Definition af social engineering
Social engineering er kunsten at udnytte menneskelig psykologi snarere end teknisk hackingsteknik for at få adgang til bygninger , systemer eller data.
For eksempel i stedet for at prøve at finde en softwareproblem, kan en social ingeniør muligvis ringe til en medarbejder og udgøre sig som en it-supportperson og forsøge at narre medarbejderen til at afsløre sin adgangskode.
Den berømte hacker Kevin Mitnick hjalp til med at popularisere udtrykket “social engineering” i “90erne, selvom ideen og mange af teknikkerne har eksisteret, så længe der har været fidus kunstnere.
Selvom du “har alle klokker og fløjter, når det kommer til at sikre dit datacenter, har dine skyinstallationer, din bygnings fysiske sikkerhed, og du har investeret i defensive teknologier, ret sikkerhedspolitikker og processer på plads og måler deres effektivitet og løbende forbedrer e, stadig kan en kløgtig social ingeniør svæve sig igennem (eller omkring).
Sociale ingeniørteknikker
Socialteknik har vist sig at være en meget vellykket måde for en kriminel at “komme ind” i din organisation. Når en social ingeniør har en betroet medarbejders adgangskode, kan han simpelthen logge ind og snuse rundt for følsomme data. Med et adgangskort eller en kode for fysisk at komme ind i en facilitet kan den kriminelle få adgang til data, stjæle aktiver eller endda skade mennesker.
I artiklen Anatomy of a Hack gennemgår en penetrationstester, hvordan han brugte aktuelle begivenheder, offentlig information tilgængelig på sociale netværkssider og en $ 4 Cisco-skjorte, som han købte hos en butik til at forberede sig på hans ulovlige indrejse. Trøjen hjalp ham med at overbevise modtagelse og andre medarbejdere om, at han var Cisco-medarbejder på teknisk supportbesøg. En gang inde var han i stand til også at give sine andre teammedlemmer ulovlig indrejse. formåede også at droppe flere malware-ladede USBer og hacke sig ind i virksomhedens netværk, alt sammen inden for synet af andre medarbejdere.
Du behøver dog ikke gå i butik for at få et socialt engineeringangreb. De fungerer lige så godt via e-mail, telefon eller sociale medier. Hvad alle angrebene har til fælles er, at de bruger den menneskelige natur til deres fordel, idet de griber vores grådighed, frygt, nysgerrighed og endda vores ønske om at hjælpe andre.
Eksempler på socialteknologi
Kriminelle tager ofte uger og måneder at lære et sted at kende, før de endda kommer ind døren eller foretager et telefonopkald. Deres forberedelse kan omfatte at finde en firmatelefonliste eller et organisationsskema og undersøge medarbejdere på sociale netværkssider som LinkedIn eller Facebook.
1. På telefonen
En socialingeniør kan ringe og foregive at være en medarbejder eller en betroet ekstern myndighed (såsom retshåndhævelse eller en revisor).
2. På kontoret
“Kan du holde døren for mig? Jeg har ikke min nøgle / adgangskort på mig. ” Hvor ofte har du hørt det i din bygning? Mens den person, der spørger, måske ikke synes mistænksom, er dette en meget almindelig taktik, der anvendes af sociale ingeniører.
3. Online
Sociale netværkssider har gjort social engineering-angreb lettere at gennemføre. Dagens angribere kan gå til sider som LinkedIn og finde alle de brugere, der arbejder i en virksomhed og samle masser af detaljerede oplysninger, der kan bruges til at fremme et angreb.
Sociale ingeniører drager også fordel af at bryde nyhedsbegivenheder, helligdage, popkultur og andre apparater til at lokke ofre. In Woman mister $ 1.825 til mystery shopping-fidus, der poserer som BestMark, Inc. ser du, hvordan kriminelle udnyttede navnet på et kendt mystery shopping-selskab til at udføre deres fidus. Svindlere bruger ofte falske velgørenhedsorganisationer for at fremme deres kriminelle mål i løbet af ferien.
Angribere vil også tilpasse phishing-angreb for at målrette kendte interesser (f.eks. yndlingsartister, skuespillere, musik, politik, filantropier), der kan udnyttes for at lokke brugerne til klik på vedhæftede filer med malware.
Berømte socialtekniske angreb
En god måde at få en fornemmelse af, hvilken socialteknik taktik du skal passe på er at vide om, hvad der tidligere er blevet brugt. Vi har fået alle detaljerne i en omfattende artikel om emnet, men lad os for øjeblikket fokusere på tre socialtekniske teknikker – uafhængigt af teknologiske platforme – der har været succesrige for svindlere i det store og hele.
Tilby noget sødt. Som enhver svindler vil fortælle dig, er den nemmeste måde at svindle et mærke på at udnytte deres egen grådighed. Dette er grundlaget for den klassiske nigerianske 419-fidus, hvor svindleren forsøger at overbevise offeret om at hjælpe med at få angiveligt dårligt fået kontanter ud af deres eget land til en sikker bank og tilbyde en del af midlerne til gengæld.Disse “nigerianske prins” -e-mails har været en løbende vittighed i årtier, men de er stadig en effektiv socialteknik, som folk falder for: i 2007 gav kasserer for et tyndt befolket amt i Michigan 1,2 millioner dollars i offentlige midler til en sådan svindler i håbet om personligt at tjene penge ind. En anden almindelig lokke er udsigten til et nyt, bedre job, som tilsyneladende er noget alt for mange af os ønsker: i et enormt pinligt 2011-brud blev sikkerhedsselskabet RSA kompromitteret, da mindst to lav- niveau-medarbejdere åbnede en malware-fil, der er vedhæftet en phishing-e-mail med filnavnet “2011 recruitment plan.xls.”
Falske det indtil du gør det. En af de enkleste – og overraskende mest succesrige – socialtekniske teknikker er simpelthen at foregive at være dit offer. I en af Kevin Mitnicks legendariske tidlige svindel fik han adgang til Digital Equipment Corporations OS-udviklingsservere ved blot at ringe til virksomheden og hævde at være en af deres førende udviklere og sige han havde problemer med at logge ind; han blev straks belønnet med et nyt login og kodeord. Alt dette skete i 1979, og du ville tro, at tingene ville være blevet forbedret siden da, men du ville være forkert: i 2016 fik en hacker kontrol over en amerikansk justitsministeriums e-mail-adresse og brugte den til at efterligne en medarbejder og lokke en helpdesk til at aflevere et adgangstoken til DoJ-intranettet ved at sige, det var hans første uge på jobbet, og han vidste ikke, hvordan noget fungerede.
Mange organisationer har barrierer, der er beregnet til at forhindre denne slags af frække efterligninger, men de kan ofte omgåes ret let. Da Hewlett-Packard hyrede private efterforskere for at finde ud af, hvilke HP-bestyrelsesmedlemmer der lækkede information til pressen i 2005, var de i stand til at give PIerne de sidste fire cifre i deres mål “socialsikringsnummer – hvilket AT & Denne tekniske support accepteres som bevis på ID, inden du afleverer detaljerede opkaldslogger.
Handler som dig er ansvarlig. De fleste af os er primet til at respektere autoritet – eller som det viser sig at respektere mennesker, der opfører sig som om de har autoritet til at gøre, hvad de laver. Du kan udnytte varierende grad af viden om en virksomheds interne processer for at overbevise folk om, at du har ret til at være steder eller se ting, du ikke burde, eller at en kommunikation, der kommer fra dig, virkelig kommer fra nogen, de respekterer. For eksempel ledte finansmedarbejdere hos Ubiquiti Networks i 2015 millioner af dollars i virksomhedspenge til fiduskunstnere, der udgav sig for virksomhedsledere, sandsynligvis ved hjælp af en lignende URL i deres e-mail-adresse. På den lavere teknologiske side fandt efterforskere, der arbejdede for britiske tabloider i slutningen af “00erne og de tidlige” 10ere, ofte måder at få adgang til ofre “telefonsvarerkonti ved at foregive at være andre ansatte i telefonselskabet via ren bluffing; for eksempel en PI overbeviste Vodafone om at nulstille skuespillerinden Sienna Miller “pinkode til telefonsvarer ved at ringe og hævde at være” John fra kreditkontrol. “
Nogle gange er det eksterne myndigheder, hvis krav vi overholder uden at tænke meget over det. Hillary Clinton kampagne honcho John Podesta fik hacket sin e-mail af russiske spioner i 2016, da de sendte ham en phishing-e-mail forklædt som en note fra Google, der bad ham om at nulstille sin adgangskode. Ved at tage handling, som han troede ville sikre sin konto, gav han faktisk sine loginoplysninger. væk.
Forebyggelse af social engineering
Uddannelse i sikkerhedskendskab er den førende måde at forhindre social engineering på. Medarbejdere skal være opmærksomme på, at social engineering eksisterer og være fortrolig med de mest kun brugt taktik.
Heldigvis egner sig social engineering bevidsthed sig til historiefortælling. Og historier er meget lettere at forstå og meget mere interessante end forklaringer på tekniske fejl. Quizzer og opmærksomme eller humoristiske plakater er også effektive påmindelser om ikke at antage, at alle er, som de siger, de er.
Men det er ikke kun den gennemsnitlige medarbejder, der skal være opmærksom på social engineering. Seniorledelse og ledere er primære virksomhedsmål.
5 tip til forsvar mod social engineering
CSO-bidragyder Dan Lohrmann giver følgende råd:
1. Træne og træne igen, når det kommer til sikkerhedsbevidsthed.
Sørg for, at du har et omfattende træningsprogram for sikkerhedsbevidsthed, der regelmæssigt opdateres for at imødegå både de generelle phishingtrusler og de nye målrettede cybertrusler. Husk, dette er ikke kun om at klikke på links.
2. Giv en detaljeret briefing “roadshow” om de nyeste online svindel teknikker til nøglemedarbejdere.
Ja, inkluder ledende medarbejdere, men glem ikke nogen, der har myndighed til at foretage bankoverførsler eller andre finansielle transaktioner.Husk, at mange af de sande historier, der involverer svig, forekommer hos personale på lavere niveau, der bliver narret til at tro, at en udøvende beder dem om at gennemføre en hastende handling – normalt uden om normale procedurer og / eller kontrol.
3. Gennemgå eksisterende processer, procedurer og adskillelse af afgifter for økonomiske overførsler og andre vigtige transaktioner.
Tilføj ekstra kontrol, hvis det er nødvendigt. Husk, at adskillelse af pligter og anden beskyttelse kan blive kompromitteret på et eller andet tidspunkt af insidertrusler, så risikovurderinger skal muligvis revurderes i betragtning af de øgede trusler.
4. Overvej nye politikker relateret til “uden for båndet” -transaktioner eller presserende direktøranmodninger.
En e-mail fra administrerende direktørs Gmail-konto skal automatisk hæve et rødt flag til personalet, men de har brug for at forstå de nyeste teknikker, der bliver brugt af den mørke side. Du har brug for autoriserede nødprocedurer, der er forstået af alle.
5. Gennemgå, forfine og teste dine hændelsesstyrings- og phishing-rapporteringssystemer.
Kør en bordøvelse med ledelsen og med nøglepersonale på en regelmæssig basis. Testkontrol og reverse-engineer potentielle sårbarhedsområder.
Social engineering toolkit
En række leverandører tilbyder værktøjer eller tjenester til at hjælpe med at gennemføre socialtekniske øvelser og / eller til opbygge medarbejderbevidsthed via midler som plakater og nyhedsbreve.
Det er også værd at tjekke ud er social-engineer.orgs Social Engineering Toolkit, som er en gratis download. Værktøjssættet hjælper med at automatisere penetrationstest via social engineering, herunder spear phishing-angreb, oprettelse af legitime websteder, USB-drev-baserede angreb og mere.
En anden god ressource er The Social Engineering Framework.