Социальная инженерия: как можно легко получить доступ к чужому аккаунту

 

Представьте себе, что в один “прекрасный” день в сеть утекли важные данные о ваших клиентах. Что еще хуже –  это благодаря переходу по ссылке из e-mail. За последние пару лет мне удалось получить доступ к учетным записям людей на Facebook, LastPass, Google, Slack и др. И даже по сей день мне все еще страшно видеть, как это было легко.

В последнее время я тестировал своих коллег, чтобы увидеть, как у них дела, когда они сталкиваются с реальными фишинговыми атаками, различными видами социальной инженерии, вредоносными USB-флешками и другими атаками. Существует огромная разница, когда вы смотрите видео о фишинге и когда это происходит непосредственно с вами. Я пытаюсь повысить осведомленность об угрозах сегодняшнего мира и хочу поделиться с вами несколькими историями.

Если честно, меня всегда интересовала тема взлома и социальной инженерии. Взломать систему или использовать уязвимость человеческого фактора, вот что меня привлекает. Вот почему я начал экспериментировать со своими коллегами. Я хотел посмотреть, как у нас дела с точки зрения безопасности. Я всегда стараюсь действовать как посторонний и не использую какие-либо личные знания в свою пользу.

Мы (гики) иногда увлекаемся самыми безопасными технологическими решениями. Любим зашифровать все папки с помощью лучших алгоритмов. Но иногда самый простой способ взломать компанию – воспользоваться человеческими уязвимостями.

Что-то вроде предостережения

Давайте перейдем к делу, но прежде…

Это не мануал о том, как взламывать чужие аккаунты в соц сетях или что-то в этом роде. Эта информация должна помочь пользователям быть более защищенными и знать о технологии социальной инженерии.

Кейс №1: Как получить доступ к чьей-то учетной записи Facebook?

Это стало отправной точкой. Мне было интересно насколько будет трудно получить доступ к аккаунту facebook. Поэтому я создал левый почтовый ящик, используя фамилию одного из моих коллег и название компании (что-то вроде novak.twisto@seznam.cz). Далее отправил электронное письмо со ссылкой на видео о «диджеях современности», которые были на Facebook.

Фишинговая страница Facebook, без SSL сертификата

Фишинговая страница Facebook, без SSL сертификата

На первый взгляд ничего подозрительного. Обычная страница Facebook. Но это фишинговый сайт на домене «faceboo-k.cz», который выдавал себя за официальный. К тому же, я даже не добавлял SSL сертификат (httpS на конце вместо http), который сейчас можно получить бесплатно.

По итогу более 70% моих коллег добровольно передали мне свои учетные данные.

Это был хороший эксперимент. С тех пор я решил, что хочу помочь всем не стать жертвой нападения или хотя бы снизить эту возможность до минимума.

Кейс №2: Получаем доступ к сервису LastPass

Если вы никогда не слышали о программе LastPass, то это бесплатный менеджер паролей. Он существует в виде плагинов для браузеров, а все данные хранятся в облаке. На мой взгляд, это лучший способ управлять своими паролями, потому что вы не используете один и тот же пароль для разных сервисов. И в случае утечки ваших данных в будущем, вам не придется менять пароль везде, потому что у вас разные пароли для каждой службы и учетной записи в Интернете.

Еще одним плюсом использования LastPass, является безопасный обмен паролей с вашими знакомыми. Представьте, что однажды ваш генеральный директор поделится с вами паролем. Вы нажмете «Принять» и попадете на страницу, где вы можете увидеть предварительно заполненное электронное письмо. Ничто не отталкивает вас, потому что именно так работает LastPass.

Вы просто вводите свой пароль и находитесь внутри своей учетной записи. Но что, если это был не ваш аккаунт? Что делать, если вы только что передали свой главный пароль, который шифрует и защищает все ваши пароли, данные кредитной карты и т.д. Только что вы по крупному облажались, если не использовали дополнительную защиту (например двухфакторная аутентификация).  Теперь злоумышленник имеет доступ ко всем вашим паролям и кредитным картам.

Следующий вопрос заключался в следующем. Можно ли получить доступ к мастер-паролю от LastPass и как это можно сделать?

Я использовал наработку, аналогичную с Facebook, но на этот раз я просто попытался поднять ее на новый уровень. Я притворялся, что я генеральный директор Twisto и делюсь новыми учетными данными, предварительно заполнив электронное письмо каждому пользователю. И я наконец начал использовать HTTPS для того, чтобы все было максимально естественно.

Фишинговая страница сайта LastPass, уже с SSL сертификатом

Фишинговая страница сайта LastPass, уже с SSL сертификатом

Результат эксперимента 10 из 10 человек передали пароль. Это значит, что у меня есть доступ к:

  • 10 мастер-паролям
  • 210 паролям ко всем онлайн-сервисам
  • 7 учетным данным от интернет-банкинга
  • 10 данным от кредитных карт

Я думаю не нужно объяснять серьезность данной ситуации. Несмотря на то, что банковская сфера неплохо защищена этого недостаточно.

Аналогичной техникой я смог получить доступ к другим сервисам, таким как Slack, Google Drive, GitHub, Zendesk.

Рекомендации к паролю ≠ 100% защищенный пароль

Вот основные рекомендации:

  • Длина 8 символов
  • 1 Заглавная буква
  • 1 цифра либо специальный символ

Согласно этим рекомендациям, можно сгенерировать 3 026 000 000 000 000 000 различных комбинаций паролей. Означает ли это, что мой пароль безопасен? Зависит от ситуации…

Что если вы придумываете пароль ассоциативно? Например вы выбрали слово “оружие” на английском “weapon”. Следуя рекомендациям пароль должен содержать заглавную букву. В 90% случаев это будет первая буква. Т.е. пароль станет “Weapon”. Далее нужна цифра или число. Зачастую в паролях используют год рождения, 87 например и вот пароль уже становится “Weapon87”. Если это похоже на один из вашей паролей, лучше его сменить.

Проверьте сейчас на сайте https://haveibeenpwned.com пытались вы вас взломать или нет.

Мы должны помнить, что безопасность системы или пароля – это еще не все. Во многих случаях самая слабая система – это пользователь, и даже самый простой метод может стать самым эффективным.

Кейс №3: Взлом интернет-магазина с доходом более 300 миллионов чешских крон и получение доступа ко всем данным клиентов

У меня есть друг, который владеет Интернет-магазином. Его доход более 300 миллионов чешских крон (это примерно $13 миллионов американских долларов). И однажды я позвонил ему и спросил, могу ли я протестировать его магазин, чтобы узнать, есть ли какие-то проблемы с безопасностью. Он был уверен, что с безопасностью все в порядке, но я все же попробовал.

Через день у меня был доступ ко всему – персональные данные всех клиентов, заказы, размер прибыли, продукты, запасы, все. Я не стану рассказывать все подробно, а перейду к техническим деталям, но мне потребовалось ~ 3 часа, чтобы сделать все это. Я просто хотел упомянуть историю, которая касается не только фишинга и социальной инженерии, но и пары недостатков, которые можно внедрить в любую систему. Но об этом позже.

План атаки

Во всех случаях я использовал примерно такой план:

  1. Начать с конца (определял, какова цель и работать реверсивно)
  2. Производить разведку
  3. Выбирать правильные инструменты
  4. Провести разработку + тестирование
  5. Выполнить + повторить/обновить

Я наблюдаю за аналитикой, и когда я вижу, что мои пользователи не «конвертируются», я пытаюсь что-то изменить в пользовательском интерфейсе, чтобы сделать его более привлекательным. Это то, что я извлекаю из своего опыта в области маркетинга, когда мы пытаемся повысить конверсию.

Повышение конверсии за счет UX

Повышение конверсии за счет UX

Во всех этих случаях у меня всегда лучший UX (пользовательский опыт), который я могу себе представить, но в мрачной и злой манере. Для меня лучший набор навыков – это технология, UX и маркетинг в сочетании. Это то, что я называю лучшим мышлением Хакера.

Хакерская модель: баланс UX маркетинга и технической части

Хакерская модель: баланс UX маркетинга и технической части

Одной из уловок хакеров, заключается в том, чтобы выводить пользователю сообщение «Извините, неверный пароль». В этом случае пользователей обычно вводит 3-5 паролей, которые он обычно использует на других сайтах.

Помните, что злоумышленник не обязательно должен быть кул хацкером. В наши дни хакеры не похожи на тех, которых вы видели в фильмах двадцать лет назад – множество черных экранов с зеленым текстом где-то в подвале. Ваш злоумышленник может быть обычным парнем, сидящим в забегаловке со своим ноутбуком.

Выводы, которые необходимо сделать

Вот 5 выводов, которые нужно сделать, после прочтения этой статьи:

Здравый смысл твой друг

Когда происходит что-то подозрительное, или когда что-то не сходится, будьте осторожны. Зачем Facebook вдруг станет запрашивать ваш пароль, если вы все время входите в систему? Почему ваш знакомый делится чем-то напрямую с вами, если вы не часто общаетесь?

Бдительность – ваше лучшее оружие

Я считаю, что крайне важно поддерживать кругозор ваших знакомых и друзей. Пожалуйста, покажите им, что может произойти и как это выглядит в реальном мире.

Вы не должны совершать ни одной ошибки, хакеру достаточно одной вашей ошибки

Плохо то, что, с точки зрения злоумышленника, обычно достаточно одного человека, чтобы получить все необходимые ему данные. Но с точки зрения компании, вы все должны быть осторожными. Вы не можете допустить ни одной ошибки.

Тестирование безопасности

Я узнал, что очень интересно придумывать новые творческие векторы атак и испытывать их в реальном мире.  Если вы серьезно относитесь к безопасности, найм компании внешнего тестирования на проникновение может быть хорошей идеей.

UX – пользовательский опыт

Это то, во что я действительно верю. Почему пользователь должен делать одну дополнительную вещь, которую он не должен делать? Мы всегда стараемся придерживаться этого «100% конверсии», потому что хотим обеспечить максимально возможный пользовательский опыт.

И помните, что речь идет не только о безопасном коде, но и о людях. Как видно, что хакеры без труда могут получить доступ к любому из ваших аккаунтов. Если вы технический специалист, пожалуйста, помогите им.

 

Источник: Hacking and social engineering with a 70% success rate

Перевод: Stupidnet.ru

Bookmark(0)
Если вам понравилась статья, поделитесь ей, где вам удобно:
Безопасность аккаунтов: какие типы аккаунтов ломают чаще всего
Безопасность аккаунтов: какие типы аккаунтов ломают чаще всего
Фишинг: что это такое и как можно защититься от него
Фишинг: что это такое и как можно защититься от него
null
Здесь подписка по почте:

Для подписки нужен только e-mail:

null
Ключевые слова, по которым возможно наткнуться на этот поток мыслей:

1 комментарий. Оставить новый

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Заполните поле
Заполните поле
Пожалуйста, введите корректный адрес email.
Вы должны согласиться с условиями для продолжения

Не пропустите похожие статьи
Меню