Társadalmi mérnöki definíció
A szociális mérnöki tudomány az emberi pszichológia, nem pedig a technikai hackelési technikák kihasználásának művészete az épületekhez való hozzáférés érdekében , rendszerek vagy adatok.
Például ahelyett, hogy egy szoftveres sebezhetőséget próbálna megtalálni, egy szociális mérnök felhívhatja az alkalmazottat, és IT-támogatóként pózolhat, és megpróbálja becsapni az alkalmazottat, hogy adja ki a jelszavát.
Kevin Mitnick, a híres hacker segített népszerűsíteni a “social engineering” kifejezést a 90-es években, bár az ötlet és a technikák sokasága létezik, amíg átverők vannak.
Még akkor is, ha minden csengő és sípszó megvan az adatközpont, a felhőalapú telepítések, az épület fizikai biztonságának és a védekező technológiákba való befektetésnek, megvan a joga a meglévő biztonsági politikák és folyamatok mérik azok hatékonyságát és folyamatosan javítják e, még mindig egy ügyes társadalmi mérnök képes eljutni az útján (vagy körülötte).
Társadalmi mérnöki technikák
A társadalmi mérnöki munka nagyon sikeres módja annak, hogy egy bűnöző “bejuthasson” a szervezetébe. Miután egy szociális mérnök megkapta a megbízható alkalmazott jelszavát, egyszerűen bejelentkezhet, és szenzitív adatok után kutakodhat. Hozzáférési kártyával vagy kóddal, hogy fizikailag beléphessen a létesítménybe, a bűnöző hozzáférhet az adatokhoz, vagyont lophat, vagy akár kárt is okozhat. emberek.
A Hack anatómiája című cikkben egy penetrációs tesztelő végigvezeti az aktuális eseményeket, a közösségi oldalakon elérhető nyilvános információkat és a 4 dolláros Cisco-inget, amelyet a takarékbolt az illegális belépésre való felkészüléshez. Az ing segítette meggyőzni a recepciót és más alkalmazottakat arról, hogy a Cisco munkatársa volt egy technikai támogató látogatáson. Miután bejutott, a csapat többi tagjának is illegálisan léphetett be. emellett sikerült több rosszindulatú programokkal terhelt USB-t ledobni és feltörni a vállalat hálózatába, mindezt a többi alkalmazott látótávolságában.
A szociális mérnöki támadás kiváltásához azonban nem kell takarékboltot vásárolnia. Ugyanolyan jól működnek e-mailen, telefonon vagy a közösségi médián keresztül. közös az, hogy az emberi természetet előnyükre használják, előszeretettel használva kapzsiságunkat, félelmünket, kíváncsiságunkat és még a mások segítésének vágyát is.
Társadalmi mérnöki példák
A bűnözők gyakran veszik igénybe hetek és hónapok, hogy megismerjen egy helyet, mielőtt még bejönne az ajtón, vagy telefonálna. Előkészítésük magában foglalhatja a cég telefonlistájának vagy szervezeti diagramjának megtalálását, és az alkalmazottak kutatását olyan közösségi oldalakon, mint a LinkedIn vagy a Facebook.
1. Telefonon
Egy szociális mérnök felhívhat és úgy tehet, mintha munkatársa vagy megbízható külső hatósága (például bűnüldözés vagy könyvvizsgáló) lenne.
2. Az irodában
“Meg tudja-e tartani nekem az ajtót? Nincs nálam a kulcsom / belépőkártyám. Milyen gyakran hallott ilyet az épületében? Bár a kérdező nem tűnhet gyanúsnak, ez egy nagyon gyakori taktika, amelyet a szociális mérnökök használnak.
3. Online
A közösségi oldalak megkönnyítették a szociális mérnöki támadások végrehajtását. A mai támadók olyan webhelyekre látogathatnak, mint a LinkedIn, és megtalálhatják az összes olyan felhasználót, aki egy vállalatnál dolgozik, és rengeteg részletes információt gyűjthetnek, amelyek felhasználhatók a támadás továbbfejlesztéséhez.
A szociális mérnökök is kihasználják az áttörést. hírek, ünnepek, popkultúra és egyéb eszközök az áldozatok csábítására. A Woman-ben 1825 dollárt veszít a BestMark, Inc. névre keresztelt titokzatos vásárlási átverésből, láthatja, hogy a bűnözők hogyan használták fel egy ismert rejtélyes bevásárló cég nevét az átveréshez. hamis jótékonysági szervezetek bűncselekményeik elérése érdekében az ünnepek körül.
A támadók az adathalász támadásokat is személyre szabják az ismert érdeklődés (pl. kedvenc művészek, színészek, zene, politika, filantrópia) célzása érdekében, amelyek felhasználhatók arra, hogy a felhasználókat arra csábítsák, hogy kattintson a rosszindulatú programok által csatolt mellékletekre.
Híres social engineering támadások
Egy jó módja annak, hogy megértsük, milyen social engineering taktikákra kell figyelniük tudni, hogy mit használtak a múltban. Az összes részletet egy kiterjedt cikkben kaptuk meg a témában, de egyelőre koncentráljunk három – a technológiai platformoktól független – társadalmi mérnöki technikára, amelyek nagy jelentőséggel bírtak a csalók számára.
Ajánljon valami édeset. Ahogy bármelyik művészt elárulja, a védjegy átverésének legegyszerűbb módja a saját kapzsiság kihasználása. Ez az alapja a klasszikus nigériai 419-es átverésnek, amelynek során a csaló megpróbálja meggyőzni az áldozatot, hogy segítsen abban, hogy állítólagosan rosszul megszerzett készpénzt vigyenek ki saját országukból egy biztonságos bankba, cserébe felajánlva az alapok egy részét.Ezek a “nigériai herceg” e-mailek évtizedek óta futó viccek, de még mindig hatékony társadalmi mérnöki technikát jelentenek, amelyre az emberek beletörődnek: 2007-ben egy ritkán lakott Michigan megye pénztárosa 1,2 millió dollár közpénzt adott egy ilyen csalónak. Egy másik gyakori csalogatás egy új, jobb munka kilátása, amelyet nyilvánvalóan túl sokan vágyunk: egy 2011-es rendkívül kínos megsértés során az RSA biztonsági társaság veszélybe került, amikor legalább két alacsony szintű alkalmazottak megnyitottak egy adathalász e-mailhez csatolt rosszindulatú fájlt “2011 toborzási terv.xls” fájlnévvel.
Hamisítsd meg, amíg elkészíted. Az egyik legegyszerűbb – és meglepően legsikeresebb – social engineering technika Kevin Mitnick legendás korai csalásai során egyszerűen hozzáférhetett a Digital Equipment Corporation operációs rendszerének fejlesztői szervereihez azzal, hogy felhívta a céget, azt állítva, hogy az egyik vezető fejlesztőjük, és azt mondta: gondjai voltak a bejelentkezéssel; azonnal új jutalommal és jelszóval jutalmazták. Mindez 1979-ben történt, és azt gondolja, hogy a dolgok azóta javultak, de téved: 2016-ban egy hacker átvette az Egyesült Államok Igazságügyi Minisztériuma e-mail címének irányítását, és egy alkalmazott megszemélyesítéséhez használta fel, egy ügyfélszolgálat, hogy adjon át hozzáférési tokent a DoJ intranet számára azzal, hogy elmondta, hogy ez volt az első hete a munkában, és nem tudta, hogyan működött bármi.
Sok szervezetnek vannak akadályai, amelyek megakadályozzák ezeket pimasz megszemélyesítések, de gyakran meglehetősen könnyen megkerülhetők. Amikor Hewlett-Packard magánnyomozókat alkalmazott, hogy kiderítse, mely HP igazgatósági tagok szivárogtattak ki információkat a sajtónak 2005-ben, képesek voltak ellátni a PI-ket céltárgyaik utolsó négy számjegyével: “társadalombiztosítási szám – amely AT & T technikai támogatását elfogadták személyazonosító igazolásként, mielőtt átadnák a részletes hívásnaplókat.
Úgy viselkedj, mintha te lennél a felelős. Legtöbben arra törekszenek, hogy tiszteletben tartsák a tekintélyt – vagy, mint kiderült, hogy tiszteletben tartsák azokat az embereket, akik úgy viselkednek, mintha felhatalmazásuk lenne arra, hogy azt csinálják, amit csinálnak. Kihasználhatja a vállalat belső folyamatainak különböző mértékű ismereteit, hogy meggyőzze az embereket arról, hogy joga van olyan helyek lenni vagy olyan dolgokat látni, amelyeket nem szabad, vagy hogy a tőled érkező kommunikáció valóban olyan embertől származik, akit tisztelnek. Például 2015-ben az Ubiquiti Networks pénzügyi alkalmazottai dollármilliókat költöttek fel céges pénzekre azoknak az átverőknek, akik a cég vezetőit adták át, valószínűleg e-mail címükben egy látszólagos URL-t használtak. Az alsó technológiai oldalon a brit bulvárlapnál dolgozó nyomozók a “00-as évek végén és a 10-es évek elején” gyakran megtalálták az áldozatok hangpostafiókjaihoz való hozzáférés lehetőségét azzal, hogy pusztán blöffölve tettették magukat a telefoncég más alkalmazottjaként; például egy PI meggyőzte a Vodafone-t, hogy állítsa vissza Sienna Miller színésznő hangposta-PIN-kódját azzal, hogy felhívja és azt állítja, hogy “John a hitelellenőrzésből” származik.
Néha külső hatóságok, amelyek igényeinek eleget teszünk anélkül, hogy sokat gondolnánk. Hillary Clinton John Podesta kampány honcho-nak 2016-ban az orosz kémek feltörték e-mailjét, amikor egy adathalász e-mailt küldtek neki, amely a Google feljegyzéseinek álcájában kérte, hogy állítsa vissza a jelszavát. Azzal az intézkedéssel, amelyről azt gondolta, hogy biztonságossá teszi a fiókját, valóban megadta bejelentkezési adatait
Társadalmi mérnöki prevenció
A biztonsági tudatosságra való felkészítés az első számú módja annak, hogy megakadályozzák a szociális mérnököket. Az alkalmazottaknak tisztában kell lenniük azzal, hogy létezik szociális tervezés, és ismerniük kell a legtöbb havonta taktikát alkalmazott.
Szerencsére a társadalommérnöki tudatosság a történetmesélésnek is megfelel. A történetek pedig sokkal könnyebben érthetők és sokkal érdekesebbek, mint a műszaki hibák magyarázata. A vetélkedők és a figyelemfelkeltő vagy humoros plakátok szintén hatékony emlékeztetők arra, hogy ne feltételezzük, hogy mindenki az, akinek mondják magukat.
De nem csak az átlagos alkalmazottnak kell lennie tisztában van a szociális mérnökökkel. A vezető vezetés és a vezetők az elsődleges vállalati célpontok.
5 tipp a szociális mérnökök elleni védekezéshez
A KSH munkatársa, Dan Lohrmann a következő tanácsokat kínálja:
1. Vonatozzon és eddzen újra, amikor a biztonságtudatosságról van szó.
Győződjön meg arról, hogy átfogó biztonsági tudatossági képzési programmal rendelkezik, amelyet rendszeresen frissítenek mind az általános adathalász-fenyegetések, mind az új célzott kiberfenyegetések kezelésére. Ne feledje, hogy ez nemcsak a linkekre kattintásról.
2. Adjon meg egy részletes tájékoztató „roadshow” -t a legfrissebb online csalási technikákról a kulcsszemélyzet számára.
Igen, vonja be a vezető tisztségviselőket, de ne felejtsen el senkit, aki jogosult elektronikus átutalásokra vagy más pénzügyi tranzakciókra.Ne feledje, hogy a csalással kapcsolatos igaz történetek közül sok az alacsonyabb szintű munkatársaknál fordul elő, akiket elhitetnek azzal, hogy egy ügyvezető sürgős cselekvésre szólítja fel őket – általában megkerülve a szokásos eljárásokat és / vagy ellenőrzéseket.
3. Tekintse át a pénzügyi átutalások és más fontos tranzakciók meglévő folyamatait, eljárásait és a vámok elkülönítését.
Adjon hozzá további ellenőrzéseket, ha szükséges. Ne feledje, hogy a bennfentes fenyegetések valamikor veszélyeztethetik a feladatok szétválasztását és az egyéb védekezéseket, ezért a fokozott veszélyek miatt a kockázatértékeléseket újra kell elemezni.
4. Vegye fontolóra a “sávon kívüli” tranzakciókkal vagy sürgős ügyvezetői kérésekkel kapcsolatos új irányelveket.
A vezérigazgató Gmail-fiókjának e-mailje automatikusan piros zászlót emel a személyzet számára, de meg kell érteniük a sötét oldal által alkalmazott legújabb technikákat. Szüksége van engedélyezett vészhelyzeti eljárásokra, amelyek mindenki számára jól érthetők.
5. Ellenőrizze, finomítsa és tesztelje az eseménykezelési és adathalász-jelentési rendszereket.
Futtasson asztali gyakorlatot a vezetőséggel és a kulcsszemélyzettel a rendszeresen tesztelje az ellenőrzéseket és a sebezhetőség lehetséges területeinek visszafejtését.
Social engineering toolkit
Számos eladó kínál eszközöket vagy szolgáltatásokat a szociális mérnöki gyakorlatok lebonyolításához és / vagy a munkavállalók tudatosságának növelése olyan eszközökkel, mint a plakátok és a hírlevelek.
Érdemes megnézni a social-engineer.org Social Engineering Toolkit-jét is, amely ingyenesen letölthető. Az eszközkészlet a behatolási tesztek automatizálását segíti a szociális mérnökök révén, ideértve a lándzsás adathalász támadásokat, a legális megjelenésű webhelyek létrehozását, az USB meghajtó alapú támadásokat és még sok mást. >