Sosiaalitekniikka selitti: Kuinka rikolliset käyttävät hyväkseen ihmisten käyttäytymistä

Sosiaalisen suunnittelun määritelmä

Sosiaalinen suunnittelu on taidetta hyödyntää ihmisen psykologiaa teknisten hakkerointitekniikoiden sijaan päästäkseen rakennuksiin , järjestelmät tai tiedot.

Esimerkiksi sosiaalisen insinöörin sijasta yrittää löytää ohjelmistohaavoittuvuus, hän voi soittaa työntekijälle ja esiintyä IT-tukihenkilönä yrittäen huijata työntekijää paljastamaan salasanansa.

Kuuluisa hakkeri Kevin Mitnick auttoi popularisoimaan termiä ”sosiaalinen suunnittelu” 90-luvulla, vaikka ajatus ja monet tekniikat ovat olleet olemassa niin kauan kuin huijareita on ollut.

Vaikka sinulla olisikin kaikki kellot ja pillit, kun on kyse palvelinkeskuksen suojaamisesta, pilvipalvelut, rakennuksesi fyysinen turvallisuus ja olet investoinut puolustustekniikoihin, sinulla on oikeus turvallisuuspolitiikat ja -prosessit, mittaavat niiden tehokkuutta ja parantavat jatkuvasti e. edelleen taitava sosiaalinen insinööri voi kiertää tiensä läpi (tai sen ympäri).

Sosiaalisen suunnittelun tekniikat

Sosiaalinen suunnittelu on osoittautunut erittäin onnistuneeksi tavaksi rikolliselle ”päästä sisälle” organisaatioosi. Kun sosiaalitekniikan insinöörillä on luotettavan työntekijän salasana, hän voi yksinkertaisesti kirjautua sisään ja etsiä tietoja arkaluontoisten tietojen saamiseksi. Rikollinen voi käyttää tietoja, varastaa omaisuutta tai jopa vahingoittaa pääsykortilla tai -koodilla fyysiseen pääsyyn laitokseen. ihmisiä.

Artikkelissa Hack anatomy a penetration tester kävelee läpi, kuinka hän käytti ajankohtaisia tapahtumia, sosiaalisten verkostojen sivustoissa saatavilla olevaa julkista tietoa ja 4 dollarin Cisco-paitaa, jonka hän osti osoitteesta säästökauppa valmistautua laittomaan maahantuloonsa. Paita auttoi häntä vakuuttamaan vastaanoton ja muiden työntekijöiden rakentamisen siitä, että hän oli Ciscon työntekijä teknisen tuen vierailulla. Sisään tullessaan hän pystyi myös muille tiimin jäsenille tulemaan laittomasti. onnistui myös pudottamaan useita haittaohjelmilla ladattuja USB: itä ja hakkeroimaan yrityksen verkkoon, kaikki muiden työntekijöiden näköpiirissä.

Sinun ei kuitenkaan tarvitse käydä ostoksilla säästökaupassa sosiaalisen suunnittelun hyökkäyksen käynnistämiseksi. Ne toimivat yhtä hyvin sähköpostin, puhelimen tai sosiaalisen median kautta. Mitä kaikilla hyökkäyksillä on yhteistä on, että he käyttävät ihmisluontoa hyödykseen hyödyntämällä ahneutta, pelkoa, uteliaisuutta ja jopa haluamme auttaa muita.

Esimerkkejä sosiaalisesta suunnittelusta

Rikolliset ottavat usein vastaan viikkoja ja kuukausia tutustumiseen paikkaan, ennen kuin edes tulet ovelta tai soitat puhelun. Niiden valmisteluun voi kuulua yrityksen puhelinluettelon tai organisaatiokaavion löytäminen ja työntekijöiden tutkiminen sosiaalisen verkostoitumisen sivustoilla, kuten LinkedIn tai Facebook.

1. Puhelimessa
Sosiaalinsinööri voi soittaa ja teeskennellä olevansa työntekijä tai luotettu ulkopuolinen viranomainen (kuten lainvalvontaviranomainen tai tilintarkastaja).

2. Toimistossa – ”Voitteko pitää ovea minulle? Minulla ei ole avainta / pääsykorttia. ” Kuinka usein olet kuullut tämän rakennuksessasi? Vaikka kysyvä henkilö ei näytä epäilyttävältä, tämä on hyvin yleinen taktiikka, jota sosiaaliset insinöörit käyttävät.

3. Verkossa
Sosiaalisen verkostoitumisen sivustot ovat helpottaneet sosiaalisen suunnittelun hyökkäyksiä. Nykypäivän hyökkääjät voivat käydä LinkedInin kaltaisilla sivustoilla ja löytää kaikki yrityksessä työskentelevät käyttäjät ja kerätä paljon yksityiskohtaista tietoa, jota voidaan käyttää hyökkäyksen jatkamiseen.

Sosiaaliset insinöörit hyödyntävät myös rikkomuksia uutistapahtumat, juhlapäivät, popkulttuuri ja muut laitteet uhrien houkuttelemiseksi. In Woman menettää 1825 dollaria mysteerihuijaushuijaukselle, joka esiintyy BestMark, Inc. -yrityksenä. väärennetyt hyväntekeväisyysjärjestöt rikollisten tavoitteidensa edistämiseksi lomien ympärillä.

Hyökkääjät mukauttavat myös tietojenkalasteluhyökkäykset kohdistamaan tunnetut kiinnostuksen kohteet (esim. suosikkiartistit, näyttelijät, musiikki, politiikka, hyväntekeväisyydet), joita voidaan houkutella käyttäjiä napsauta haittaohjelmilla sidottuja liitteitä.

Kuuluisat sosiaalisen suunnittelun hyökkäykset

Hyvä tapa saada käsitys siitä, mihin sosiaalitekniikan taktiikoihin kannattaa kiinnittää huomiota tietää mitä on käytetty aiemmin. Olemme saaneet kaikki yksityiskohdat aiheesta kattavassa artikkelissa, mutta keskitymme toistaiseksi kolmeen tekniikan alustoista riippumattomaan sosiaalisen suunnittelun tekniikkaan, jotka ovat menestyneet huijareille suurella tavalla.

Tarjoa jotain makeaa. Kuten kuka tahansa huijari kertoo sinulle, helpoin tapa huijata merkki on hyödyntää omaa ahneuttaan. Tämä on perusta klassiselle Nigerian 419 -huijaukselle, jossa huijari yrittää vakuuttaa uhrin auttamaan saamaan oletettavasti huonosti hankitut käteiset omasta maastaan turvalliseen pankkiin tarjoamalla osan varoista vastineeksi.Nämä ”Nigerian prinssi” -sähköpostit ovat olleet juoksevia vikoja vuosikymmenien ajan, mutta ne ovat edelleen tehokas sosiaalisuunnittelutekniikka, johon ihmiset kuuluvat: vuonna 2007 harvaan asutun Michiganin läänin rahastonhoitaja antoi 1,2 miljoonaa dollaria julkisia varoja tällaiselle huijariin. Toiveet henkilökohtaisesta lunastamisesta. Toinen yleinen houkutus on mahdollisuus uudelle, paremmalle työpaikalle, mitä ilmeisesti aivan liian monet meistä haluavat: erittäin kiusallisessa vuoden 2011 rikkomuksessa turvallisuusyhtiö RSA vaarantui, kun ainakin kaksi matalan tason työntekijät avasivat haittaohjelmatiedoston, joka oli liitetty verkkourkintasähköpostiin ja jonka nimi oli ”2011 recruitment plan.xls”.

Väärennä, kunnes teet sen. Yksi yksinkertaisimmista – ja yllättävän menestyksekkäimmistä – sosiaalisen suunnittelun tekniikoista on yksinkertaisesti teeskennellä olevasi uhri. Yhdessä Kevin Mitnickin legendaarisesta varhaisesta huijauksesta hän pääsi Digital Equipment Corporationin käyttöjärjestelmäkehityspalvelimiin yksinkertaisesti soittamalla yritykselle, väittäen olevansa yksi heidän johtavista kehittäjistään ja sanomalla. hänellä oli vaikeuksia kirjautua sisään; hänet palkittiin välittömästi uudella käyttäjätunnuksella ja salasanalla. Kaikki tämä tapahtui vuonna 1979, ja luulisi, että asiat olisivat parantuneet siitä lähtien, mutta olisit väärässä: Vuonna 2016 hakkeri sai hallintaansa Yhdysvaltain oikeusministeriön sähköpostiosoitteen ja käytti sitä esiintyäkseen työntekijänä, houkuttelemalla neuvontapiste luovuttamaan pääsykoodin DoJ-intranetille sanomalla, että se oli hänen ensimmäinen viikkonsa töissä, eikä hän tiennyt, miten mikä tahansa toimi.

Monilla organisaatioilla on esteitä, joiden tarkoituksena on estää tällaisia räikeistä tekemisistä, mutta ne voidaan usein kiertää melko helposti. Kun Hewlett-Packard palkkasi yksityiset tutkijat selvittääkseen, mitkä HP: n hallituksen jäsenet vuodattivat tietoa lehdistölle vuonna 2005, he pystyivät toimittamaan PI: lle tavoitteensa ”sosiaaliturvatunnus – joka AT & T: n tekninen tuki hyväksytään henkilöllisyystodistukseksi ennen yksityiskohtaisten puhelulokien luovuttamista.

Toimi kuten sinä ”olet vastuussa. Useimmat meistä on ensisijaisesti kunnioitettava auktoriteettia – tai, kuten käy ilmi, kunnioittamaan ihmisiä, jotka toimivat kuin heillä on valta tehdä mitä he tekevät. Voit hyödyntää yrityksen sisäisten prosessien vaihtelevaa tietämystä saadaksesi ihmiset vakuuttamaan, että sinulla on oikeus olla paikkoja tai nähdä asioita, joita sinun ei pitäisi, tai että sinulta tuleva viestintä tulee todella jokuilta, jota he kunnioittavat. Esimerkiksi vuonna 2015 Ubiquiti Networksin finanssityöntekijät johtoivat miljoonia dollareita yritysrahaa huijareille, jotka esiintyivät yrityksen johtajina, luultavasti käyttämällä näennäistä URL-osoitetta sähköpostiosoitteessaan. Alemman teknologian puolella tutkijat, jotka työskentelivät brittiläisten tabloidien parissa ”00-luvun alussa” ja ”10-luvun alussa”, löysivät usein tapoja päästä käsiksi uhrien puhepostitileihin esittäen olevansa muita puhelinyhtiön työntekijöitä pelkän bluffauksen kautta; esimerkiksi yksi PI suostutteli Vodafonen palauttamaan näyttelijä Sienna Millerin puhepostin PIN-koodin soittamalla ja väittäen olevansa ”John luottovalvonnasta”.

Joskus sen ulkopuoliset viranomaiset, joiden vaatimuksia noudatamme, ajattelematta sitä paljon. Hillary Clinton kampanja honcho John Podesta hakkasi sähköpostinsa venäläisten vakoojien toimesta vuonna 2016, kun he lähettivät hänelle tietojenkalasteluviestin, joka oli naamioitu Googlen muistiinpanoksi ja pyysi häntä vaihtamaan salasanansa. Käyttäen toimia, joiden hän luuli suojaavan tilinsä, hän antoi kirjautumistunnuksensa. pois.

Sosiaalisen suunnittelun ennaltaehkäisy

Turvallisuustietoisuuskoulutus on ykkönen tapa estää sosiaalinen suunnittelu. Työntekijöiden tulisi olla tietoisia sosiaalisen suunnittelun olemassaolosta ja tuntea eniten kuukausittain käytetty taktiikka.

Onneksi sosiaalisen suunnittelun tietoisuus soveltuu tarinankerrontaan. Ja tarinoita on paljon helpompi ymmärtää ja paljon mielenkiintoisempia kuin teknisten virheiden selitykset. Tietokilpailut ja huomiota herättävät tai humoristiset julisteet ovat myös tehokkaita muistutuksia siitä, etteikö olettaa kaikkien olevan kuka he sanovat olevansa.

Mutta se ei ole vain tavallinen työntekijä tietoinen sosiaalisesta suunnittelusta. Ylin johto ja johtajat ovat yrityksen ensisijaisia tavoitteita.

5 vinkkiä puolustautumiseen sosiaalista suunnittelua vastaan

CSO: n avustaja Dan Lohrmann tarjoaa seuraavat neuvot:

1. Harjoittele ja harjoittele uudelleen tietoturvan suhteen.
Varmista, että sinulla on käytössä kattava tietoturvatietoisuusohjelma, jota päivitetään säännöllisesti sekä yleisten tietojenkalasteluuhkien että uusien kohdennettujen kyberuhkien torjumiseksi. Muista, että tämä on ei vain linkkien napsauttamisesta.

2. Tarjoa avainhenkilöstölle yksityiskohtainen tiedotustapa ”roadshow” uusimmista verkkopetotekniikoista.
Kyllä, sisällytä ylemmät johtajat, mutta älä unohda ketään, jolla on valtuudet suorittaa tilisiirtoja tai muita rahoitustapahtumia.Muista, että monet petoksiin liittyvät todelliset tarinat tapahtuvat alemman tason henkilökunnan kanssa, joka huijata uskomaan, että johtaja pyytää heitä suorittamaan kiireellisiä toimia – yleensä tavanomaisten menettelyjen ja / tai valvonnan ohittaminen.

3. Tarkista nykyiset prosessit, menettelyt ja tulojen erottaminen varainsiirroista ja muista tärkeistä liiketoimista.
Lisää tarvittaessa ylimääräisiä valvontatoimia. Muista, että sisäpiirin uhkat voivat joskus vaarantaa tehtävien ja muiden suojausten erottamisen, joten riskiarvioinnit on ehkä analysoitava lisääntyneiden uhkien vuoksi.

4. Harkitse uusia käytäntöjä, jotka liittyvät ”kaistan ulkopuolisiin” tapahtumiin tai kiireellisiin johtopyyntöihin.
Toimitusjohtajan Gmail-tililtä tulevan sähköpostin pitäisi nostaa henkilökunnalle automaattisesti punainen lippu, mutta heidän on ymmärrettävä uusimmat tekniikat, joita pimeä puoli käyttää. Tarvitset valtuutettuja hätätoimenpiteitä, jotka ovat kaikkien ymmärrettäviä.

5. Tarkastele, tarkenna ja testaa tapahtumien hallinta- ja tietojenkalasteluraportointijärjestelmiäsi.
Suorita pöytäharjoitus yhdessä johdon ja avainhenkilöiden kanssa Testaa valvontaa ja suunnittele haavoittuvuuksien mahdolliset alueet.

Sosiaalisen suunnittelun työkalupakki

Useat toimittajat tarjoavat työkaluja tai palveluja sosiaalisen suunnittelun harjoitusten suorittamiseen ja / tai rakentaa työntekijöiden tietoisuutta esimerkiksi julisteiden ja uutiskirjeiden avulla.

Kannattaa tutustua myös social-engineer.org: n Social Engineering Toolkit -ohjelmaan, joka on ilmainen lataus. Työkalupakki auttaa automatisoimaan tunkeutumistestauksen sosiaalisen suunnittelun avulla, mukaan lukien keihäs phishing-hyökkäykset, laillisen näköisten verkkosivustojen luominen, USB-asemaan perustuvat hyökkäykset ja paljon muuta.

Toinen hyvä resurssi on The Social Engineering Framework.

Vastaa

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *