Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

Послуги з імітації атак хакерів для вдосконалення процесів кібербезпеки.

/ BLOG

Pentest: Чи готова ваша команда до масованої атаки соціальним каналом? Атака в дії: реальний кейс

Heading photo

Уявіть собі: звичайний робочий день. Ваші співробітники — у зустрічах, на пошті, у чатах. А десь у цей момент — розпочато атаку. Не через код, віруси чи шкідливе ПЗ. Через людину. Через найбільш вразливе місце, про яке ніхто не говорить — людську довіру.

Чи зможе ваша команда розпізнати добре продуману багатоетапну атаку, що спирається на психологічний вплив і соціальні інженерні методи? Чи зможе вона протистояти, коли «ворог» — не програміст ззовні, а той, хто знає, як змусити людину діяти проти власної компанії?

У цій статті розглянемо, що таке соціальна інженерія, як проходить тестування з погляду етичних хакерів та його етапи, чому компаніям обов’язково потрібно навчати кібергігієні своїх працівників і чому компанії повинні бути готовими до таких загроз.

Значення інформаційної безпеки?

У сучасному середовищі інформаційна безпека набуває критичного значення. Ми, пентестери, імітуємо реальні загрози, щоб допомогти компаніям виявити слабкі місця. Однією з найефективніших атак є соціальна інженерія, яка дозволяє обійти технічні засоби захисту завдяки використанню людського фактора.

Соціальна інженерія та тестування соціальним каналом

Що таке соціальна інженерія? Соціальна інженеріяце метод атаки, що базується на психологічному впливі на людей з метою отримання конфіденційної інформації, доступу до ресурсів чи внутрішніх систем або виконання певних дій, які можуть завдати шкоди. Тестування на проникнення соціальним каналом включає імітацію реальних атак, пов'язаних із соціальною інженерією, таких як фішинг, вішинг, смішинг та інші методи, з метою оцінки безпеки організації та перевірки рівня обізнаності співробітників щодо потенційних загроз.


Види атак соціальної інженерії:

    Фішинг — найпоширеніший вид атак, за якого зловмисник надсилає електронні листи або повідомлення в соціальних мережах з метою спонукання жертви перейти за шкідливим посиланням або завантажити файл зі шкідливим програмним забезпеченням. Саме він найчастіше використовується в практиці тестуванні на проникнення соціальним каналом.
    Вішинг — метод соціальної інженерії, що передбачає здійснення телефонних дзвінків з метою отримання конфіденційної інформації від жертви шляхом маніпуляцій або переконання.
    Смішинг — атака, що здійснюється через SMS-повідомлення. Зловмисник надсилає переконливі повідомлення, що містять посилання на шкідливі ресурси або запити на передачу особистої інформації. Часто використовується для зараження мобільних пристроїв або викрадення облікових даних.
    Пре-текстинг — метод, за якого зловмисник створює вигаданий сценарій (попередній текст), видаючи себе за довірену особу (наприклад, співробітника компанії або державного органу), щоб здобути доступ до конфіденційної інформації або спонукати до дії, що зашкодить безпеці.
    Tailgating — фізичний метод атаки, за якого зловмисник проникає до зони з обмеженим доступом, слідуючи за уповноваженим співробітником без пред’явлення відповідних документів чи ідентифікації.
    Бейтінг — використання приманки, яка викликає цікавість жертви (наприклад, USB-накопичувача), щоб змусити її взаємодіяти з об'єктом, що містить шкідливе ПЗ або інші засоби компрометації системи.

Які технології використовуються нашими фахівцями, та в чому вони варті уваги

В контексті послуги фішингу, ми використовуємо дві технології: Evilginx та GoPhish. 

    Evilginx — це сучасний інструмент, що працює в режимі зворотного проксі-сервера, через який відбувається опосередкований обмін даними між користувачем і легітимним веб-ресурсом, що дає змогу прозоро перенаправляти трафік і, відповідно, перехоплювати автентифікаційні дані в режимі реального часу без викликання підозр у кінцевого користувача.
    GoPhish — це спеціалізована платформа для організації фішингових кампаній, яка дозволяє автоматизувати процес розсилки електронних листів і збору статистики. За допомогою цього інструменту можна створювати шаблони повідомлень, які імітують офіційні листи, а також відстежувати взаємодію отримувачів. Платформа надає дані про те, хто відкрив лист, хто перейшов за посиланням і хто ввів свої облікові дані, що дозволяє оперативно аналізувати ефективність кампанії.

Комбінація цих технологій дозволяє реалізувати атаки, які на практиці є важкими для виявлення. Вони надають точну модель реальних кіберзагроз, а також забезпечують ефективну обробку великого обсягу інформації, що дозволяє адаптувати стратегії фішингових кампаній для максимального результату.

Pentest в дії: як проходить проникнення в компанію соціальним каналом?

1. Підготовка. На цьому етапі визначаються цілі тестування, обирається цільова група, встановлюються види атак, що будуть реалізовуватись, підбираються відповідні інструменти, а також визначаються терміни проведення тестування. Основна увага приділяється дотриманню етичних норм та узгодженню дій із замовником.
2. Збір інформації. Використовується методика OSINT (Open-Source Intelligence) для збору інформації з відкритих джерел, соціальних мереж та публічних профілів співробітників компанії. Здобута інформація, включаючи посадові обов’язки, корпоративні звички, внутрішні сервіси тощо, дозволяє сформувати максимально правдивий сценарій атаки. Окрему увагу приділяється ідентифікації порталів для автентифікації (наприклад, корпоративні сайти або сторонні сервіси), що дає змогу розширити можливості атаки.
3. Написання сценаріїв та їх узгодження: Аналізуючи внутрішні процеси компанії та її корпоративну культуру, створюється максимально правдоподібний сценарій взаємодії. Якщо в компанії активно використовують певний месенджер або часто надсилають службові повідомлення електронною поштою, це враховується для формування атаки. Мета — змусити співробітників повірити, що вони мають справу з правдивим запитом, що підвищить шанси на успішне проникнення. Сценарії узгоджуються з керівництвом або замовником для забезпечення відповідності етичним нормам та цілям тестування.
4. Розгортання інфраструктури: Для успішної атаки важливо правильно налаштувати всі компоненти. Використовуються сучасні інструменти та комплексний підхід: ● Придбання домену. Купується домен, схожий на легітимний, і налаштовується через Cloudflare для маскування IP-адрес. ● Налаштування Evilginx. Встановлюються фішлети для проксування та перехоплення автентифікаційних даних. ● Налаштування поштового сервера Postfix. Налаштовується поштовий сервер із доменом, схожим на оригінальний. Додаються SPF, DKIM, DMARC для підвищення довіри. ● Розгортання GoPhish. Конфігурується підключення до поштового сервера, створюються фішингові кампанії та система збору статистики. ● Налаштування правил фаєрволу: Обмежується доступ до серверів лише для визначених IP, зокрема Cloudflare та внутрішньої мережі.● Перевірка системи моніторингу. Перевіряється коректність роботи всієї системи, за потреби вносяться зміни в налаштування.
5. Тестування обраних сценаріїв. Надсилаються тестові повідомлення чи моделюються інші дії для аналізу успішності їх виконання, доставлення та спрацювань систем захисту. За результатами проводиться аналіз, вносяться корективи, після чого можуть виконуватися повторні тести для досягнення поставлених цілей або перехід до активної фази тестування.
6. Активна фаза тестування. Проводяться заплановані атаки відповідно до погоджених сценаріїв із використанням методів соціальної інженерії. Аналізуються реакції цільової аудиторії.
7. Оцінка наслідків та подальші дії. У разі успішного проникнення поверхнево аналізуються можливі подальші дії умовного зловмисника та фіксування результатів.
8. Звітність: Створюється детальний звіт з описом всіх етапів тестування, виявлених вразливостей, статистика та вказуються рекомендації для покращення безпеки.
9. Проведення тренінгу: Організовується навчання для персоналу компанії з метою підвищення обізнаності про соціальні атаки, способи їх виявлення та захисту від них у майбутньому.

Чому компаніям варто піклуватися про кібергігієну своєї команди?

Реальні кейси демонструють, що ефективність соціальних атак залежить від рівня обізнаності персоналу:

    Регулярне тестування: Наш досвід показує, що у компаніях, де проводяться регулярні перевірки, лише менше ніж 10% користувачів, що переходять за посиланнями, передають облікові дані. Співробітники навчені оперативно повідомляти департамент інформаційної безпеки про підозрілі інциденти ще до моменту компрометації.
    Перший досвід: У компаніях, що замовляють таку послугу вперше, близько 50% користувачів, що переходять за посиланнями, вводять свої вірні облікові дані за короткий проміжок часу. Більшість співробітників навіть не знає, що потрібно інформувати про інциденти, що створює значний ризик для безпеки компанії в таких випадках.
    Вразливість ключових позицій: У межах одного з кейсів вдалось скомпрометувати обліковий запис співробітника технічного відділу, який володів розширеними правами доступу. Такі користувачі є цінними для зловмисників. Це дало змогу отримати віддалений доступ до внутрішньої системи через протокол RDP. Надалі зловмисник міг би здійснити низку деструктивних дій, зокрема провести внутрішню розвідку, здійснити підміну легітимних файлів на шкідливе програмне забезпечення, експлуатувати вразливості системи, а також реалізувати ексфільтрацію конфіденційних даних. У контексті реальної атаки, за відсутності належної обізнаності персоналу щодо фішингових загроз та практики повідомлення про підозрілі повідомлення, наслідки інциденту могли б бути критичними для безпеки організації.
Illustration

Висновок

Підсумовуючи, соціальні атаки є реальним і надзвичайно небезпечним викликом для компаній. Щоб захиститися, компанії мають регулярно проводити тренінги, тестувати персонал на стійкість до атак, впроваджувати багаторівневу автентифікацію та бути готовими до оперативного реагування на інциденти. Чи готові ваші співробітники до такої атаки? Якщо ні — саме час про це подбати.
IT Specialist – безпечна інтеграція в майбутнє!
Автор: Дмитро Рабчун, Провідний фахівець з тестування систем захисту інформації

Потрібна консультація експерта?

Залишити заявку

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh

Професійна Red Team від компанії "IT Спеціаліст" має більш як 10 років практичного досвіду в галузі.

Наша головна спеціалізація - це перевірка готовності вашого бізнесу до реальних атак зловмисників, оцінка швидкості реагування та ефективності дій персоналу.
Ми оперативно виявляємо та усуваємо загрози безпеки ще до того, як вони перетворяться на репутаційні та фінансові проблеми.

Телефон

Офіс+38 (044) 390 81 90
Департамент продажів+38 (096) 390 81 90

Адреса

Бізнес-центр Sigma,бульвар Вацлава Гавела, 6, корпус 3,Україна, Київ, 03124

Е-mail

moc.tsilaicepsti-ym%40olleh