Jeśli myślicie, że największe kradzieże pieniędzy odbywają się z użyciem armii hakerów i błędów typu 0day, to jesteście w grubym błędzie. Najczęstszym scenariuszem nie jest nawet phishing, a zwykły email i telefon.
Kilka dni temu dowiedzieliśmy się o dwóch poważnych skokach przestępców. 19 stycznia stratę 54,5 miliona dolarów ogłosiła firma FACC, austriacki producent elementów samolotów, z kolei tego samego dnia belgijski bank Crelan poinformował, że padł ofiarą kradzieży 70 milionów euro. W obu przypadkach wszystkie okoliczności wskazują, że przestępcy posłużyli się zwykłą, sprytną manipulacją.
Dzień dobry, tu prezes
Choć informacje o dokładnym przebiegu obu kradzieży nie zostały podane do publicznej wiadomości, to z treści komunikatów można sporo wywnioskować. FACC informuje, że ofiarą oszustwa padł departament księgowości i zapewnia, że nie doszło do naruszenia bezpieczeństwa informatycznego spółki ani kradzieży jej własności intelektualnej. Z kolei Crelan ograniczył się do poinformowania, że środki klientów są nienaruszone, lecz dziennikarze dotarli do informacji wskazujących, że elementem ataku był fałszywy email „od prezesa firmy”.
Przebieg takiego ataku na szczęście jest dobrze udokumentowany w innych przypadkach – niecały rok temu opisywaliśmy historię amerykańskiej firmy Scoular, która straciła 17 milionów dolarów. Atak zaczyna się od solidnego rekonesansu przestępców, którzy ustalają strukturę organizacyjną firmy oraz personalia jej kluczowych pracowników. Następnie albo włamują się na skrzynkę jednego z pracowników (zapewne za pomocą phishingu) albo tworzą domenę do złudzenia przypominającą oryginalną i podszywając się pod prezesa lub dyrektora finansowego zlecają działowi księgowości wykonanie pilnego i tajnego przelewu. Towarzyszy temu historia uzasadniająca tempo i poufność – np. zakup konkurencyjnej firmy, audyt finansowy lub wykorzystanie niezwykle atrakcyjnej oferty biznesowej. Dodatkowo „prezes” prosi, by nie kontaktować się z nim telefonicznie (bo np. jest w samolocie) a poczta elektroniczna trafia na skrzynkę kontrolowaną przez przestępców. Przelane środki trafiają na zagraniczne konta (np. w Chinach), skąd trudno je odzyskać. Przestępcy bywają tak bezczelni, że po pierwszym udanym przelewie zlecają kolejne tak długo, aż firma się zorientuje lub skończy się jej płynność finansowa. Metoda wydaje się trywialna, lecz jest nad wyraz skuteczna – oprócz opisanych wyżej przypadków jej ofiarą padł np. Ryanair.
Jak bronić się przed takimi atakami
O ile ataki polegające na wykorzystaniu błędów w systemach czy aplikacjach można próbować powstrzymać za pomocą innych systemów i aplikacji, o tyle błędy ludzkie zatrzymać można tylko wprowadzając dodatkowe procedury oraz szkoląc pracowników. Podstawową linią obrony przed takimi atakami są odpowiednie procedury wydatkowania środków, uwzględniające obowiązkową i nieusuwalną autoryzację więcej niż jednej osoby, a dla przelewów na duże kwoty obligatoryjną zgodę prezesa wyrażoną np. osobiście lub poprzez odpowiedni system autoryzacji. Warto także zapisać w procedurze (zatwierdzonej przez prezesa), że nawet sam prezes nie ma możliwości wymuszenia jej obejścia.
Nawet jednak najlepsze procedury nie pomogą gdy atakujący potrafi skutecznie zmanipulować pracownika. Taka manipulacja nie musi od razu dotyczyć wysłania przelewu na dużą kwotę – również dobrze może prowadzić do zainstalowania złośliwego oprogramowania na komputerze w księgowości czy zaszyfrowania dysków w całej firmie. Tutaj mogą pomóc głównie sensowne szkolenia, pomagające w identyfikacji zagrożeń i wzmacniające prawidłowe reakcje na potencjalne ataki. W Polsce nie ma zbyt wielu ofert programów szkoleniowych z oryginalną treścią przygotowaną pod kątem specyfiki naszego rynku i spotykanych na nim zagrożeń. Jednym z chlubnych wyjątków jest oferta serwisu SecurityInside, który możemy ze spokojnym sumieniem polecić tym, którzy chcą zadbać o lepszą edukację swoich pracowników.
Dla pełnej przejrzystości: jeśli dokonacie zamówienia z SI to oprócz poczucia spełnienia misji edukacyjnej otrzymamy również prowizję.
Komentarze
I właśnie dzięki takim wpisom coraz częściej mam wrażenie, że dzisiejszy szeroko rozumiany hacking (trochę nie lubię tego słowa), to coraz rzadziej wiedza informatyczna, a coraz częściej sztuka manipulacji i psychologii :)
Ludzie przestają łamać hasła i zaczynają łamać ludzi :)
Przecież jeden z pierwszych najsłynniejszych hackerów wykorzystywał przede wszystkim manipulacje, a był nim nie nikt inny jak Kevin Mitnick. Człowiek i jego wady zawsze będą zaletami w pewnym względzie;)
Dobre spostrzeżenie:) Nie jest to jednak nic odkrywczego. Miałem ostatnio przyjemność przeczytać kilka książek o socjotechnice – głównie Kevin Mitnick oraz Chris Hadnagy. I tam często pojawia się takie stwierdzenie, że socjotechnika jest i będzie coraz częściej wykorzystywana przez Hakerów, a przyczyna jest bardzo prosta. W czasach, gdzie każda porządna firma zatrudnia sztab ludzi, którzy dbają o bezpieczeństwo (administratorzy, programiści, pentesterzy), często o wiele ciężej jest przełamać zabezpieczenia techniczne, a o wiele łatwiej oszukać kilkoro ludzi. I firmy też często o tym zapominają. Chris wspomniał nawet, że często zamawiając audyt firmy nie decydują się na rozszerzenie go o ataki socjotechniczne. Polecam, bardzo dobra lektura, wciągnąłem 4 książki w ciągu miesiąca – a to bardzo dobry wynik:) P.S. Co do tego dbania o bezpieczeństwo przez firmy to wiem, że nieco przesadziłem (o czym świadczy masa artykułów na z3s, no ale wiecie o co mi chodzi:)
Tak się składa że do procesora białkowego jest znacznie łatwiej się włamać niż do procesora krzemowego. takie czasy :)
Przecież to wersja metody na wnuczka. Po co to opisuje portal dot bezpieczeństwa informatycznego? Co to ma wspólnego z informatyką że przelew był elektroniczny? Co da że będzie 5 autoryzacji i 10 prokurentów. Zmieni tylko kogo będzie trzeba oszukać. Ale dalej to nie zmieni faktu że to ordynarne oszustwo do którego komputera nie potrzeba. Poczytali byście może trochę materiałów z devconów a nie tylko fakt i superexpress.
Jedno słowo: Socjotechnika. I nie zadawaj nie mądrych pytań, po co serwis o security o tym pisze.
E tam maruda jesteś. To są rekordowe wyłudzenia i z kronikarskiego obowiązku nie pasuje nie wspomnieć. Zwłaszcza, że dość dokładnie wpasowuje się w tematykę tego bloga. Poza tym jeden luźny temat na weekend jak znalazł. Po absorbującej Weekendowej :)
@Jurek, spójrz na link do polecanej firmy i przeczytaj artykuł jeszcze raz. Przecież to artykuł sponsorowany.
Z3S to portal zajmujący się ogólnie pojętym bezpieczeństwem systemów informatycznych.
Dobry specjalista od bezpieczeństwa wie, że SYSTEM to nie tylko maszyny, programy i algorytmy. Na SYSTEM (w ujęciu cybernetycznym) składają się wszystkie elementy, dzięki którym funkcjonuje. Pomijając proste, bezobsługowe automaty, wykonujące jakieś mechaniczne czynności każda bardziej złożona struktura nadal wymaga aktywności ludzkiej.
Przyjumując taki punkt widzenia- należy traktować człowieka jak podstawowy, niezbędny element każdego bardziej złożonego systemu (również informatycznego).
Jest to zresztą problem, który widzę cały czas nie tylko w kontekście bezpieczeństwa, ale np. systemów ERP, w którym nagminnym błędem jest niezrozumienie potrzeby przeszkolenia kadry i wdrożenia systemu (co często wcale nie jest łatwiejsze, a bywa i bardziej kosztowne niż samo stworzenie systemu, czy zakup licencji).
Niezrozumienie podstaw ataków socjotechnicznych i zamknięcie się tylko w obrębie algorytmów i urządzeń sprawia, że projektanci tworzą systemy, idealne-z teoretycznego punktu widzenia nie do złamania, ale niedostosowane do obsługujących ich ludzi.
Wymóg stosowania 20-znakowych, niesłownikowych haseł zmienianych co miesiąc, sprawia, że ludzie (jeśli nikt im nie wytłumaczy z czego to wynika) zaczną zapisywać je na karteczkach i przyklejać do monitora… albo np. zapamiętają je w pamięci przeglądarki.
Wymóg stosowania x-krotnych, skomplikowanych autoryzacji wykonywanych codziennie operacji sprawi, że ludzie „przyzwyczają się” do olewania i pomijania pewnych rzeczy… jeśli nikt im nie wytłumaczy (najlepiej na przykładach) dlaczego jest to istotne.
…I można się wymądrzać, że „ja zaprojektowałem system idealny, a użytkownicy to kretyni”, ale to niestety ci kretyni są użytkownikami systemu, a także-klientami i ludźmi którzy płacą mądrym fachowcom za tworzenie systemów dla ludzi, a nie dla robotów.
Jurek, ale przecież „Socjo” jest tutaj jednym z działów, ponadto bardzo wiele jest tutaj, całkiem fajnych zresztą, artykułów nie związanych bezpośrednio z informatyką, więc skąd wniosek, że z3s dotyczy wyłącznie bezpieczeństwa informatycznego?
Te wasze pseudoartykuły z reklamką na końcu stają się nudne, wiedziałem że będziecie mi chcieli wcisnąć jakiś spam zanim kliknąłem w linkę.
W sumie nie wiem po grzyba w ogóle jeszcze wam nabijam odwiedzenia.
jakby było prościej gdyby się ludzie nauczyli podpisywać maile gpg/pgp. Ale jak to wytłumaczyć prezesowi? :)
A jeśli prezesowi shakierują laptoka?
Dopóki prezesi będą się puszyć jak indyki, a hierarchia w firmie będzie oparta na strachu przed przełożonym, to taka socjotechnika będzie przynosiła efekty. To właśnie tacy prezesi i kadra zarządzająca ułatwiają działania przestępcom. Po jednym albo drugim wyroku dla prezesa czy dyrektora za nieumyślny współudział w okradzeniu własnej firmy może zastanowią się nad relacjami w firmie :)
Już legendarny Kevin Mitnick napisał książkę ot. Łamałem ludzi, nie hasła