14.12.2015 0 Comments

Sociálne inžinierstvo – efektívny spôsob prelomenia bezpečnosti

Nedávno sa hackerom v USA podarilo preniknúť do vládneho portálu. Získali prístup ku kritickým nástrojom zaoberajúcim sa kybernetickými hrozbami, konkrétnymi poznatkami o monitorovaných gangoch a riadením výkonu bezpečnostných zložiek USA v reálnom čase. Útok v tomto rozsahu môže mať fatálne následky. Na prvotný prienik do súkromného e-mailu riaditeľa CIA stačili útočníkovi informácie získané formou sociálneho inžinierstva.

Sociálne inžinierstvo predstavuje netechnickú formu prelomenia bezpečnostných postupov a opatrení. Je to metóda získavania informácií, pri ktorej je útok založený na schopnosti ovplyvňovania ľudí a manipulácie s nimi. Útočník ťaží z potenciálneho zlyhania ľudského faktora. Keďže sa tu využíva prirodzená tendencia jednotlivca uveriť a byť ústretový, môže takýto útok realizovať aj osoba, ktorá nedisponuje hlbokými technickými znalosťami.

Motivácia sociálneho inžiniera na uskutočnenie útoku sociálnym inžinierstvom môže byť rôzna a jej predmetom býva napríklad finančný zisk (odcudzenie prístupov k bankovým účtom, zašifrovanie používateľovho disku a požadovanie finančnej odmeny za odblokovanie), osobné záujmy či úmyselné poškodenie reputácie organizácie.

Techniky využívané pri útoku sociálnym inžinierstvom

V prvom rade útočník zvonku zhromažďuje a preverí verejne dostupné informácie o danej organizácii, ktoré by mu mohli dopomôcť k sofistikovanému útoku založenému na sociálnom inžinierstve. V závislosti od výberu svojej obete vyhľadáva informácie ručne alebo siahne po niektorom z nástrojov umožňujúcich zber e-mailových účtov, názvov subdomén, virtual hostov a mien zamestnancov z rôznych verejných zdrojov, ako je napríklad The Harvester.

Vďaka mnohým dostupným nástrojom možno detailne analyzovať skutočné on-line vzťahy medzi ľuďmi, skupinami ľudí, spoločnosťami, webovými stránkami, doménami, sieťami, internetovou infraštruktúrou alebo afinity so službami Facebook či Twitter. Nadobudnuté citlivé informácie sú kľúčové pre následné vytvorenie vhodnej stratégie útoku.

Najčastejšie útočník pokračuje simuláciou spear-phishingu, ktorá je zameraná na vybranú alebo náhodnú skupinu ľudí. Tejto skupine je zaslaná špeciálne skonštruovaná e-mailová správa, často obsahujúca identifikačné prvky spoločnosti (formátovanie, logo, podpis atď.). Útočník sa snaží koncipovať obsah mailu čo najdôveryhodnejšie a naviesť zamestnancov na kliknutie na podvrhnutý odkaz, vďaka ktorému infikuje PC špeciálne vytvoreným malvérom, čo vedie až k získaniu kontroly nad infikovaným zariadením. Útočník sa môže takisto pokúsiť naviesť zamestnancov na podvrhnutú doménu a získať tak citlivé informácie.

Dôverné detaily napríklad o zamestnaneckej hierarchii, infraštruktúre či použitých softvérových metódach sa môže útočník pokúsiť nadobudnúť aj telefonickým kontaktovaním obete.

Počas útoku sociálnym inžinierstvom bývajú použité rôzne sociotechnické metódy, ako je spoofing e-mailových správ, Caller-ID či Sender-ID pri SMS správach a telefónnych hovoroch, ktoré posilňujú dôveryhodnosť sociálneho inžiniera. Obete bývajú často kontaktované aj prostredníctvom sociálnych sietí, komunikácie IM alebo VoIP. Po nadobudnutí potrebného množstva informácií je útočník schopný ukradnúť identitu zamestnanca organizácie alebo podľa potreby sa vydávať za nového zamestnanca či externého pracovníka.

V prípade, že sa útočníkovi vzhľadom na vysoké bezpečnostné opatrenia spoločnosti nepodarí na diaľku dosiahnuť svoj cieľ, pristupuje k aktívnej forme sociálneho inžinierstva, v rámci ktorej sa pokúša o fyzický prienik a infiltráciu do priestorov spoločnosti. V závislosti od stupňa zabezpečenia organizácie a dodržiavania interných bezpečnostných smerníc zamestnancov môže byť sociálny inžinier schopný osobne infikovať nestrážený počítač, získať informácie nachádzajúce sa na rôznych miestach budovy, získať prístup do intranetu, prípadne podvrhnúť zamestnancom elektronické prenosné médium obsahujúce skrytý malvér, nasadiť odpočúvacie a monitorovacie zariadenia, prostredníctvom ktorých je schopný neskôr aj na diaľku dokončiť svoj pôvodný zámer.

Existuje mnoho technických a netechnických nástrojov využívaných na „human hacking". K zníženiu rizika napadnutia organizácie zvnútra prispievajú pravidelné interné školenia zaoberajúce sa bezpečnostnými smernicami a takisto simulácie možných scenárov útokov. Pri zvyšovaní bezpečnosti organizácie je teda vhodné realizovať aj testovanie sociálnym inžinierstvom súbežne s testovaním IT infraštruktúry a webových aplikácií, pretože pri takomto teste sa môžu objaviť slabiny v zabezpečení, ktoré by testovanie IT infraštruktúry a webových aplikácií neodhalilo.

Lucia Krajňáková, Nethemba

 


Nechajte si posielať prehľad najdôležitejších správ emailom

Mohlo by Vás zaujímať

ITPro

Linux súkromne i pracovne v2.0 (14. časť): Small Business Server

09.11.2016 14:57

Pojem Small Business Server (malý firemný server) začala používať spoločnosť Microsoft ešte v roku 2000 na označenie servera, ktorý ­dokázal plniť úlohy niekoľkých samostatných serverov. Aplikačná vrs ...

ITPro

Industry 4.0: Fikcia alebo už realita?

09.11.2016 14:52

Štvrtá priemyselná revolúcia je pomenovanie rozsiahlych zmien prudko vstupujúcich do súčasného priemyslu. Nositeľom týchto zmien je digitalizácia výroby a optimalizácia všetkých podnikových procesov v ...

ITPro

Vývoj aplikácií UWP pre Xbox One II.

09.11.2016 14:47

V predošlej časti sme ukázali postup, ako si ­vytvoriť vývojársky účet a aktivovať vývojársky režim na hernej konzole Xbox One, aby ste mohli testovať svoje aplikácie. Výhodou hernej konzoly Xbox je v ...

Žiadne komentáre

Vyhľadávanie

Kyocera - prve-zariadenia-formatu-a4-s-vykonom-a3

Najnovšie videá