05.05.2016, 16:10
[Aby zobaczyć linki, zarejestruj się tutaj]
Pracownik otwiera załącznik od kogoś, kto twierdzi, że pracuje w innym dziale firmy.Załącznik okazuje się złośliwy.
Firmowa sieć? Na łasce napastnika.
Jeśli regularnie śledzisz wiadomości o naruszeniach bezpieczeństwa danych, dobrze znasz ten scenariusz. Ale czy kiedyś zastanawiałeś się, jak hakerzy zwodzą skądinąd inteligentnych, profesjonalnych ludzi? Skąd wiedzą, do kogo napisać e-mail? Co piszą do swoich ofiar? Skąd biorą informacje, które pomagają im zdobyć przyczółek w systemie organizacji?
Odpowiedź jest prosta i aż nadto sensowna: LinkedIn.
Łatwy rekonesans
Pierwszą fazą każdego ukierunkowanego ataku jest rekonesans. Haker gromadzi informacje o firmie, pracownikach, ich stanowiskach, adresach e-mail itd. Gdzie lepiej zacząć, jak nie na LinkedIn?
Cytat:„LinkedIn to skrzynia skarbów z łatwo dostępnymi informacjami osobistymi i danymi firmowymi — pisze Trevor Christiansen, który zajmuje się testami penetracyjnymi. — Pracownicy, którzy publikują informacje firmowe na LinkedIn, nie zdają sobie sprawy, że każdy haker, który chce dostać się do poufnych danych firmy, może znaleźć punkt wejścia na tym popularnym forum biznesowym”.Hakerzy w białych kapeluszach (ci dobrzy), tacy jak Christiansen, również używają LinkedIn do gromadzenia informacji, choć w innym celu – żeby przetestować i ulepszyć zabezpieczenia organizacji. Podczas niedawnego Pobierz z Rapideo.plprzemówienia na targach CeBIT Christian Fredrikson, CEO F-Secure, opisał dwa takie ćwiczenia przeprowadzone przez zespół „etycznych hakerów” F-Secure. W jednym z nich hakerzy wzięli na cel pracowników, którzy w swoich profilach wspominali o mainframe’ach. W drugim przypuścili atak na twórców kodu źródłowego.
Jak zatem hakerzy, dobrzy i źli, używają LinkedIn, żeby przeniknąć przez szyki obronne firmy?
[Aby zobaczyć linki, zarejestruj się tutaj]
Nasz własny haker, Knud z zespołu Cyber Security Services F-Secure, opisuje typowy scenariusz.Cytat:„Po prostu szukasz pracowników danej firmy za pomocą standardowego interfejsu LinkedIn — mówi. — Potem, dysponując listą nazwisk, wyszukujesz je w Google’u, dopóki nie znajdziesz firmowego adresu e-mail”. W ten sposób ustala się format adresu e-mail używany w firmie, na przykład imię[email protected].„Piszesz maila do kilku przypadkowych pracowników, zadając jakieś głupie pytanie w stylu »Krzysiek, to Ty? Kopę lat« — kontynuuje Knud. — Przy odrobinie szczęścia ktoś odpowie i zdobędziesz firmowy podpis. Kiedy masz już firmowy podpis oraz nazwiska i stanowiska, które ludzie zamieścili na LinkedIn, możesz przystąpić do podrabiania wewnętrznej poczty”.
Budowanie zażyłości za pomocą socjotechniki
Knud zauważa, że im więcej informacji ludzie umieszczają w swoich profilach, tym łatwiej nawiązać z nimi nić porozumienia.
Cytat:„Na przykład ktoś wspomina o swoich umiejętnościach projektowania grafiki. Wysyłasz mu więc maila o treści »Wiem, że masz doświadczenie w projektowaniu ikon i układów graficznych, więc może rzuciłbyś okiem na coś, co projektujemy w <innym dziale>; obejrzyj załączony (złośliwy) dokument i odezwij się do mnie”.Aby uzyskać jeszcze więcej informacji, haker może stworzyć fałszywy profil i nawiązać kontakt z pracownikiem. W ten sposób zyskują pełniejszy dostęp do informacji o danej osobie i o jej sieci kontaktów.
W połączeniu z informacjami uzyskanymi z Facebooka i innych sieci społecznościowych, na przykład dotyczącymi zainteresowań i hobby, hakerzy mogą zdobyć dość pełny obraz pracownika, którego zamierzają wziąć na cel, co pozwala im jeszcze bardziej naostrzyć włócznię.
Najlepsza obrona
Co zatem ma zrobić pracownik, oczyścić swój profil z wszystkiego poza najbardziej podstawowymi informacjami? Nie wspominać o swoim pracodawcy? Takie sugestie wydają się podważać celowość korzystania z serwisu, który służy przecież do nawiązywania nowych zawodowych kontaktów. Z kolei doceniają promocję, jaką zapewniają im pracownicy na LinkedIn.
Cytat:Na szczęście Sean Sullivan, doradca F-Secure ds. bezpieczeństwa, nie uważa, żeby autocenzura była odpowiedzią. „Ograniczanie informacji zamieszczanych na LinkedIn nie jest tak naprawdę problemem pracownika — mówi. — Organizacja kładąca nacisk na bezpieczeństwo powinna mieć regulamin, który stwierdza, że pracownicy powinni zachować ostrożność”.Rzeczywiście, najlepszą obroną przed takimi atakami jest świadomość pracowników. Twoje informacje mogą być dostępne na LinkedIn, ale jeśli wiesz, w jaki sposób wykorzystują je napastnicy, prawdopodobnie nie dasz się nabrać na ich sztuczki. Sponsorowane przez pracodawcę szkolenia w zakresie taktyk socjotechnicznych nauczyłyby pracowników traktować nieufnie każdą wiadomość, która choćby minimalnie odbiega od normy.
Hakerzy mogą lubić LinkedIn, ale tylko dopóty, dopóki daje im to, czego chcą. Kluczem do odpierania ich ataków jest wiedza.
Źródło: F-Secure