Как злоумышленники воруют данные с помощью социальной инженерии

Как злоумышленники воруют данные с помощью социальной инженерии

Человек — самое слабое звено в безопасности. Благодаря социальной инженерии злоумышленники получают доступ к конфиденциальным данным и загружают в корпоративные системы вредоносные объекты. Но как именно это происходит и какие инструменты используются?

 

 

 

 

 

  1. Введение
  2. Знакомство с Social-Engineer Toolkit
  3. Немного практики, или Как они это делают?
  4. Выводы

 

Введение

Обращаем внимание, что статья написана исключительно в ознакомительных целях и не призывает читателей к противоправным действиям!

Для начала стоит объяснить, что же такое социальная инженерия. Это метод получения необходимого доступа к информации, основанный на особенностях психологии людей. Главной целью социальной инженерии является получение доступа к конфиденциальной информации, паролям, банковским данным и другим защищенным системам. Прежде всего, хочется познакомить читателей, пожалуй, с одним из самых мощных и универсальных инструментов, можно даже назвать его «швейцарским ножом» социальной инженерии. Называется он Social-Engineer Toolkit (SET), на рисунке показан его общий вид.

 

Рисунок 1. Общий вид инструмента Social-Engineer Toolkit

Общий вид инструмента Social-Engineer Toolkit

 

Знакомство с Social-Engineer Toolkit

Социально-технические атаки

Раздел включает в себя список векторов для атак:

  • Векторы атаки веб-сайтов
  • Инфекционный медиагенератор
  • Создание полезной нагрузки и слушателя
  • Массовая атака
  • Вектор атаки на основе Arduino
  • Вектор атаки беспроводной точки доступа
  • Вектор атаки генератора QRCode
  • Векторы атаки Powershell
  • Сторонние модули

Сам раздел может работать в нескольких направлениях, начиная от создания и внедрения вредоносных нагрузок, массовых атак, атак на различные точки Wi-Fi, генерации QR-кода и прочее.

 

Рисунок 2. Разделы социально-технической атаки в Social-Engineer Toolkit

Разделы социально-технической атаки в Social-Engineer Toolkit

 

Раздел векторы веб-сайтов подразделяется на методы:

  • Метод внедрения Java
  • Метод использования браузера Metasploit
  • Метод атаки на харвестерМетод атаки таббата
  • Метод атаки веб-гейдинга
  • Многопользовательский веб-метод
  • Полноэкранный метод атаки
  • Метод атаки HTA

Тут методы атак разделяются на разделы, начиная от внедрения и создания внутри java, использования уже готовых метасплоитов для фишинга, сбора данных, многопользовательских методов атак на выбор; имеется возможность использовать и все вместе — все зависит от фантазии злоумышленника.

 

Рисунок 3. Методы атак социально-технического раздела

Методы атак социально-технического раздела

 

Немного практики, или Как они это делают?

Предположим, злоумышленнику необходимо собрать данные о конкретной жертве, узнать логины, пароли и иметь доступ ко всей переписке. Значит, для этого он использует метод атаки на харвестер (то есть на сбор информации). Киберпреступник поступает следующим образом: выбирает пункт Social-Engineering Attacks (Социально-технические атаки), затем — Website Attack Vectors (Векторы веб-сайтов), после этого — Credential Harvester Attack Method (Способ атаки на харвестер). Появится три пункта меню: 1) Шаблоны веб сайтов; 2) Клонирование сайтов; 3) Пользовательский импорт.

 

Рисунок 4. Харвестерный тип выбор вектора атаки

Харвестерный тип выбор вектора атаки

 

Дальше злоумышленник узнает тип своего сетевого адреса, так как Social-Engineer Toolkit будет знать, куда перенаправлять всю собранную информацию. Для этого вводится команда ifconfig. В данном случае это адрес 192.168.0.20 (IP-адрес, присваиваемый вашему интерфейсу) — его злоумышленник будет клонировать и в дальнейшем атаковать. Пример с социальной сетью ВКонтакте показан ниже на рисунке.

 

Рисунок 5. Ввод сетевого адреса и клонирование сайта для атаки

Ввод сетевого адреса и клонирование сайта для атаки

 

После завершения конфигурации злоумышленник использует стандартный сервис для конвертирования ссылки и отправляет ее жертве. Обычно присылается ссылка на фото или интересный контент от имени друга или коллеги. После перехода по ссылке пользователь видит знакомый интерфейс. Однако посмотрев в адресную строку, можно обратить внимание, что вместо привычного адреса там указан тот самый 192.168.0.20.  Из-за невнимательности многие попросту не обращают на это внимание и вводят свои логин и пароль.

 

Рисунок 6. Вид поддельной страницы

Вид поддельной страницы

 

После ввода своих конфиденциальных дынных система предлагает жертве зайти позже, якобы произошел какой-то сбой или пара логин-пароль не распознается. Что же тем временем видит злоумышленник? Логин и пароль, которые ввела жертва. Тем самым он заполучил полный доступ и теперь может вводить логин и пароль ничего не подозревающего пользователя на сервисе, под его профилем входить в его аккаунт и совершать в нем все, что захочет.

 

Рисунок 7. Конечный результат — злоумышленник получает логин и пароль жертвы

Конечный результат — злоумышленник получает логин и пароль жертвы

 

Не исключено, что последние события, связанные с утечкой персональных данных сотрудников Сбербанка, имели место благодаря этому инструменту. Он отлично подходит для такого типа атаки, и с его помощью можно также проводить массовую рассылку клиентам Сбербанка от лица сотрудников, чья база уже находится в руках злоумышленников. В целом, Social-Engineer Toolkit — мощный инструмент, которому пока нет равных. В более ранних версиях была функция отправки SMS от имени любого абонента и любой организации, но позже разработчики отключили модуль. И если бы он действовал в настоящее время, то проникновение в систему было бы намного легче, поскольку SMS-подтверждение как дополнительная защита сейчас распространено. Надолго ли отключена опция и какие модификации будут в будущем к инструменту — пока неизвестно.

 

Выводы

Метод социальной инженерии — это тонкое искусство. Овладев им, можно быть уверенным, что желаемый результат будет получен в 90-95% — все зависит от сообразительности злоумышленника и от подхода к определенной жертве. Как правило, на эту удочку попадаются невнимательные люди, которые не так требовательны к собственной безопасности и редко обращают внимание на малозначительные на первый взгляд детали (ссылка в браузерной строке, текст и прочее). Правда, надо признать, что опытные пользователи тоже попадаются на это, хотя и реже.

Как же избежать подобных неприятностей? Если вы используете социальные сети для общения, то обязательно кроме ввода логина и пароля используйте двухфакторную аутентификацию, тем самым вы создадите сложность злоумышленнику для проникновения в ваш профиль.

Внимательно смотрите на ссылку в браузерной строке — как правило, она очень схожа с оригиналом, разница в паре букв или цифр. Так что невнимательный пользователь может и не заметить обмана. Всегда лучше перепроверить, если имеется возможность: как правило, официальные сайты подлинных организаций находятся на самой первой строке поисковых систем. Если вам пришла подозрительная ссылка или просьба от друга, подруги, коллеги, то не поленитесь связаться с адресатом другим способом и уточнить, он ли ее прислал. Берегите себя и свои данные!

Полезные ссылки: 
Yandex Zen AMПодписывайтесь на канал "Anti-Malware" в Yandex Zen, чтобы узнавать о новостях и эксклюзивных материалах по информационной безопасности в своей персональной ленте.

RSS: Новые статьи на Anti-Malware.ru