13

Pocztowe potyczki, czyli o socjotechnice w mailingu

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem. „Jeszcze ze trzy panienki” – pomyślał, przeglądając kolejne profile pracowników na LinkedIn, GoldenLine. „Najlepiej z działu marketingu, HR albo prawnego, bo te codziennie zasypywane są mailami i istnieje największe prawdopodobieństwo, że klikną […]

Poniższe opowiadanie to kontynuacja cyklu, w ramach projektu edukacyjnego „CSI – Cyber Security Initiative”, traktującego o bezpieczeństwie w sieci, który to objęliśmy patronatem.

„Jeszcze ze trzy panienki” – pomyślał, przeglądając kolejne profile pracowników na LinkedIn, GoldenLine. „Najlepiej z działu marketingu, HR albo prawnego, bo te codziennie zasypywane są mailami i istnieje największe prawdopodobieństwo, że klikną w to, co się im podsunie”. Po kilku zapytaniach jednak zesmutniał. Mało wyników. Doszedł do wniosku, że pracownicy polskiej korporacji którą miał na celowniku, nie są zbyt aktywni w serwisach wspomagających zmianę pracy. „No tak, ciepła posadka, darmowe obiady i nielimitowany dostęp do coca-coli robią swoje. Nikt nie myśli o zmianie pracy”. Dlatego, aby uzupełnić swoją listę potencjalnych celów, postanowił użyć Facebooka. Przy młodszym wiekiem personelu ma to sens. Nie sądził jednak, że wyniki będą aż tak dobre… Proste zapytanie wpisane w Facebookową wyszukiwarkę „People who work at Mordor Sp. z o.o.” zwróciło dziesiątki wyników.

Po dwóch minutach jego lista ofiar powiększyła się o 7 nowych pracowniczek. Dwie z działu prawnego, trzy z HR i dwie z marketingu. Był gotowy do ataku.

* * *

Ponieważ pracował na zlecenie konkurencji, interesowały go przede wszystkim dane finansowe. Zarobki pracowników i wysokości kwot na umowach z kontrahentami. Z tego powodu na pierwszy ogień wziął dział prawny, przez którego ręce przechodziły wszystkie najważniejsze dokumenty, a jego pracownicy, umówmy się, choć inteligentni, to zapewne najmniej ze wszystkich w firmie znali się na komputerach. Za cel postawił sobie zainfekowanie stacji roboczej prawniczki złośliwym oprogramowaniem. Dzięki temu miałby dostęp nie tylko do plików na jej komputerze, ale także mógłby ją podglądać przez wbudowaną w laptopa kamerkę (ze zdjęcia na Facebooku wyglądała na fajną babkę).

Za pomocą powszechnie dostępnej w sieci bramki spoofującej e-maile (czyli pozwalającej wysyłać je z dowolnego adresu nadawcy), wygenerował następującą wiadomość, podszywając się pod kierowniczkę działu marketingu:

FROM: Agata Superproduktowa agata.superproduktowa@mordor.pl

TO: Kasia Uczciwa kasia.uczciwa@XXX.pl

Kasiu,

Mamy problem. Ktoś oczernia naszą firmę na tym forum. Tutaj masz linka:

http://forum.antymordor.pl/thread/krakow.html?f=30150

Czy możesz proszę przygotować mi szablon wiadomości, którą teraz i w przyszłości będę mogła wysyłać do właścicieli serwisów internetowych, na których ktoś pisze o nas głupoty? Najlepiej napisz tak, jakbyśmy mieli od razu ich pozywać. Mam nadzieję, że dzięki temu większość właścicieli od razu się przestraszy i pousuwa te brednie, bo nie chce mi się z tym latać na policję :)))

Jakby się udało dziś, byłoby super. Koleś jedzie po prezesie i nie chcielibyśmy, aby to zauważył. Musi być w dobrym nastroju przed dzisiejszą kolacją z inwestorami.

Dzięki!

Pozdrawiam, Aga

Takiego samego e-maila wysłał też do drugiej z prawniczek. Aby zwiększyć jego wiarygodność, dokleił na dole firmową stopkę. Pozyskał ją od recepcjonistki kilka dni temu, kiedy na ogólny biurowy adres firmy wysłał pytanie, czy szukają programistów. Wiedział, że szukają, bo w serwisie pracuj.pl było aż gęsto od ogłoszeń Mordor Sp z o.o. Wiedział też, że na tak przesłanego e-maila na pewno dostanie odpowiedź. Nikt nie ignoruje kandydata do pracy, a zwłaszcza programisty. W Krakowie każdy chętny do pracy koder był na wagę złota, ceniony prawie tak samo, jak świeże powietrze.

Znajdujący się w wiadomości link prowadził do odpowiednio przygotowanej strony. W jej kodzie umieścił skrypt, który sprawdzał, czy przeglądarka internauty i zainstalowane w niej dodatki są w najnowszej wersji. Jeśli nie były, skrypt weryfikował, czy znajdują się w nich jakieś błędy bezpieczeństwa, a następnie konstruował odpowiedni atak. Nie było to trudne, wystarczyło skorzystać z darmowego oprogramowania metasploit i modułu Browser Autopwn. „Każdy gimnazjalista to potrafi”. Zaatakowany komputer automatycznie nawiązywał połączenie z jego serwerem, dając mu możliwość jego zdalnej kontroli i zgrywania danych.

„Dajmy im z godzinę” pomyślał i aby się rozerwać, odpalił kolejny odcinek „Mr. Robota”.

Niestety, nawet po trzech godzinach, jego serwer nie otrzymał żadnego połączenia przychodzącego. Zaczął się niepokoić. Nie wierzył, że żadna z prawniczek nie odczytała wiadomości — zazwyczaj ofiary reagują już w pierwszej godzinie ataku. Po chwili go olśniło. Wydał polecenie:

host -t TXT mordor-spzoo.pl

…i zauważył, że cel jego ataku, jak to firma IT, ma ustawiony nagłówek SPF, który utrudnia podszywanie się pod oficjalną domenę i wysyłanie z niej fałszywych wiadomości e-mail. Jego korespondencja najprawdopodobniej trafiła do spamu i żadna z prawniczek jej nie odczyta. Trzeba będzie zmienić plany…

* * *

Postanowił zwiększyć swoje szanse na sukces i kolejną wiadomość skierował do wszystkich pracowników działów HR, marketingu i sprzedaży, którzy znajdowali się na skomponowanej przez niego liście ofiar. Tym razem przybrał tożsamość kierownika działu IT. Aby ominąc mechanizm SPF, tym razem decydował się nie spoofować adresu, ale zarejestrować domenę łudząco podobną do oryginalnej. Wybrał mordoor-spzoo.pl i z niej rozesłał wiadomość, licząc na to, że pracownicy nie zauważą drobnej literówki, jeśli wiadomość będzie brzmiała i wyglądała wiarygodnie.

FROM: Andrzej Buse andrzej.buse@mordoor-spzoo.pl

TO: hr@mordor-spzoo.pl, marketing@mordor-spzoo.pl, handlowcy@mordor-spzoo.pl

BCC: (tu umieścił adresy e-mail pracowniczek działów HR i Marketingu, które pozyskał z serwisów społecznościowych)

Witam,

Z początkiem nowego tygodnia wystartuje nowa wersja naszego firmowego CRM. IT właśnie zakończyło finalne testy. Wasze konta zostały już testowo przeniesione na nową platformę. Loginy i hasła pozostają bez zmian!

Aby migracja była bezproblemowa, zwracam się z PILNĄ prośbą do każdego pracownika działów HR, Marketing i Sprzedaż o zweryfikowanie, czy wszystkie wasze projekty zostały poprawnie przeniesione na nową wersję CRM. Oto adres do strony logowania do nowej platformy:

http://mordoor-spzoo.pl/crm2/

(przypominam, że loginy i hasła pozostają bez zmian, a zatem do logowania używacie tych danych, co obecnie).

Bardzo proszę o potraktowanie sprawy priorytetowo sprawdzenie dostępu i zawartości kont w systemie do końca dnia.

Nacisnął „SEND”. Pozostało czekać.

Już po 5 sekundach otrzymał spodziewane zwrotki z serwera pocztowego, infrmujące, że osoby z zewnątrz nie mogą wysyłać wiadomości na firmowe aliasy HR@ i Marketing@. Doskonale zdawał sobie z tego sprawę i właśnie dlatego listę swoich ofiar umieścił w nagłówku BCC. Dzięki temu każda z adresatek otrzyma wiadomość, która będzie sprawiała wrażenie, jakby została wysłana na pracowniczy alias, mimo, że tak naprawdę została skierowana bezpośrednio do grupy ściśle wyselekcjonowanych osób. Ten trick bardzo podnosił wiarygodność fałszywej wiadomości.

Po minucie zauważył, że do stworzonej przez niego kopii CRM-a próbują logować się pierwsi z pracowników. Szybko odczytał z logów ich loginy i hasła:

k.uczciwa : Kasia69

a.podatna : MichalIsMyLove123!

Otworzył przeglądarkę i powyższe dane wprowadził do prawdziwego CRM-a. Pasowały. Zaczął szybko zrzucać raporty sprzedażowe, dane klientów i historie wybranych projektów. Po kilku godzinach buszowania po CRM miał to, czego szukał. Kiedy pobierał ostatni z raportów, na jego komputerze rozległ się dźwięk pierwszych taktów z filmu „Rocky” – znak, że infekcja komputera prawniczki powiodła się i jej komputer nawiązał połączenie z serwerem oraz czeka na komendy. Prawniczka musiała być bardzo skrupulatna i zapewne regularnie pod koniec każdego dnia pracy sprawdzała katalog spam, wyciągając z niego wiadomości, które w jej opinii trafiły tam przez pomyłkę.

„Rychło w czas”, pomyślał. Miał już bowiem wszystko co chciał i co więcej, był z siebie bardzo dumny. Dane wykradł bez potrzeby korzystania ze złośliwego oprogramowania. Ot, socjotechnika.

Nie mógł się jednak powstrzymać i na sekundę przełączył się na serwer i wydał polecenie zrzutu stopklatki z kamery prawniczki. W istocie, była bardzo ładną blondynką.

Komentarz ekspercki

Autorem wypowiedzi jest Michał Iwan, dyrektor zarządzający F-Secure w Polsce.

Na rynku dostępny jest obecnie szeroki wybór programów chroniących użytkowników przed złośliwym oprogramowaniem oraz atakami hakerów. Jednak aplikacja nie zapewni nam pełnego bezpieczeństwa, jeżeli sami nie będziemy ostrożni podczas przeglądania zasobów Internetu czy obsługiwania poczty e-mail. Coraz częściej bowiem hakerzy do włamań zamiast skomplikowanych skryptów i algorytmów, wykorzystują socjotechnikę, bazując na ludzkiej naiwności, pośpiechu oraz braku wiedzy w zakresie bezpieczeństwa informatycznego.

Przestępcy przeważnie podszywają się pod znane firmy, instytucje publiczne, partnerów biznesowych lub współpracowników. Najczęściej w tym celu wykorzystywane są adresy e-mail łudząco podobne do prawdziwych. W treści maila zazwyczaj umieszczane są linki lub dokumenty, które po otwarciu automatycznie kierują użytkownika na stronę ze złośliwym oprogramowaniem czy niepostrzeżenie pobierają aplikację umożliwiającą włamanie do komputera. Może się również zdarzyć, że malware zostanie ukryty w pozornie bezpiecznym pliku – np. kilkuset stronicowej instrukcji obsługi w formacie PDF, i nie będzie dla nas widoczny na pierwszy rzut oka. W efekcie nim spostrzeżemy, że coś jest nie tak, w naszym systemie zostaną dokonane nieodwracalne zmiany.

Niestety, w dobie ciągłego pędu i nadmiernej ufności wobec zasobów sieci, ataki bazujące na socjotechnice odnoszą coraz większy sukces. W ten sposób narażamy się na utratę cennych danych lub poważne straty finansowe, zagrażając naszej karierze czy funkcjonowaniu całej firmy.

Jak zatem ustrzec się przed tego typu atakami? Przede wszystkim nie spieszmy się podczas przeglądania wiadomości e-mail. Uważnie czytajmy treść, a za nim otworzymy załączony plik lub klikniemy w przesłany link, zweryfikujmy nadawcę. Nie zaszkodzi również, jeżeli przeskanujemy otrzymaną wiadomość pod kątem obecności szkodliwego oprogramowania. I najważniejsze, jeśli coś wzbudzi nasze wątpliwości, niezwłocznie zgłośmy się do firmowego działu IT.

Pamiętajmy, nieprzestrzeganie podstawowych zasad bezpieczeństwa może sprawić, że wyświadczymy tylko przysługę hakerowi, a sobie poważnie zaszkodzimy.