среда, 11 ноября 2015 г.

ТОП-5 атак с использованием социальной инженерии (часть 2)

Итак, продолжим ТОП ещё двумя атаками, которые реализовывались с использованием техник социальной инженерии.

2. Hidden Lynx Watering Hole

Вполне заслуживает второго места в топе китайская кибер-шпионская группировка "Hidden Lynx". Заслуживает тем, что ей удалось реализовать несколько успешных атак, применяя технику watering hole (водопой).
Вкратце, WH (не путать с worm hole) - это продвинутый фишинг и относится к группе APT-атак. Выясняется, на какой сайт часто заходит группа людей, являющейся целью хакеров, и специальный вредоносный код внедряется именно на этот сайт. Watering hole хоть и сложнее классического фишинга, но позволяет добиться успеха при сложных взломах, когда цель является более-менее компетентной в вопросах безопасности и не "клюнет" на ссылки из непонятных писем.
Группа "Hidden Lynx" использовала подобную тактику в известных атаках на Bit9, VOHO и в ходе достаточно успешной Operation Aurora, целями которой были Google, Adobe Systems, Juniper Networks, Rackspace, Yahoo, Symantec, Morgan Stanley и др.

1. Принц Нигерии!

Так называемые "Нигерийские письма" - это, наверное, один из самых распространённых и широко известных видов мошенничества. Существовал он задолго до Интернета, но особое распространение получил, естественно, с появлением массовых рассылок по электронной почте.
Как правило, письмо приходит от имени бывшего короля или принца\принцессы, с просьбой о помощи в банковских операциях по переводу денег из Нигерии за границу. Обоснований приводится масса - высокие налоги, политическое преследование и т.д. В замен обещается процент от переведённой суммы. А так как суммы как правило весьма внушительны (от нескольких тысяч $ до миллионов), то и вознаграждение обещается заманчивое.

Если жертва отвечает на письмо - вот тут и начинается Социальная инженерия с большой Буквы!:) Мошенники используют все средства, техники и способы убеждения, чтобы выкачать деньги. Высылают документы, которые необходимо заполнить, просят деньги на оплату сборов и гос.пошлин, требуют положить несколько тысяч $ на счёт в нигерийском банке, чтобы якобы авторизовать транзакцию. Оказывают все виды психологического давления, описанные в том числе и в моём блоге. В некоторых случаях даже организовывались полулегальный приезд жертвы в Нигерию, якобы для тайной встречи с "наследным принцем", где человека просто похищали и вымогали деньги за его освобождение уже у родственников. Существуют и прецеденты убийств. Никаких денег, естественно, никто и никогда от Короля Нигерии не получал.
Не смотря на широкое распространение этого мошенничества и обсуждения в СМИ, массовость спама приводит к тому, что это мошенничество до сих пор процветает. В одном только 2013 году, по данным исследования, рынок этого мошенничества составил $12.7 миллиардов!

Несколько интересных фактов:

  • в 2005 году нигерийским спамерам присудили шнобелевскую премию по литературе
  • в 2006 году журнал Forbes поставил принца Абакалики Нигерийского на 9-е место в списке "15 богатейших вымышленных персонажей"
  • известно, что два россиянина сумели заработать на мошенниках, развернув схему в свою пользу - один из них получил от мошенников $10, а другой $600, ничего не отдав в замен.



вторник, 10 ноября 2015 г.

ТОП-5 атак с использованием социальной инженерии (часть 1)

Забавы ради, расскажу про пятёрку самых успешных и громких, на мой взгляд, атак с использованием социальной инженерии.
Итак, приступим!

5. Взлом RSA SecurID


До конца в причинах этого взлома ещё толком и не разобрались. В 2011 году, компания EMC, владелица RSA, потратила $66 миллионов на восстановление после взлома своих токенов двухфакторной аутентификации SecurID. Загадкой остаётся какая информация утекла на самом деле. В заявлениях RSA просто указано, что из-за утечки снижена эффективность SecurID, но был ли украден исходный код или криптографические ключи - неизвестно.
Одна что известно, так это то, что атака началась именно с социальной инженерии. Вот что написала RSA по этому поводу:
Атакующий послал два фишинговых письма в течение двух дней.  Эти два письма были направлены двум небольшим группам сотрудников. Нельзя сказать, что эти сотрудники имели высокие уровни доступа или представляли высокий интерес для злоумышленника. Заголовком письма было: "2011 План набора персонала" (2011 Recruitment Plan)... 
На письмо "клюнул" один из сотрудников и открыл вложенный файл Excel .xls... 
Файл содержал в себе эксплоит (zero-day), который установил backdoor, используя уязвимость Adobe Flash (CVE-2011-0609).
Easy mod какой-то :)

4. Похищение алмазов из ABN Amro

В 2007 году произошёл интересный случай, достойный фильмов про друзей Оушена. Но в данном случае, всех "друзей" сыграл один единственный человек. Ему удалось вынести из депозитных ячеек бельгийского банка ABN Amro bank алмазов на сумму около $28 миллионов. Он просто зашёл в банк в рабочее время, обошёл все механизмы защиты и вышел через дверь с кучей алмазов.
В ходе расследования этого инцидента выяснилось, что мошенник просто очаровал всех сотрудников банка. Он покупал им шоколадки, был с ними любезен, собрал необходимую информацию, добыл копии необходимых ключей. Разработанный им план сработал просто идеально, злоумышленника так и не нашли.
Вот как важен подготовительный этап в СИ-атаках!

3. Взрыв в Белом доме

В 2013 году, в твиттере известного издания "Associated Press" появилось сообщение: "Два взрыва в Белом доме, Барак Обама ранен."
Естественно, это была ложная информация и являлась частью известной тогда атаки хакерской группировки Syrian Electromic Army на медиа-агенства США. Но последствия этого "прикола" были весьма серьёзные. За несколько минут, пока новость не была опровергнута, индекс DowJones упал на 150 пунктов!
В наш топ-5 этот случай попал из-за того, что взлом также был осуществлён с помощью фишинга.  Вот такое письмо получили несколько сотрудников Associated Press:
Sent: Tue 4/23/2013 12:12 PM
From: [An AP staffer]
Subject: News
Hello,
SPONSOR VIDEO, MOUSEOVER FOR SOUND
Please read the following article, it’s very important :
http://www.washingtonpost.com/blogs/worldviews/wp/2013/04/23/

[A different AP staffer]
Associated Press
San Diego
mobile [removed]

О последних двух в следующем посте!