如果可以，请对我说谎：进行社会技术笔试的特征

想象一下这种情况。 十月的早晨冷，设计院在俄罗斯地区之一的地区中心。 人事部门的某人访问了该研究所网站上的工作页面之一，几天前发布了该页面，并且看到那里的一只猫的照片。 早上很快不再变得无聊...

在本文中，Group-IB的审计和咨询部门的技术总监Pavel Suprunyuk讨论了社会工程学攻击在实际的安全评估项目中所占的位置，它们可以采取何种异常形式，以及如何保护自己免受此类攻击。 作者澄清说，本文具有概述性，但是，如果读者感兴趣的是某些方面，Group-IB专家将随时回答评论中的问题。

第1部分。为什么这么严重？

回到我们的猫。 一段时间后，人事部门删除了该照片（此处和下面的屏幕截图被部分修饰，以免透露真实姓名），但它固执地返回，再次被删除，这又发生了几次。 人事部门了解这只猫有最严重的意图，他不想离开，他们要求网络程序员（创建站点并了解站点并现在对其进行管理的人）寻求帮助。 程序员访问该站点，再次移走这只烦人的猫，发现它是代表人事部门本身放置的，然后假定人事部门密码已泄露给某些网络流氓并对其进行了更改。 猫不再出现。



到底发生了什么？ 对于研究所所属的公司集团，IB集团的专家以接近Red Teaming的格式进行了渗透测试（换句话说，这是使用黑客团体的最先进方法和工具模仿对您公司的定向攻击）。 我们在这里详细讨论了Red Teaming。 重要的是要知道，在进行这样的测试时，可以使用包括社会工程学在内的各种预先约定好的攻击。 显然，猫的摆放位置并不是发生事情的最终目的。 并且有以下内容：

• 研究所的网站托管在研究所网络本身的服务器上，而不是第三方服务器上；
• 发现人事部门帐户泄漏（站点根目录中的消息日志文件）。 无法使用此帐户来管理站点，但是可以编辑作业页面。
• 更改页面，您可以将脚本放入JavaScript。 通常，它们使页面具有交互性，但是在这种情况下，使用相同的脚本，就有可能从访问者的浏览器中窃取人力资源部门与程序员之间的区别以及与普通访问者不同的程序员-网站上的会话标识符。 这只猫是攻击的触发者，也是吸引注意的图片。 在HTML网站标记语言中，它看起来像这样：如果下载了图片，则JavaScript已经执行，并且会话标识符以及有关浏览器和IP地址的数据已被盗。
• 利用管理员会话的标识符，人们可以完全访问该站点，以PHP语言放置可执行页面，从而可以访问服务器的操作系统，然后可以访问本地网络本身，这是该项目的重要中间目标。

攻击以部分成功告终-管理员会话标识符被盗，但已绑定到IP地址。 我们无法解决这个问题，也无法将网站的特权增加给管理员，但我们改善了心情。 最终结果最终是在网络外围的另一部分获得的。

第2部分。我正在写信给您-还有什么？ 我正在您的办公室里打来电话，踩着闪存驱动器

猫的情况下发生的事情是社会工程的一个例子，尽管不是很经典。 实际上，这个故事中还有更多的事件：有一只猫，一个研究所，一个人事部门和一个程序员，但也有电子邮件澄清了一些问题，这些问题据说是由“候选人”写给人事部门本身以及发给程序员以挑衅的他们去网站页面。

说到字母。 普通电子邮件-可能是社会工程学的主要工具-几十年来没有失去其相关性，有时会导致最不寻常的后果。

我们经常在活动中讲以下故事，因为它很有启发性。

通常，根据社会工程项目的结果，我们会编译统计数据，众所周知，这些统计数据既枯燥又无聊。 如此多的收件人打开了信件的附件，点击链接的人很多，但是这三个通常输入了用户名和密码。 在一个项目中，我们收到了超过100％的密码输入-也就是说，结果比发送的更多。

事情是这样的：据推测是从CISO国营公司发来的网络钓鱼信，要求“紧急测试邮件服务的变化”。 这封信落在从事技术支持的大型单位的头上。 这位领导人非常努力地执行上级当局的命令，并将其发送给所有下属。 呼叫中心本身很大。 通常，当某人向其同事发送“有趣的”网络钓鱼电子邮件而他们也遇到这种情况时，这是很常见的情况。 对于我们来说，这是写信质量的最佳反馈。



过了一会儿，我们进入了核心（这封信被撤回了一个被损毁的邮箱）：



攻击的成功是由于邮件列表使用了客户端邮件系统中的许多技术缺陷。 它的配置方式使得即使未经授权，也可以代表组织本身的任何发件人发送任何信件，甚至可以从Internet发送。 也就是说，您可以假装是CISO，技术支持主管或其他人员。 此外，邮件界面观察“自己的”域中的信件，仔细替换了通讯录中的照片，为发送者增加了自然感。

实际上，这种攻击不适用于特别复杂的技术；它是对邮件设置中一个非常基本的缺陷的成功操作。 她经常了解专业的IT和信息安全资源，但尽管如此，仍然有一些公司拥有这一切。 由于没有人愿意彻底检查SMTP邮件协议的服务标头，因此通常通过警告邮件界面图标来检查邮件是否存在“危险”，这些图标并不总是反映出整个画面。

有趣的是，此漏洞的作用方向不同：攻击者可以代表您的公司向外部收件人发送电子邮件。 例如，他可以通过指定其他人而不是您的详细信息来代表您伪造定期付款的账单。 如果您不考虑反欺诈和套现的问题，这可能是使用社交工程窃取金钱的最简单方法之一。

除了通过网络钓鱼窃取密码之外，一种社会技术攻击的经典做法是分发可执行附件。 如果这些投资能够克服现代公司通常采用的所有安全措施，则将形成一个远程访问受害者计算机的渠道。 为了演示攻击的后果，可以将最终的远程控制扩展为访问敏感的敏感信息。 值得注意的是，绝大多数吓everyone媒体所有人的攻击都是以这种方式开始的。

在我们的审计部门中，出于利益考虑，我们考虑近似的统计数据：主要由于网络钓鱼和已执行投资的邮寄，我们在“域管理员”级别获得了访问权的公司的资产总价值是多少？ 今年它达到了约1500亿欧元。

显然，发出挑衅性的电子邮件并在网站上发布猫的照片并不是社会工程学的唯一方法。 在这些示例中，我们试图显示攻击形式及其后果的多样性。 除信件外，潜在的攻击者还可以打电话以获取必要的信息，在目标公司的办公室中散布带有可执行文件的媒体（例如闪存驱动器），以实习生身份工作，以CCTV摄像机安装程序为幌子对本地网络进行物理访问。 顺便说一下，所有这些都是我们成功完成的项目中的示例。

第3部分。教义是光，黑暗是无学

一个合理的问题出现了：嗯，有社会工程学，看起来很危险，但是公司应该怎么做呢？ 机长急忙提供帮助证据：您需要全面地捍卫自己。 某些保护措施旨在针对已经成为经典的安全措施，例如信息保护的技术手段，监视，流程的组织和法律支持，但我们认为主要部分应针对与员工的直接工作，这是最薄弱的环节。 毕竟，无论您对设备进行了多大的加固或制定了苛刻的规定，总会有一个用户为您提供打破一切的新途径。 而且，法规和设备都无法跟上用户创造力的步伐，特别是如果合格的攻击者告诉他的话。

首先，对用户进行教育很重要：要说明即使在他的日常工作中，也可能出现与社会工程相关的情况。 对于我们的客户，我们经常举办数字卫生课程 ，该课程讲授一些基本技能来应对一般的攻击。

我可以补充说，最好的保护措施之一不是记住信息安全规则，而是对情况稍加评估：

1. 谁是我的对话者？
2. 他的要约或请求来自哪里（以前从未发生过，现在出现了）？
3. 此查询有何异常？

即使发件人使用一种不常见的字母字体或语音样式，也可能触发一系列疑惑，从而阻止攻击。 也需要规定的说明，但是它们的工作方式不同，尽管它们不能指定所有可能的情况。 例如，IS管理员写信给他们，您无法在第三方资源上输入密码。 如果密码询问“您的”，“公司”的网络资源？ 用户认为：“我们公司的一个帐户中已经有两打服务，为什么不出现另一个？”由此得出的另一条规则是：井井有条的工作流程也会直接影响安全性：如果相邻部门可以向您请求信息仅通过书面形式且仅通过您的领导者，“来自公司的可信赖合作伙伴”的人将无法通过电话提出要求，这对您来说是胡说八道。 如果您的对话者要求立即做任何事情或“尽快”做这件事，这是特别值得警惕的，因为它写起来很时髦。 即使在正常工作中，这种情况通常也不是健康的，并且在可能遭受攻击的情况下，这是一个强大的触发因素。 没有时间解释，运行我的文件！

我们注意到，作为社会技术攻击的传奇人物，用户总是会以一种或另一种形式涉及与金钱有关的主题：促销承诺，偏好，礼物以及据称是由当地八卦和阴谋提供的信息。 换句话说，平凡的“致命罪”起作用：对利益的渴望，贪婪和过度好奇。

良好的培训应始终包括实践。 在这里，渗透测试专家可以帮助您。 下一个问题：我们将测试什么以及如何测试？ Group-IB的我们提供以下方法-立即选择测试重点：要么仅评估用户自身的攻击准备程度，要么检查整个公司的安全性。 并使用社交工程方法进行测试，模拟真实的攻击-即使用相同的网络钓鱼，发出可执行文件，调用和其他技术。

在第一种情况下，攻击是与客户代表（主要是其IT和信息安全专家）一起精心准备的。 图例，工具和攻击技术是一致的。 客户自己提供攻击的焦点组和用户列表，其中包括所有必要的联系人。 由于消息和可执行的负载必须一定到达接收者，因此在保护手段上会产生异常，因为在这样的项目中，只有人们的反应才有意义。 （可选）您可以在攻击中添加标记，用户可以据此猜测这是攻击-例如，您可以在消息中犯几个拼写错误，或者在复制公司标识时不准确。 在项目结束时，我们得到了非常“干燥的统计数据”：哪些焦点小组以及对情景的反应程度。

在第二种情况下，攻击是使用零初始知识（“黑匣子”方法）进行的。 我们独立收集有关公司，其员工，网络范围的信息，形成攻击的传说，选择方法，寻找目标公司使用的可能的保护手段，调整工具，制定方案。 我们的专家同时使用经典的开源情报方法（OSINT）和Group-IB自己开发的产品-威胁情报，该系统在准备进行网络钓鱼时可以长期充当有关公司信息的汇总者，包括使用机密信息。 当然，为了使攻击不会成为令人不快的意外，其细节也与客户保持一致。 事实证明，这是一项全面的渗透测试，但是它将基于高级的社会工程学。 在这种情况下，一个合理的选择是在网络内部发展攻击，直至在内部系统中获得最高权限。 顺便说一句，我们以类似的方式在Red Teaming和某些渗透测试中使用了社会技术攻击。 结果，客户将获得针对特定类型的社会技术攻击的安全性的独立全面视野，并证明其针对外部威胁的防御体系的有效性（反之亦然，效率低下）。

我们建议每年至少进行两次此类培训。 首先，任何一家公司都有人员流动，并且以前的经验逐渐被员工所遗忘。 其次，攻击的方法和技术在不断变化，这导致需要调整安全流程和防护设备。

如果我们谈论防止攻击的技术措施，那么以下最大的帮助：

• Internet上发布的服务上存在强制性两因素身份验证。 在具有数百人规模的公司中，在没有Single Sign On系统，没有密码保护和两因素身份验证的情况下，于2019年发布此类服务，无异于一个公开的“打破我”电话。 正确实施的保护将使不可能快速使用被盗的密码，并将留出时间消除网络钓鱼攻击的后果。
• 监视访问控制，最大程度地减少系统中的用户权限，并遵守每个主要制造商发布的安全配置产品的准则。 这在本质上通常很简单，但是在实践中却非常有效且难以实施，每个人都在某种程度上出于速度的考虑而忽略了这一点。 还有一些是非常必要的，没有它们，补救措施将无法保存。
• 完善的电子邮件过滤线。 反垃圾邮件，对附件进行恶意软件的全面扫描，包括通过沙箱进行的动态测试。 精心准备的攻击意味着防病毒工具不会检测到可执行附件。 相反，沙箱将使用文件来检查自己的所有内容，就像使用文件一样。 结果，沙箱内部所做的更改将揭示出可能的恶意组件。
• 防止定向攻击的手段。 如前所述，经典的防病毒工具在精心准备的攻击中不会检测到恶意文件。 最先进的产品应自动跟踪网络上发生的事件集-在单个主机级别和网络内流量级别。 在攻击的情况下，如果您将监视重点放在事件上，则会出现非常典型的事件链，可以跟踪和停止这些事件。

原始文章发表在《信息安全/信息安全＃6，2019》杂志上。