Содержание статьи
В предыдущей статье мы разобрали массовые атаки, но их применимость ограничена. Например, они плохо подходят для тестов на проникновение. Пентестер не может позволить себе исходить из теории вероятностей и рассылать свои ловушки всем сотрудникам проверяемой организации в надежде, что кто-то попадется. Один-два бдительных пользователя оповестят службу безопасности, и атаке конец. Плюс нужна подготовка под конкретную инфраструктуру и специфику заказчика, а приемы социального инженера должны быть нестандартными.
WARNING
Статья предназначена для «белых хакеров», профессиональных пентестеров и руководителей службы информационной безопасности (CISO). Ни автор, ни редакция не несут ответственности за любой возможный вред, причиненный материалами данной статьи.
«Белые шляпы», пентестеры и обладатели CEH обычно понимают, что их действия играют не только техническую, но и социальную роль. Я неслучайно упомянул CISO, поскольку их задача — постоянно обучать всех сотрудников основам информационной безопасности. Если ценного специалиста увольняют из-за того, что он открыл зараженный файл, то в этом есть и доля вины нерадивых безопасников.
Правила безопасности всегда пишутся постфактум, а потому инертны и слабо защищают от современных угроз. Банки уже давно не нужно грабить в масках с автоматами — теперь достаточно электронной почты, но во многих финансовых организациях еще живы старые стереотипы. Акцент в них делают на физическую безопасность, считая информационную менее существенной. Достаточно вспомнить недавнюю историю с ограблением ПИР Банка и комментарий его председателя правления: «…с наибольшей вероятностью вирус проник в банк через фишинговое письмо».
Давний парадокс остается актуальным: ИТ-специалисты не устают заявлять, что социальная инженерия — главное зло. При этом многие «безопасники» продолжают считать, что хитроумного софта и однажды написанных инструкций для персонала достаточно, чтобы противостоять киберугрозам.
Доверенный сайт как проходной двор
У вашего файрвола формально настроены «черные» и «белые» списки URL? Тогда мы идем к вам! Вот несколько примеров, когда на сайте банка используется одна известная CMS с незакрытым редиректом:
https://avbbank.ru/bitrix/redirect.php?goto=http://plohoyavbbank.ru
http://www.rncb.ru/bitrix/redirect.php?goto=http://zloyrncb.ru
http://www.moscow-bank.ru/bitrix/redirect.php?goto=http://ne-moscow-bank.ru
http://kbivanovo.ru/bitrix/redirect.php?goto=http://hackkbivanovo.ru
Если файрвол смотрит только то, что идет после первого http(s), то пора его подкрутить. Но эта статья не про настройку межсетевого экрана, а про человеческие слабости. Поэтому просто дай сотруднику такую ссылку и проверь, насколько он бдителен и смотрит ли он дальше первого встречающегося http(s).
Что за собака?
Данный способ не сработает с внимательными сотрудниками, но если бы все были внимательны, то социальной инженерии не существовало бы как явления. 😉
Развивая предыдущий способ для тех, кто привык смотреть, что идет сразу после http://, и думать, что URL безопасен: данная ссылка https://bank.ru@zloysite.ru тоже не приведет ни к чему хорошему.
Почему так происходит? Допустимые в URL символы задокументированы в стандарте RFC 1738. Символ @ используется в URL как специальный разделитель, когда нужно прямо в нем дать права для доступа к странице. В конструкции вида httр://<логин>:<пароль>@<хост> до @ можно указывать практически что угодно. Браузер все равно отправит пользователя на хост, указанный после @.
Что за абракадабра?
Добавим в зловредный URL немного кириллицы, закодированной в UTF-8 → HEX, чтобы он выглядел непонятно для человека и на первый взгляд безопасно:
http://bank.ru@%D0%B7%D0%BB%D0%BE%D0%B9%D1%81%D0%B0%D0%B9%D1%82.%D1%80%D1%84
Или совместим простые техники (редирект + кодирование):
http://www.moscow-bank.ru/bitrix/redirect.php?goto=http://www.moscow-bank.ru@%D0%B7%D0%BB%D0%BE%D0%B9%D1%81%D0%B0%D0%B9%D1%82.%D1%80%D1%84
При наведении мыши на закодированный URL десктопные браузеры декодируют символы (чего не скажешь об Outlook и мобильных браузерах). Поэтому для полного скрытия злого адреса можно прописать адрес сервера, на котором расположен фишинговый сайт:
http://www.moscow-bank.ru/bitrix/redirect.php?goto=http://www.moscow-bank.ru@178.248.232.27
или просто
http://www.moscow-bank.ru@178.248.232.27
Не забудь прикрутить к серверу HTTPS, чтобы браузер не ругался, но об этом позже.
Переполнение предпросмотра
Наверняка ты уже знаешь, что настоящее расширение файлов можно спрятать, используя ограничение отображаемой длины столбца extension в «Проводнике» или архиваторе (или помнишь со времен ICO. 🙂 — Прим. ред.).
Теперь давай попробуем сходным образом скрыть злую часть URL на этапе предпросмотра в браузере.
Если сотрудник знает, что анкор ссылки может быть не равен целевому URL, то он наведет мышкой на ссылку и посмотрит, куда на самом деле она ведет. Если это его единственный способ проверки ссылок, то инструкции по безопасности в такой компании пора обновлять.
Злая ссылка может быть, к примеру, такой:
Продолжение доступно только участникам
Вариант 1. Присоединись к сообществу «Xakep.ru», чтобы читать все материалы на сайте
Членство в сообществе в течение указанного срока откроет тебе доступ ко ВСЕМ материалам «Хакера», позволит скачивать выпуски в PDF, отключит рекламу на сайте и увеличит личную накопительную скидку! Подробнее
Вариант 2. Открой один материал
Заинтересовала статья, но нет возможности стать членом клуба «Xakep.ru»? Тогда этот вариант для тебя! Обрати внимание: этот способ подходит только для статей, опубликованных более двух месяцев назад.
Я уже участник «Xakep.ru»
