Definice sociálního inženýrství
Sociální inženýrství je uměním využívání lidské psychologie, spíše než technických hackerských technik, k získání přístupu do budov , systémy nebo data.
Například namísto hledání softwarové zranitelnosti může sociální inženýr zavolat zaměstnance a vydat se za osobu podpory IT a pokusit se přimět zaměstnance, aby prozradil své heslo.
Slavný hacker Kevin Mitnick pomohl v 90. letech popularizovat pojem „sociální inženýrství“, ačkoli myšlenka a mnoho z těchto technik existovaly, pokud existovali podvodní umělci.
I když máte všechny zvonky a píšťalky, pokud jde o zabezpečení vašeho datového centra, vaše cloudové nasazení, fyzické zabezpečení vaší budovy a investujete do obranných technologií, máte právo zavedeny bezpečnostní politiky a procesy a měřit jejich účinnost a neustále zlepšovat e, stále lstivý sociální inženýr si může projít cestu skrz (nebo kolem).
Techniky sociálního inženýrství
Sociální inženýrství se ukázalo jako velmi úspěšný způsob, jak se zločinec „dostat dovnitř“ do vaší organizace. Jakmile má sociální inženýr heslo důvěryhodného zaměstnance, může se jednoduše přihlásit a vyhledávat citlivá data. S přístupovou kartou nebo kódem, aby se fyzicky dostal do zařízení, může zločinec získat přístup k datům, krást majetek nebo dokonce ublížit lidé.
V článku Anatomy of a Hack zkouší penetrační tester, jak využil aktuální dění, veřejné informace dostupné na sociálních sítích a košili Cisco v hodnotě 4 $, kterou si koupil na spořitelna, která se má připravit na jeho nelegální vstup. Tričko mu pomohlo přesvědčit recepci budovy a další zaměstnance, že je zaměstnancem společnosti Cisco na návštěvě technické podpory. Jakmile byl uvnitř, mohl také dát nelegální vstup svým ostatním členům týmu. také se podařilo vypustit několik malwarem nabitých USB a proniknout do firemní sítě, to vše na dohled od ostatních zaměstnanců.
Nemusíte však nakupovat v obchodě, abyste zvládli útok sociálního inženýrství. Fungují stejně dobře prostřednictvím e-mailu, telefonu nebo sociálních médií. Co všechny útoky mají společné je, že využívají lidskou přirozenost ke svému prospěchu, živí se naší chamtivostí, strachem, zvědavostí a dokonce i naší touhou pomáhat druhým.
Příklady sociálního inženýrství
Zločinci si často vezmou týdny a měsíce, než se seznámíte s místem, než vůbec přijdete do dveří nebo zavoláte. Jejich příprava může zahrnovat nalezení telefonního seznamu nebo organizačního diagramu společnosti a průzkum zaměstnanců na sociálních sítích, jako je LinkedIn nebo Facebook.
1. Na telefonu
Sociální inženýr může zavolat a předstírat, že je spolupracovníkem nebo důvěryhodným externím orgánem (jako je donucovací orgán nebo auditor).
2. V kanceláři
„Můžete mi držet dveře? Nemám na sobě svůj klíč / přístupovou kartu. “ Jak často jste to slyšeli ve své budově? I když se osoba, která se ptá, nemusí zdát podezřelá, jedná se o velmi běžnou taktiku používanou sociálními inženýry.
3. Online
Weby sociálních sítí usnadnily provádění útoků na sociální inženýrství. Dnešní útočníci mohou přejít na stránky jako LinkedIn a najít všechny uživatele, kteří pracují ve společnosti, a shromáždit spoustu podrobných informací, které lze použít k dalšímu útoku.
Sociální inženýři také využívají výhod zpravodajské události, svátky, popkultura a další zařízení k nalákání obětí. V kategorii Žena ztrácí 1 825 dolarů na podvod s mystery shoppingem, který vystupuje jako BestMark, Inc. falešné charity na podporu jejich kriminálních cílů o prázdninách.
Útočníci také přizpůsobí phishingové útoky tak, aby se zaměřily na známé zájmy (např. oblíbené umělce, herce, hudbu, politiku, filantropie), které mohou uživatele nalákat klikněte na přílohy spojené s malwarem.
Slavné útoky sociálního inženýrství
Dobrým způsobem, jak získat představu o tom, jakou taktiku sociálního inženýrství byste měli hledat, je vědět o tom, co se používalo v minulosti. „Získali jsme všechny podrobnosti v rozsáhlém článku o tomto tématu, ale prozatím se zaměřme na tři techniky sociálního inženýrství – nezávislé na technologických platformách – které byly pro podvodníky velkým způsobem úspěšné.
Nabídněte něco sladkého. Jak vám řekne kterýkoli podvodník, nejjednodušší způsob, jak podvádět značku, je využít jejich vlastní chamtivost. To je základem klasického nigerijského podvodu 419, ve kterém se podvodník pokouší přesvědčit oběť, aby pomohla získat údajně špatně získanou hotovost ze své vlastní země do bezpečné banky a nabídla část finančních prostředků výměnou.Tyto e-maily „nigerijského prince“ jsou po celá desetiletí běžným žertem, ale stále jsou účinnou technikou sociálního inženýrství, které lidé propadnou: v roce 2007 dal pokladník řídce osídleného okresu v Michiganu veřejné prostředky ve výši 1,2 milionu dolarů tomuto podvodníkovi naděje na osobní inkasování. Dalším běžným lákadlem je vyhlídka na novou, lepší práci, což je očividně něco, co si příliš mnoho z nás přeje: v nesmírně trapném porušení roku 2011 byla bezpečnostní společnost RSA kompromitována, když alespoň dvě zaměstnanci na úrovni otevřeli soubor malwaru připojený k phishingovému e-mailu s názvem „2011 recruitment plan.xls.“
Falešně, dokud to nezvládnete. Jedna z nejjednodušších – a překvapivě nejúspěšnějších – technik sociálního inženýrství je jednoduše předstírat, že je vaše oběť. V jednom z legendárních raných podvodů Kevina Mitnicka získal přístup k vývojovým serverům OS společnosti Digital Equipment Corporation jednoduše tak, že zavolal společnosti a prohlásil, že je jedním z jejich hlavních vývojářů, a řekl měl potíže s přihlášením; byl okamžitě odměněn novým přihlašovacím jménem a heslem. To vše se stalo v roce 1979 a vy si myslíte, že by se věci od té doby zlepšily, ale nemýlili jste se: v roce 2016 hacker získal kontrolu nad e-mailovou adresou amerického ministerstva spravedlnosti a použil ji k vydávání se za zaměstnance a přemlouval helpdesk do předání přístupového tokenu pro intranet DoJ tím, že řekl, že to byl jeho první týden v práci, a nevěděl, jak něco funguje.
Mnoho organizací má bariéry, které mají těmto druhům zabránit drzých předstírání identity, ale často je lze poměrně snadno obejít. Když Hewlett-Packard v roce 2005 najal soukromé vyšetřovatele, aby zjistili, kteří členové správní rady HP prosakují informace do tisku v roce 2005, byli schopni dodat PI poslední čtyři číslice jejich cílů „číslo sociálního zabezpečení – což AT Technická podpora společnosti T byla před předáním podrobných protokolů hovorů přijata jako doklad totožnosti.
Zodpovědná osoba je jako vy. Většina z nás jsou připraveni respektovat autoritu – nebo, jak se ukázalo, respektovat lidi, kteří jednají, jako by měli autoritu dělat to, co dělají. Můžete využít různé úrovně znalostí interních procesů společnosti a přesvědčit lidi, že máte právo být místy, nebo vidět věci, které byste neměli, nebo že komunikace pocházející od vás skutečně pochází od někoho, koho respektují. Například v roce 2015 poskytli finanční zaměstnanci Ubiquiti Networks finanční prostředky ve společnosti milionům dolarů podvodníkům, kteří se vydávali za vedoucí pracovníky společnosti, pravděpodobně ve své e-mailové adrese použili podobnou adresu URL. Pokud jde o technologickou stránku, vyšetřovatelé pracující pro britské bulvární plátky koncem „a na počátku 10. století“ často našli způsoby, jak získat přístup k účtům v hlasové schránce obětí tím, že předstírali, že jsou dalšími zaměstnanci telefonní společnosti, pouhým blufováním; například jeden PI přesvědčil Vodafone, aby resetoval PIN hlasové schránky herečky Sienny Miller tím, že zavolal a prohlásil se za „Johna z kontroly úvěru.“
Někdy jsou to externí orgány, jejichž požadavkům vyhovíme, aniž bychom na to hodně mysleli. Hillary Clintonová honcho kampaně John Podesta nechal v roce 2016 hacknout jeho e-mail ruskými špiony, když mu poslali phishingový e-mail maskovaný jako poznámka od Googlu s žádostí o resetování hesla. Tím, že podnikl kroky, o nichž si myslel, že jeho účet zabezpečí, ve skutečnosti dal své přihlašovací údaje pryč.
Prevence sociálního inženýrství
Školení o povědomí o bezpečnosti je cestou číslo jedna k prevenci sociálního inženýrství. Zaměstnanci by si měli být vědomi, že sociální inženýrství existuje, a být obeznámeni s pouze použitá taktika.
Naštěstí se povědomí o sociálním inženýrství hodí k vyprávění. A příběhy jsou mnohem srozumitelnější a mnohem zajímavější než vysvětlení technických nedostatků. Kvízy a poutavé nebo vtipné plakáty jsou také účinnou připomínkou toho, že nelze předpokládat, že každý je tím, za koho se vydává.
Není to však jen průměrný zaměstnanec, který musí být vědomi si sociálního inženýrství. Vedoucí a vedoucí pracovníci jsou primárními podnikovými cíli.
5 tipů na obranu proti sociálnímu inženýrství
Přispěvatel CSO Dan Lohrmann nabízí následující rady:
1. Trénujte a trénujte znovu, pokud jde o povědomí o bezpečnosti.
Ujistěte se, že máte zaveden komplexní program školení o povědomí o bezpečnosti, který je pravidelně aktualizován tak, aby řešil jak obecné phishingové hrozby, tak nové cílené kybernetické hrozby. Pamatujte, že toto je nejen o klikání na odkazy.
2. Poskytněte klíčovým zaměstnancům podrobnou „roadshow“ o nejnovějších technikách podvodů online.
Ano, zahrňte vyšší vedoucí pracovníky, ale nezapomeňte na nikoho, kdo má oprávnění provádět bankovní převody nebo jiné finanční transakce.Pamatujte, že mnoho skutečných příběhů zahrnujících podvody se odehrává u zaměstnanců na nižší úrovni, kteří se nechají oklamat tím, že se domnívají, že vedoucí pracovník je žádá, aby provedli neodkladnou akci – obvykle obejdou běžné postupy nebo kontroly.
3. Zkontrolujte stávající procesy, postupy a oddělení povinností u finančních převodů a dalších důležitých transakcí.
V případě potřeby přidejte další ovládací prvky. Pamatujte, že oddělení povinností a jiné ochrany mohou být v určitém okamžiku kompromitovány zasvěcenými hrozbami, takže bude možná nutné znovu provést kontrolu rizik vzhledem ke zvýšeným hrozbám.
4. Zvažte nové zásady týkající se transakcí mimo pásmo nebo naléhavých požadavků výkonného ředitele.
E-mail od účtu Gmailu generálního ředitele by měl automaticky upozornit zaměstnance na červenou značku, ale musí pochopit nejnovější techniky nasazované temnou stranou. Potřebujete autorizované nouzové postupy, kterým všichni dobře rozumějí.
5. Zkontrolujte, zdokonalte a otestujte své systémy pro správu incidentů a phishing.
Spusťte stolní cvičení s vedením a s klíčovým personálem na pravidelně. Testujte kontroly a zpětně analyzujte potenciální oblasti zranitelnosti.
Sada nástrojů sociálního inženýrství
Řada prodejců nabízí nástroje nebo služby, které vám pomohou provádět cvičení sociálního inženýrství nebo budujte povědomí zaměstnanců prostředky, jako jsou plakáty a zpravodaje.
Za zmínku stojí také Social-engineer.org „Social Engineering Toolkit“, který je zdarma ke stažení. Sada nástrojů pomáhá automatizovat testování penetrace prostřednictvím sociálního inženýrství, včetně phishingových útoků typu spear, vytváření legitimně vypadajících webů, útoků na disky USB a dalších.
Dalším dobrým zdrojem je Social Engineering Framework.