/ BLOG
Уявіть собі: звичайний робочий день. Ваші співробітники — у зустрічах, на пошті, у чатах. А десь у цей момент — розпочато атаку. Не через код, віруси чи шкідливе ПЗ. Через людину. Через найбільш вразливе місце, про яке ніхто не говорить — людську довіру.
Чи зможе ваша команда розпізнати добре продуману багатоетапну атаку, що спирається на психологічний вплив і соціальні інженерні методи? Чи зможе вона протистояти, коли «ворог» — не програміст ззовні, а той, хто знає, як змусити людину діяти проти власної компанії?
У цій статті розглянемо, що таке соціальна інженерія, як проходить тестування з погляду етичних хакерів та його етапи, чому компаніям обов’язково потрібно навчати кібергігієні своїх працівників і чому компанії повинні бути готовими до таких загроз.
Що таке соціальна інженерія? Соціальна інженерія — це метод атаки, що базується на психологічному впливі на людей з метою отримання конфіденційної інформації, доступу до ресурсів чи внутрішніх систем або виконання певних дій, які можуть завдати шкоди. Тестування на проникнення соціальним каналом включає імітацію реальних атак, пов'язаних із соціальною інженерією, таких як фішинг, вішинг, смішинг та інші методи, з метою оцінки безпеки організації та перевірки рівня обізнаності співробітників щодо потенційних загроз.
В контексті послуги фішингу, ми використовуємо дві технології: Evilginx та GoPhish.
Комбінація цих технологій дозволяє реалізувати атаки, які на практиці є важкими для виявлення. Вони надають точну модель реальних кіберзагроз, а також забезпечують ефективну обробку великого обсягу інформації, що дозволяє адаптувати стратегії фішингових кампаній для максимального результату.
1. Підготовка. На цьому етапі визначаються цілі тестування, обирається цільова група, встановлюються види атак, що будуть реалізовуватись, підбираються відповідні інструменти, а також визначаються терміни проведення тестування. Основна увага приділяється дотриманню етичних норм та узгодженню дій із замовником.
2. Збір інформації. Використовується методика OSINT (Open-Source Intelligence) для збору інформації з відкритих джерел, соціальних мереж та публічних профілів співробітників компанії. Здобута інформація, включаючи посадові обов’язки, корпоративні звички, внутрішні сервіси тощо, дозволяє сформувати максимально правдивий сценарій атаки. Окрему увагу приділяється ідентифікації порталів для автентифікації (наприклад, корпоративні сайти або сторонні сервіси), що дає змогу розширити можливості атаки.
3. Написання сценаріїв та їх узгодження: Аналізуючи внутрішні процеси компанії та її корпоративну культуру, створюється максимально правдоподібний сценарій взаємодії. Якщо в компанії активно використовують певний месенджер або часто надсилають службові повідомлення електронною поштою, це враховується для формування атаки. Мета — змусити співробітників повірити, що вони мають справу з правдивим запитом, що підвищить шанси на успішне проникнення. Сценарії узгоджуються з керівництвом або замовником для забезпечення відповідності етичним нормам та цілям тестування.
4. Розгортання інфраструктури: Для успішної атаки важливо правильно налаштувати всі компоненти. Використовуються сучасні інструменти та комплексний підхід: ● Придбання домену. Купується домен, схожий на легітимний, і налаштовується через Cloudflare для маскування IP-адрес. ● Налаштування Evilginx. Встановлюються фішлети для проксування та перехоплення автентифікаційних даних. ● Налаштування поштового сервера Postfix. Налаштовується поштовий сервер із доменом, схожим на оригінальний. Додаються SPF, DKIM, DMARC для підвищення довіри. ● Розгортання GoPhish. Конфігурується підключення до поштового сервера, створюються фішингові кампанії та система збору статистики. ● Налаштування правил фаєрволу: Обмежується доступ до серверів лише для визначених IP, зокрема Cloudflare та внутрішньої мережі.● Перевірка системи моніторингу. Перевіряється коректність роботи всієї системи, за потреби вносяться зміни в налаштування.
5. Тестування обраних сценаріїв. Надсилаються тестові повідомлення чи моделюються інші дії для аналізу успішності їх виконання, доставлення та спрацювань систем захисту. За результатами проводиться аналіз, вносяться корективи, після чого можуть виконуватися повторні тести для досягнення поставлених цілей або перехід до активної фази тестування.
6. Активна фаза тестування. Проводяться заплановані атаки відповідно до погоджених сценаріїв із використанням методів соціальної інженерії. Аналізуються реакції цільової аудиторії.
7. Оцінка наслідків та подальші дії. У разі успішного проникнення поверхнево аналізуються можливі подальші дії умовного зловмисника та фіксування результатів.
8. Звітність: Створюється детальний звіт з описом всіх етапів тестування, виявлених вразливостей, статистика та вказуються рекомендації для покращення безпеки.
9. Проведення тренінгу: Організовується навчання для персоналу компанії з метою підвищення обізнаності про соціальні атаки, способи їх виявлення та захисту від них у майбутньому.
Реальні кейси демонструють, що ефективність соціальних атак залежить від рівня обізнаності персоналу:
Підсумовуючи, соціальні атаки є реальним і надзвичайно небезпечним викликом для компаній. Щоб захиститися, компанії мають регулярно проводити тренінги, тестувати персонал на стійкість до атак, впроваджувати багаторівневу автентифікацію та бути готовими до оперативного реагування на інциденти. Чи готові ваші співробітники до такої атаки? Якщо ні — саме час про це подбати.
IT Specialist – безпечна інтеграція в майбутнє!
Автор: Дмитро Рабчун, Провідний фахівець з тестування систем захисту інформації