Definicja inżynierii społecznej
Inżynieria społeczna to sztuka wykorzystywania psychologii człowieka, a nie technicznych technik hakerskich, w celu uzyskania dostępu do budynków , systemy lub dane.
Na przykład, zamiast próbować znaleźć lukę w oprogramowaniu, inżynier społeczny może zadzwonić do pracownika i udawać osobę wsparcia IT, próbując nakłonić pracownika do ujawnienia jego hasła.
Słynny haker Kevin Mitnick przyczynił się do spopularyzowania terminu „inżynieria społeczna” w latach 90-tych, chociaż pomysł i wiele technik istniało tak długo, jak żyli oszuści.
Nawet jeśli masz wszystkie zalety zabezpieczania centrum danych, wdrożeń w chmurze, bezpieczeństwa fizycznego budynku i zainwestowałeś w technologie obronne, masz prawo wdrożone polityki i procesy bezpieczeństwa oraz mierzyć ich skuteczność i stale ulepszać e, nadal przebiegły inżynier społeczny może przemierzać sobie drogę (lub w pobliżu).
Techniki socjotechniczne
Socjotechnika okazała się bardzo skutecznym sposobem na „dostanie się” do Twojej organizacji. Gdy inżynier społeczny będzie miał hasło zaufanego pracownika, może po prostu zalogować się i poszukać poufnych danych. Za pomocą karty dostępu lub kodu, aby fizycznie dostać się do obiektu, przestępca może uzyskać dostęp do danych, ukraść aktywa, a nawet wyrządzić krzywdę ludzi.
W artykule Anatomy of a Hack tester penetracji omawia, w jaki sposób wykorzystywał bieżące wydarzenia, informacje publiczne dostępne w serwisach społecznościowych oraz koszulę Cisco za 4 dolary, którą kupił w sklep z artykułami używanymi, aby przygotować się na nielegalny wjazd. Koszula pomogła mu przekonać recepcję budynku i innych pracowników, że jest pracownikiem Cisco podczas wizyty pomocy technicznej. Po wejściu do środka był w stanie również umożliwić innym członkom zespołu nielegalny wjazd. udało się również upuścić kilka obciążonych złośliwym oprogramowaniem USB i włamać się do sieci firmy, wszystko w zasięgu wzroku innych pracowników.
Nie musisz jednak chodzić po sklepach z używanymi rzeczami, aby przeprowadzić atak socjotechniczny. Działają równie dobrze przez e-mail, telefon czy media społecznościowe. Co mają wszystkie ataki wspólną cechą jest to, że wykorzystują ludzką naturę na swoją korzyść, żerując na naszej chciwości, strachu, ciekawości, a nawet chęci pomocy innym.
Przykłady inżynierii społecznej
Przestępcy często biorą tygodnie i miesiące poznawania miejsca, zanim jeszcze wejdą do drzwi lub zadzwonią. Ich przygotowanie może obejmować znalezienie firmowej listy telefonów lub schematu organizacyjnego i badanie pracowników w serwisach społecznościowych, takich jak LinkedIn czy Facebook.
1. Podczas rozmowy telefonicznej
Inżynier społeczny może zadzwonić i udawać współpracownika lub zaufany organ zewnętrzny (taki jak organy ścigania lub audytor).
2. W biurze
„Czy możesz przytrzymać mi drzwi? Nie mam przy sobie klucza / karty dostępu ”. Jak często słyszałeś to w swoim budynku? Chociaż osoba pytająca może nie wydawać się podejrzana, jest to bardzo powszechna taktyka stosowana przez inżynierów społecznych.
3. Online
Portale społecznościowe ułatwiły przeprowadzanie ataków socjotechnicznych. Dzisiejsi napastnicy mogą przejść do witryn takich jak LinkedIn i znaleźć wszystkich użytkowników pracujących w firmie i zebrać wiele szczegółowych informacji, które można wykorzystać do dalszego ataku.
Inżynierowie społeczni również wykorzystują włamanie wiadomości o wydarzeniach, świętach, popkulturze i innych urządzeniach do zwabienia ofiar. W Kobieta traci 1825 dolarów na oszustwie typu „mystery shopping” podszywającego się pod firmę BestMark, Inc. widać, jak przestępcy wykorzystali nazwę znanej firmy typu mystery shopping do przeprowadzenia oszustwa. fałszywe organizacje charytatywne, aby realizować swoje przestępcze cele w okresie świątecznym.
Atakujący dostosują również ataki phishingowe do znanych zainteresowań (np. ulubionych artystów, aktorów, muzyki, polityki, filantropii), które można wykorzystać, aby zachęcić użytkowników do klikać załączniki ze złośliwym oprogramowaniem.
Słynne ataki socjotechniczne
Dobrym sposobem na zorientowanie się, na jakie taktyki inżynierii społecznej należy zwrócić uwagę, jest wiedzieć, co było używane w przeszłości. Wszystkie szczegóły otrzymaliśmy w obszernym artykule na ten temat, ale na razie skupmy się na trzech technikach inżynierii społecznej – niezależnych od platform technologicznych – które odniosły duży sukces dla oszustów.
Zaproponuj coś słodkiego. Jak powie każdy oszust, najłatwiejszym sposobem oszukania znaku jest wykorzystanie własnej chciwości. To podstawa klasycznego nigeryjskiego oszustwa 419, w którym oszust próbuje przekonać ofiarę, aby pomogła w wyrzuceniu rzekomo nielegalnie zdobytej gotówki z własnego kraju do bezpiecznego banku, oferując w zamian część środków.Te e-maile o „księciu nigeryjskim” były żartem na okrągło od dziesięcioleci, ale nadal są „skuteczną techniką inżynierii społecznej, do której ludzie się zakochują: w 2007 roku skarbnik słabo zaludnionego hrabstwa Michigan przekazał takiemu oszustowi w nadzieje na osobiste spieniężenie. Inną powszechną przynętą jest perspektywa nowej, lepszej pracy, która najwyraźniej jest czymś, czego zdecydowanie zbyt wielu z nas pragnie: w niezwykle żenującym naruszeniu w 2011 r. firma ochroniarska RSA została naruszona, gdy co najmniej dwa niskie pracownicy poziomu otworzyli plik złośliwego oprogramowania dołączony do wiadomości phishingowej o nazwie „Plan rekrutacji na rok 2011.xls”.
Fałszuj, dopóki nie uda się. Jedna z najprostszych – i zaskakująco najbardziej skutecznych – technik inżynierii społecznej to po prostu udawać swoją ofiarę. W jednym z legendarnych wczesnych oszustw Kevina Mitnicka uzyskał dostęp do serwerów programistycznych firmy Digital Equipment Corporation, po prostu dzwoniąc do firmy, twierdząc, że jest jednym z jej głównych programistów i mówiąc miał problem z zalogowaniem się; został natychmiast nagrodzony nowym loginem i hasłem. To wszystko wydarzyło się w 1979 roku i można by pomyśleć, że od tego czasu sytuacja uległa poprawie, ale byłbyś w błędzie: w 2016 roku haker przejął kontrolę nad adresem e-mail Departamentu Sprawiedliwości Stanów Zjednoczonych i wykorzystał go do podszywania się pod pracownika, namawiając dział pomocy w przekazaniu tokena dostępu do intranetu DoJ, mówiąc, że był to jego pierwszy tydzień w pracy i nie wiedział, jak cokolwiek działało.
Wiele organizacji ma bariery mające na celu zapobieganie tego rodzaju bezczelnych podszywania się pod inne osoby, ale często można je dość łatwo obejść. Kiedy Hewlett-Packard zatrudnił prywatnych detektywów, aby dowiedzieć się, którzy członkowie zarządu HP wyciekali informacje do prasy w 2005 r., Byli w stanie dostarczyć PI ostatnie cztery cyfry ich docelowego numeru ubezpieczenia społecznego – który AT & Pomoc techniczna T została zaakceptowana jako dowód tożsamości przed przekazaniem szczegółowych dzienników połączeń.
Działaj tak, jak Ty „rządzisz. Większość z nas są przygotowane do szanowania autorytetu – lub, jak się okazuje, do szanowania ludzi, którzy zachowują się tak, jakby mieli władzę robienia tego, co robią. Możesz wykorzystać różny stopień wiedzy o wewnętrznych procesach firmy, aby przekonać ludzi, że masz prawo być miejscami lub widzieć rzeczy, których nie powinieneś, lub że komunikacja pochodząca od Ciebie naprawdę pochodzi od kogoś, kogo szanują. Na przykład w 2015 roku pracownicy finansowi w Ubiquiti Networks przekazali miliony dolarów firmowych pieniędzy oszustom, którzy podszywali się pod kierownictwo firmy, prawdopodobnie używając podobnego adresu URL w swoim adresie e-mail. Jeśli chodzi o niższą technologię, śledczy pracujący dla brytyjskich tabloidów pod koniec pierwszej dekady XXI w. I na początku dziesiątego wieku często znajdowali sposoby na uzyskanie dostępu do kont poczty głosowej ofiar, udając innych pracowników firmy telefonicznej, poprzez zwykłe blefowanie; na przykład jeden PI przekonał firmę Vodafone do zresetowania kodu PIN poczty głosowej aktorki Siennej Miller, dzwoniąc i podając się za „Johna z kontroli kredytowej”.
Czasami to zewnętrzne władze, których żądania spełniamy, nie poświęcając im zbyt wiele uwagi. Hillary Clinton Szaman kampanii, John Podesta, został zhakowany przez rosyjskich szpiegów w 2016 roku, kiedy wysłali mu e-mail phishingowy udający wiadomość od Google z prośbą o zresetowanie hasła. Podejmując działania, które według niego zabezpieczyłyby swoje konto, w rzeczywistości podał swoje dane logowania
Zapobieganie inżynierii społecznej
Szkolenie w zakresie świadomości bezpieczeństwa to najważniejszy sposób zapobiegania inżynierii społecznej. Pracownicy powinni być świadomi istnienia inżynierii społecznej i znać większość tylko używane taktyki.
Na szczęście świadomość inżynierii społecznej nadaje się do opowiadania historii. A historie są dużo łatwiejsze do zrozumienia i dużo ciekawsze niż wyjaśnienia błędów technicznych. Quizy i przykuwające uwagę lub zabawne plakaty również skutecznie przypominają o tym, że nie należy zakładać, że każdy jest tym, za kogo się podaje.
Ale to nie tylko przeciętny pracownik musi być świadomy inżynierii społecznej. Kierownictwo wyższego szczebla i kadra kierownicza są głównymi celami przedsiębiorstwa.
5 wskazówek dotyczących obrony przed inżynierią społeczną
Dan Lohrmann, współpracownik CSO, oferuje następujące porady:
1. Szkolenie i ponowne szkolenie w zakresie świadomości bezpieczeństwa.
Upewnij się, że posiadasz kompleksowy program szkoleniowy w zakresie świadomości bezpieczeństwa, który jest regularnie aktualizowany w celu uwzględnienia zarówno ogólnych zagrożeń związanych z phishingiem, jak i nowych ukierunkowanych cyberzagrożeń. Pamiętaj, że to jest nie tylko o klikaniu linków.
2. Przedstaw kluczowym pracownikom szczegółowe „roadshow” na temat najnowszych technik oszustw internetowych.
Tak, uwzględnij kadrę kierowniczą, ale nie zapominaj o nikim, kto ma uprawnienia do wykonywania przelewów lub innych transakcji finansowych.Pamiętaj, że wiele prawdziwych historii związanych z oszustwami ma miejsce w przypadku pracowników niższego szczebla, którzy są oszukani, wierząc, że kierownik prosi ich o wykonanie pilnej czynności – zwykle z pominięciem normalnych procedur i / lub kontroli.
3. Przejrzyj istniejące procesy, procedury i rozdział obowiązków w zakresie transferów finansowych i innych ważnych transakcji.
W razie potrzeby dodaj dodatkowe kontrole. Pamiętaj, że rozdzielenie obowiązków i inne zabezpieczenia mogą w pewnym momencie zostać naruszone przez zagrożenia wewnętrzne, więc przeglądy ryzyka mogą wymagać ponownej analizy, biorąc pod uwagę zwiększone zagrożenia.
4. Rozważ nowe zasady związane z transakcjami „poza pasmem” lub pilnymi prośbami kierownictwa.
E-mail z konta Gmail dyrektora generalnego powinien automatycznie podnieść sygnał ostrzegawczy do pracowników, ale muszą oni zrozumieć najnowsze techniki wdrażane przez ciemną stronę. Potrzebujesz autoryzowanych procedur awaryjnych, które są dobrze zrozumiałe dla wszystkich.
5. Przejrzyj, udoskonal i przetestuj swoje systemy zarządzania incydentami i raportowania o phishingu.
Przeprowadź ćwiczenie z kierownictwem i kluczowym personelem regularnie. Testuj mechanizmy kontroli i wykorzystuj inżynierię wsteczną potencjalnych obszarów podatności.
Zestaw narzędzi socjotechnicznych
Wielu dostawców oferuje narzędzia lub usługi pomagające w przeprowadzaniu ćwiczeń z zakresu inżynierii społecznej budować świadomość pracowników za pomocą takich środków, jak plakaty i biuletyny.
Warto również zapoznać się z zestawem narzędzi socjotechnicznych social-engineer.org, który można pobrać bezpłatnie. Zestaw narzędzi pomaga zautomatyzować testy penetracyjne za pomocą inżynierii społecznej, w tym ataki typu spear phishing, tworzenie legalnie wyglądających witryn internetowych, ataki z użyciem dysków USB i nie tylko.
Kolejnym dobrym zasobem jest The Social Engineering Framework.