Zažijte kybernetický útok na vlastní kůži s etickými hackery z TNS
Víte, že pro úspěšný průnik do vaší interní sítě stačí jediná oběť, která útočníkovi podlehne? Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování firmy, ale má vysoký edukativní účinek pro všechny účastníky.
Zamyslete se nad tím, zda byste vy nebo vaši kolegové použité metody útočníka včas odhalili. Pojďme si projít, jak takový test odolnosti uživatelů vypadá. Lze jej totiž výborně použít i jako praktickou formu školení IT bezpečnosti.
Psychologický nátlak
Při útocích zaměřených na uživatele nejde jenom o technickou připravenost v podobě sofistikovaného malwaru. Neméně důležitá je i tzv. back story, tedy jakási série smyšlených argumentů, díky kterým útočník vyvine na uživatele dostatečný psychologický nátlak. Oběť pak snadněji podlehne. Vyhoví jeho požadavkům a poskytne mu třeba i své přihlašovací údaje.
Zkušený útočník pracuje s emocemi. Zejména se strachem a radostí. Využije strachu ze špatně odvedené práce, kontroly úřadu, nedoplatku dlužné částky. V radostných případech zneužije touhu po kariérním postupu, pochvalu, finanční výhru nebo jiný lákavý bonus. Útočník dobře ví, že pokud informace zpracováváme pod vlivem emocí, zapomínáme kriticky myslet a jsme snáze zranitelní.
Útok
Útočník nejčastěji využije oslovení e-mailem. Jde stále o efektivní a účinný vektor pro zahájení útoku. Použije perfektní češtinu. Dokonce věrohodně napodobí i styl firemní komunikace. Vydává se například za zaměstnance personálního oddělení a žádá od svých kolegů, aby si prostřednictvím odkazu ve zprávě zkontrolovali výplatní pásku kvůli možným chybám v počtu odpracovaných hodin.
Uživatel se tak rázem ocitne ve stresové situaci. Aby nepřišel o část své výplaty, na odkaz bez delšího uvažování klikne, zadá své přihlašovací údaje do podvodné stránky, která ovšem všechny údaje ukládá přímo na server útočníka. Ten tak získá heslo, které zaměstnanec možná používá i pro přístup do dalších interních systémů. Pokud je obětí zaměstnanec, který je zároveň administrátorem, útočník získal cenný úlovek a může si směle vytvořit tzv. backdoor – zadní vrátka pro trvalý přístup do vnitřní sítě organizace.
Arzenál útočníka
Mezi oblíbené a vysoce účinné prostředky útočníka patří reverzní proxy, která funguje jako podvržený prostředník pro spojení s legitimním portálem. Ale pozor, ukládá si všechna autentizační data a je plně pod kontrolou útočníka. Tímto způsobem je možné překonat i dvoufaktorovou autentizaci.
Často zneužívanými nástroji jsou také makra. Malé pomocné programy uložené standardně ve Wordu nebo Excelu, které mohou být jak užitečné, tak i zneužitelné. Makro je možno naprogramovat tak, aby kontaktovalo server útočníka a stáhlo si z něj sadu programů pro vytvoření již zmiňovaného backdooru nebo kryptoviru. Ten se v kombinaci s dalšími zranitelnostmi následně rozšíří po celé interní síti jen za pár vteřin.
Pozor na telefony a USB
Vektor útoku může být uskutečněn také mnohem aktivněji prostřednictvím telefonu nebo flash disků, které patří mezi další hojně zneužívaná zařízení. Stačí, když takových pár disků útočník jen tak zanechá ve veřejně dostupných prostorách kanceláří. Je vysoce pravděpodobné, že některý z uživatelů disk najde a vloží do svého počítače. Takový flash disk může být naprogramovaný jako klávesnice, začít chrlit stovky znaků a otevřít tak za pár sekund zadní vrátka útočníkovi pro přístup do interní sítě.
V případě telefonátu pak dokáže útočník simulovat například služební hovor a vystupovat v roli nadřízeného. Podvrhne oběti telefonní číslo ředitele společnosti, kde dotyčná osoba pracuje. Telefon přiřadí k číslu shodné jméno ze svého telefonního seznamu, případně i uloženou fotografii, a zobrazí příchozí hovor jako standardní volání pana ředitele. Pak se stačí útočníkovi vymluvit na okolní hluk, horší signál nebo nachlazení a následky takového hovoru si už nemusíme ani vysvětlovat.
Praktický test uživatelů
Jednou z možností, jak snížit šance útočníka při podobných útocích, je vyzkoušet si takový útok na vlastní kůži a zjistit, jak se uživatelé skutečně zachovají. Základem takového útoku, tzv. penetračního testu s využitím prvků sociálního inženýrství, je detailní scénář realizace. Zahrnuje použitou identitu útočníka, seznam obětí, kanál pro jejich oslovení i podrobnosti o škodlivém balíčku. Samozřejmostí je na míru vytvořená zpráva a forma oslovení, která je společným úsilím týmu etických hackerů a zadavatele tak, aby přesně odpovídala zkušenostem a kladeným nárokům na testované uživatele.
V průběhu testu pak sledujeme jejich reakce a chování. Zda otevřeli e-mail, stáhli přílohu, klikli na odkaz, případně poskytli i přihlašovací údaje. Můžeme tak efektivně vyhodnotit odolnost uživatelů vůči reálné hrozbě. Jestli vůbec útok vzbudil podezření nebo jej někdo nahlásil jako bezpečnostní hrozbu.
Motivujte k bezpečnosti
Při návrhu scénáře je vhodné myslet i na to, jak simulovaný útok propojíme se zpětnou vazbou pro uživatele. Pracujeme vždy s pozitivní motivací. Uživatele, kteří v testu úspěšně obstojí nebo podezřelou aktivitu nahlásí, můžeme směle odměnit. Naopak uživatele, kteří se stali obětí, zásadně netrestáme.
Školicí efekt můžeme navíc posílit edukativní stránkou, na kterou budou uživatelé přesměrováni v případě, že etickým hackerům podlehli. Ta je názorně informuje o možných důsledcích a poskytuje rady, jak podobným útokům příště čelit.
Vsaďte na kritické myšlení
Aplikace principů kritického myšlení by měla být základní technikou každého uživatele. Už jen pouhé pozastavení se a zamyšlení nad adresou odesílatele nebo URL adresou v mnoha případech postačuje pro odhalení útoku. Nechat se nachytat v simulovaném útoku nemá žádný vliv na fungování společnosti. Ale má vysoký edukativní přínos a účinek pro všechny účastníky testu.
Zaujalo vás téma etického hackingu?
Sestavíme vám na míru penetrační test, který prověří skutečné vzorce chování vašich zaměstnanců a jejich povědomí o IT bezpečnosti.
Tým etických hackerů z TNS.cz