Netechnické typy útoků Flashcards
Netechnické útoky
1) Sociální inženýrství: psychická manipulace s lidmi za účelem zisku informací, přístupu ke službě nebo provedení podvodu
2) phishing: kontaktování uživatelů s cílem získání citlivých informaci pro škodlivé účely
3) spear phishing: phishing mířený na konkrétní osoby
4) whale phishing: cílení na vlivné představitele firm či organizací nebo na veřejné osoby
5) cloning: vytvoření phishing zprávy z původně legitimní
6) baiting: zanechání malware na médiu, které má oběť objevit a připojit ke svému sytému
7) tailgating: průnik do chráněných prostor s nevědomou pomocí legitimního uživatele
8) insider threats: hrozby od vnitřního uživatele
vydávání se za jinou profesi (technická podpora, údržba)
Phishing
Vektory bývají e-mail, sociální sítě, webové portály nebo instant messaging.
Cílem bývá přístup k bankovnictví, webovým portálům, sociálním sítím nebo IT službám.
Obranou je legislativa, školení uživatelů, veřejná informovanost, technická opatření (e-mail filtering, vynucení 2FA).
Využívá se manipulace s odkazy (modifikace URL, rozdíl mezi obsahem a cílem <a> tagu pomocí JS)
Obcházení filtrace (využití obrázků či videa místo textu)
Wwebsite tampering (podvržení webových stránek)
Covert redirect (přesměrování odkazů na phishing stránky s XSS/falešným přihlášením)</a>
MitM - ARP spoofing
ARP spoofing - Využívá slabiny v protokolu ARP (Address Resolution Protocol), který je zodpovědný za mapování IP adres na MAC adresy v lokální síti.
Útočník odešle falešné ARP odpovědi, aby přesvědčil oběť, že jeho MAC adresa patří k IP adrese důvěryhodného zařízení (např. brány nebo serveru).
Výsledkem je, že oběť posílá data útočníkovi, který je může číst, upravovat nebo přesměrovat.
Při překladu lokální IP adresy na MAC dochází k zaslání broadcast paketu, na který
zařízení s požadovanou IP adresou pošle odpověď. Tyto zprávy nejsou nijak autentizované,
ARP je stateless protokol a všechna zařízení na síti automaticky cachují ARP odpovědi
bez ohledu na to, jestli o ně požádaly
MitM - DNS Spoofing
Útočník manipuluje DNS záznamy, aby přesměroval oběť na podvrženou webovou stránku místo legitimní.
Například při zadání domény banky do prohlížeče může být oběť přesměrována na falešnou stránku, která vypadá stejně jako originál.
Tento útok může být realizován na úrovni DNS serveru, cache prohlížeče nebo routeru.
DNSSEC zaručuje bezpečnost komunikace s DNS servery. Všechny odpovědi z DNSSEC zón jsou podepsány. Zajišťuje pouze autentizaci, ne důvěrnost.
MitM - SSL Strip
Tento útok mění šifrovanou HTTPS komunikaci na nešifrovanou HTTP.
Útočník přesměruje požadavky oběti tak, aby se místo HTTPS připojovala prostřednictvím HTTP. Oběť si často nevšimne, že komunikace není šifrovaná, protože adresa webu může vypadat téměř stejně.
Útočník pak může odposlouchávat přenášené údaje, například hesla nebo čísla platebních karet.
Tři roky po jeho „objevení“ v roce 2009 bylo vydáno RFC 6797: HTTP Strict Transport Security (HSTS), zavádějící HTTP hlavičku
Strict-Transport-Security. Klienti podporující HSTS musí upgradovat na HTTPS před připojením k webu, a pokud není možné TLS spojení navázat (nedůvěryhodný certifikát), spojení by mělo být ukončeno a na web by neměl být povolen přístup.
MitM - SSL sniff
Varianta útoku na šifrovanou komunikaci, kde útočník odposlouchává SSL/TLS komunikaci mezi obětí a serverem. Útočník musí mít k dispozici certifikát kterému důvěřuje prohlížeč, tj. ukradený certifikát podepsaný CA, nebo falešný a importovaný do prohlížeče/systému oběti.
Může být realizován například pomocí technik, jako je podvržení certifikátu (SSL stripping), nebo pokud má útočník přístup k šifrovacím klíčům serveru.
