Definiția ingineriei sociale
Ingineria socială este arta exploatării psihologiei umane, mai degrabă decât a tehnicilor tehnice de hacking, pentru a avea acces la clădiri , sisteme sau date.
De exemplu, în loc să încerce să găsească o vulnerabilitate software, un inginer social ar putea apela un angajat și se va prezenta ca o persoană de asistență IT, încercând să-l păcălească pe angajat să-și divulge parola.
Faimosul hacker Kevin Mitnick a ajutat la popularizarea termenului „inginerie socială” în anii 90, deși ideea și multe dintre tehnici au existat atât timp cât au existat escroci.
Chiar dacă „ai toate clopoțelele când vine vorba de securizarea centrului tău de date, implementările din cloud, securitatea fizică a clădirii și ai investit în tehnologii defensive, ai dreptul politicile și procesele de securitate în vigoare și le măsoară eficacitatea și îmbunătățesc continuu E, totuși un inginer social iscusit poate să-și croiască drum direct (sau în jur).
Tehnici de inginerie socială
Ingineria socială s-a dovedit a fi un mod foarte reușit pentru ca un criminal să „pătrundă” în organizația dvs. Odată ce un inginer social are parola unui angajat de încredere, el poate să se conecteze și să cerceteze datele sensibile. Cu un card de acces sau un cod pentru a intra fizic într-o unitate, criminalul poate accesa date, fura active sau chiar dăuna. oameni.
În articolul Anatomy of a Hack un tester de penetrare trece prin modul în care a folosit evenimentele curente, informațiile publice disponibile pe site-urile de rețele sociale și o cămașă Cisco de 4 USD pe care a achiziționat-o la un magazin second-hand pentru a se pregăti pentru intrarea sa ilegală. Cămașa l-a ajutat să convingă recepția clădirii și alți angajați că este angajat Cisco într-o vizită de asistență tehnică. Odată ajuns în interior, a putut să ofere și celorlalți membri ai echipei sale intrare ilegală De asemenea, a reușit să lase mai multe USB-uri încărcate de malware și să spargă în rețeaua companiei, totul la vederea altor angajați.
Totuși, nu trebuie să mergeți la cumpărături în magazinele de cumpărături pentru a declanșa un atac de inginerie socială. Acestea funcționează la fel de bine prin e-mail, telefon sau rețele sociale. Ce au toate atacurile în comun este faptul că folosesc natura umană în avantajul lor, prădându-se de lăcomia, frica, curiozitatea și chiar dorința noastră de a-i ajuta pe ceilalți.
Exemple de inginerie socială
Criminalii vor lua adesea săptămâni și luni pentru a cunoaște un loc înainte chiar de a intra în ușă sau de a efectua un apel telefonic. Pregătirea lor poate include găsirea unei liste de telefon a unei companii sau organigramă și cercetarea angajaților pe site-urile de rețele sociale precum LinkedIn sau Facebook.
1. La telefon
Un inginer social poate suna și se poate pretinde că este un coleg angajat sau o autoritate externă de încredere (cum ar fi forțele de ordine sau un auditor).
2. În birou
„Poți să-mi ții ușa? Nu am cheia / cardul de acces pe mine. Cât de des ați auzit asta în clădirea dvs.? Deși persoana care întreabă poate să nu pară suspectă, aceasta este o tactică foarte obișnuită folosită de inginerii sociali.
3. Online
Site-urile de rețele sociale au făcut ca atacurile de inginerie socială să fie mai ușor de efectuat. Atacatorii de astăzi pot merge pe site-uri precum LinkedIn și pot găsi toți utilizatorii care lucrează la o companie și pot aduna o mulțime de informații detaliate care pot fi folosite pentru a continua atacul.
Inginerii sociali profită, de asemenea, de rupere evenimente de știri, sărbători, cultură pop și alte dispozitive pentru a atrage victimele. În Woman pierde 1.825 USD pentru înșelăciunea de cumpărături misterioase care se prezintă ca BestMark, Inc. vedeți cum infractorii au folosit numele unei companii cunoscute de cumpărături de mistere pentru a-și desfășura înșelătoria. organizații caritabile false pentru a-și atinge obiectivele criminale în timpul sărbătorilor.
Atacatorii vor personaliza, de asemenea, atacurile de phishing pentru a viza interese cunoscute (de exemplu, artiști preferați, actori, muzică, politică, filantropii) care pot fi folosite pentru a atrage utilizatorii să faceți clic pe atașamente legate de malware.
Atacuri celebre de inginerie socială
O modalitate bună de a înțelege ce tactici de inginerie socială ar trebui să aveți în vedere să știu despre ce s-a folosit în trecut. „Am obținut toate detaliile într-un articol extins pe această temă, dar pentru moment să ne concentrăm pe trei tehnici de inginerie socială – independente de platformele tehnologice – care au avut succes pentru escroci în mare măsură.
Oferiți ceva dulce. După cum vă va spune orice artist con, cel mai simplu mod de a înșela un semn este să-și exploateze propria lăcomie. Aceasta este fundamentul înșelătoriei clasice nigeriene 419, în care escrocul încearcă să convingă victima să ajute la scoaterea banilor presupuși rău din propria țară într-o bancă sigură, oferind în schimb o parte din fonduri.Aceste e-mailuri cu „prințul nigerian” au fost o glumă continuă de zeci de ani, dar „sunt încă o tehnică eficientă de inginerie socială pentru care oamenii se încadrează: în 2007 trezorierul unui județ Michigan cu o populație slabă a dat 1,2 milioane de dolari în fonduri publice unui astfel de escroc în speranța de a încasa personal. O altă atracție comună este perspectiva unui nou loc de muncă mai bun, care se pare că este ceva mult prea mulți dintre noi ne dorim: într-o încălcare extrem de jenantă din 2011, compania de securitate RSA a fost compromisă când cel puțin doi angajații de la nivel au deschis un fișier malware atașat la un e-mail de phishing cu numele fișierului „2011 recruitment plan.xls.”
Fake it until you make it. Una dintre cele mai simple – și surprinzător, cele mai reușite – tehnici de inginerie socială este să te prefaci pur și simplu că ești victima ta. Într-una dintre legendele escrocherii legendare ale lui Kevin Mitnick, a primit acces la serverele de dezvoltare de sisteme de operare ale Digital Equipment Corporation, apelând compania, susținând că este unul dintre dezvoltatorii lor principali și spunând avea probleme cu logarea; a fost imediat răsplătit cu un nou login și o parolă. Totul s-a întâmplat în 1979 și ați crede că lucrurile s-ar fi îmbunătățit de atunci, dar ați fi greșit: în 2016, un hacker a preluat controlul unei adrese de e-mail ale Departamentului de Justiție din SUA și a folosit-o pentru a identifica un angajat, înșelând un birou de asistență pentru a preda un jeton de acces pentru intranet-ul DoJ spunând că a fost prima sa săptămână la serviciu și nu știa cum a funcționat ceva.
Multe organizații au bariere menite să prevină aceste tipuri de supliniri imbecile, dar acestea pot fi deseori ocolite destul de ușor. Când Hewlett-Packard a angajat anchetatori privați pentru a afla care membri ai consiliului HP au scos informații în presă în 2005, au reușit să furnizeze IP-urilor cu ultimele patru cifre ale „numărului de securitate socială” al acestora – care AT T este acceptată ca dovadă a ID-ului înainte de a preda jurnalele de apeluri detaliate.
Acționați ca dvs. „sunteți responsabil. Majoritatea dintre noi sunt pregătiți să respecte autoritatea – sau, după cum se dovedește, să respecte oamenii care acționează ca și cum ar avea autoritatea de a face ceea ce fac. Puteți exploata diferite grade de cunoaștere a proceselor interne ale unei companii pentru a convinge oamenii că aveți dreptul de a fi locuri sau de a vedea lucruri pe care nu ar trebui să le faceți, sau că o comunicare care vine de la dvs. vine într-adevăr de la cineva pe care îl respectă. De exemplu, în 2015, angajații de la finanțare de la Ubiquiti Networks au transferat milioane de dolari în bani companiei pentru a înșela artiștii care identificau directorii companiei, folosind probabil o adresă URL similară în adresa lor de e-mail. În ceea ce privește tehnologia inferioară, anchetatorii care lucrează pentru tabloidele britanice la sfârșitul anilor 00 și începutul anilor 10 au găsit adesea modalități de a obține acces la conturile de mesagerie vocală ale victimelor, pretinzându-se că sunt alți angajați ai companiei de telefonie prin cacealma pură; de exemplu, un IP a convins-o pe Vodafone să reseteze codul de poștă vocală al actriței Sienna Miller, apelând și pretinzând că este „John de la controlul creditului”.
Uneori este vorba despre autoritățile externe ale căror cerințe le respectăm fără să ne gândim prea mult. Hillary Clinton campanie, John Podesta a primit e-mailul spionat de spionii ruși în 2016, când i-au trimis un e-mail de phishing, deghizat într-o notă de la Google, prin care i-a cerut să-și reseteze parola. Prin acțiuni care credeau că îi vor securiza contul, el și-a dat de fapt datele de conectare departe.
Prevenirea ingineriei sociale
Instruirea de conștientizare a securității este principala modalitate de prevenire a ingineriei sociale. Angajații ar trebui să fie conștienți de faptul că ingineria socială există și să fie familiarizați cu tactici folosite doar în mod negativ.
Din fericire, conștientizarea ingineriei sociale se pretează la povestiri. Iar poveștile sunt mult mai ușor de înțeles și mult mai interesante decât explicațiile defectelor tehnice. Testele și afișele atrăgătoare sau pline de umor sunt, de asemenea, memento-uri eficiente pentru a nu presupune că toată lumea este cine spune că sunt.
Dar nu este doar angajatul mediu care trebuie să fie conștient de ingineria socială. Conducerea superioară și directorii sunt țintele principale ale întreprinderii.
5 sfaturi pentru apărarea împotriva ingineriei sociale
Contribuitorul OSC Dan Lohrmann oferă următoarele sfaturi:
1. Antrenează-te și antrenează-te din nou în ceea ce privește conștientizarea securității.
Asigură-te că ai un program cuprinzător de instruire în domeniul conștientizării securității, actualizat în mod regulat pentru a aborda atât amenințările generale de phishing, cât și noile amenințări cibernetice vizate. Amintiți-vă, acesta este nu doar despre a face clic pe linkuri.
2. Oferiți personalului cheie o prezentare detaliată despre „cele mai recente tehnici de fraudă online”
Da, includeți directori superiori, dar nu uitați pe oricine are autoritatea de a efectua transferuri bancare sau alte tranzacții financiare.Amintiți-vă că multe dintre poveștile adevărate care implică fraude apar cu personalul de nivel inferior care se lasă păcălit să creadă că un executiv le cere să întreprindă o acțiune urgentă – de obicei ocolind procedurile și / sau controalele normale.
3. Examinați procesele, procedurile și separarea atribuțiilor existente pentru transferurile financiare și alte tranzacții importante.
Adăugați controale suplimentare, dacă este necesar. Amintiți-vă că separarea îndatoririlor și alte protecții poate fi compromisă la un moment dat de amenințările din interior, astfel încât revizuirea riscurilor poate fi necesară reanalizată, având în vedere amenințările crescute.
4. Luați în considerare noile politici legate de tranzacțiile „în afara benzii” sau de cererile urgente ale executivilor.
Un e-mail din contul Gmail al CEO ar trebui să trimită automat un semnal roșu către personal, dar trebuie să înțeleagă cele mai noi tehnici implementate de partea întunecată. Aveți nevoie de proceduri de urgență autorizate, care să fie bine înțelese de toți.
5. Examinați, rafinați și testați gestionarea incidentelor și sistemele de raportare a phishingului.
Rulați un exercițiu de masă cu conducerea și cu personalul cheie pe un în mod regulat. Controlați testele și controlați potențialele zone de vulnerabilitate.
Set de instrumente pentru inginerie socială
Un număr de furnizori oferă instrumente sau servicii pentru a ajuta la desfășurarea exercițiilor de inginerie socială și / sau pentru a creșteți gradul de conștientizare a angajaților prin mijloace precum postere și buletine informative.
De asemenea, merită verificat și setul de instrumente de inginerie socială social-engineer.org, care este o descărcare gratuită. Setul de instrumente ajută la automatizarea testelor de penetrare prin inginerie socială, inclusiv atacuri de tip phishing, crearea de site-uri web cu aspect legitim, atacuri bazate pe unități USB și multe altele.
O altă resursă bună este The Social Engineering Framework.