- Регистрация
- 30 Июн 2018
- Сообщения
- 2,003
- Реакции
- 722
- Репутация
- 16
Часто самый простой способ проникновения в целевую систему — это не уязвимости в софте, а халатность сотрудников. Воспользоваться ей помогает социальная инженерия, узнать о последних веяниях в которой ты можешь из работ исследователей. Чтобы помочь тебе быть в курсе, мы собрали подборку из девяти наиболее занимательных докладов за последнее время.
Как мотивировать персонал на внимательность к кибербезопасности
На протяжении десятилетий корпоративные тренинги по инфобезопасности, направленные на повышение осведомленности, были призваны решить одну-единственную задачу: развить у персонала компетенции, необходимые для поддержания корпоративной кибербезопасности. Предполагалось, что сотрудники не знают, как правильно вести себя, и что при достаточном количестве тренингов они станут вести себя более безопасно.
Однако, как показала практика, чтобы обеспечить кибербезопасность, нужно в первую очередь решить другую, более насущную задачу: мотивировать сотрудников относиться к кибербезопасности внимательнее! Тому, как это сделать, и посвящен данный доклад.
Лженаука против кибербезопасников
Хорошо, когда повседневные задачи кибербезопасности решаются с опорой на научные изыскания, однако далеко не все из тех претензий на научность, которые мы слышим из новостей или от поставщиков-кибербезопасников, имеют под собой авторитетную основу. Людей, подыскивающих для себя решения и продукты безопасности, ежедневно вводят в заблуждение, манипулируют их мнением, обманывают — реальными и фиктивными исследованиями, громкими заявлениями и маркетинговыми уловками. Едва ли одна треть населения сможет адекватно объяснить, что значит «изучать что-то по-научному». Однако на научность претендуют все.
Докладчик рассматривает опасность заказных исследований, опросов и логических рассуждений, спонсируемых заинтересованными лицами. Рассказывает, как псевдоученые, занимающиеся «научными» исследованиями, налаживают контакт с практикующими кибербезопасниками, ослепляя их правдоподобными графиками и другими, с позволения сказать, научными выкладками. Маркетинговый успех всех этих псевдонаучных ухищрений объясняется тем, что человеческий ум несовершенен, склонен впадать в иллюзию, а наше восприятие может нас обманывать. Именно на этих уязвимостях нашего ума и паразитируют псевдоученые.
Как ограбить банк через телефон: личный опыт и демонстрационное аудио
Презентация наполовину состоит из демонстрации аудиозаписи реального акта социальной инженерии. В комментариях докладчик делится своим опытом. На этой аудиозаписи докладчик разговаривает по телефону с вице-президентом банка, и тот за время беседы предоставил полный доступ к своему компьютеру. Практикующие социальные инженеры, а также кибербезопасники, которые хотят узнать, как распознавать атаки социальной инженерии, извлекут из разговора много ценных уроков.
Грабитель банков и предприятий предлагает стратегии их защиты
Люди, которые работают на оборонительной стороне кибербезопасности, обычно видят проблему только со своей колокольни. В этой презентации докладчик проливает свет на проблему с противоположной стороны: рассказывает, как на ваш сайт и ваших сотрудников смотрит злоумышленник и как затем использует эти наблюдения против вас. В начале доклада автор объясняет, как создать успешное фишинг-копье, используя информацию, собранную с вкладки «О компании» на корпоративном сайте, а также со страничек в соцсетях (для последующих социальных атак на сотрудников).
Доклад в основном посвящен тому, какие контрмеры предпринимать и как атаки социальной инженерии обнаруживать, на примерах из личного опыта докладчика. А личный опыт у докладчика немаленький: пятнадцать лет работы на стороне обороны в банковской сфере и шесть лет работы в «красной команде» кибербезопасности (в качестве этичного хакера).
Эксплоиты в мозгах (человеческих)
Докладчик делится своим опытом неоднократного участия в DEF CON CTF, демонстрируя, насколько легко добыть конфиденциальную информацию из любой организации. Докладчик отмечает, что отчет Verizon за 2017 год фиксирует резкие темпы роста атак социальной инженерии. Далее рассказывает, как добыл сотни «точек данных» целевой организации, применяя методы OSINT (разведка по открытым источникам). Затем докладчик описывает победоносную стратегию, которую реализовал, чтобы максимизировать отдачу от собранных «точек данных», — на живом примере, в 20-минутной аудиозаписи.
Без особых усилий докладчик смог добыть у своей жертвы информацию о VPN, ОС, об уровне патчей, номера мобильников топ-менеджеров и места их жительства. Также докладчик делится, под какими предлогами можно обращаться в организацию и какую эмоцию в каждый из предлогов вкладывать. Знание этих поведенческих шаблонов поможет обучить сотрудников противостоять социальной инженерии. Для большей мотивации к тому, чтобы директора обучали своих сотрудников навыкам противостояния социальной инженерии, докладчик поднимает следующие мотивационные вопросы.
Докладчик завершает свое повествование серией стратегий, которые компании могут предпринять, чтобы снизить вероятность того, что их сотрудники станут жертвами социального инженера.
Подробно о компрометации корпоративной электронной почты
Такая разновидность фишинговой атаки, как компрометация корпоративной электронной почты (также известная, как атака лже-CEO), — это быстро развивающийся вид кибермошенничества, популярность которого особенно резко подскочила с 2015 на 2016 год — на 1300% (все нули настоящие, это не опечатка). Киберпреступники, пользуясь этой схемой, нацеливаются на самые разнообразные организации, вне зависимости от того, в каком сегменте рынка они работают и какой у них размер. В 2017 году тысячи организаций из ста с лишним стран отчитались об убытках, связанных с этим видом мошенничества. Только по официальным данным общая сумма финансовых потерь составила три миллиарда долларов. Однако разумным будет предположить, что фактические убытки значительно больше.
Как правило, компрометация корпоративной электронной почты представляет собой целенаправленную атаку, которая начинается с кропотливой разведки. Атакующие не жалеют времени и сил на то, чтобы лучше понять людей и бизнес-процессы целевой организации. Такие целенаправленные атаки, как правило, успешно минуют заслон спам-фильтров и по виду ничем не отличаются от законной корреспонденции. В докладе рассмотрены трюки, которыми пользуются злоумышленники, в том числе подмена адреса отправителя, подделка домена электронной почты, компрометация учетной записи, и способы защиты от этих трюков.
По мнению докладчика, чтобы атака лже-CEO увенчалась успехом, киберпреступнику надо скомпрометировать элементы управления безопасностью, связанные с людьми, процессами и технологиями. Причем сразу все три эти элемента. Поэтому если в корпоративной кибербезопасности хотя бы один из этих элементов находится под надежной защитой, то вероятность атаки лже-CEO значительно снижается. Для усиления защиты кибербезопасники могут развернуть технический контроль в отношении персонала, чтобы блокировать определенные типы мошеннических писем, которые до них доходят; создать надежные бизнес-процессы (которые пресекают мошенническую активность); повысить осведомленность пользователей (благодаря чему те станут понимать, когда бить тревогу). Тогда, если фишинговое письмо все-таки придет (а оно рано или поздно обязательно придет), понимание, как на него реагировать, существенно снизит количество фишинговых кампаний, увенчавшихся успехом.
Моя собака — хакер, и она украдет ваши данные!
В этом докладе описан творческий подход к социальной инженерии, вдохновленный популярным высказыванием «Собака — друг человека» (подразумевается, что с ней мы чувствуем себя лучше и безопасней). Докладчик привлекает собаку в качестве инструмента кибератак. Она носит мобильник, спрятанный под нагрудным ремнем. А этот мобильник в автоматическом режиме ведет кибератаки на мобильные устройства людей, которые оказались поблизости от собаки.
Здесь подойдут атаки, которые выполняются автоматически, без взаимодействия с человеком. В их число входят атаки близкого радиуса действия, такие как поддельные точки доступа Wi-Fi, поддельные сотовые вышки, локальные атаки на пользователя в сети, захват DNS, пакетная инъекция, «злой двойник» и много других вариаций. Ты можешь отправить свою хакерскую собаку гулять по парку, а сам будешь просто стоять в сторонке, пока она ломает людей для тебя.
Ихтиология: фишинг как наука
Уже практически все согласны с тем, что фишинг непреодолим. Лучшее, что мы можем сделать, — запустить образовательную программу для сотрудников и скрестить пальцы на удачу. Но действительно ли фишинг-тренинги дают нужный эффект? В этом докладе рассмотрена психология фишинга и описана серия реальных атак, приведены коэффициенты конверсии. Также докладчик демонстрирует способы, при помощи которых были обойдены существующие средства корпоративной защиты. Рассмотрены недавние технологические достижения в этой области и описаны способы, как можно смягчить воздействие фишинга.
Социальная кибербезопасность: сдвиг в сторону понимания стереотипов
Способны ли мы разрабатывать системы, которые будут поощрять правильное поведение в плане кибербезопасности? Несмотря на доступность перспективных инструментов обеспечения кибербезопасности и изобилие действительно полезных рекомендаций по их эффективному использованию, многие из них остаются невостребованными. Докладчик утверждает, что такое расхождение теории с практикой возникает из-за того, что кибербезопасники, предлагая свои решения, учитывают только техническую сторону вопроса и не заботятся о формировании у своих потенциальных пользователей полезных стереотипов, не социализируют свои технологии. И пользователи сами додумывают предназначение этих защитных технологий.
Как известно, праздный ум — кузница дьявола. Поэтому, например, двухфакторную авторизацию расценивают как акт параноидальности. Шифрование телефона — как желание скрытничать. А в более общем плане считают, что, если ты «чрезмерно» заботишься о кибербезопасности, можешь показаться подозрительной личностью. В этой презентации докладчик представляет доказательства следующему утверждению: «Общественное мнение сильно влияет на поведенческие стереотипы в кибербезопасности, и хорошие стереотипы кибербезопасности возникают, только если при разработке систем кибербезопасности и сопутствующих рекомендаций уделяется серьезное внимание их социализации».
Докладчик подкрепляет это свое утверждение результатами крупномасштабного исследования социальной активности полутора миллионов пользователей фейсбука. По итогам этого исследования докладчик разработал уведомление для пользователей фейсбука, которое сообщает им, что их друзья используют дополнительные системы безопасности для защиты своих учетных записей, и протестировал его в разных вариациях на 50 тысячах пользователей фейсбука.
Вывод, к которому пришел докладчик: «Стереотипы кибербезопасности очень зависят от социального влияния; дизайн системы безопасности сильно влияет на ее потенциал для социального признания. В частности, системы безопасности, действия которых наблюдаемы, комплексны, понятны и подконтрольны, находят положительный социальный отклик. Тогда как те системы безопасности, которые этими качествами не обладают, игнорируются». Основываясь на своих исследованиях и промежуточных выводах, докладчик делает такой основной вывод: «Будущее социально-интеллектуальных систем безопасности за теми, кто понимает и учитывает базовые человеческие стереотипы, желания и наклонности».
Как мотивировать персонал на внимательность к кибербезопасности
На протяжении десятилетий корпоративные тренинги по инфобезопасности, направленные на повышение осведомленности, были призваны решить одну-единственную задачу: развить у персонала компетенции, необходимые для поддержания корпоративной кибербезопасности. Предполагалось, что сотрудники не знают, как правильно вести себя, и что при достаточном количестве тренингов они станут вести себя более безопасно.
Однако, как показала практика, чтобы обеспечить кибербезопасность, нужно в первую очередь решить другую, более насущную задачу: мотивировать сотрудников относиться к кибербезопасности внимательнее! Тому, как это сделать, и посвящен данный доклад.
Лженаука против кибербезопасников
Хорошо, когда повседневные задачи кибербезопасности решаются с опорой на научные изыскания, однако далеко не все из тех претензий на научность, которые мы слышим из новостей или от поставщиков-кибербезопасников, имеют под собой авторитетную основу. Людей, подыскивающих для себя решения и продукты безопасности, ежедневно вводят в заблуждение, манипулируют их мнением, обманывают — реальными и фиктивными исследованиями, громкими заявлениями и маркетинговыми уловками. Едва ли одна треть населения сможет адекватно объяснить, что значит «изучать что-то по-научному». Однако на научность претендуют все.
Докладчик рассматривает опасность заказных исследований, опросов и логических рассуждений, спонсируемых заинтересованными лицами. Рассказывает, как псевдоученые, занимающиеся «научными» исследованиями, налаживают контакт с практикующими кибербезопасниками, ослепляя их правдоподобными графиками и другими, с позволения сказать, научными выкладками. Маркетинговый успех всех этих псевдонаучных ухищрений объясняется тем, что человеческий ум несовершенен, склонен впадать в иллюзию, а наше восприятие может нас обманывать. Именно на этих уязвимостях нашего ума и паразитируют псевдоученые.
Как ограбить банк через телефон: личный опыт и демонстрационное аудио
Презентация наполовину состоит из демонстрации аудиозаписи реального акта социальной инженерии. В комментариях докладчик делится своим опытом. На этой аудиозаписи докладчик разговаривает по телефону с вице-президентом банка, и тот за время беседы предоставил полный доступ к своему компьютеру. Практикующие социальные инженеры, а также кибербезопасники, которые хотят узнать, как распознавать атаки социальной инженерии, извлекут из разговора много ценных уроков.
Грабитель банков и предприятий предлагает стратегии их защиты
Люди, которые работают на оборонительной стороне кибербезопасности, обычно видят проблему только со своей колокольни. В этой презентации докладчик проливает свет на проблему с противоположной стороны: рассказывает, как на ваш сайт и ваших сотрудников смотрит злоумышленник и как затем использует эти наблюдения против вас. В начале доклада автор объясняет, как создать успешное фишинг-копье, используя информацию, собранную с вкладки «О компании» на корпоративном сайте, а также со страничек в соцсетях (для последующих социальных атак на сотрудников).
Доклад в основном посвящен тому, какие контрмеры предпринимать и как атаки социальной инженерии обнаруживать, на примерах из личного опыта докладчика. А личный опыт у докладчика немаленький: пятнадцать лет работы на стороне обороны в банковской сфере и шесть лет работы в «красной команде» кибербезопасности (в качестве этичного хакера).
Эксплоиты в мозгах (человеческих)
Докладчик делится своим опытом неоднократного участия в DEF CON CTF, демонстрируя, насколько легко добыть конфиденциальную информацию из любой организации. Докладчик отмечает, что отчет Verizon за 2017 год фиксирует резкие темпы роста атак социальной инженерии. Далее рассказывает, как добыл сотни «точек данных» целевой организации, применяя методы OSINT (разведка по открытым источникам). Затем докладчик описывает победоносную стратегию, которую реализовал, чтобы максимизировать отдачу от собранных «точек данных», — на живом примере, в 20-минутной аудиозаписи.
Без особых усилий докладчик смог добыть у своей жертвы информацию о VPN, ОС, об уровне патчей, номера мобильников топ-менеджеров и места их жительства. Также докладчик делится, под какими предлогами можно обращаться в организацию и какую эмоцию в каждый из предлогов вкладывать. Знание этих поведенческих шаблонов поможет обучить сотрудников противостоять социальной инженерии. Для большей мотивации к тому, чтобы директора обучали своих сотрудников навыкам противостояния социальной инженерии, докладчик поднимает следующие мотивационные вопросы.
- «Как вы думаете, если социальный инженер обладает той информацией, которая в данном докладе представлена, — сколько времени ему потребуется, чтобы убедить вашего финансового директора сделать банковский перевод?»
- «Как думаете, вы застрахованы от социальной инженерии?»
- «Если ваша организация потеряла несколько миллионов долларов из-за социальной инженерии, кто в этом виноват? Кого уволят?»
Докладчик завершает свое повествование серией стратегий, которые компании могут предпринять, чтобы снизить вероятность того, что их сотрудники станут жертвами социального инженера.
Подробно о компрометации корпоративной электронной почты
Такая разновидность фишинговой атаки, как компрометация корпоративной электронной почты (также известная, как атака лже-CEO), — это быстро развивающийся вид кибермошенничества, популярность которого особенно резко подскочила с 2015 на 2016 год — на 1300% (все нули настоящие, это не опечатка). Киберпреступники, пользуясь этой схемой, нацеливаются на самые разнообразные организации, вне зависимости от того, в каком сегменте рынка они работают и какой у них размер. В 2017 году тысячи организаций из ста с лишним стран отчитались об убытках, связанных с этим видом мошенничества. Только по официальным данным общая сумма финансовых потерь составила три миллиарда долларов. Однако разумным будет предположить, что фактические убытки значительно больше.
Как правило, компрометация корпоративной электронной почты представляет собой целенаправленную атаку, которая начинается с кропотливой разведки. Атакующие не жалеют времени и сил на то, чтобы лучше понять людей и бизнес-процессы целевой организации. Такие целенаправленные атаки, как правило, успешно минуют заслон спам-фильтров и по виду ничем не отличаются от законной корреспонденции. В докладе рассмотрены трюки, которыми пользуются злоумышленники, в том числе подмена адреса отправителя, подделка домена электронной почты, компрометация учетной записи, и способы защиты от этих трюков.
По мнению докладчика, чтобы атака лже-CEO увенчалась успехом, киберпреступнику надо скомпрометировать элементы управления безопасностью, связанные с людьми, процессами и технологиями. Причем сразу все три эти элемента. Поэтому если в корпоративной кибербезопасности хотя бы один из этих элементов находится под надежной защитой, то вероятность атаки лже-CEO значительно снижается. Для усиления защиты кибербезопасники могут развернуть технический контроль в отношении персонала, чтобы блокировать определенные типы мошеннических писем, которые до них доходят; создать надежные бизнес-процессы (которые пресекают мошенническую активность); повысить осведомленность пользователей (благодаря чему те станут понимать, когда бить тревогу). Тогда, если фишинговое письмо все-таки придет (а оно рано или поздно обязательно придет), понимание, как на него реагировать, существенно снизит количество фишинговых кампаний, увенчавшихся успехом.
Моя собака — хакер, и она украдет ваши данные!
В этом докладе описан творческий подход к социальной инженерии, вдохновленный популярным высказыванием «Собака — друг человека» (подразумевается, что с ней мы чувствуем себя лучше и безопасней). Докладчик привлекает собаку в качестве инструмента кибератак. Она носит мобильник, спрятанный под нагрудным ремнем. А этот мобильник в автоматическом режиме ведет кибератаки на мобильные устройства людей, которые оказались поблизости от собаки.
Здесь подойдут атаки, которые выполняются автоматически, без взаимодействия с человеком. В их число входят атаки близкого радиуса действия, такие как поддельные точки доступа Wi-Fi, поддельные сотовые вышки, локальные атаки на пользователя в сети, захват DNS, пакетная инъекция, «злой двойник» и много других вариаций. Ты можешь отправить свою хакерскую собаку гулять по парку, а сам будешь просто стоять в сторонке, пока она ломает людей для тебя.
Ихтиология: фишинг как наука
Уже практически все согласны с тем, что фишинг непреодолим. Лучшее, что мы можем сделать, — запустить образовательную программу для сотрудников и скрестить пальцы на удачу. Но действительно ли фишинг-тренинги дают нужный эффект? В этом докладе рассмотрена психология фишинга и описана серия реальных атак, приведены коэффициенты конверсии. Также докладчик демонстрирует способы, при помощи которых были обойдены существующие средства корпоративной защиты. Рассмотрены недавние технологические достижения в этой области и описаны способы, как можно смягчить воздействие фишинга.
Социальная кибербезопасность: сдвиг в сторону понимания стереотипов
Способны ли мы разрабатывать системы, которые будут поощрять правильное поведение в плане кибербезопасности? Несмотря на доступность перспективных инструментов обеспечения кибербезопасности и изобилие действительно полезных рекомендаций по их эффективному использованию, многие из них остаются невостребованными. Докладчик утверждает, что такое расхождение теории с практикой возникает из-за того, что кибербезопасники, предлагая свои решения, учитывают только техническую сторону вопроса и не заботятся о формировании у своих потенциальных пользователей полезных стереотипов, не социализируют свои технологии. И пользователи сами додумывают предназначение этих защитных технологий.
Как известно, праздный ум — кузница дьявола. Поэтому, например, двухфакторную авторизацию расценивают как акт параноидальности. Шифрование телефона — как желание скрытничать. А в более общем плане считают, что, если ты «чрезмерно» заботишься о кибербезопасности, можешь показаться подозрительной личностью. В этой презентации докладчик представляет доказательства следующему утверждению: «Общественное мнение сильно влияет на поведенческие стереотипы в кибербезопасности, и хорошие стереотипы кибербезопасности возникают, только если при разработке систем кибербезопасности и сопутствующих рекомендаций уделяется серьезное внимание их социализации».
Докладчик подкрепляет это свое утверждение результатами крупномасштабного исследования социальной активности полутора миллионов пользователей фейсбука. По итогам этого исследования докладчик разработал уведомление для пользователей фейсбука, которое сообщает им, что их друзья используют дополнительные системы безопасности для защиты своих учетных записей, и протестировал его в разных вариациях на 50 тысячах пользователей фейсбука.
Вывод, к которому пришел докладчик: «Стереотипы кибербезопасности очень зависят от социального влияния; дизайн системы безопасности сильно влияет на ее потенциал для социального признания. В частности, системы безопасности, действия которых наблюдаемы, комплексны, понятны и подконтрольны, находят положительный социальный отклик. Тогда как те системы безопасности, которые этими качествами не обладают, игнорируются». Основываясь на своих исследованиях и промежуточных выводах, докладчик делает такой основной вывод: «Будущее социально-интеллектуальных систем безопасности за теми, кто понимает и учитывает базовые человеческие стереотипы, желания и наклонности».
Анна Серохвостова