Социалочка на сообщения

Последнее время сильно повысилась интенсивность разводов, когда звонят:
– товарищи майоры с просьбой помочь в расследовании,
– сотрудники операторов связи с просьбой продлить договор,
– сотрудники [центро]банка с информацией, что со счетов воруют деньги
– ...
Часто цель – вынудить перевести деньги злоумышленникам, или получить доступ куда-то, обычно, в онлайн-банк, или в Госуслуги. Как правило, такие операции защищаются вторым фактором, поэтому злоумышленник просит сообщить ему код из SMS. При этом, факт того, что злоумышленник знает, что сейчас должно прийти сообщение, сам по себе является немаловажным фактором убедительности просьбы злоумышленника и легитимизации всей ситуации. Не смотря на многообразие объяснений и обоснований мошенника, финальная фраза просьбы обычно звучит примерно так: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста».

Казалось бы для защиты от подобных сценариев развода достаточно выработать простое правило: «Никогда никому не сообщайте свои коды из SMS», что, в целом, выглядело бы логично, так как SMS – это наш одноразовый пароль, а понимать то, что сообщать пароли никому не надо, мы уже давно, вроде бы, научились.

Но, к сожалению, полно легальных ситуаций, когда нам придется сообщать пароль из SMS. Вот лишь несколько. При списании баллов лояльности сотрудник АЗС просит назвать код из SMS. Некоторое время назад в отделении Сбербанка я оформлял ипотеку, и там мне снова приходили сообщения и сотрудник банка спрашивала у меня коды из SMS, причем это повторялось несколько раз, с разными работниками банка. И ребята на заправке, и ребята в банке использовали уже известную нам фразу: «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста». Триггерясь на фразу, перешагивая через собственные опасения, я сообщал эти коды сотрудникам. Разница только в том, что на момент операции я лично видел сотрудника перед собой. Но, во-первых, не велика проблема, так как я не исключаю возможность существования схем развода, когда кто-то представится сотрудником\работником и попросит назвать код из SMS, да хоть даже и в отделении Сбербанка (они огромные, там куча людей, а сотрудники ходят с планшетами, почему бы кому-то не подойти с планшетом и, представившись сотрудником, не спросить код из SMS?)..., а, во-вторых, у меня был опыт ипотечной сделки, когда я покупал квартиру в Кисловодске, физически находясь в Москве, и в этом случае, увидеть физически сотрудника кисловодского отделения Сбера у меня не было возможности. А с учетом современного развития машинного обучения, даже увидев кого-то по телесвязи, не стоит доверять, что это реальный персонаж, а не продукт нейросети.

В общем, каких-то однозначных способов отличия легитимной просьбы «Вам сейчас придет код в SMS, сообщите мне его, пожалуйста» от мошеннической, найти не так-то просто, что и создает почву для роста числа и результативности таких атак.
Что можно предложить:
– Анализировать ситуацию, точно понимать необходимость и точно понимать последствия сообщения SMS. Не будет ничего зазорного, если вы уточните зачем код из SMS и оцените фактическую адекватность объяснения и то, как это было сказано
– Всегда внимательно читайте само SMS. Коды подтверждения входа никогда не надо никому сообщать и фраза «никому не сообщайте этот код» явно присутствует в сообщении. Для тех же кодов, которые надо сообщать сотруднику, обычно, явно указано в SMS «сообщите сотруднику». Если кто-то из уважаемых поставщиков еще не ввел в свои сообщения такую элементарную защиту, указав, нужно ли код кому-то сообщать, то пожалуйста, реализуйте!

Если есть еще идеи как отличить легальную просьбу сообщить код из SMS от нелегальной, пишите в комментариях. Всем хороших выходных!

#socialengineering #финансы #пятница

На понравившимся мне AM Live про защиту от ВПО ребята подняли вопрос о процессно-методологической организации чего-либо. Действительно, не так много хороших докладов о практике построения процессов, о методологии, причем не в общих словах обо всем, и не о процессе построения процесса - таких, как раз, хватает, а именно конкретики, которую можно взять и с незначительными модификация попробовать применить у себя. Конференции пестрят докладами как кто-то успешно что-то заломал или что-то отреверсил - все это, безусловно, очень интересно, но зачастую очень узко и, как следствие, полезность для большинства слушателей (представителей корпоративной ИБ или работников поставщиков услуг), к сожалению, невелика. Я не раз подчеркивал значимость систематических исследований в сравнении с ad-hoc, пусть даже и достаточно глубокими, как раз за счет наличия обширной процессной составляющей. Цель процесса - давать предсказуемый результат с заданным качеством, что приципиально, поскольку любой процесс не висит в воздухе - выход из него является входом в другой процесс, который едва ли сможет стабильно хорошо работать, если ему на вход передается что-то непредсказуемое...

В общем, вот мы и договорились до доклада, который был бы интересен мне.
Докладчик: организатор\менеджер\работник, вовлеченный в организацию работы\процесс, в составе какого-либо предприятия, успешность которого может быть несложно проверена. Ну, например, если говорить о SOC, то это может быть руководитель или методолог успешного коммерческого или внутреннего SOC
Доклад: рассказ о каком-либо процессе SOC, его конкретной, с описанием конкретных проблем и решений, его конкретных метрик качества и каким образом технически они измеряются. Применительно к SOC, например, это мог бы быть доклад про контроль качества работы аналитиков, о работе над ошибками, или об оценке загрузки команды, или о работе по разработке правил обнаружения, в общем, любой процесс, но из которого можно было бы взять конкретные вещи и внедрить у себя.

Ну а в продолжении темы, затронутой Теймуром, про Detection Engineering, у меня есть что сказать в следующей заметке....

#vCISO #управление #MDR

Про методологические аспекты процессов вокруг Detection Engineering-а есть вот такая книжка 2023 года - Practical Threat Detection Engineering, Megan Roddie, Jason Deyalsingh, Gary J. Katz.

К ее минусам я бы отнес то, что она начинается "от печки": что такое MITRE ATT&CK, Пирамида боли, типы кибератак (причем, не самая удачная классификация), есть разделы про разворачивание ELK и т.п. Но это, одновременно, и плюс, так как может вполне эффективно восприниматься широким кругом читателей, а те, для кого все эти понятия не новы - могут смело пролистывать большую часть книги.

Но, вместе с тем, важные методологические моменты там вполне прилично освещены, типа, как приоритезировать разработку детектирующей логики, как поддерживать качество (здесь я впервые встретил понятие "Detection drift", которе ранее встречал в основном, применительно к машинному обучению), приведены кое-какие метрики качества, которые действительно полезно контролировать на практике.

В общем, для новичков книжка обеспечит достаточное погружение в тему, далее можно уже самому "читать Википедию", а для матерых может быть как раз тем недостающим систематизатором\методологом, позволяющим упорядочить имеющиеся познания и придать академической уверенности в действиях, которые ранее базировались исключительно на разрешении практических потребностей

Книжка несложно находится в выдаче любого поисковика, поэтому, не думаю, что привнесу в наш дивный новый мир много дополнительной энтропии, если просто выложу ее...

#книги #MDR

Practical Threat Detection Engineering, Megan Roddie, Jason Deyalsingh, Gary J. Katz

Академичность математики позволяет ее применять к самым разным областям. Понимая это, в свое время, когда набирал команду из студентов, я обращался к своему преподавателю по криптографии, руководствуясь логикой, что человек, разобравшийся в крипте, способен разобраться в чем угодно.

Новое время - новые модные темы, и вот сейчас мы говорим о глубоком обучении и искусственном интеллекте, и все те же криптографические гении, среди которых есть и Ади Шамир (если кто подзабыл, то в аббревиатуре "RSA" вторая буква - от Shamir) в статье Polynomial Time Cryptanalytic Extraction of Neural Network Models предложили как с помощью разностного\дифференциального криптоанализа (да-да, того самого, что нам подарил анализ, наверно, самого известного алгоритма - DES, и последующих алгоритмов, ему подобных) можно значительно более эффективно подбирать параметры глубоких нейросетей (DNN).

Несмотря на то, что в статье приводятся некоторые практические результаты:

We demonstrate the practical applicability of our algorithm by performing a sign-recovery attack on a DNN trained to recognize the standard CIFAR10 classes. This DNN has 3072 inputs, 8 hidden layers, 256 neurons per hidden layer, and about 1.2 million weights. Our techniques replaced the exhaustive search over 2^256 possible combinations of neuronal signs carried out by Carlini et al. in each layer by a new algorithm which requires only 32 minutes on a 256-core computer to find all the 8 × 256 neuronal signs in the 8 layers of the network.

при чтении статьи не покидало ощущение в незначительности успехов этого подхода на практике. Однако, уверен, спустя время, когда набьются правильные шишки и все грабли будут собраны, подходы, некогда используемые в криптоанализе получат новое прменение, а это - любопытнейшая "первая ласточка". Но тут, конечно, интересно мнение профессионалов по глубокому обучению.

Ребята из команды GERT опубликовали несколько интересных кейсов, в том числе пришедших и от нашей команды.

Я люблю просматривать подобные публикации от коллег по отрасли, чтобы быть в курсе о, скажем модно, актуальном ландшафте угроз. Ну а это - наш скромный вклад в осведомленность сообщества.

Как команды расследования и мониторинга поддерживают друг друга, я рассказывал на SOC Forum в 2022, а презу выкладывал здесь

#MDR

Новый отчет от BI.zone. Читается быстро и легко, есть полезная информация

Вот мне не хватило сводной таблички\картинки по используемым инструментам. Это всегда интересно смотреть кто какие инструменты использует, ибо, в общем случае, именно на процедуры мы делаем детекты, а не на техники.

Может, ребята в следующей редакции к группировке по техникам MITRE добавят группировку по тулзам. Причем, как по мне, то группировку по MITRE можно выкинуть вообще, а вот группировку по процедурам\инструментам - вот это прямой дорогой в команду Detection Engineering-а, чтобы проверили\отработали.

#MDR

У каждого из нас свой стиль. Есть достаточное количество ресурсов, которые, проанализировав тексты определенного автора, могут затем достаточно точно устанавливать его авторство. Да и мы подсознательно чувствуем авторство и подобие\схожесть.

Например, мне всегда нравились произведения Достоевского, а много лет назад я читал Фицджеральда (Великий Гэтсби, Ночь нежна), который, удивительно, меня также не оставил равнодушным.

Однако, разгадка Фицджеральда пришла много позже, когда я немного погрузился в его биографию. Оказывается, Фицджеральд любил Достоевского и признавал его влияние на свое творчество. Поэтому, именно то, что мы любим у Достоевского - психоанализ личностей персонажей и усиливающее восприятие переживаний героев описание окружения, атмосферы происходящего - повторяется и в книжках Фицджеральда. Можно с уверенностью считать, что Фицджеральд - продолжатель литературной традиции Достоевского, писхологизм Достоевского, характерные литературные приемы можно наблюдать и у Фрэнсиса Скотта - в этом и есть его секрет, почему он заходит, особенно, любителям творчества Федора Михайловича.

Но, и за рамками литературы несложно определять авторство. Порой, даже достаточно двух слов. Например, на днях читал драфт некоего документа ФСТЭК, где более более 5 раз за 20 стр я встретил словосочетание "недопустимое событие" без объяснения значения, тогда как для терминов "инцидент" и "угроза" определение было представлено. А вы догадались кто поучаствовал в написании этого документа? В целом, это хорошо, что регуляторку пишут практики, ее, как минимум, можно будет на практике реализовать... Но ситуация меня порадовала во всех смыслах

#книги #пятница

Если в ближайшее воскресенье вы в Кисловодске, то рекомендую посетить лекцию об искусстве Древней Греции.

Всем нам известные памятники искусства Римской империи базируются на древнегреческом фундаменте, так как, завоевав Грецию, не имея своего, выходящего за рамки практической или военной обусловленности, так сказать, для души, римляне впитали в себя все греческое. Сам себя часто ловлю на том, что не всегда могу отличить "древнегреческое" от "древнеримского", что не случайно, так как многое римское - калька греческого, а все позднее римское "свое" так или иначе базировалось на захваченном греческом.

Один из моих любимых писателей детства и юности Иван Ефремов в книжке "Таис Афинская" пишет:

Количество скульптур в храмах, галереях, на площадях и в садах, не говоря уже о богатых частных домах, трудно вообразить. В каждой декаде века выделялись десятки художников, создававших многие сотни произведений (например, Лисипп с его полутора тысячами скульптур, Пракситель – с шестьюстами, Фидий – с восемьюстами). Общее количество художественных произведений, преимущественно скульптуры, накопленных за несколько веков процветания эллинского искусства, колоссально. Ничтожная часть этого гигантского художественного наследия дошла до нас лишь в римских мраморных копиях. Металлические скульптуры в позднейшие времена были переплавлены невежественными завоевателями в пушки и ядра. Например, от столь плодовитого скульптора, каким был Лисипп, до нас не дошло ни одной оригинальной статуи, потому что он работал преимущественно в бронзе. Эти особенности истории эллинского искусства следует иметь в виду при чтении моего романа.

А где-то уже в конце романа в диалоге Птолемея (да, да, того самого, приятеля Александра) и Таис:

– Счастья не будет! На западе крепнет Римское государство, готовое весь мир низвести до рабского состояния. .... Римляне подражают эллинам в искусствах, но в своем существе они злобные, надеются лишь на военную силу и очень жестоки к детям, женщинам и животным. Вместо театров у них громадные цирки, где убивают животных и друг друга на потеху ревущей толпе.
– Они мастера приносить кровавые жертвы? – спросила Таис.
– Да. Откуда ты знаешь?
– Я знаю пророчество. Страны, где люди приносят кровавые жертвы, уподобляя своих богов хищным зверям, – Элладу, Рим, Карфаген ждет скорая гибель, разрушение всего созданного и полное исчезновение этих народов.

В общем, Древняя Греция - это мировая культурная база. Едва ли за одну лекцию можно рассказать многое, но любой длинный долгий путь начинается с шага.... давайте сделаем этот шаг.

#искусство #книги

Инциденты, когда компании компрометируют через домашние сети пользователей - далеко не редкость, все тот же сценарий доверительных отношений. Однако, не стоит загонять себя исключительно в рамки анализа технических последствий (хакеры, вирусы и т.п.) от цифрового вмешательства в частную жизнь работников предприятия.
Мы кое-как пытаемся бороться с инсайдерами уже в инфраструктуре компании, но это может быть поздно, а инсайдер может стать инсайдером не по своему желанию.

Понятно, что для обеспечения эффективности следует ограничивать область и фокусироваться на ней, однако, важно помнить и о цели - защите корпоративных бизнес-процессов, а БП - это люди, влияние на которых возможно и за рамками наших зон и периметров. Это все те же осведомленность и культура поведения online, но уже за рамками компании, в нерабочие часы. Компрометация ключевых лиц корпоративных БП не менее результативны в части ущерба, чем традиционные нарушения КЦД требуемой для работы БП информации или обрабатываемой ее информационной системы...

Об этом рассуждал в новой заметке.

#управление #vCISO

Масштабы мошенничества в соцсетях и по телефону ужасают. Есть масса случаев, которые я слышал непосредственно от пострадавших, а работу множества схем я испытал на себе.

Не стоит думать, что схемы эти настолько нелепы и подобное никогда нас не коснется, это не так. Супер адекватные люди попадаются на кажущиеся фантастическими сценарии мошенничества, а со временем методы злоумышленников только совершенствуются, вместе с нашими семимильными шагами в тотальную цифровизацию.

Понятно, что все наши попытки что-то с этим поделать не будут иметь желаемую эффективность, но это не повод опустить руки и ничего не делать. Поэтому я подготовил довольно длинную презентацию по схемам мошенничества, известным мне, а то, как я ее рассказывал своим домашним - записал и вот делюсь видео.

Я уже получил обратную связь, что видео длинное и неконкретное, поэтому, вероятнее всего, я запишу еще ряд коротких роликов по конкретным схемам. Но данное базовое видео, в любом случае, не будет лишним для ознакомления. Также выкладываю слайды. Надеюсь, эта презентация будет полезна вам и вашим домашним, как для молодежи, так и для пожилых. Мои мне передали, что это было полезно. Осведомленность - основной инструмент противостояния мошенничеству.

#socialengineering