Социотехническое тестирование на проникновение — чем оно отличается от простого фишинга?
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.
Социотехника — это вообще ощутимо более сложная и комплексная история. В первую очередь тем, что цель ее не столько подсветить тех работников, которых нужно обучать противодействию фишингу, сколько оценить (и показать), насколько подобная атака может далеко зайти и быть критичной для бизнеса. То есть главное различие — в разнообразии применяемых подходов и методов. При том, что основой социотехники может являться именно фишинг.
Используются множество сценариев, и с попыткой выполнения кода на рабочих станциях и со сбором логинов и паролей от почты. Например, классический сценарий "Переезд на новый сервер Outlook", где просят пользователей поскорее проверить, пускает ли их на "новый сервер". А собранные логины и пароли, используются на иных сервисах компании или пытаются развить атаку используя содержимое почты.
Вот два интересных результата классического сбора учетных данных:
1. Крупный телеком
Обычно перед проектом список почтовых адресов для рассылки согласовывается, оттуда вычеркиваются недействующие адреса, рассылки и почты топ-менеджмента (ибо негоже беспокоить уважаемых людей), но не в этом случае. Было дано разрешение отправлять фишинговые письма на любые обнаруженные в сети почтовые адреса телекома. Что и было сделано, учетные записи были собраны и самым быстрым способом понять, в чью именно почту мы попали было посмотреть подпись исходящих писем.
К нашему удивлению, мы прочитали "Технический Директор по СНГ", о критичности тех данных, которые были в почте и говорить было нечего, фактически получив доступ к только этому ящику все основные цели проекта были выполнены.
Конечно же, проект мы продолжили, а о компрометации сразу же сообщили заказчику. Ну и намекнули, что может уважаемых людей все же стоит беспокоить в будущем?
2. Крупный ритейл
Проверяя полученные доступы от почт, мы попали в почту самого младшего системного администратора. Он даже понял, что ошибся и смени пароль буквально через 15 минут, но дамп его почты уже был у нас. В его обязанности входила задача настройки точек Wi-fi во всех магазинах большой сети, таблицу с сохраненными настройками и паролями мы также получили. Там же было указано, что в большинстве магазинов роутерами можно управлять только на месте и даже если наша жертва подумала о том, что мы успели скачать всю ее почту, вряд ли она захочет поднимать шум или поедет по всем магазинам Москвы.
На следующий день, мы сидели напротив магазина подключенные к корпоративному Wi-fi и развивали атаку внутри сети, социотехническое тестирование на проникновение стало внутренним тестированием на проникновение. К вечеру этого дня максимальные права в инфраструктуре были получены. О своей оплошности младший сисадмин своим коллегам не сказал.
Какой вывод можно сделать? Социотехническое тестирование и антифишинг — это два совершенно разных инструмента, хоть и выполняющих в чем-то схожие задачи. "Неприкасаемых" в процессе быть не должно — если кто-то считает, что не стоит беспокоить уважаемых людей, то пусть не забудет предупредить об этом реальных мошенников. Ну и не стоит забывать, что самой уязвимой частью любой системы обеспечения безопасности всегда останутся люди.