Атака социального инженера: подборка любопытных инцидентов

От 25 до 100 тыс. долларов — в такую сумму оценивали участники опроса Check Point потери от одной атаки с использованием методов социального инжиринга. Разумеется, это лишь средние цифры. В опросе вряд ли участвовали компании и организации, о которых мы расскажем дальше. В этих случаях большинство жертв несли либо колоссальные репутационные издержки, либо теряли суммы с шестью и семью нулями.
В ряде случаев мошенничество приобретает комичный характер. Наглость и остроумие социальных инженеров помогают им обводить вокруг пальца не только среднестатические компании с типичными проблемами в области безопасности, но и, к примеру, режимные заведения или высокотехнологичных «революционеров индустрии».

 

Отдельные сюжеты достойны Голливуда. Может ли заключенный сбежать из тюрьмы, сверстав на смартфоне поддельный сайт Королевского суда и отправить начальнику тюрьмы инструкции о своем освобождении? Оказывается, может. Реально ли захватить контроль над сайтом и аккаунтом в твиттере компании уровня Tesla Motors с помощью звонка в службу поддержки AT&T? Вполне. И все это происходит не десять лет назад, а в 2015 году.


Флешка против ядерной программы

История с вирусом Stuxnet хорошо переформатировала отношение общества к киберугрозам: впервые компьютерная программа физически разрушала инфраструктуру предприятия. Скрытные модификации данных между ПЛК и рабочими станциями SCADA-системы постепенно вывели из строя 1368 из 5000 центрифуг на заводе в Натанзе, что приостановило развитие ядерной программы Ирана. Вредоносное приложение имело сложнейшую структуру и использовало несколько уязвимостей нулевого дня в Windows, но попало в заводскую компьютерную сеть благодаря человеческому любопытству. Сотрудник компании открыл на рабочем компьютере флеш-накопитель, подброшенный ему на улице злоумышленниками. Аналитики называли авторами Stuxnet спецслужбы США и Израиля, что имело определенные последствия.


Ответ Ирана

Тегеран в долгу не остался. По даннымISight Partners, с 2011 года иранскими хакерами предпринимались множественные попытки войти в доверие к американским и израильским чиновникам, журналистам, государственным деятелям. Для ведения дружеской переписки в социальных сетях, главным образом в Facebook и LinkedIn, были созданы аккаунты вымышленных личностей, часть из которых представлялись журналистами поддельного новостного ресурса NewsOnAir.org. Основная цель атакующих заключалась в получение паролей от аккаунтов корпоративной почты, Gmail, социальных сетей. Жертве, к примеру, могли прислать ссылку на ролик на YouTube, вместо которого пользователь переправлялся на фейковую форму ввода пароля в Gmail. Атаки велись в отношении более 2000 американских и израильских дипломатов, военных подрядчиков, персонала конгресса, представителей финансовых и энергетических отраслей, а также чиновников, занятых вопросами нераспространения ядерного оружия. На принадлежность хакеров из Тегерана косвенно указывали график работы и почти единодушная привычка брать выходные по пятницам. Специалисты iSight уверены, что кампания по взлому была успешной.


Директор ЦРУ тоже человек

Многие пользователи пересылают служебные документы на личную почту, особенно если доступ к рабочей почте вне офиса ограничен и лень втыкать флешку. До октября 2015 года точно также действовал директор ЦРУ Джона Бреннана (John Brennan): в его почтовом ящике на AOL.com содержались экселевские файлы с данными о 2611 сотрудниках разведки, с их телефонами, email-адресами, номерами социального страхования, уровнями допуска. В бесплатной почте директор ЦРУ обсуждал методы пыток задержанных, там же лежала его 48-страничная анкета и другие файлы разной степени секретности.

 

 

 

 

 

 

Журналисты Wiredсмогли узнать у хакера, которому еще нет и 20 лет, каким образом он проник в почтовый ящик главы разведки США. Оказывается, он с приятелями выяснили телефонный номер Бреннана, который был зарегистрирована в компании Verizon. После этого один из хакеров позвонил в Verizon, выдав себя за сотрудника этой компании, рассказал о падении клиентских баз и попросил детали об аккаунте Бреннана. Хакеры смогли сфабриковать уникальный номер, который присваивается всем сотрудникам Verizon (Vcode), что позволило им получить номер аккаунта Бреннана, его четырехзначный PIN-код, запасной мобильный номер аккаунта, email-адрес AOL и последние четыре цифры номера банковской карты. Затем был звонок в AOL с просьбой разблокировать аккаунт. Для ответа на контрольный вопрос надо было назвать четыре цифры номера банковской карты, которые хакеры уже знали.


Китайский сапог

Для США 2015 год запомнился исторической утечкой данных из государственной службы управления персоналом (U.S. Office of Personnel Management). Архив содержал подробнейшие досье на 22 миллиона американских госслужащих: детальные биографии и протоколы проверок на полиграфе с упоминанием пристрастий и зависимостей, сексуальных предпочтений, долговых обязательств, болезней, правонарушений и приводов. Известный своей эксцентричностью Джон Ма́кафи (John McAfee) заявил после этого инцидента, что «китайский цифровой сапог топчет американские штаты». В декабре 2015 года Китай арестовал хакеров, якобы ответственных за взлом, однако ряд экспертов полагают, что за этой утечкой стоит подразделение китайской освободительной армии №61398, известное также как группа APT1. Согласно опубликованному в 2013 году отчету Mandiant, это подразделение, здание которого охраняют военные, причастно к взлому 141 компании.
 
Мы не знаем деталей атаки на американских «кадровиков», но, как и большинство других APT-групп, APT1 использует фишинг в качестве основного метод начальной компрометации.


Другие известные «социальные» атаки

Авария на сталелитейном заводе в Германии. Хакеры взяли под контроль электронную почту работников завода, разослав им письма с фишинговыми ссылками, а затем получили доступ к офисной сети и к системе управления доменными печами.

Утечка персональных данных более чем миллиона пользователей Experian — злоумышленник выдал себя за частного детектива и проник в один из филиалов компании.

Атака на Sony, в результате которой компания потеряла более 100 млн долл., началась, по всей видимости, с фишинга в отношении топ-менеджмента.

Биткоин-биржа Bitstamp потеряла 5 млн долл из-за уязвимости в Word. Хакеры использовали фишинг в отношении системных администраторов.

Утечка данных кредитных карт 53 млн пользователей Home Depot, судя по этому конкурсу среди американских ритейлеров и отчету на сайте, не обошлась без социальной инженерии.

В 2013 году на торжественном мероприятии неизвестный мужчина сумелубедить охрану, что он — действующий американский конгрессмен, и беспрепятственно подошел к Бараку Обаме.

Социальная инженерия как метод атаки прекратит своё существование только в том случае, если человечество перестанет существовать. Используя человеческие ресурсы для воплощения своих планов, злоумышленники могут получить доступ абсолютно к любой информации.

 

Автор:
Дата публикации: