Socialteknisk definition
Socialteknik är konsten att utnyttja mänsklig psykologi, snarare än teknisk hackingsteknik, för att få tillgång till byggnader , system eller data.
Till exempel, istället för att försöka hitta en programvarusårbarhet, kan en socialingenjör ringa en anställd och utgöra sig som en IT-supportperson och försöka lura den anställde att avslöja sitt lösenord. / p>
Den berömda hackaren Kevin Mitnick hjälpte till att popularisera termen ”social engineering” på 90-talet, även om idén och många av teknikerna har funnits så länge det har funnits bluffartister.
Även om du har alla klockor och visselpipor när det gäller att säkra ditt datacenter, har dina molninstallationer, din byggnads fysiska säkerhet och du har investerat i defensiv teknik rätt säkerhetspolicyer och processer på plats och mäta deras effektivitet och kontinuerligt förbättra e, fortfarande kan en snygg social ingenjör slå sig igenom (eller runt).
Socialteknik
Socialteknik har visat sig vara ett mycket framgångsrikt sätt för en brottsling att ”komma in” i din organisation. När en socialingenjör har en betrodd anställds lösenord kan han helt enkelt logga in och leta efter känsliga uppgifter. Med ett åtkomstkort eller en kod för att fysiskt komma in i en anläggning kan brottslingen komma åt data, stjäla tillgångar eller till och med skada människor.
I artikeln Anatomy of a Hack går en penetrationstester igenom hur han använde aktuella händelser, offentlig information tillgänglig på sociala nätverkssajter och en $ 4 Cisco-skjorta som han köpte på en sparsamhetsbutik för att förbereda sig för hans olagliga inträde. Skjortan hjälpte honom att övertyga byggnadsmottagningen och andra anställda att han var Cisco-anställd på ett tekniskt supportbesök. En gång inuti kunde han också ge sina andra teammedlemmar olagligt inträde. Han lyckades också släppa flera USB-skivor laddade med skadlig programvara och hacka in i företagets nätverk, allt inom synhåll för andra anställda.
Du behöver inte shoppa i butik för att utlösa en socialteknisk attack. De fungerar lika bra via e-post, telefon eller sociala medier. Vad alla attackerna har gemensamt är att de använder den mänskliga naturen till sin fördel, förföljer vår girighet, rädsla, nyfikenhet och till och med vår önskan att hjälpa andra.
Exempel på socialteknik
Kriminella tar ofta veckor och månader att lära känna en plats innan du ens kommer in genom dörren eller ringer ett telefonsamtal. Deras förberedelser kan innefatta att hitta en företags telefonlista eller ett organisationsschema och undersöka anställda på sociala nätverkssajter som LinkedIn eller Facebook.
1. I telefon
En socialtekniker kan ringa och låtsas vara en medarbetare eller en betrodd extern myndighet (till exempel brottsbekämpning eller en revisor).
2. På kontoret
”Kan du hålla dörren åt mig? Jag har inte mitt nyckel / åtkomstkort på mig. ” Hur ofta har du hört det i din byggnad? Även om den som frågar kanske inte verkar misstänksam är detta en mycket vanlig taktik som används av sociala ingenjörer.
3. Online – Sociala nätverkssajter har gjort socialteknikattacker lättare att genomföra. Dagens angripare kan gå till webbplatser som LinkedIn och hitta alla användare som arbetar på ett företag och samla massor av detaljerad information som kan användas för att främja en attack.
Socialtekniker drar också nytta av att bryta nyhetshändelser, helgdagar, popkultur och andra apparater för att locka offer. In Woman förlorar 1825 dollar till mystery shopping-bedrägeri som poserar som BestMark, Inc. ser du hur brottslingar använde namnet på ett känt mystery shoppingföretag för att bedriva sin bedrägeri. Scammers använder ofta falska välgörenhetsorganisationer för att främja sina kriminella mål under semestern.
Angripare kommer också att anpassa nätfiskeattacker för att rikta kända intressen (t.ex. favoritartister, skådespelare, musik, politik, filantropier) som kan utnyttjas för att locka användare att klicka på bifogade filer med skadlig programvara.
Berömda socialtekniska attacker
Ett bra sätt att få en uppfattning om vilken socialteknik du bör se upp för är att veta om vad som har använts tidigare. Vi har fått alla detaljer i en omfattande artikel om ämnet, men för tillfället fokuserar vi på tre socialtekniska tekniker – oberoende av tekniska plattformar – som har varit framgångsrika för bedragare i stort.
Erbjud något sött. Som alla lurare kommer att berätta för dig är det enklaste sättet att bluffa ett märke att utnyttja sin egen girighet. Detta är grunden för den klassiska nigerianska 419-bedrägeriet, där bedragaren försöker övertyga offret att hjälpa till att få förmodligen dåligt inhämtade pengar från sitt eget land till en säker bank och erbjuda en del av medlen i utbyte.Dessa e-postmeddelanden från ”nigerianska prinsen” har varit ett löpande skämt i årtionden, men de är fortfarande en effektiv teknik för socialteknik som människor faller för: 2007 gav kassör i ett glesbefolkat Michigan län 1,2 miljoner dollar i offentliga medel till en sådan bedragare i förhoppningarna om att personligen tjäna pengar. En annan vanlig lockbete är utsikten till ett nytt, bättre jobb, vilket tydligen är något som alltför många av oss vill ha: i ett enormt pinsamt 2011-intrång kom säkerhetsföretaget RSA i fara när minst två låg- nivåanställda öppnade en skadlig fil som bifogades ett phishing-e-postmeddelande med filnamnet ”2011 recruitment plan.xls.”
Fake it tills du gör det. En av de enklaste – och förvånansvärt mest framgångsrika – teknikerna för socialteknik är att helt enkelt låtsas vara ditt offer. I en av Kevin Mitnicks legendariska tidiga bedrägerier fick han tillgång till Digital Equipment Corporations OS-utvecklingsservrar helt enkelt genom att ringa företaget och påstå sig vara en av deras ledande utvecklare och säga han hade problem med att logga in. han belönades omedelbart med ett nytt inloggnings- och lösenord. Allt hände 1979 och du skulle tro att saker och ting skulle ha förbättrats sedan dess, men du hade fel: 2016 fick en hackare kontroll över en e-postadress för det amerikanska justitiedepartementet och använde den för att utge sig för en anställd och lockade en helpdesk för att överlämna ett åtkomsttoken för DoJ-intranätet genom att säga att det var hans första vecka på jobbet och att han inte visste hur något fungerade.
Många organisationer har hinder som är avsedda att förhindra denna typ av fräcka efterlikningar, men de kan ofta kringgås ganska enkelt. När Hewlett-Packard anställde privata utredare för att ta reda på vilka HP-styrelseledamöter som läckte ut information till pressen 2005, kunde de förse PI med de fyra sista siffrorna i deras mål ”personnummer – vilket AT & T: s tekniska support accepteras som bevis på ID innan du överlämnar detaljerade samtalsloggar.
Gör som du är ansvarig. De flesta av oss är grundade på att respektera auktoritet – eller, som det visar sig, att respektera människor som agerar som om de har auktoritet att göra vad de gör. Du kan utnyttja olika grad av kunskap om företagets interna processer för att övertyga människor om att du har rätt att vara platser eller se saker som du inte borde, eller att en kommunikation som kommer från dig verkligen kommer från någon de respekterar. 2015 anslöt till exempel finansanställda på Ubiquiti Networks miljontals dollar i företagspengar till bluffartister som utgav sig företagsledare, förmodligen med en liknande URL i sin e-postadress. På den lägre tekniska sidan hittade utredare som arbetade för brittiska tabloider i slutet av 00- och tidiga 10-talet ofta sätt att få tillgång till offrets röstmeddelandekonton genom att låtsas vara andra anställda i telefonföretaget via ren bluffning, till exempel en PI övertygade Vodafone om att återställa skådespelerskan Sienna Millers röstbrevlåda genom att ringa och påstå sig vara ”John från kreditkontroll.”
Ibland är det externa myndigheter vars krav vi uppfyller utan att tänka mycket. Hillary Clinton kampanj honcho John Podesta fick sin e-post hackad av ryska spioner 2016 när de skickade ett phishing-e-postad förklädd till en anteckning från Google som bad honom återställa sitt lösenord. Genom att vidta åtgärder som han trodde skulle säkra sitt konto gav han faktiskt inloggningsuppgifterna. bort.
Socialteknikförebyggande
Utbildning i säkerhetsmedvetenhet är det främsta sättet att förhindra socialteknik. Anställda bör vara medvetna om att socialteknik finns och vara bekant med de mest endast används taktik.
Lyckligtvis lämnar socialteknikmedvetenhet sig till berättande. Och berättelser är mycket lättare att förstå och mycket mer intressanta än förklaringar av tekniska brister. Frågesporter och uppmärksammande eller humoristiska affischer är också effektiva påminnelser om att inte anta att alla är som de säger att de är.
Men det är inte bara den genomsnittliga anställd som behöver vara medveten om socialteknik. Ledande befattningshavare och chefer är primära mål för företaget.
5 tips för att försvara sig mot socialteknik
CSO-bidragsgivare Dan Lohrmann ger följande råd:
1. Träna och träna igen när det gäller säkerhetsmedvetenhet.
Se till att du har ett omfattande utbildningsprogram för säkerhetsmedvetenhet som uppdateras regelbundet för att hantera både de allmänna nätfiskehoten och de nya riktade cyberhoten. Kom ihåg att detta är inte bara om att klicka på länkar.
2. Ge en detaljerad genomgång ”roadshow” om de senaste onlinebedrägeriteknikerna till nyckelpersoner.
Ja, inkludera ledande befattningshavare, men glöm inte någon som har befogenhet att göra banköverföringar eller andra finansiella transaktioner.Kom ihåg att många av de sanna berättelserna om bedrägerier inträffar med personal på lägre nivå som luras att tro att en verkställande ber dem att genomföra en brådskande åtgärd – vanligtvis förbi normala rutiner och / eller kontroller.
3. Granska befintliga processer, förfaranden och åtskillnad mellan finansiella överföringar och andra viktiga transaktioner.
Lägg till extra kontroller om det behövs. Kom ihåg att åtskillnad mellan tull och annat skydd kan komma att äventyras någon gång av insiderhot, så riskgranskningar kan behöva analyseras på nytt med tanke på de ökade hoten.
4. Tänk på nya policyer relaterade till ”out of band” -transaktioner eller brådskande chefsförfrågningar.
Ett e-postmeddelande från VD: s Gmail-konto ska automatiskt höja en röd flagga till personalen, men de måste förstå de senaste teknikerna som används av den mörka sidan. Du behöver auktoriserade nödrutiner som är välkända av alla.
5. Granska, förfina och testa rapporteringssystem för incidenthantering och nätfiske.
Kör en bordsövning med ledningen och med nyckelpersonal på en testa kontroller och omarbeta potentiella områden med sårbarhet.
Social engineering toolkit
Ett antal leverantörer erbjuder verktyg eller tjänster för att genomföra socialtekniska övningar och / eller bygg upp medarbetarnas medvetenhet med hjälp av affischer och nyhetsbrev.
Det är också värt att kolla in social-engineer.orgs Social Engineering Toolkit, som är en gratis nedladdning. Verktygssatsen hjälper till att automatisera penetrationstest via socialteknik, inklusive spjutfiskeattacker, skapande av legitima webbplatser, USB-enhetsbaserade attacker och mer.
En annan bra resurs är The Social Engineering Framework.