ソーシャルエンジニアリングの定義
ソーシャルエンジニアリングは、技術的なハッキング手法ではなく、人間の心理を悪用して建物にアクセスする技術です。 、システム、またはデータ。
たとえば、ソーシャルエンジニアは、ソフトウェアの脆弱性を見つけようとする代わりに、従業員に電話をかけてITサポート担当者になりすまし、従業員をだましてパスワードを漏らそうとします。
有名なハッカーのKevinMitnickは、90年代に「ソーシャルエンジニアリング」という用語の普及に貢献しましたが、詐欺師がいる限り、そのアイデアや手法の多くは存在していました。
データセンター、クラウドの展開、建物の物理的なセキュリティの保護に関してすべての問題が発生し、防御テクノロジーに投資したとしても、権利があります。実施されているセキュリティポリシーとプロセス、およびそれらの有効性を測定し、継続的に改善するe、それでも巧妙なソーシャルエンジニアは、すぐに(またはその周辺で)自分の道をいじくり回すことができます。
ソーシャルエンジニアリング手法
ソーシャルエンジニアリングは、犯罪者が組織に「侵入」するための非常に成功した方法であることが証明されています。ソーシャルエンジニアが信頼できる従業員のパスワードを取得すると、ログインして機密データを探し回ることができます。施設内に物理的に侵入するためのアクセスカードまたはコードを使用すると、犯罪者はデータにアクセスしたり、資産を盗んだり、危害を加えたりすることができます。
「ハックの解剖学」の記事では、侵入テスターが現在のイベントの使用方法、ソーシャルネットワークサイトで入手可能な公開情報、およびで購入した4ドルのCiscoシャツについて説明しています。古着屋で不法入国の準備をしました。このシャツは、建物の受付や他の従業員に、テクニカルサポート訪問でシスコの従業員であることを納得させるのに役立ちました。中に入ると、他のチームメンバーにも不法入国を許可することができました。彼はまた、マルウェアを含むUSBをいくつかドロップし、会社のネットワークにハッキングすることもできました。これらはすべて他の従業員の目に留まりました。
ただし、ソーシャルエンジニアリング攻撃を阻止するためにリサイクルショップで買い物をする必要はありません。これらは、電子メール、電話、またはソーシャルメディアでも同様に機能します。すべての攻撃には何がありますか。共通しているのは、彼らが人間の本性を利用して、私たちの貪欲、恐れ、好奇心、さらには他人を助けたいという私たちの願望さえも食い物にしていることです。
ソーシャルエンジニアリングの例
犯罪者はしばしばドアに来たり電話をかけたりする前に場所を知るのに数週間から数か月かかります。準備には、会社の電話リストや組織図を見つけたり、LinkedInやFacebookなどのソーシャルネットワーキングサイトで従業員を調査したりすることが含まれます。
1.電話で
ソーシャルエンジニアが電話をかけて、同僚や信頼できる外部機関(法執行機関や監査人など)のふりをする場合があります。
2.オフィスで
「ドアを握ってくれませんか? 「キー/アクセスカードを持っていません」。あなたはあなたの建物でそれをどのくらいの頻度で聞いたことがありますか?質問する人は疑わしくないように見えるかもしれませんが、これはソーシャルエンジニアが使用する非常に一般的な戦術です。
3。オンライン
ソーシャルネットワーキングサイトにより、ソーシャルエンジニアリング攻撃の実行が容易になりました。今日の攻撃者は、LinkedInのようなサイトにアクセスして、会社で働いているすべてのユーザーを見つけ、攻撃を促進するために使用できる多くの詳細情報を収集できます。
ソーシャルエンジニアも速報を利用します。ニュースイベント、休日、ポップカルチャー、その他のデバイスで被害者を誘惑します。InWomanは、BestMark、Inc。を装ったミステリーショッピング詐欺で1,825ドルを失います。犯罪者が、有名なミステリーショッピング会社の名前を利用して詐欺を行ったことがわかります。詐欺師はよく使用します。偽の慈善団体は、休暇中の犯罪目標を推進します。
攻撃者は、フィッシング攻撃をカスタマイズして、既知の関心事(お気に入りのアーティスト、俳優、音楽、政治、慈善活動など)を標的にし、ユーザーを誘惑することができます。マルウェアが混入した添付ファイルをクリックします。
有名なソーシャルエンジニアリング攻撃
注意すべきソーシャルエンジニアリングの戦術を理解するための良い方法は、過去に何が使用されたかを知るため。このテーマに関する広範な記事ですべての詳細を入手しましたが、今のところ、詐欺師にとって大成功を収めている、技術プラットフォームとは独立した3つのソーシャルエンジニアリング手法に焦点を当てましょう。
甘いものを提供します。詐欺師なら誰でも言うように、マークを詐欺する最も簡単な方法は、自分の欲を利用することです。これは古典的なナイジェリアの419詐欺の基盤であり、詐欺師は被害者を説得して、自国から安全な銀行に現金を持ち込み、資金の一部を引き換えに提供するのを手伝おうとします。これらの「ナイジェリアの王子」のメールは何十年にもわたって冗談を言ってきましたが、それでも人々が求める効果的なソーシャルエンジニアリング手法です。2007年、人口の少ないミシガン郡の会計係が、このような詐欺師に120万ドルの公的資金を提供しました。もう1つの一般的な誘惑は、新しい、より良い仕事の見通しです。これは、明らかに私たちの多くが望んでいることです。非常に恥ずかしい2011年の違反で、セキュリティ会社RSAは、少なくとも2つの低額のときに侵害されました。レベルの従業員は、フィッシングメールに添付されたファイル名「2011recruitmentplan.xls」のマルウェアファイルを開きました。
作成するまで偽造します。最も単純で、驚くほど成功したソーシャルエンジニアリング手法の1つです。 Kevin Mitnickの伝説的な初期の詐欺の1つで、彼は会社に電話し、彼らの主要な開発者の1人であると主張し、次のように言うだけで、Digital EquipmentCorporationのOS開発サーバーにアクセスできました。彼はログインに問題がありました。彼はすぐに新しいログインとパスワードで報われました。これはすべて1979年に発生し、それ以降は状況が改善したと思いますが、間違っています。2016年に、ハッカーが米国司法省の電子メールアドレスを制御し、それを使用して従業員になりすましました。ヘルプデスクがDoJイントラネットのアクセストークンを引き渡すために、彼は仕事の最初の週であり、「何がどのように機能するのかわからなかった」と述べました。
多くの組織には、これらの種類を防ぐための障壁があります。真面目ななりすましのですが、それらはかなり簡単に回避できることがよくあります。 2005年にヒューレットパッカードが私立探偵を雇ってどのHP理事会メンバーが報道機関に情報を漏らしていたかを調べたとき、彼らはPIに彼らの目標の社会保障番号の下4桁を提供することができました—これはAT & T」のテクニカルサポートは、詳細な通話記録を渡す前にIDの証明として受け入れられました。
あなたのように行動してください。私たちのほとんどは権威を尊重するように準備されています—または、結局のところ、彼らがしていることをする権威を持っているように振る舞う人々を尊重するために。会社の内部プロセスに関するさまざまな程度の知識を活用して、場所にいる権利やすべきでないものを見る権利があること、またはあなたからのコミュニケーションが本当に尊敬する人からのものであることを人々に納得させることができます。たとえば、2015年、Ubiquiti Networksの財務担当者は、おそらく電子メールアドレスに類似のURLを使用して、会社の幹部になりすました詐欺師に数百万ドルの会社のお金を送金しました。ローテク側では、「00年代後半から10年代前半に英国のタブロイド紙で働いていた調査員は、ブラフを介して電話会社の他の従業員になりすまして、被害者にアクセスする方法を見つけることがよくありました。たとえば、あるPIボーダフォンに、女優のシエナミラーのボイスメールの暗証番号を、「信用管理のジョン」と呼んで主張することでリセットするよう説得しました。
外部当局の要求に、あまり考えずに応じることもあります。ヒラリークリントンキャンペーン本町ジョン・ポデスタは、2016年にロシアのスパイにメールをハッキングされ、Googleからのメモを装ってパスワードのリセットを求めるフィッシングメールを送信しました。アカウントを保護できると考えた行動を取ることで、実際にログイン資格情報を提供しました。
ソーシャルエンジニアリングの防止
セキュリティ意識向上トレーニングは、ソーシャルエンジニアリングを防止するための一番の方法です。従業員は、ソーシャルエンジニアリングが存在することを認識し、最も多くの企業に精通している必要があります。 mmonlyは戦術を使用しました。
幸いなことに、ソーシャルエンジニアリングの認識はストーリーテリングに役立ちます。そして、ストーリーは技術的な欠陥の説明よりもはるかに理解しやすく、はるかに興味深いものです。クイズや注目を集める、またはユーモラスなポスターも、全員が自分の言うとおりの人物であるとは限らないことを思い出させる効果的な方法です。
しかし、必要なのは平均的な従業員だけではありません。ソーシャルエンジニアリングを認識している。上級管理職と経営幹部が主要な企業ターゲットです。
ソーシャルエンジニアリングから身を守るための5つのヒント
CSOの寄稿者であるDanLohrmannが次のアドバイスを提供しています。
1.セキュリティ意識に関してはトレーニングとトレーニングをやり直します。
一般的なフィッシングの脅威と新たに標的となるサイバー脅威の両方に対処するために定期的に更新される包括的なセキュリティ意識トレーニングプログラムを実施していることを確認します。これはリンクをクリックするだけではありません。
2。最新のオンライン詐欺手法に関する詳細なブリーフィング「ロードショー」を主要なスタッフに提供します。
はい、上級管理職を含めますが、電信送金やその他の金融取引を行う権限を持っている人を忘れないでください。詐欺に関連する実話の多くは、幹部が緊急の行動をとるように求めていると信じ込ませた低レベルのスタッフで発生することを忘れないでください。通常、通常の手順や制御をバイパスします。
3。送金やその他の重要な取引に関する既存のプロセス、手順、職務の分離を確認します。
必要に応じて、追加の管理を追加します。インサイダーの脅威によって、ある時点で職務の分離やその他の保護が損なわれる可能性があるため、脅威の増加を考慮して、リスクレビューを再分析する必要がある場合があることに注意してください。
4。 「帯域外」トランザクションまたは緊急のエグゼクティブリクエストに関連する新しいポリシーを検討してください。
CEOのGmailアカウントからのメールは、スタッフに自動的に危険信号を発するはずですが、ダークサイドによって展開されている最新の技術を理解する必要があります。すべての人によく理解されている承認された緊急手順が必要です。
5。インシデント管理およびフィッシングレポートシステムを確認、改善、テストします。
管理者および主要な担当者と一緒に卓上演習を実行します。定期的に。テストコントロールと潜在的な脆弱性領域のリバースエンジニアリング。
ソーシャルエンジニアリングツールキット
多くのベンダーが、ソーシャルエンジニアリングの演習を実施するのに役立つツールやサービスを提供しています。ポスターやニュースレターなどの手段で従業員の意識を高めます。
また、無料でダウンロードできるsocial-engineer.orgのSocial EngineeringToolkitもチェックする価値があります。このツールキットは、スピアフィッシング攻撃、正当なWebサイトの作成、USBドライブベースの攻撃など、ソーシャルエンジニアリングを介した侵入テストの自動化に役立ちます。
もう1つの優れたリソースはソーシャルエンジニアリングフレームワークです。