fb
IT Systems 1/2020 IT Security 5. 3. 2020 9:04

Zažijte simulovaný útok na vlastní kůži

Praktický test uživatelů, jako nová forma školení IT bezpečnosti

TNSVšichni víme, že odolnost jakéhokoliv systému je tak silná, jako jeho nejslabší článek. A tím nejslabším článkem bývá zpravidla uživatel. Jak vypadají následky takového útoku, jsme se všichni mohli přesvědčit v medializovaných případech jedné české nemocnice a těžební společnosti. Obě organizace byly v důsledku nerozpoznaného phishingu a následné řetězové reakci dalších selhání, infikovány kryptovirem a nuceny zastavit provoz až na několik dní. Způsobené škody se v obou případech počítají v desítkách miliónů korun.

Zamyslete se nad tím, zda byste vy nebo vaši uživatelé útok odhalili? A pamatujte na to, že pro úspěšný průnik do vaší sítě stačí jediná oběť, která útoku podlehne!

Mgr. Peter Šinaľ
Autor článku Mgr. Peter Šinaľ působí ve společnosti TNS, kde řídí tým etických hackerů a vykonává funkci bezpečnostního manažera pro významné české organizace. Specializuje se na propojení technologií a psychologie při realizaci testů odolnosti uživatelů – sociálního inženýrství.

Psychologický nátlak

Při útocích zaměřených na uživatele nejde jenom o technickou připravenost v podobě sofistikovaného malware. Neméně důležitá je i tzv. back story, tedy jakási série smyšlených argumentů, díky kterým útočník vyvine na uživatele dostatečný psychologický nátlak. Oběť pak snadněji podlehne. Vyhoví jeho požadavkům a poskytne mu třeba i své přihlašovací údaje. Zkušený útočník pracuje s emocemi. Zejména se strachem a radostí. Využívá strachu ze špatně odvedené práce, kontroly úřadu, nedoplatku dlužné částky. V radostných případech zneužije touhu po kariérním postupu, pochvalu, finanční výhru nebo jiný lákavý bonus. Útočník dobře ví, že pokud informace zpracováváme pod vlivem emocí, zapomínáme kriticky myslet a jsme snáze zranitelní.

Útok

Útočník nejčastěji využije oslovení e-mailem. Jde stále o efektivní a účinný vektor pro započetí útoku. Zaskočí nás perfektní znalostní češtiny. Dokonce věrohodně napodobí i styl naší komunikace ve firmě. Vydává se za zaměstnance personálního oddělení a žádá od svých kolegů, aby si prostřednictvím odkazu uvedenému ve zprávě zkontrolovali svoji výplatní pásku, kvůli možným chybám v odpracovaném počtu hodin.

Uživatel se tak rázem ocitl ve stresové situaci. Aby nepřišel o část své výplaty, na odkaz bez delšího uvažování klikne, zadá své přihlašovací údaje do podvodné stránky, která ovšem všechny údaje ukládá přímo na server útočníka. Ten tak získá heslo, které zaměstnanec možná používá i pro přístup do dalších interních systémů. Pokud je obětí zaměstnanec, který je zároveň administrátorem, útočník získal cenný úlovek a může si směle vytvořit tzv. backdoor – zadní vrátka pro trvalý přístup do vnitřní sítě organizace.

Arzenál útočníka

Mezi oblíbené a vysoce účinné prostředky útočníka patří reverzní proxy, která funguje jako podvržený prostředník pro spojení s legitimním portálem. Ale pozor, ukládá si všechna autentizační data a je plně pod kontrolou útočníka. Tímto způsobem je možné překonat i dvou faktorovou autentizaci.

Často zneužívanými nástroji jsou také makra. Malé pomocné programy uložené standardně ve Wordu nebo Excelu, které mohou být jak užitečné, tak i zneužitelné. Makro je možno naprogramovat tak, aby kontaktovalo server útočníka a stáhlo si z něj sadu programů pro vytvoření již zmiňovaného backdooru nebo kryptoviru. Ten se v kombinaci s dalšími zranitelnostmi následně rozšíří po celé interní síti jen za pár vteřin.

Pozor na telefony a USB

Vektor útoku může být uskutečněn také mnohem aktivněji prostřednictvím telefonu nebo flash disků, které patří mezi další hojně zneužívaná zařízení. Stačí, když takových pár disků útočník jen tak zanechá ve veřejně dostupných prostorách kanceláří. Je vysoce pravděpodobné, že některý z uživatelů disk najde a vloží do svého počítače. Takový flash disk může být naprogramovaný jako klávesnice, začít chrlit stovky znaků a otevřít tak za pár sekund zadní vrátka útočníkovi pro přístup do interní sítě.

V případě telefonátu pak dokáže útočník simulovat například služební hovor a vystupovat v roli nadřízeného. Podvrhne oběti telefonní číslo ředitele společnosti, kde dotyčná osoba pracuje. Telefon přiřadí k číslu shodné jméno ze svého telefonního seznamu, případně i uloženou fotografii a zobrazí příchozí hovor, jako standardní volání pana ředitele. Pak se stačí útočníkovi vymluvit na okolní hluk, horší signál nebo nachlazení a následky takového hovoru si už nemusíme ani vysvětlovat.

Praktický test uživatelů

Jednou z možností, jak snížit šance útočníka při podobných útocích, je vyzkoušet si takový útok na vlastní kůži a zjistit, jak se uživatelé skutečně zachovají. Nechat se nachytat v simulovaném útoku nemá vliv na fungování společnosti a má pozitivní edukativní účinek pro všechny.

Základem takového útoku – odborně penetračního testu s využitím prvků sociálního inženýrství je detailní scénář realizace. Zahrnuje použitou identitu útočníka, seznam obětí, kanál pro jejich oslovení i samotný škodlivý balíček. Samozřejmostí je na míru vytvořená zpráva a forma oslovení, která je společným úsilím týmu etických hackerů a zadavatele tak, aby přesně odpovídala náročnosti na rozpoznání v daném prostředí.

V průběhu testu sledujeme chování uživatelů a jejich reakce. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Můžeme tak efektivně vyhodnotit odolnost uživatelů vůči reálné hrozbě. Jestli vůbec útok vzbudil podezření nebo jej někdo nahlásil jako bezpečnostní hrozbu.

Motivujte k bezpečnosti

Při návrhu scénáře je vhodné myslet na to, jak simulovaný útok propojíme se zpětnou vazbou na uživatele. Pracujeme vždy s pozitivní motivací. Uživatele, kteří v testu úspěšně obstojí nebo podezřelou aktivitu nahlásí, můžeme směle odměnit. Naopak uživatele, kteří se stali obětí, zásadně netrestáme.

Školící efekt můžeme navíc posílit edukativní stránkou, na kterou budou uživatelé přesměrováni v případě, že podlehli etickým hackerům. Ta je názorně informuje o důsledcích útoků využívajících metod sociálního inženýrství a poskytuje rady, jak podobným útokům příště čelit.

Vsaďte na kritické myšlení

Aplikace principů kritického myšlení by měla být základní technikou každého uživatele. Už jen pouhé pozastavení se a zamýšlení nad adresou odesilatele nebo URL adresou v mnoha případech postačuje pro odhalení útoku.

Kalendář akcí
Konference - Semináře - Školení
Časopis IT Systems/Speciál
Aktuální číslo časopisu IT Systems Aktuální číslo časopisu příloha #1
Archív časopisu IT Systems
IT Systems 1-2 IT Systems 12 IT Systems 11 IT Systems 10
Archív časopisu IT Systems Special
Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1 Aktuální číslo časopisu příloha #1