Социальный хакер взломает вашу компанию за 20 минут. По телефону

Болтун – находка для шпиона. В этом смысле с момента создания известного плаката ничего не изменилось. Чтобы выяснить всю подноготную вашей компании достаточно одного звонка. Сотрудник, снявший трубку, выложит все как на духу – добровольно и без терморектального криптоанализа, если к нему применят метод социальной инженерии, описанный Стейси Каули в ее недавней статье для CNNMoney.

Как выглядит социальная инженерия в действии? А вот как… Представьте себе менеджера одного из канадских Wal-Mart, расположенного в небольшом военном городке (назовем канадца, условно, Джоном Смитом). Однажды из центрального офиса ему звонит некий Гари Дарнелл и сообщает, что Wal-Mart вот-вот получит многомиллионный госконтракт и магазин, в котором работает Джон, вполне может поучаствовать в столь ценном проекте. Сам Дарнелл является свеженанятым менеджером по государственной логистике, о вожделенном контракте знает совсем немного (Wal-Mart заработает кучу денег – вот и все описание) и планирует непременно приехать в военный городок N на смотрины местного Wal-Mart. Но сначала мистер Дарнелл хотел бы выяснить кое-какие подробности текущей операционной деятельности магазина. Этого выступления оказывается вполне достаточно, чтобы превратить Джона Смита в того самого «болтуна».

Да и какие секреты между коллегами: клиниговый подрядчик, оператор общепита, занимающийся местным кафе, дни выдачи зарплаты и кадровая политика, время обеденного перерыва менеджеров и где именно они предпочитают обедать – Смит ничего не утаил. Продолжая разговор в бодром темпе, Дарнелл выудил у него информацию о рабочем компьютере: бренд, версию операционной системы, название браузера и антивируса. Затем попросил Джона зайти на сайт, чтобы заполнить опросник, дабы Дарнелл ехал к нему в гости вооруженный всей необходимой информацией. Менеджер аккуратно набирает продиктованный адрес, но доступ к искомой странице оказывается заблокирован. Дарнелла «накладка» не смущает. «Я позвоню в ИТ-отдел, и вас разблокируют», — говорит он. «Ну и ладно, — отвечает простодушный канадец. – Я попробую еще раз через пару часов». Дарнелл благодарит, обещает перезвонить на следующий день, кладет трубку – и выбирается из звуконепроницаемой кабины.

Пожалуй, теперь пора представить нашего «шпиона». Шейн Макдугал, владелец фирмы Tactical Intelligence, которая базируется в канадской провинции Новая Шотландия и занимается защитой компаний от корпоративного шпионажа. Да, Макдугал — знатный «инженер человеческих душ» и социальный хакер, но, к счастью, вполне белый. И как раз за такие «разводки» серьезные компании платят ему симпатичные деньги, чтобы понять, какую именно важную информацию могут выдать сотрудники, если им позвонит вызывающий доверие человек с хорошо подвешенным языком. Называется эта услуга социально-инженеринговым аудитом. Так что в процессе показательного выступления ни одного Wal-Mart не пострадало, и публика, состоявшая из участников хакерской конференции Defcon, получила массу удовольствия, поскольку весь разговор транслировался в зал через динамики.

Шейн Макдугал (слева) и Крис Хаднаги делают свое белое дело

Однако Шейн Макдугал выступал не просто так, а в рамках социально-инженерингового состязания. Из звуконепроницаемой кабины он вышел победителем и рекордсменом: впервые за три года проведения этого конкурса «шпиону» удалось выяснить у «болтуна» все, что по пунктам перечислено в специальном чек-листе. Для этого Шейну потребовалось 20 минут, и, по его словам, у собеседника не было шансов на спасение. Он тщательно выбирает жертву и особенно любит работать с продажниками. «Когда они чуют деньги, здравый смысл улетучивается, — констатирует Макдугал. – Несомненно, социальная инженерия – самая страшная угроза для бизнеса. Я наблюдаю, как руководители СБ тратят деньги на файерволлы и прочую подобную чепуху и вкладывают ноль долларов в обучение персонала».

Надо сказать, что добросовестная Стейси Каули, журналистка CNNMoney из первого абзаца, подошла со своим диктофоном не только к мистеру Макдугалу. Она, естественно, обратилась за комментарием в Wal-Mart. «Мы очень серьезно относимся к защите информации, — заверил ее представитель ретейлера, — и разочарованы тем, что часть ключевых сведений была разглашена. Но если ваш бизнес связан с сервисом, сотрудники иногда бывают чрезмерно предупредительными, что и произошло в этот раз. В наших тренинговых программах делается специальный акцент на противостояние социальной инженерии. Мы внимательно изучим этот случай, чтобы в будущем лучше защищать наш бизнес».

Пристойный ответ, и, думаю, что-то в этом роде сказали бы и остальные «взломанные» на прошедшем Defcon компании. Список включает ну очень солидные имена: UPS, Verizon, FedEx, Shell, Exxon Mobil, Target, Cisco, Hewlett-Packard, AT&T. «И каждая из них выдала по крайней мере несколько пунктов чек-листа», — хладнокровно констатирует Стейси Каули. И тут же цитирует Криса Хаднаги, одного из организаторов Defcon: «Многие из атак, которые мы наблюдали, можно было отразить при помощи одного только критического мышления. Нужно учить сотрудников говорить «нет».
Директор Агентства национальной безопасности США Кит Александер – большой поклонник описанных игр. В 2012 году он впервые посетил соревнования и поблагодарил хакеров за их просветительскую работу.

Конкурс был организован следующим образом: участникам давали две недели для сбора информации, и лучшие из лучших выходили на сцену с толстыми досье, составленными по материалам корпоративных сайтов и соцсетей вроде LinkedIn. На взлом отводилось 20 минут. Все надо было делать в режиме реального времени и перед полным залом зрителей (кабина звуконепроницаема, но вполне прозрачна). Участники соревнования выуживали корпоративную информацию, не касаясь личных данных. Пароли, номера социального страхования, сведения о клиентах компаний их не интересовали.

Получалось не у каждого: кто-то не смог ничего узнать (это в первую очередь касалось тех, кто заявлял, что проводит маркетинговое исследование для стороннего агентства), кто-то дозванивался и впадал в ступор, кому-то становилось стыдно ТАК врать. Одна участница-новичок вышла на чрезвычайно отзывчивого эйчара, но испытала острый приступ совестливости и попросила техников прервать разговор. «Я просто не смогла. Я честный человек. Не думала, что это будет так ужасно — сидеть в прозрачной кабинке и лгать», — призналась она.

Однако не все были столь чувствительны. Некто Джон Керраверс, к примеру, притворившись сотрудником корпоративного ЦОД, сходу дозвонился до менеджера магазина Target, сбил того с толку прочувствованным ИТ-монологом и устроил технический допрос с пристрастием, меньше чем за 10 минут прояснив основные пункты хакерского чек-листа. За оставшееся время он позвонил в другой магазин – и повторил все шоу от начала до конца. Он жонглировал фирменным сленгом, а когда один из менеджеров заподозрил неладное, мгновенно успокоил его, назвав кодовый номер магазина (эти цифры нигде не публикуются, но на сайте компании работает локатор магазинов, и номер каждого из них включен в соответствующий URL). Как прокомментировал эти безобразия представитель Target? Буквально так же, как спикер Wal-Mart: «Мы очень серьезно относимся к защите информации». А что касается номеров магазинов – ретейлер не считает эти сведения конфиденциальными, вот и все.

Кажется, «очень серьезное отношение» к информационной безопасности уже не спасает компании от социальной инженерии. Может быть, им стоит усилить защиту до уровня «легкая паранойя»? Или хотя бы организовать для сотрудников курсы критического мышления и научить их говорить «нет» обаятельным телефонным шпионам.

Автор: Алла Пашова