívne patrí osobe ktorá údajne volá a žiada informácie. Vzdelávací program by mal zamestnancov naučiť aj zásadám bezpečnej práce s elektronickou poštou – nikdy neotvárať poštu od neznámych alebo podozrivých odosielateľov a byť opatrný pri otváraní príloh elektronickej pošty a pri klikaní na odkazy v emailoch.

Organizácia by mala mať vytvorené a implementované bezpečnostné politiky a smernice o sprístupňovaní informácií. Zamestnanci by si mali byť vedomí toho, komu, kedy a za akých okolností môžu sprístupniť rôzne typy informácií s ktorými pracujú. Organizácia by mala implementovať schému pre klasifikáciu informácií a všetky informácie zreteľne označovať klasifikačnými stupňami pre ľahkú identifikáciu o aký typ informácie sa jedná. Zamestnanci by mali byť školení a poučení o tom, ako pracovať s jednotlivými klasifikačnými typmi, akým spôsobom má prebiehať bezpečné ničenie informácií ako prevencia pred trashingom – hrabaním sa v odpadkových košoch s cieľom nájdenia citlivých informácií v papierovej podobe alebo na vyhodených CD/DVD médiách. Pre potreby zaistenia fyzickej bezpečnosti by mali všetci zamestnanci viditeľne nosiť identifikačné menovky a v prípade, že v priestoroch organizácie spozorujú niekoho neznámeho, tak konať – verifikovať jeho totožnosť alebo požiadať bezpečnostného zamestnanca o jeho verifikáciu. Školenia na zvyšovanie povedomia a trénovanie reakcie na podozrivé situácie by mali byť pravidelné a predovšetkým zábavno – poučné. Takto si zamestnanci so sebou odnesú viac informácií, zapamätajú si ich dlhší čas a nebudú takéto školenia brať ako nutné zlo, ale ako zaujímavý a podnetný nástroj na to aby si uvedomili svoju dôležitosť pri zabezpečovaní celkovej ochrany informačných aktív organizácie.

Referencie

• Social Engineering and Reverse Social Engineering – Ira S. Winkler
• An introduction to social engineering – CERT-UK
• Social Engineering Threats and Countermeasures In An Overly Connected World – Shane MacDougall
• Social Engineering Test Cases – Compass Security AG
• SOCIAL ENGINEERING: UNDERSTANDING THE THREAT – Centre for the Protection of National Infrastructure
• CASE STUDY OF INDUSTRIAL ESPIONAGE THROUGH SOCIAL ENGINEERING – Ira S. Winkler
• How attackers use social engineering to bypass your defenses – Lenny Zeltser
• The Future of Social Engineering – Sharon Conheady

Viac informácií vrátane odkazov na ďalšie zdroje nájdete tu a tu.