Cobalt Strike - це програмне забезпечення для симуляції противника та операцій Red Team. Cobalt Strike імітує тихого довготривалого актора в мережі.
913 
Дізнайтеся, як психологи сприяють ефективності червоних команд у сфері інформаційної безпеки. У цій статті розглядається використання соціальної інженерії та теорії фреймів для виявлення та експлуатації вразливостей людської психіки. Поглибте свої знання про маніпуляції та соціальне інженерство, щоб підвищити рівень захисту вашої організації від потенційних загроз.
Дісклеймер: Усі наведені приклади та скріншоти в цій статті отримані з відкритих джерел російського сегменту інтернету. Вони не мають нічого спільного з українськими компаніями або користувачами. Ми свідомо використовуємо російські кейси, щоб продемонструвати, як саме соціальна інженерія працює у стані ворогу — коли фахівці зловживають людською довірою, недосвідченістю або втомою.
Хто б міг подумати, що психолог — не завжди доброзичливий порадник на іншому боці кушетки. Насправді людина з дипломом у сфері, яка поєднує науку про мозок і поведінку, цілком здатна створити неабиякі труднощі для досвідчених айтішників.
Уявіть собі не класичний сценарій зламування системи, де головну роль відіграє код. Натомість — атака, де ключем до доступу стають емоції. Тут усе побудовано не на скриптах, а на слабких місцях людської психіки. Ідеальний експериментальний полігон для такої діяльності — робота в межах Red Team, яка імітує дії зловмисника, аби знайти слабкі ланки ще до того, як це зроблять справжні кіберзлочинці.
Цей підхід змінює уявлення про кібербезпеку. Ми не просто шукаємо дірки в системі — ми вивчаємо, як вплинути на поведінку співробітників, використовуючи тонкі психологічні прийоми. Такий «м’який злам» не залишає слідів у логах, але може стати вирішальним фактором у захисті компанії від витоку даних чи фінансових втрат.
Red Team — це не лише про технічний злам чи проникнення через мережевий периметр. Інколи, замість тривалого і багаторівневого дослідження інфраструктури, простіше скористатися… запрошенням зсередини. А таке “запрошення” цілком можуть надати самі співробітники компанії — щиро, охоче, без тиску. Потрібно тільки знати, як змусити їх повірити, що це нормальна дія.
У цьому місці варто трохи призупинитись і пояснити ключове поняття. Адже цей текст читають не лише експерти. Отже, те, навколо чого ми зараз обертаємось, — це маніпуляція. Точніше, навіть не зовсім вона. Маніпуляція — це коли одна людина змінює поведінку іншої, зазвичай непрямим способом. І хоча слово часто асоціюється з негативом, саме по собі воно не є синонімом зла. Радше — нейтральний інструмент.
Та в контексті кібербезпеки більш точним буде термін «соціальна інженерія». Його добре знають у сфері інформаційного захисту. Це той самий психологічний вплив, але з двома обов’язковими умовами:
Він відбувається приховано — людина не усвідомлює, що її поведінкою керують;
Маніпулятор отримує вимірну вигоду — наприклад, доступ до даних або приміщення.
Психолог у складі Red Team — це справжній інженер довіри. Замість сканування портів і вразливостей у системі, він «сканує» поведінкові шаблони, ментальні уразливості, і створює достовірні легенди, які вбудовуються у сприйняття жертви, активуючи її звичні реакції.
Саме тут на сцену виходить поняття фреймів — або когнітивних рамок. Що це таке? У спрощеному вигляді — це ментальні шаблони, через які людина сприймає інформацію. Це як фільтри або сценарії: побачивши певний сигнал, людина автоматично реагує так, як звикла. І якщо правильно вибудувати комунікацію, можна змусити її діяти саме так, як потрібно інженеру.
Був такий соціолог Ірвінг Гофман (1922-1982). Так от, оскільки психологія та соціологія — науки в тому числі (якщо не здебільшого) описові, то й Гофман вирішив взяти та й зафіксувати те, що спостерігалося, і спробував його пояснити. Він розглядав кадри як когнітивні структури, які люди використовують для інтерпретації соціальних ситуацій. Це шаблони, що визначають:
як ми розуміємо контекст («Це гра чи реальність?»);
які дії доречні у конкретній ситуації (наприклад, поведінка на співбесіді vs на вечірці);
які ролі та правила діють («Учитель ставить питання, учень відповідає»).
Приклад з контексту: співробітник розуміє, що лист «від начальника» з вимогою терміново відправити дані — частина кадру «корпоративна комунікація», яка передбачає відповідь керівнику.
А ще тут можна згадати “ефект фреймінгу” по Д. Канеману та А. Тверді. Це коли люди приймають різні рішення залежно від того, як сформульовано одну й ту саму інформацію, навіть якщо об’єктивні факти не змінюються. Люди схильні реагувати інформацію не раціонально, а емоційно. Наприклад:
Негативний кадр (акцент на втрати/загрози) викликає страх або тривогу.
Позитивний кадр (акцент на вигоду/безпеку) провокує довіру та спокій.
Це база, якою користуються соціальні інженери (Ну, звісно, самі не усвідомлюючи, яка за цими ефектами лежить дослідницька робота!). Приклад:
«Ваш обліковий запис заблокований! Підтвердіть дані зараз, щоб розблокувати», – це негативний кадр. Реакція: людина має страх втратити доступ і діє імпульсивно, не перевіряючи справжність запиту.
“Підтвердіть дані для безпеки вашого облікового запису” – це позитивний кадр. Реакція: сприймається як рутинна процедура, що знижує пильність.
Теорія фреймів є фундаментальною, і вона поступово доповнюється та конкретизується, адаптуючись до сьогоднішніх реалій (наприклад, досліджуються фрейми соціальних мереж. Звичайно, займатися описом можна безкінечно, тому тепер, розуміючи основи когнітивних уразливостей, перейдемо до практичного застосування цих знань у роботі Red Team.
Класичне соціотехнічне тестування часто зводиться до формальності: масова розсилка листів через Gophish, однакові шаблони, швидкі результати. Замість точкової аналітики — статистика заради статистики.
Це програмне забезпечення дозволяє створювати фішингові кампанії для перевірки обізнаності співробітників. Усе просто: лист — підроблена сторінка — введення даних — успіх або ні. Але метод має низку проблем:
Масовість не гарантує точності: із сотень листів успішними бувають одиниці, та й ті часто — результат випадку.
Збір вибірки без системності: у тест потрапляють співробітники з різним досвідом і посадою, що розмиває реальні висновки.
Результати не завжди цінні: навіть отримані логіни можуть не давати доступу до критичних систем.
Вплив спам-фільтрів: більшість листів не доходять, а тест визнається «успішно проваленим».
Усе це перетворює перевірку на ілюзію ефективності — звіти звучать гучно, але реальна користь залишається під питанням. Необхідно переосмислити підхід: не кількість зібраних паролів має бути метою, а розуміння, як і чому людина на них «клюнула».
Що ми бачимо у реальному житті? Зловмисники діють відчайдушно та зухвало, створюючи мислимі та немислимі сценарії впровадження. Ми бачимо, що основний мотив — це гроші, а головна жертва — проста людина, як правило, непоінформована про базові правила цифрової гігієни та кібербезпеки. Таких людей можуть обирати рандомізовано чи цілеспрямовано.
Прикладом рандомізованої атаки може бути описаний вище метод з Gophish – масове розсилання по співробітникам компанії або за випадковими електронними адресами. Також це може бути масове обдзвонення громадян з різними соцопитуваннями, унікальними пропозиціями, безпечними рахунками від банків, а також «продовженням дії номера, оскільки закінчується термін дії договору».
При цілеспрямованій атаці попередньо проводиться етап розвідки та аналізу даних з відкритих джерел і з витоків персональних даних, що набили оскому. Сценарії таких атак нам усім також відомі: це незлічені співробітники правоохоронних органів, знову ж таки, клієнтська підтримка банку, рідше — дзвінки нібито з лікарень, за яких шахраї чітко називають дані родичів, які нібито потрапили в халепу.
Скільки ситуацій придумують зловмисники, стільки і фреймів у них присутній. всі кошти на наш “безпечний” рахунок – це страх перед системою “Ваш брат у лікарні після аварії! Терміново потрібні гроші на операцію” – це вітаємо!
Іронія в тому, що в соціотехнічних тестах пентестери часто ігнорують цей «темний бік людяності». Більшість із них — технарі до мозку кісток, чий емоційний інтелект… ну, скажімо так, налаштований на іншу роботу. Спектр ідей обмежений шаблонами типу “Шановний ${user}, оновіть пароль, для цього вкажіть старий”. Також на опрацювання атаки банально може бути часу. Але справжня соціальна інженерія це мистецтво. Вона вимагає акторської майстерності, щоб зіграти слідчого МВС, який знає номер вашого паспорта; банківського співробітника, який змусить вас повірити, що безпечний рахунок – єдиний вихід врятувати кошти; «лікаря», голос якого тремтить від уявного співчуття.
Пам’ятаєте Кевіна Митника, чи не найвідомішого хакера у світі? Після ув’язнення він став консультантом ЦРУ. Митник – хрестоматійний еталон такого підходу. Хакер-легенда, який перетворив соціальну інженерію на перформанс. Кожна його атака — спектакль із продуманими ролями, реквізитом та відмінною імпровізацією. Його історія викладає урок: щоб захищатися від шахраїв, потрібно думати, як вони. Недостатньо імітувати їхні методи — треба зрозуміти їхні мотиви, їхні стратегії переконання, їхнє вміння підлаштовуватися під жертву.
Психолог, звичайно, тільки в кіно може відсидіти термін і не втратити звання, тому доводиться робити припущення. В рамках Red Team він може зняти з плечей пентестерів частину роботи, взявши на себе глибоке опрацювання соціальної сторони питання, а саме опрацювати багатошарові сценарії для впровадження, персоналізувати їх за допомогою OSINT, створити фейкові особи, які узгоджуються з цією легендою і витримують глибоку перевірку на вошивість.
Такий підхід ми і вирішили застосувати у своїх Red Team проектах. Очевидно, що жертвою зловмисників може стати не тільки індивід і його гаманець, але і інфраструктура компаній, аж до повної зупинки її роботи. зловживання привілеями, використання шахраями вкрадених облікових даних або методів соціальної інженерії. відкривається, якщо прикласти карту? віртуальних фреймах? Але мало розробити сценарії та намагатися атакувати.
Якщо класичний пентест — це штурм фортеці з таранами й катапультами, то соціальна інженерія — це отруєний келих вина, піднесений охоронцю, який щиро тобі довіряє. І хоч підходи різні, етапи у них часто схожі. Зокрема — розвідка.
На першому етапі соціотехнічної атаки збирається інформація про співробітників компанії. Це, по суті, класичний OSINT — аналіз відкритих джерел. І тут усе залежить від ситуації. Ми зазвичай працюємо гнучко, реагуючи на те, що вдається дізнатися в процесі. Немає єдиної схеми — кожен кейс індивідуальний.
Джерел для розвідки зазвичай більш ніж достатньо. Багато залежить від специфіки компанії, її внутрішньої культури, активності працівників у мережі. Співробітники технічного профілю нерідко відкрито пишуть про свої проєкти, стек технологій, або обговорюють внутрішні процеси в тематичних професійних спільнотах. Керівники та менеджери часто публікують свої профілі з фото, посадами та описами ролей у компанії, що також допомагає сформувати цілісну картину.
Є й ті, хто публічно представляє компанію — спеціалісти з комунікацій або HR. Вони зазвичай охоче діляться корпоративними новинами, коментують у публічному просторі, а подекуди й нехтують основами кібергігієни.
Окремо варто згадати тематичні чати, де багато хто прямо зазначає свою посаду або обговорює внутрішню кухню компанії. Іноді трапляються навіть обговорення безпосередньо пов’язані з інфраструктурою, внутрішніми сервісами чи політикою безпеки — усе це відкриває двері для подальших кроків.
А ще є “польовий” варіант — спостереження за тим, що відбувається навколо офісу. Наприклад, неформальні розмови поблизу будівлі можуть виявитися не менш інформативними, ніж пошукова аналітика. Такий підхід вимагає певної акторської майстерності, але вміло проведена розмова на вулиці — це теж джерело даних.
Вивчаємо отриманий масив елементів (ой, тобто співробітників): їх ролі, становище в ієрархії компанії, активність у соціальних мережах, патерни поведінки … У хід йде так званий профайлінг (термін також спірний, зате звучить круто).
Профайлінг – це аналіз особистісних показників для прогнозування поведінки.
Для аналізу підходять і індивідуальні, і робочі профілі. У власних профілях часто можна зустріти, наприклад, меми щодо роботи. Вони несуть інформацію та допомагають зрозуміти ставлення співробітника. Відсутність мемов може натякати на суто серйозність співробітника. Такі нюанси можуть стати точкою входу, але в рамках цієї статті їх все описати неможливо.
Наприклад, деякі ейчари виглядають дуже серйозно: вони можуть вести вакансії senior-фахівців. Такий образ потрібен їм не тільки для того, щоб посилити значність бренду, але і для того, щоб кандидат розумів, що розмова на співбесіді вестиметься не тільки в рамках торгу із заробітної плати, але і про його глибокі компетенції. Розроблена легенда повинна відповідати очікуванням такого фахівця з найму, щоб хоча б звернути увагу.
Деякі ейчарі можуть мати вкрай мінімалістичні анкети. Якщо це перегукується з іншими соціальними мережами об’єкта, то, швидше за все, такий спец не надто залучений до роботи і може бути менш уважним у спілкуванні, плаваючи в рамках рутини.
Ці крайнощі наведено лише для прикладу — на практиці все набагато складніше і заплутаніше. Реальні сценарії соціотехнічної атаки рідко бувають прямолінійними.
Уявімо, що створення легенди для атаки — це як підготовка до побачення всліпу. Є лише уривчасті дані, зібрані з відкритих джерел: хтось обожнює котів, не терпить понеділки, і нещодавно став переможцем внутрішньої корпоративної премії. Завдання — перетворити ці дрібниці на переконливу історію, яка змусить людину повірити: вона спілкується не з незнайомцем, а з кимось «своїм».
Ось у чому суть. Соціальному інженеру потрібно зчитати контекст — певну життєву ситуацію або “кадр”, у якому зараз перебуває ціль. Це може бути відкриття вакансії, запит на форумі щодо технічної проблеми, участь у професійній конференції або навіть недавній коментар у соцмережах. Такий контекст дає змогу почати діалог не з порожнього місця, а нібито «в тему», знижуючи настороженість і викликаючи довіру.
Після цього готується конкретний інструмент — наприклад, документ із вбудованим скриптом, форма для заповнення або підроблена веб-сторінка. Усе залежить від вибудованої історії.
У межах одного з проєктів під час збору інформації нам вдалося виявити цікаву особливість. Хоч компанія і намагалася централізувати процес найму через офіційні канали, частина рекрутерів досі активно користувалася професійними спільнотами й особистими акаунтами в соцмережах. Там вони іноді публікували вакансії, обговорювали вимоги до кандидатів або просто залишали публічну інформацію, яка відкривала доступ до спрощеного моделювання атаки. Це, фактично, зводило нанівець зусилля з побудови закритої системи рекрутингу.
Те, що з процесу найму поки що складно викинути людський чинник, дуже спростило завдання щодо впровадження. Деякі фахівці з’являлися у ЗМІ, звідки також можна було отримати чудову інформацію.
Щойно легенда сформована, переходимо до наступного — найделікатнішого — етапу: безпосередня взаємодія з об’єктом.
Мета тут — організувати проникнення всередину інфраструктури компанії за допомогою самого працівника. Причому в ідеалі він має не просто виконати потрібні дії, а зробити це добровільно, вважаючи, що це його власне рішення або навіть відповідь на його потребу. Тобто дія має виглядати як природне вирішення особистої задачі.
Усе залежить від контексту легенди. Наприклад:
Якщо ви нібито претендент на вакансію — логічно надіслати резюме.
Якщо представляєте організаторів івенту — можна попрохати перевірити програму конференції чи погодити участь.
В одному з успішно реалізованих сценаріїв ми обрали образ студентки, яка щиро прагне потрапити на стажування. Щоб бути переконливими, потрібно було повністю зануритись у цю роль.
Ми запитали себе: якою є поведінка дівчини, яка тільки-но закінчила університет і вперше пробує знайти роботу в серйозній компанії? Як вона спілкується онлайн, які емоції транслює, які слова використовує? Який темп, стиль, навіть які смайлики?
Модель, яку ми створили, виглядала так:
Вона привітна, трохи сором’язлива, прагне справити враження, тому ретельно формулює думки.
Її листи містять елементи емоційності — ті самі “молодіжні” смайлики, що надають тексту невимушеності.
Вона намагається не виглядати нав’язливою, підкреслює свою повагу, дякує за кожну відповідь.
У результаті така поведінка викликала довіру. З іншого боку, вона не викликала підозр — адже не було видно ознак агресії, нав’язливості чи навмисного тиску. Виглядало все як звичайне звернення звичайної молодої людини, що тільки починає кар’єрний шлях.
Так ми змогли викликати потрібну реакцію та спровокувати відповідь, яка відкривала доступ до внутрішньої інфраструктури. І все — без жодного технічного впливу, лише за допомогою правильно вибудуваної комунікації.
За особистими спостереженнями, зазвичай інтернет-розмова з незнайомими людьми перетворюється на трохи більше неформальне русло за стилем написання. Соціальний інженер може намацати цей момент за манерою листа свого співрозмовника, до якого потрібно втертися в довіру. Цей прийом – стандартна психологічна “штука”, яка називається “раппорт”, позначає деяку синхронізацію або резонанс між людьми. Умовності відходять убік, і співрозмовники спілкуються вже лише на рівні смислів, а чи не фіксуються на формальностях на кшталт орфографії у разі. У нашому прикладі це проявляється у розрізнених повідомленнях, написання нової речення з маленької літери (або за стандартом, встановленим на телефоні/комп’ютері). Видно відгук на смайлик, у разі він навіть символізує конфуз і вразливість. А потім все вийшло. Ось прям взагалі все 🙂
В іншому з успішних кейсів нашою ціллю став досвідчений HR-спеціаліст, який, судячи з усього, неодноразово спілкувався з кандидатами. Принаймні саме таку професійну впевненість він намагався демонструвати — це було помітно як у змісті його профілю, так і у позі на фото в соцмережах, і навіть у стилі ділового листування.
Відштовхуючись від цього, ми зробили припущення, що найкраще виправдання нашого звернення до нього — це посилання на нібито спільних знайомих. Звучить доволі просто, і в цьому якраз суть: чим простіше старт, тим більше варіантів розвитку розмови далі. Завжди можна додати, що це «людина з чату» або що «він просив не згадувати себе».
У нашому випадку HR не став уточнювати деталі, а одразу перейшов до суті — це повністю відповідало його очікуваній професійній поведінці.
Потрібно розуміти: усе може скластися добре. А точніше — найімовірніше, все піде не за сценарієм. Щоб оперативно реагувати на уточнюючі запитання, маневрувати й ухилятись, необхідно дійсно вірити у свою легенду. Або ж мати запасний варіант — кілька додаткових сценаріїв.
У нас траплялися ситуації, коли потенційна ідеальна ціль раптово виявлялася у довготривалій відпустці, що зовсім не вписувалась у наші часові рамки. Бували й інші випадки: деякі фахівці виявлялися добре підготовленими до виявлення підозрілої активності, й наш акаунт миттєво опинявся в блок-листі. Добре, якщо вони не попереджали колег. У таких ситуаціях доводилося запускати нову лінію взаємодії.
Але коли все ж вдається непомітно привернути увагу цілі, настає наступний етап.
Закріплення в системі. У цей момент соціальний інженер продовжує вести діалог у довірчому ключі, поки технічні спеціалісти команди займаються підвищенням прав доступу, пошуком вразливостей у програмному забезпеченні та виконанням своїх задач.
Розмова з об’єктом розвивається природно. Завдання соціального інженера — максимально виграти час, аби жертва й служба безпеки не встигли нічого запідозрити. У таких ситуаціях дуже допомагає емоційна чутливість: іноді достатньо просто відчути, яку поведінку очікує співрозмовник, і підлаштуватись під неї, щоб знизити ризик викриття.
У сценарії з недосвідченою стажеркою, який ми вже згадували, після отримання доступу до її робочої машини потрібно було трохи потягнути час — взяти паузу. В цей момент уся червона команда була залучена в інші активні етапи атаки (спрацювали ще кілька підсаджених сценаріїв), і часу на діалог з цією жертвою катастрофічно не вистачало. До того ж вона сама вирішила зателефонувати, а ми почали відповідати з помітною затримкою.
Після вихідних підтримувати розмову вже не було сенсу — технічна частина була завершена, і спілкування припинилось. Хоча, у ідеалі, діалог варто було б довести до логічного завершення — задля того, щоб зберегти інтригу і, можливо, залишити собі відкриті двері на майбутнє.
Завершальним етапом операції є м’яке згортання взаємодії. Соціальний інженер обриває контакт, імітуючи природне завершення розмови (умовно кажучи — викидає ноутбук, змінює обличчя), а технічна команда прибирає все, що може вказати на втручання — очищає логи, стирає цифрові відбитки.
Як уже згадувалося, вихід із комунікації має виглядати максимально спокійно, без різких рухів і зайвих підозр. У реальному житті, щоправда, найпоширеніший сценарій завершення будь-якого онлайн-спілкування — це просто зникнення без пояснень. Але у випадку з ідеально проведеною операцією все повинно виглядати так, ніби нічого особливого не сталося. Жертва не повинна навіть здогадуватись, що в процесі цієї, на перший погляд, буденної розмови сталася компрометація — аж поки спеціалісти SOC не почнуть розбиратися і влаштовувати розбір польотів.
Уявіть: усе пройшло ідеально. Жертва настільки довірилася, що надіслала вам приватне листування, ледь не запросила на чай із печивом. Ви тріумфуєте, святкуєте успіх, відкладаєте технічні формальності на вечір. Сідаєте писати звіт — а переписки немає. Облікового запису теж більше не існує. І здається, що все даремно.
Такий момент — холодний душ для будь-якого спеціаліста: потрібно довести клієнту, що все справді відбулося. Але словами на кшталт «чесно, було» тут не відбутись.
Тому є золоте правило для соціального інженера: фіксуй усе. Постійно, з усіх етапів, регулярно зберігай скріншоти, фіксуй час дій, збирай підтвердження. У наш час листування не завжди залишається у вашому розпорядженні: багато платформ дозволяють видаляти повідомлення односторонньо, без слідів і попереджень.
Отже:
Спілкування через месенджер? — Скріншот.
Відправка фішингового листа? — Скріншот.
Жертва ввела пароль на вашій підробленій сторінці? — СКРІН. СКРІН. І ЩЕ РАЗ СКРІН!
Найкраще — одразу оформлювати все як цифрові докази. Усе, що не задокументоване — вважай, не відбулося.
Усе залежить від контексту. Можна орієнтуватися на риси характеру: імпульсивність, сором’язливість, надмірна довірливість чи прагнення визнання можуть стати точками впливу. Водночас не слід недооцінювати співрозмовника — зверхність у таких справах небезпечна.
Уразливі категорії співробітників:
Новачки та стажери, які не мають досвіду розпізнавання фішингу;
HR-фахівці, які взаємодіють із великою кількістю сторонніх людей;
Виснажені співробітники, особливо в періоди пікового навантаження;
Технічні спеціалісти, які через упевненість у своїй обізнаності можуть втратити пильність.
Історичні приклади — Twitter, кампанія Клінтон, Ubiquiti Networks — показують, що жертвами можуть ставати навіть найпрофесійніші команди.
Соціальна інженерія — це не про дурість жертв, а про використання моменту: стрес, звичка, втома, бажання допомогти. Успішна атака не «ламає» людину — вона вбудовується в її рутину. Чому психолог у Red Team — це перевага?
Вміє будувати сценарії, які дійсно працюють.
Глибше розуміє поведінкові моделі.
Здатен помічати деталі, які технарі ігнорують.
Має досвід міжособистісної взаємодії й швидше формує довіру.
Масові фішингові кампанії дають цифри. Але саме цільові атаки — справжня загроза. І тут психолог — незамінна частина команди.
913 
1014 
993