Страницы

Spear phishing


Фишинг сегодня - это короткая дорожка к чужой информации. Зачем искать зеродеи, ломать защиту и прятаться от антивирусов, если у вас есть прямой доступ к гораздо менее формализованным системам, способным пропускать проверки безопасности, игнорировать предупреждения и обладающим при этом весьма высокими привилегиями?



Главным объектом внимания злоумышленника сегодня становится рабочая почта сотрудников компаний по следующим причинам:
1. рабочую почту легко найти либо угадать. У Иванова И.И. рабочая почта i.ivanov@company.ru;
2. рабочую почту в рабочее время открывают на рабочем компьютере, что увеличивает шансы добыть важную информацию с заражённого компьютера;
3. рабочую почту часто используют для пересылки файлов - договоров, спецификаций и т.д. Вложения не вызывают подозрений;
4. рабочая почта - это Outlook. А значит вложение будет скачано на компьютер пользователя и открыто в локальном офисном приложении, а не в облаке.

Сегодня никто уже не рассылает письма с темой "главному бухгалтеру" и вложением "счет.scr". Атаке предшествует этап сбора информации, когда с помощью поисковых систем и социальных сетей собирается вся возможная информация о сотрудниках компании, их связях, образовании, предыдущих местах работы и др. Часто для этого достаточно просто открыть страничку компании в сети linkedin.

Потом под видом клиента пересылается договор/спецификация в виде документа Word или Excel. Документ может быть упакован в архив для обхода механизмов "защищённого просмотра" MS Office. Злоумышленник может представиться и сотрудником HR отдела компании-конкурента: предложить жертве заполнить анкету соискателя на хорошую должность с большой зарплатой.

Сценариев множество, но результата, обычно, всего два:
1. Пользователь открывает файл word/excel/powerpoint, автоматически срабатывает эксплоит и на компьютер пользователя скачивается руткит. Именно так взломали Bitstamp и именно так работал шпионский софт от HackingTeam;

2. Пользователь кликает по ссылке и высвечивается стандартное окно авторизации либо фейковая страница корпоративного SSO сервиса. Пользователь сам отдаёт свой пароль злоумышленнику, думая что общается с корпоративным прокси.

На встрече DefconMoscow в Mail.ru Тимур Юнусов рассказал ещё один трюк. Если в excel-файл вставлен линк на внешний ресурс, подконтрольный злоумышленнику, который требует авторизации, то Excel так же высветит стандартное окно http basic авторизации, вставив в окошко даже корпоративное лого для успокоения пользователя. Введенный логин и пароль достанутся в открытом виде злоумышленнику.

Эффективного решения проблемы фишинга сегодня нет. Это отчасти подтверждается большим количеством взломов различных компаний, которые все начинались с одного или нескольких писем с вложениями. Но есть несколько советов:
1. Лично мне идея физического разделения рабочих сред уже не кажется настолько уж параноидальной. Попробуйте выделить важные процессы, не требующие доступа к сети, в отдельную автономную виртуальную машину или закрытую сеть;
2. Пора аккуратней использовать различные форматы файлов. Сканировать в jpg (а не pdf), пользоваться rtf для простых документов и т.д. Форматы, поддерживающие скрипты и встраиваемые объекты - это зло. Нужно использовать их только тогда, когда по-другому никак;
3. Открывайте файл в режиме защищённого просмотра (хотя он и очень неудобный). Если файлы в архиве - лишний повод быть очень внимательным;
4. Загляните в настройки безопасности MS Office и выберите тот баланс между безопасностью и функционалом, который вам необходим.

2 комментария:

  1. Анонимный28 июля 2015 г., 10:07

    >Зачем искать зеродеи, ломать защиту и прятаться от антивирусов...

    >1. Пользователь открывает файл word/excel/powerpoint, автоматически срабатывает эксплоит и на компьютер пользователя скачивается руткит...

    Взаимоисключающие параграфы детектед.

    ОтветитьУдалить
    Ответы
    1. Есть немного. Идея в том, что целить надо в пользователя а не в технологии.

      Удалить