Víte, jak funguje sociální inženýrství? Mirek Čermák

Víte, jak funguje sociální inženýrství? Mirek Čermák 28. BŘEZNA 2017 Cílem útočníka je dosahovat zisku Ovládnutí počítače s přístupem k elektronickému bankovnictví Zašifrování dat a požadování výpalného (ransomware) Krádež, smazání, modifikace dat (doxware) Ovládnutí strojů (způsobit škodu, vydírat, vést z nich další útok) 1

Typy útoků Plošné útoky (padni komu padni; routery, servery, koncová zařízení) Cílené útoky (APT, firmy, jednotlivci) 2

Nejčastější vektory útoku Phishing (spear phishing) Drive by download (Flash, JAVA, Adobe) Krátký pohled do historie 3

2010 Bankovní malware především v zahraničí, kde se uživatel autentizuje jménem a heslem 2011 Bankovní malware ZeuS, SpyEyE a první útoky na druhý faktor (mtan v SMS) v Evropě (Polsko, Itálie) škoda 100 EUR 4

2012 Bankovní malware Eurograbber škoda 36 miliónů EUR (v ČR a SR k útoku nedošlo) 2013 Dochází k úniku zdrojových kódů malwaru, objevují se nové varianty Aktivita ZitMo, SpitMo, CitMo nepolevuje Bankovní malware (phishing, MiTB, MiTMo) cílený na domácnosti i firmy (2FA - SMS, ale i čipová karta není dále bezpečná) Operace Carbanak útok na banky (ne na klienty bank) Škoda 1 miliarda USD celosvětově Mezi napadenými bankami se poprvé objevuje dle vyjádření společnosti Kaspersky i ČR (Opravdu?) 5

2014 ČR přestává být testovacím polygonem Bankovní malware (spear phishing MiTB, MiTMo přes weby bank, ale i Seznam a další) Falešné platební brány (kámo, pošli mi plíz 25 kaček, já ti to pak vrátím) Útoky na bankomaty v zahraničí (škoda cca jednotky miliónů USD) Pohledávkový SPAM v ČR prakticky po celý rok (škoda cca 100 miliónů Kč odhad na základě zveřejněných informací) ČR představuje poměrně slušný zdroj příjmů 2015 Bankovní malware nasazení FDS pokles malware kampaní (Tinba a Trust Mobile Security) útočníkům klesají výnosy z bankovního malware Ve větší míře se objevuje ransomware nový zdroj příjmů 6

2016 Bankovní malware útok na bankovní systém SWIFT běžící na Wintel platformě (škoda cca 100 miliónů USD celosvětově) v ČR nejspíš nic Explozivní nárůst ransomware (phishing, web) Neskutečný nárůst trojanů a exploitů pro Google Android (MMS, multimédia) 2017 Bankovní malware roste počet útoků především na Google Android Další nárůst ransomware (stejný e-mail jako v roce 2014) i pro Google Android 7

Ukázky Silně obfuskované makroviry CreateObject(Qc0h7nv(RHPbD3pvp2NOSN,MnUtQ6uskE)).Run GFGhAqFffPANsi7L, 0, 0. --- Function L9d58IYSqXl(BUGClsK0VRY, N54r9W77tNCtaZ) L9d58IYSqXl = BUGClsK0VRY (N54r9W77tNCtaZ * (BUGClsK0VRY \ N54r9W77tNCtaZ)) End Function Pozor \ není symbol dělení, ale celočíselného dělení. Function Aq5L(USkcxRF41IzDCuii, UIszj6Prwxs4qvA) Aq5L = (USkcxRF41IzDCuii And Not UIszj6Prwxs4qvA) Or (Not USkcxRF41IzDCuii And UIszj6Prwxs4qvA) End Function Bitové operace jako bitová konjunkce, disjunkce a negace 8

Silně obfuskované skripty CMD.EXE /V /C SET RF6USPSUG2=%RANDOM% && (FOR %I IN ( zde se nachází seznam tokenů a celý příkaz končí DO @ECHO %~I)> %APPDATA%\!RF6USPSUG2!.VBS && START %APPDATA%\!RF6USPSUG2!.VBS && EXIT Z makra je spuštěn příkazový interpreter CMD.EXE s parametry a cyklus FOR vybírá ze závorky jednotlivé tokeny, ty předává funkci ECHO, která je zapisuje do souboru.vbs, což je Visual Basic Script a ve finále se tímto způsobem vytvořený skript spustí příkazem START. HVm3rkMY9Gv=CJu05Wb9MYCaa.ExPAnDeNvIROnMENTstriNGs (DbUyjy( 730E063E152D155148, OVovNqLa0m2 ))& \ & M1mI3nhzii & M1mI3nhzii WshShell.ExpandEnvironmentStrings je prvním krokem k tomu, jak zjistit, jaké proměnné jsou použity a odvodit z nich, zda skript neběží na virtuálním stroji Nábor bílých koní 9

Nábor bílých koní Nábor bílých koní 10

Phishing sites - mcsg-support.com Phishing sites - Marakon Consulting Group 11

Vážený zákazníku, jsme Vám velice vděční, že využíváte produkty naší banky. Dovolíme si ale Vás upozornit, že k DD.MM.2014 na svém osobním účtu mátenepovolený debet ve výši #ACCNUMBER XXXX.XX Kč. Nabízíme vám dobrovolně uhradit vzniklou pohledávku v plné výši do DD.MM.2014. Včasné uhrazeni pohledávky bude znamenat dodrženi smlouvy #NUMBER a umožni Vám: 1) Vyhnout se objevení negativního záznamu v registru dlužníků 2) Vyhnout se soudnímu sporu, a spojeným s takovým sporem nákladům. V případě nevčasného splácení označené pohledávky XXXX.XX Kč dovolujme si upozornit na to, že podle znení smlouvy #NUMBER uvedená pohledávka se považuje za nově vznikly spotřebitelský úvěr a na základě Zákona č. 145/2010 o spotřebitelském úvěru a v souladu s jinými právními předpisy, jsme oprávněni zahájit soudní jednání. Kopie smlouvy #NUMBER a podrobný výpočet vzniklé pohledávky jsou připojeny k tomuto dopisu jako příloha soubor smlouva_number.zip S pozdravem, Jméno Příjmení Vedoucí odboru vymahani pohledávek +420 NNN NNN NNN VÝZVA K ÚHRADĚ DLUŽNÉHO PLNĚNÍ PŘED PROVEDENÍM EXEKUCE Soudní exekutor titul. PŘIJMENÍ, JMÉNO, Exekutorský úřad MĚSTO, IČ ČÍSLO, se sídlem ULICE ČÍSLO, PSČ MĚSTO pověřený provedením exekuce: č.j. XX EXE XXX/2014 -XX, na základě ustanovení: Příkaz č.j. XXXXXX/2014- XXX/Čen/G V.vyř., vás ve smyslu 46 odst. 6 z. č. 120/2001 Sb. (exekuční řád) v platném znění vyzývá k splnění označených povinností, které ukládá exekuční titul, jakož i povinnosti uhradit náklady exekuce a odměnu soudního exekutora, stejně ták, jako zálohu na náklady exekuce a odměnu soudního exekutora: Peněžitý nárok oprávněného včetně nákladu k dnešnímu dni: X XXX,00 Kč Záloha na odměnu exekutora (peněžité plnění): X XXX,00 Kč včetně DPH 21% Náklady exekuce paušálem: X XXX,00 Kč včetně DPH 21% Pro splnění veškerých povinností je třeba uhradit na účet soudního exekutora (č.ú. ACCNUMBER/KÓD BANKY, variabilní symbol XXXXXXXX, ČSOB a.s.), ve lhůtě 15 dnů od doručení této výzvy XX XXX,00 Kč Nebude-li uvedená částka uhrazena ve lhůtě 15 dnů od doručení této výzvy, bude i provedena exekuce majetku a/nebo zablokován bankovní účet povinného ve smyslu 44a odst. 1 EŘ a podle 47 odst. 4 EŘ. Až do okamžiku vymožení povinnosti. Příkaz k úhradě, vyrozumění o zahájení exekuce a vypučet povinnosti najdete v přiložených souborech. Za správnost vyhotovení JMÉNO PŘIJMENÍ 12

Máte jednu novou důležitou zprávu Chcete-li číst tuto zprávu, klikněte prosím: přihlásit Toto je automaticky generované e-mail prosím, neodpovídejte na něj. 13

Nový spear phishing Útočník kompromituje e-mailový účet oběti; následně v doručené poště vyhledá e-mail s přílohou a udělá screenshot; Poté vytvoří nový e-mail jako odpověď na tento e-mail se stejným nebo podobným předmětem; do něj pak vložil screenshot; email odešle. 14

2015 malvertising AEK Flash zombie 15

Lze se nějak bránit? 16

Desatero bezpečné práce 1. Udržuj své zařízení aktuální (OS, aplikací) 2. Nepracuj pod účtem administrator 3. Nainstaluj si antivirus 4. Nechoď na pornoservery (Facebook) 5. Neinstaluj aplikace z neznámých zdrojů 6. Neklikej na přílohy od neznámých odesílatelů 7. Používej dlouhé a komplexní heslo a měň si ho 8. Kontroluj certifikát 9. Zálohuj data 10. Nějaká další (podobně užitečná) rada Co mají všechny ty útoky společného? Nevíme, kdy přijdou. (Někdy.) Nevíme, jaké zranitelnosti zneužijí. (Nějaké.) Nevíme, na koho ve firmě bude veden útok. (Na někoho určitě.) Tradiční ochrany selhávají. (Většinou, bohužel.) Zaměstnanci selhávají (Nezáleží kolik jich je, stačí když selže jen jeden.) 17

Co z toho vyplývá? Zcela jistě se každá firma dříve či později bez ohledu na úroveň zavedení bezpečnostních opatření i bezpečnostního povědomí zaměstnanců, stane cílem útoku. Otázka jen je, kdy k tomu dojde, a jaký bude následek takového útoku. A i když je pravděpodobnost takového útoku poměrně nízká, dopad je značný, což v některých případech může vést až k ukončení činnosti dané společnosti na trhu. Co se dá s tímto rizikem dělat? Odpověď nám ukáže následující obrázek, který snad v každé publikaci, která se věnuje řízení rizik. Zvládání rizik 18

Děkuji za pozornost Miroslav Čermák www.cleverandsmart.cz 19