Sosialteknisk definisjon
Sosialteknikk er kunsten å utnytte menneskelig psykologi, i stedet for tekniske hackingsteknikker, for å få tilgang til bygninger , systemer eller data.
For eksempel, i stedet for å prøve å finne et programvaresårbarhet, kan en sosialingeniør ringe en ansatt og utgjøre seg som en IT-støtteperson, og prøve å lure den ansatte til å røpe passordet.
Den berømte hacker Kevin Mitnick hjalp til med å popularisere begrepet «social engineering» på 90-tallet, selv om ideen og mange av teknikkene har eksistert så lenge det har vært svindelartister.
Selv om du har fått alle bjeller og fløyter når det gjelder å sikre datasenteret ditt, skyutplasseringene dine, bygningens fysiske sikkerhet, og du har investert i defensive teknologier, har rett sikkerhetspolitikk og prosesser på plass og måler effektiviteten og kontinuerlig forbedrer e, fremdeles kan en smart sosial ingeniør vele seg gjennom (eller rundt).
Sosiale ingeniørteknikker
Sosialteknikk har vist seg å være en veldig vellykket måte for en kriminell å «komme inn» i organisasjonen din. Når en sosialingeniør har et pålitelig ansattes passord, kan han bare logge på og lure etter sensitive data. Med et tilgangskort eller en kode for å komme fysisk inn i et anlegg, kan kriminelle få tilgang til data, stjele eiendeler eller til og med skade mennesker.
I artikkelen Anatomy of a Hack går en penetrasjonstester gjennom hvordan han brukte aktuelle hendelser, offentlig informasjon tilgjengelig på sosiale nettverkssider og en $ 4 Cisco-skjorte han kjøpte på en bruktbutikk for å forberede seg på ulovlig innreise. Skjorten hjalp ham med å overbevise bygningsmottaket og andre ansatte om at han var Cisco-ansatt på teknisk supportbesøk. En gang inne var han i stand til å gi sine andre teammedlemmer også ulovlig inngang. klarte også å slippe flere USB-filer lastet med malware og hacke seg inn i selskapets nettverk, alt innen syn for andre ansatte.
Du trenger ikke å gå i butikk for å utføre et sosialteknisk angrep. De fungerer like bra over e-post, telefon eller sosiale medier. Hva alle angrepene har til felles er at de bruker menneskets natur til sin fordel, og forfanger grådighet, frykt, nysgjerrighet og til og med vårt ønske om å hjelpe andre.
Eksempler på sosialteknikk
Kriminelle tar ofte uker og måneder å bli kjent med et sted før du til og med kommer inn døra eller ringer. Forberedelsene deres kan omfatte å finne en firmaliste eller et organisasjonsskjema og undersøke ansatte på sosiale nettverkssider som LinkedIn eller Facebook.
1. På telefonen
En sosialingeniør kan ringe og late som om han er en medarbeider eller en pålitelig ekstern myndighet (for eksempel rettshåndhevelse eller en revisor).
2. På kontoret
«Kan du holde døren for meg? Jeg har ikke nøkkelen / adgangskortet mitt. » Hvor ofte har du hørt det i bygningen din? Mens spørsmannen kanskje ikke virker mistenkelig, er dette en veldig vanlig taktikk som brukes av sosiale ingeniører.
3. Online
Sosiale nettverk har gjort sosialtekniske angrep lettere å gjennomføre. Dagens angripere kan gå til nettsteder som LinkedIn og finne alle brukerne som jobber i et selskap og samle masse detaljert informasjon som kan brukes til å fremme et angrep.
Sosiale ingeniører benytter seg også av å bryte nyhetshendelser, høytider, popkultur og andre enheter for å lokke ofre. In Woman mister $ 1 825 på mystery shopping-svindel som utgjør BestMark, Inc. ser du hvordan kriminelle utnyttet navnet til et kjent mystery shopping-selskap for å gjennomføre svindelen. Svindlere bruker ofte falske veldedighetsorganisasjoner for å fremme sine kriminelle mål rundt høytiden.
Angripere vil også tilpasse phishing-angrep for å målrette kjente interesser (f.eks. favorittartister, skuespillere, musikk, politikk, filantropier) som kan utnyttes for å lokke brukere til klikk på vedlegg som er skadet med skadelig programvare.
Berømte sosialtekniske angrep
En god måte å få en følelse av hvilken sosialteknisk taktikk du bør se etter er å vite om hva som har blitt brukt tidligere. Vi har fått alle detaljene i en omfattende artikkel om emnet, men la oss for øyeblikket fokusere på tre sosialtekniske teknikker – uavhengig av teknologiske plattformer – som har vært vellykkede for svindlere i stor grad.
Tilby noe søtt. Som enhver svindler vil fortelle deg, er den enkleste måten å svindle et merke på å utnytte sin egen grådighet. Dette er grunnlaget for den klassiske nigerianske 419-svindelen, der svindleren prøver å overbevise offeret om å hjelpe til med å få tilsynelatende dårlig fått penger ut av sitt eget land til en trygg bank, og tilbyr en del av midlene i bytte.Disse e-postene fra «Nigerian Prince» har vært en løpende vits i flere tiår, men de er fortsatt en effektiv sosialteknisk teknikk som folk faller for: i 2007 ga kasserer i et tynt befolket fylke i Michigan 1,2 millioner dollar i offentlige midler til en slik svindler i håpet om å tjene penger personlig. En annen vanlig lokke er utsiktene til en ny, bedre jobb, som tilsynelatende er noe altfor mange av oss ønsker: i et enormt pinlig 2011-brudd ble sikkerhetsselskapet RSA kompromittert da minst to lav- nivåansatte åpnet en skadelig fil som er knyttet til en phishing-e-post med filnavnet «2011 recruitment plan.xls.»
Falske det til du gjør det. En av de enkleste – og overraskende mest vellykkede – sosialtekniske teknikkene er å bare late som å være ditt offer. I en av Kevin Mitnicks legendariske tidlige svindel fikk han tilgang til Digital Equipment Corporation s OS-utviklingsservere ved å ringe selskapet, hevde å være en av deres ledende utviklere og si han hadde problemer med å logge på; han ble umiddelbart belønnet med et nytt påloggings- og passord. Alt dette skjedde i 1979, og du ville tro at ting ville blitt bedre siden den gang, men du hadde tatt feil: i 2016 fikk en hacker kontroll over en e-postadresse for det amerikanske justisdepartementet og brukte den til å utgi seg for en ansatt, som lokket en helpdesk til å overlevere et tilgangstoken til DoJ-intranettet ved å si at det var hans første uke på jobben, og han visste ikke hvordan noe fungerte.
Mange organisasjoner har barrierer som er ment å forhindre denne typen. av frekke imitasjoner, men de kan ofte omgåes ganske enkelt. Da Hewlett-Packard hyrte private etterforskere for å finne ut hvilke HP-styremedlemmer som lekket informasjon til pressen i 2005, var de i stand til å gi PI-ene de siste fire sifrene i deres mål «personnummer – hvilket AT & Teknisk støtte aksepteres som bevis på ID før du overleverer detaljerte samtalelogger.
Oppfør deg som du er ansvarlig. De fleste av oss er primet for å respektere autoritet – eller, som det viser seg, å respektere mennesker som oppfører seg som de har autoritet til å gjøre det de gjør. Du kan utnytte varierende grad av kunnskap om selskapets interne prosesser for å overbevise folk om at du har rett til å være steder eller se ting du ikke burde, eller at en kommunikasjon som kommer fra deg virkelig kommer fra noen de respekterer. For eksempel, i 2015 finansierte ansatte i Ubiquiti Networks millioner av dollar i selskapspenger til svindelartister som utgav seg for bedriftsledere, sannsynligvis ved å bruke en nettadresse i e-postadressen. På den lavere teknologiske siden fant etterforskere som jobbet for britiske tabloider på slutten av «00- og tidlig» 10-tallet ofte måter å få tilgang til ofrenes «talepostkontoer ved å late som om de var andre ansatte i telefonselskapet via ren bløffing; for eksempel en PI overbeviste Vodafone om å tilbakestille skuespilleren Sienna Miller «PIN-koden for telefonsvarer ved å ringe og hevde å være» John fra kredittkontroll. «
Noen ganger er det eksterne myndigheter hvis krav vi oppfyller uten å tenke mye på det. Hillary Clinton kampanje honcho John Podesta fikk hacket e-posten av russiske spioner i 2016 da de sendte ham en phishing-e-post forkledd som et notat fra Google som ba ham om å tilbakestille passordet. borte.
Forebygging av sosialteknikk
Opplæring i sikkerhetsbevissthet er den viktigste måten å forebygge sosialteknikk. Ansatte bør være klar over at sosialteknikk eksisterer og være kjent med det mest bare brukt taktikk.
Heldigvis gir sosialteknisk bevissthet seg til historiefortelling. Og historier er mye lettere å forstå og mye mer interessante enn forklaringer på tekniske feil. Quiz og oppmerksomhetsfangende eller humoristiske plakater er også effektive påminnelser om ikke å anta at alle er de de sier de er.
Men det er ikke bare den gjennomsnittlige arbeidstakeren som trenger å være klar over sosialteknikk. Ledelse og ledere er primære mål for bedriften.
5 tips for å forsvare seg mot sosialteknikk
CSO-bidragsyter Dan Lohrmann gir følgende råd:
1. Tren og trene igjen når det gjelder sikkerhetsbevissthet.
Sørg for at du har et omfattende opplæringsprogram for sikkerhetsbevissthet som regelmessig oppdateres for å adressere både de generelle phishing-truslene og de nye målrettede cybertruslene. Husk at dette er ikke bare om å klikke på lenker.
2. Gi en detaljert orientering «roadshow» om de nyeste online svindelteknikkene til nøkkelpersonell.
Ja, inkluder toppledere, men ikke glem noen som har myndighet til å foreta bankoverføringer eller andre økonomiske transaksjoner.Husk at mange av de sanne historiene om svindel forekommer hos ansatte på lavere nivå som blir lurt til å tro at en leder ber dem om å ha en hastetiltak – vanligvis utenom normale prosedyrer og / eller kontroller.
3. Gjennomgå eksisterende prosesser, prosedyrer og separasjon av plikter for økonomiske overføringer og andre viktige transaksjoner.
Legg til ekstra kontroller, om nødvendig. Husk at separasjon av plikter og annen beskyttelse kan bli kompromittert på et eller annet tidspunkt av insidertrusler, så risikovurderinger må kanskje revurderes med tanke på økte trusler.
4. Vurder nye retningslinjer relatert til «utenfor bandet» -transaksjoner eller presserende lederforespørsler.
En e-post fra administrerende direktørs Gmail-konto skal automatisk heve et rødt flagg til personalet, men de trenger å forstå de nyeste teknikkene som brukes av den mørke siden. Du trenger autoriserte nødprosedyrer som er godt forstått av alle.
5. Gjennomgå, avgrense og teste systemene for hendelsesadministrasjon og phishing-rapportering.
Kjør en bordøvelse med ledelsen og med nøkkelpersonell på en regelmessig. Testkontroller og omforme potensielle sårbarhetsområder.
Sosialteknisk verktøysett
En rekke leverandører tilbyr verktøy eller tjenester for å gjennomføre sosialtekniske øvelser, og / eller bygge ansattes bevissthet via metoder som plakater og nyhetsbrev.
Også verdt å sjekke ut er social-engineer.orgs Social Engineering Toolkit, som er en gratis nedlasting. Verktøysettet hjelper med å automatisere penetrasjonstesting via sosial engineering, inkludert spear phishing-angrep, oppretting av legitime nettsteder, USB-stasjonsbaserte angrep og mer.
En annen god ressurs er The Social Engineering Framework.