Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Zamyslete se nad tím, zda byste vy nebo vaši uživatelé použité metody sociálního inženýrství včas odhalili.
Zažijte simulovaný útok na vlastní kůži
Všichni víme, že odolnost jakéhokoliv systému je tak silná, jako jeho nejslabší článek. A tím nejslabším článkem bývá zpravidla uživatel. Jak vypadají následky takového útoku, jsme se všichni mohli přesvědčit v medializovaných případech jedné české nemocnice a těžební společnosti. Obě organizace byly v důsledku nerozpoznaného phishingu a následné řetězové reakci dalších selhání infikovány kryptovirem a nuceny zastavit provoz až na několik dní. Způsobené škody se v obou případech počítají v desítkách miliónů korun.
Psychologický nátlak
Při útocích zaměřených na uživatele nejde jenom o technickou připravenost v podobě sofistikovaného malwaru. Neméně důležitá je i tzv. back story, tedy jakási série smyšlených argumentů, díky kterým útočník vyvine na uživatele dostatečný psychologický nátlak. Oběť pak snadněji podlehne. Vyhoví jeho požadavkům a poskytne mu třeba i své přihlašovací údaje.
Zkušený útočník pracuje s emocemi. Zejména se strachem a radostí. Využije strachu ze špatně odvedené práce, kontroly úřadu, nedoplatku dlužné částky. V radostných případech zneužije touhu po kariérním postupu, pochvalu, finanční výhru nebo jiný lákavý bonus. Útočník dobře ví, že pokud informace zpracováváme pod vlivem emocí, zapomínáme kriticky myslet a jsme snáze zranitelní.
Útok
Útočník nejčastěji využije oslovení e-mailem. Jde stále o efektivní a účinný vektor pro zahájení útoku. Použije perfektní češtinu. Dokonce věrohodně napodobí i styl firemní komunikace. Vydává se např. za zaměstnance personálního oddělení a žádá od svých kolegů, aby si prostřednictvím odkazu ve zprávě zkontrolovali výplatní pásku kvůli možným chybám v počtu odpracovaných hodin.
Uživatel se tak rázem ocitne ve stresové situaci. Aby nepřišel o část své výplaty, na odkaz bez delšího uvažování klikne, zadá své přihlašovací údaje do podvodné stránky, která ovšem všechny údaje ukládá přímo na server útočníka. Ten tak získá heslo, které zaměstnanec možná používá i pro přístup do dalších interních systémů. Pokud je obětí zaměstnanec, který je zároveň administrátorem, útočník získal cenný úlovek a může si směle vytvořit tzv. backdoor – zadní vrátka pro trvalý přístup do vnitřní sítě organizace.
Arzenál útočníka
Mezi oblíbené a vysoce účinné prostředky útočníka patří reverzní proxy, která funguje jako podvržený prostředník pro spojení s legitimním portálem. Ale pozor, ukládá si všechna autentizační data a je plně pod kontrolou útočníka. Tímto způsobem je možné překonat i dvou faktorovou autentizaci.
Často zneužívanými nástroji jsou také makra. Malé pomocné programy uložené standardně ve Wordu nebo Excelu, které mohou být jak užitečné, tak i zneužitelné. Makro je možno naprogramovat tak, aby kontaktovalo server útočníka a stáhlo si z něj sadu programů pro vytvoření již zmiňovaného backdooru nebo kryptoviru. Ten se v kombinaci s dalšími zranitelnostmi následně rozšíří po celé interní síti jen za pár vteřin.
Pozor na telefony a USB
Vektor útoku může být uskutečněn také mnohem aktivněji prostřednictvím telefonu nebo flash disků, které patří mezi další hojně zneužívaná zařízení. Stačí, když takových pár disků útočník jen tak zanechá ve veřejně dostupných prostorách kanceláří. Je vysoce pravděpodobné, že některý z uživatelů disk najde a vloží do svého počítače. Takový flash disk může být naprogramovaný jako klávesnice, začít chrlit stovky znaků a otevřít tak za pár sekund zadní vrátka útočníkovi pro přístup do interní sítě.
V případě telefonátu pak dokáže útočník simulovat například služební hovor a vystupovat v roli nadřízeného. Podvrhne oběti telefonní číslo ředitele společnosti, kde dotyčná osoba pracuje. Telefon přiřadí k číslu shodné jméno ze svého telefonního seznamu, případně i uloženou fotografii, a zobrazí příchozí hovor jako standardní volání pana ředitele. Pak se stačí útočníkovi vymluvit na okolní hluk, horší signál nebo nachlazení a následky takového hovoru si už nemusíme ani vysvětlovat.
Praktický test uživatelů
Jednou z možností, jak snížit šance útočníka při podobných útocích, je vyzkoušet si takový útok na vlastní kůži a zjistit, jak se uživatelé skutečně zachovají. Nechat se nachytat v simulovaném útoku nemá vliv na fungování společnosti a má pozitivní edukativní účinek pro všechny.
Základem takového útoku – odborně penetračního testu s využitím prvků sociálního inženýrství – je detailní scénář realizace. Zahrnuje použitou identitu útočníka, seznam obětí, kanál pro jejich oslovení i podrobnosti o škodlivém balíčku. Samozřejmostí je na míru vytvořená zpráva a forma oslovení, která je společným úsilím týmu etických hackerů a zadavatele tak, aby přesně odpovídala zkušenostem a kladeným nárokům na testované uživatele.
V průběhu testu pak sledujeme jejich reakce a chování. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Můžeme tak efektivně vyhodnotit odolnost uživatelů vůči reálné hrozbě. Jestli vůbec útok vzbudil podezření nebo jej někdo nahlásil jako bezpečnostní hrozbu.
Motivujte k bezpečnosti
Při návrhu scénáře je vhodné myslet na to, jak simulovaný útok propojíme se zpětnou vazbou pro uživatele. Pracujeme vždy s pozitivní motivací. Uživatele, kteří v testu úspěšně obstojí nebo podezřelou aktivitu nahlásí, můžeme směle odměnit. Naopak uživatele, kteří se stali obětí, zásadně netrestáme.
Školící efekt můžeme navíc posílit edukativní stránkou, na kterou budou uživatelé přesměrováni v případě, že podlehli etickým hackerům. Ta je názorně informuje o důsledcích útoků využívajících metod sociálního inženýrství a poskytuje rady, jak podobným útokům příště čelit.
Vsaďte na kritické myšlení
Aplikace principů kritického myšlení by měla být základní technikou každého uživatele. Už jen pouhé pozastavení se a zamyšlení nad adresou odesilatele nebo URL adresou v mnoha případech postačuje pro odhalení útoku. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování společnosti. Ale má vysoký edukativní přínos a účinek pro všechny účastníky testu.