D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Сегодня мы разберем случаи, когда безопасники компании сами нечаянно устраивают утечки данных своих работодателей и клиентов. В этом им помогают «онлайновые песочницы», куда корреспонденцию часто загружают на проверку. Я изучил коллекцию доступных писем на одном из таких сервисов и нашел немало интересного.
Итак, чтобы проверить подозрительное письмо, его можно загрузить на специальный сервис‑песочницу, и тот определит, есть ли в содержимом фишинговые гиперссылки. Одна проблема: некоторые сервисы, вроде изученного мной Any.Run, на бесплатном тарифе предательски выкладывают всю проверяемую корреспонденцию в паблик, а там она становится легкой добычей тех, от кого предполагалось защищаться.
Вот несколько других облачных песочниц, в которых пентестеры также могут поискать полезную информацию:
Старательно изучив открытые источники, можно собрать большой объем дополнительных сведений: наименования дистрибьюторов, клиентов и партнеров фирмы. Если не полениться и заглянуть на официальный сайт этой компании, есть шанс наткнуться, например, на такую страницу.
Теперь, проявив немного смекалки и используя методы социальной инженерии, мы можем отправить тому самому менеджеру примерно такое электронное письмо:
Осторожно, двери закрываются, мы едем дальше. Если хорошенько порыться в песочнице, можно найти, например, такое.
Получал ли ты по почте приглашения на бесплатные вебинары для бухгалтеров, специалистов по персоналу, недвижимости или для экспертов по разведению декоративных ангорских хомячков? Наверняка! Вот и офис‑менеджеру одного из предприятий посчастливилось попасть в число приглашенных. Но девушка оказалась осмотрительной (видимо, раньше уже выигрывала корпоративный чемпионат по запуску исполняемых вложений в сообщения email) и скинула это письмо безопаснику для проверки. Тот решил протестировать его через песочницу, в результате чего спалил должность, ФИО и контактные данные адресата исходного письма. Знание имен сотрудников административного отдела организации открывает широкое окно возможностей для злоумышленников.
Вот еще один пример, позаимствованный на том же сервисе. Заместителю гендиректора по безопасности крупного предприятия поступило письмо с вложенным макросом. Должность «заместитель гендиректора по безопасности» звучит солидно — это очень опытный специалист в сфере ИБ. Поэтому он незамедлительно поделился со всем человечеством своими контактными данными, включая номер мобильного телефона, ФИО и почтовый адрес на корпоративном сервере. Если вдруг решишь позвонить ему на трубку, передавай пламенный привет.
В этом случае злоумышленнику не нужно даже думать о теме и содержании будущего фишингового письма: всеми ценными сведениями с ним любезно поделился специалист по информационной безопасности.
Вот текст вложения, содержащего название используемого сервиса и другие полезные сведения:
Информация о сервисах и площадках, которыми пользуется фирма, об организациях, с которыми она сотрудничает, может пригодиться для более продуманной атаки. В качестве наглядного примера использования сведений о партнерах и контрагентах в ходе кибератак можно вспомнить нашумевший случай, произошедший в 2013 году. Атака была направлена на компанию, управляющую сетью магазинов розничной торговли Target Corporation. В результате фишинговой рассылки фирме‑подрядчику и одному из поставщиков Fazio Mechanical были слиты данные о миллионах клиентов.
Несмотря на меры против подобных утечек, принятые самой компанией, киберпреступники смогли найти брешь у поставщика. Убытки, как финансовые, так и репутационные, оказались весьма существенными. Затраты на восстановление системы безопасности оцениваются в круглую сумму 200 миллионов долларов США, а судебные издержки составили 18,5 миллиона долларов. В общей сложности киберпреступники получили сведения о кредитных и дебетовых картах примерно 40 миллионов клиентов, а также личные данные около 70 миллионов покупателей, включая имена, адреса и номера телефонов.
Письмо оказалось подлинным, только вот теперь любой желающий может узнать не только email этого специалиста (адрес можно использовать для целевого фишинга), но и список внутренних сервисов организации из его заголовков:
Код: Скопировать в буфер обмена
Также атакующий может узнать SMTP Relay, а по нему выйти на другие домены и внутренние сервисы организации для расширения возможных векторов атак, как технических, так и с помощью социальной инженерии:
Код: Скопировать в буфер обмена
Например, зная домен организации, после его проверки на hunter.io мы находим следующее мыло — e.smirnova@****.ru. Можно предположить, что в организации есть некая сотрудница Елена (или Елизавета) Смирнова (имя, конечно, взято с потолка). Опираясь на эти сведения, лезем в социальные сети, например в LinkedIn, и пытаемся найти этого человека. Если поиск оказался успешен, изучаем профиль и собираем данные о сотруднике. В дальнейшем эту информацию в связке с социальной инженерией можно использовать для таргетированного теста на проникновение.
Зная множество почтовых ящиков или имея список сотрудников по должностям и отделам, нетрудно совершить подмену своего адреса, притворившись коллегой. Тут уже начинается фишинг: можно, например, разослать примерно такое письмо:
Недостаточно банально проверить техническую информацию из подозрительного письма, например, чтобы обнаружить подмену отправителя, нужно внимательно следить за тем, что и куда ты загружаешь.
Помимо Any.Run, существуют альтернативные платформы, а также платные тарифы, на которых письма хотя бы не сливают в паблик. Если в фишинговом письме содержится ссылка, ее можно проверить с помощью сервиса Browserling, запускающего браузер в виртуальной машине на три минуты. Платный тариф позволяет проводить локальное тестирование, снимает ограничения по времени и дает возможность использовать разные браузеры (в бесплатной версии доступны только Edge и Chrome на Windows 10). Аналоги — облачные платформы для кросс‑браузерного тестирования LambdaTest, а также платные Sauce Labs и BrowserStack.
Ну и не забываем про виртуальные машины. Использование виртуалок — распространенная практика безопасного анализа и тестирования вредоносных писем и файлов. Они позволяют изолировать потенциально вредоносные программы от основной операционной системы. При использовании виртуалок в первую очередь стоит позаботиться о надежной изоляции виртуальной машины от основной сети, чтобы предотвратить возможную утечку вредоносного ПО. Безусловно, загрузка и настройка того же бесплатного VirtualBox потребует времени и определенных усилий, но зато обезопасит компанию от случайной утечки конфиденциальной информации в паблик.
Автор Джураев Алишер
Источник StopPhish.ru, xakep.ru
Итак, чтобы проверить подозрительное письмо, его можно загрузить на специальный сервис‑песочницу, и тот определит, есть ли в содержимом фишинговые гиперссылки. Одна проблема: некоторые сервисы, вроде изученного мной Any.Run, на бесплатном тарифе предательски выкладывают всю проверяемую корреспонденцию в паблик, а там она становится легкой добычей тех, от кого предполагалось защищаться.
Вот несколько других облачных песочниц, в которых пентестеры также могут поискать полезную информацию:
ДАННЫЕ В ПОДПИСЯХ
Вот простой пример утечки: на почту менеджера по снабжению пришло подозрительное письмо с предложением зарегистрироваться на некоем портале (скорее всего, это фишинг для кражи регистрационных данных). Менеджер форварднул письмо сотруднику службы безопасности (при этом в сообщение автоматически добавилась его подпись с контактными данными), а безопасник, не почистив тело сообщения, залил его в облако. Теперь мы знаем ФИО менеджера, его должность, адрес электронной почты и телефонные номера, включая даже мобильный. Алло, это служба безопасности банка!
Старательно изучив открытые источники, можно собрать большой объем дополнительных сведений: наименования дистрибьюторов, клиентов и партнеров фирмы. Если не полениться и заглянуть на официальный сайт этой компании, есть шанс наткнуться, например, на такую страницу.
Теперь, проявив немного смекалки и используя методы социальной инженерии, мы можем отправить тому самому менеджеру примерно такое электронное письмо:
Шансы, что получатель такого сообщения, которого назвали по имени‑отчеству, да еще и прислали информацию от якобы знакомого контрагента, отреагирует на письмо, достаточно велики. Что и требуется злоумышленнику.
Осторожно, двери закрываются, мы едем дальше. Если хорошенько порыться в песочнице, можно найти, например, такое.
Получал ли ты по почте приглашения на бесплатные вебинары для бухгалтеров, специалистов по персоналу, недвижимости или для экспертов по разведению декоративных ангорских хомячков? Наверняка! Вот и офис‑менеджеру одного из предприятий посчастливилось попасть в число приглашенных. Но девушка оказалась осмотрительной (видимо, раньше уже выигрывала корпоративный чемпионат по запуску исполняемых вложений в сообщения email) и скинула это письмо безопаснику для проверки. Тот решил протестировать его через песочницу, в результате чего спалил должность, ФИО и контактные данные адресата исходного письма. Знание имен сотрудников административного отдела организации открывает широкое окно возможностей для злоумышленников.
Вот еще один пример, позаимствованный на том же сервисе. Заместителю гендиректора по безопасности крупного предприятия поступило письмо с вложенным макросом. Должность «заместитель гендиректора по безопасности» звучит солидно — это очень опытный специалист в сфере ИБ. Поэтому он незамедлительно поделился со всем человечеством своими контактными данными, включая номер мобильного телефона, ФИО и почтовый адрес на корпоративном сервере. Если вдруг решишь позвонить ему на трубку, передавай пламенный привет.
ЦЕПОЧКА ПЕРЕСЫЛАЕМЫХ СООБЩЕНИЙ
Следующая по распространенности категория среди утечек конфиденциальных данных — это ситуация, когда сотрудники отдела безопасности заливают в песочницу не одно письмо, а сразу цепочку пересылаемых сообщений. Здесь можно выяснить имена, контактные данные и должности сразу нескольких сотрудников предприятия (среди них вполне может оказаться и высшее руководство). Бонусом идут сведения о переговорном процессе.В этом случае злоумышленнику не нужно даже думать о теме и содержании будущего фишингового письма: всеми ценными сведениями с ним любезно поделился специалист по информационной безопасности.
КОПИИ ПИСЕМ
Вот еще один пример. В письме от злоумышленника содержится вложение с поддельной электронной подписью и встроенным макросом. Письмо было отправлено на множество адресов одной и той же компании — все они перечислены среди получателей. Собрав эти адреса и выяснив должность каждого сотрудника, опытный социальный инженер вполне может пустить всю систему безопасности корпорации по одному месту.
ПОЛЕЗНЫЕ ВЛОЖЕНИЯ
Вложения в почтовые сообщения могут быть не только опасными, но и крайне полезными — например, для собирающего информацию о потенциальной жертве хакера. Так, в этом фишинговом письме предпринята попытка манипуляции с целью кражи паролей. Из письма и приложенного документа становится понятно, каким почтовым сервисом пользуется компания.
Вот текст вложения, содержащего название используемого сервиса и другие полезные сведения:
А вот другой интересный пример. Крупная нефтяная компания сотрудничает с правительственным заказчиком из венгерского города Будапешта. На почту сотрудника поступило письмо с официальным запросом о предоставлении информации. Переводил письмо с венгерского сторонний подрядчик — бюро переводов. Поскольку отправителем является внешняя организация (те самые переводчики), письмо было переслано безопаснику для проверки и в результате попало к нам на стол. Сообщение я считаю подлинным, поскольку в базе данных Any.Run оно носит пометку «без угроз». В самом тексте письма мы видим фамилию и имя сотрудника, ответственного за связи с внешними контрагентами, наименование переводческого бюро, а также контакты:
А вот само вложение гораздо интереснее. Мало того что оно оформлено на официальном бланке, оно содержит конфиденциальную информацию о предоставляемых услугах, подробности о ввозе продукции, ее перечень. Кроме того, на документе имеются печати переводчика и лингвистического бюро, а также образцы подписей. Их довольно‑таки нетрудно подделать.
Информация о сервисах и площадках, которыми пользуется фирма, об организациях, с которыми она сотрудничает, может пригодиться для более продуманной атаки. В качестве наглядного примера использования сведений о партнерах и контрагентах в ходе кибератак можно вспомнить нашумевший случай, произошедший в 2013 году. Атака была направлена на компанию, управляющую сетью магазинов розничной торговли Target Corporation. В результате фишинговой рассылки фирме‑подрядчику и одному из поставщиков Fazio Mechanical были слиты данные о миллионах клиентов.
Несмотря на меры против подобных утечек, принятые самой компанией, киберпреступники смогли найти брешь у поставщика. Убытки, как финансовые, так и репутационные, оказались весьма существенными. Затраты на восстановление системы безопасности оцениваются в круглую сумму 200 миллионов долларов США, а судебные издержки составили 18,5 миллиона долларов. В общей сложности киберпреступники получили сведения о кредитных и дебетовых картах примерно 40 миллионов клиентов, а также личные данные около 70 миллионов покупателей, включая имена, адреса и номера телефонов.
ДАННЫЕ О ВНУТРЕННИХ СЕРВИСАХ
Как говорят патологоанатомы, все самое интересное кроется внутри. Эту глубокомысленную сентенцию можно отнести и к электронным письмам, из технических заголовков которых можно выудить массу полезной информации. Представим себе такую ситуацию: в компанию пришло письмо из банка и бдительный сотрудник службы безопасности решил на всякий случай проверить его на Any.Run.
Письмо оказалось подлинным, только вот теперь любой желающий может узнать не только email этого специалиста (адрес можно использовать для целевого фишинга), но и список внутренних сервисов организации из его заголовков:
- api.*********.ru;
- apidev.*********.ru;
- apiws.*********.ru;
- apiwsdev.*********.ru;
- baas.*********.ru;
- sandbox.*********.ru;
- wsint.*********.ru;
- wsinttest.*********.ru.
Код: Скопировать в буфер обмена
X-KSMG-AntiVirus: Kaspersky Secure Mail Gateway, version 2.0.1.6960, bases: 2023/10/03 04:05:00 #22028123Также атакующий может узнать SMTP Relay, а по нему выйти на другие домены и внутренние сервисы организации для расширения возможных векторов атак, как технических, так и с помощью социальной инженерии:
Код: Скопировать в буфер обмена
Received: from relay7.*********.ru (a11-00210-bl.*********.ru [***.**.108.2])ИСПОЛЬЗОВАНИЕ СОБРАННОЙ ИНФОРМАЦИИ
Что могут извлечь пентестеры из подобных писем? Зная почтовый домен, атакующий наверняка использует его для получения информации об организации и ее сотрудниках. Для этого отлично подходит сервис hunter.io. Изначально этот ресурс задумывался для поиска полезных бизнесу контактов. Но у злоумышленников другая цель: проверив домен, они получат список всех зарегистрированных почтовых ящиков из открытых источников, а иногда и должности (по платной подписке, в бесплатной версии стоит ограничение в десять адресов).Например, зная домен организации, после его проверки на hunter.io мы находим следующее мыло — e.smirnova@****.ru. Можно предположить, что в организации есть некая сотрудница Елена (или Елизавета) Смирнова (имя, конечно, взято с потолка). Опираясь на эти сведения, лезем в социальные сети, например в LinkedIn, и пытаемся найти этого человека. Если поиск оказался успешен, изучаем профиль и собираем данные о сотруднике. В дальнейшем эту информацию в связке с социальной инженерией можно использовать для таргетированного теста на проникновение.
Зная множество почтовых ящиков или имея список сотрудников по должностям и отделам, нетрудно совершить подмену своего адреса, притворившись коллегой. Тут уже начинается фишинг: можно, например, разослать примерно такое письмо:
Письмо от сотрудника отдела персонала, да еще и полученное от отправителя с «правильным» адресом, вызовет гораздо меньше подозрений, чем обычная фишинговая рассылка.
ВЫВОДЫ
Даже поверхностное исследование данных, опубликованных в онлайн‑песочницах, показывает, что специалисты по кибербезопасности иногда могут представлять не меньшую угрозу для организации, чем коварные хакеры. Несоблюдение элементарных правил цифровой гигиены или недостаточная осведомленность о мерах безопасности может привести к утечкам и компрометации данных.Недостаточно банально проверить техническую информацию из подозрительного письма, например, чтобы обнаружить подмену отправителя, нужно внимательно следить за тем, что и куда ты загружаешь.
Помимо Any.Run, существуют альтернативные платформы, а также платные тарифы, на которых письма хотя бы не сливают в паблик. Если в фишинговом письме содержится ссылка, ее можно проверить с помощью сервиса Browserling, запускающего браузер в виртуальной машине на три минуты. Платный тариф позволяет проводить локальное тестирование, снимает ограничения по времени и дает возможность использовать разные браузеры (в бесплатной версии доступны только Edge и Chrome на Windows 10). Аналоги — облачные платформы для кросс‑браузерного тестирования LambdaTest, а также платные Sauce Labs и BrowserStack.
Ну и не забываем про виртуальные машины. Использование виртуалок — распространенная практика безопасного анализа и тестирования вредоносных писем и файлов. Они позволяют изолировать потенциально вредоносные программы от основной операционной системы. При использовании виртуалок в первую очередь стоит позаботиться о надежной изоляции виртуальной машины от основной сети, чтобы предотвратить возможную утечку вредоносного ПО. Безусловно, загрузка и настройка того же бесплатного VirtualBox потребует времени и определенных усилий, но зато обезопасит компанию от случайной утечки конфиденциальной информации в паблик.
Автор Джураев Алишер
Источник StopPhish.ru, xakep.ru