Socjotechnika
Ludzie, Socjotechnika

Jak przestępcy wykorzystują ludzkie zachowanie

Wyjaśnienie inżynierii społecznej: Jak przestępcy wykorzystują ludzkie zachowanie

Inżynieria społeczna to sztuka wykorzystywania ludzkiej psychologii zamiast technicznych technik hakowania, aby uzyskać dostęp do budynków, systemów lub danych. Wytrenuj się, aby dostrzec znaki.

Definicja inżynierii społecznej

Inżynieria społeczna to sztuka wykorzystywania ludzkiej psychologii zamiast technicznych technik hakowania, aby uzyskać dostęp do budynków, systemów lub danych.

Na przykład, zamiast próbować znaleźć lukę w zabezpieczeniach oprogramowania, inżynier społeczny może zadzwonić do pracownika i udać się do działu wsparcia IT, próbując nakłonić pracownika do ujawnienia swojego hasła.

Słynny haker, Kevin Mitnick, pomógł w spopularyzowaniu terminu „inżynieria społeczna” w latach 90., chociaż pomysł i wiele technik istniało, dopóki pojawili się artyści oszustów.

Nawet jeśli masz wszystkie możliwości, aby zabezpieczyć swoje centrum danych, wdrożenia w chmurze, bezpieczeństwo fizyczne budynku i zainwestowałeś w technologie obronne, stosuj odpowiednie zasady i procesy bezpieczeństwa i mierz ich Skuteczność i ciągłe doskonalenie, nadal sprytny inżynier społeczny może prześlizgnąć się przez (lub dookoła).

 

Techniki socjotechniczne

Inżynieria społeczna okazała się bardzo skutecznym sposobem, aby przestępca „dostał się do twojej organizacji”. Gdy socjolog ma hasło zaufanego pracownika, może po prostu zalogować się i węszyć w poszukiwaniu wrażliwych danych. Dzięki karcie dostępu lub kodowi, aby fizycznie dostać się do obiektu, przestępca może uzyskać dostęp do danych, ukraść aktywa, a nawet skrzywdzić ludzi.

W artykule  Anatomia włamania  tester penetracji omawia sposób, w jaki wykorzystywał bieżące wydarzenia, informacje publiczne dostępne na portalach społecznościowych oraz koszulę Cisco za 4 USD, którą kupił w sklepie z używanymi rzeczami, aby przygotować się do nielegalnego wejścia. Koszula pomogła mu przekonać recepcję budynku i innych pracowników, że był pracownikiem Cisco podczas wizyty wsparcia technicznego. Po wejściu do środka mógł również nielegalnie wjechać innym członkom zespołu. Udało mu się także upuścić kilka obciążonych złośliwym oprogramowaniem USB i włamać się do sieci firmy, a wszystko to w zasięgu wzroku innych pracowników.

Jednak nie musisz iść na zakupy do sklepu z artykułami używanymi, aby przeprowadzić atak inżynierii społecznej. Działają równie dobrze przez e-mail, telefon lub media społecznościowe. Wszystkie te ataki łączy to, że wykorzystują ludzką naturę na swoją korzyść, żerując na naszej chciwości, strachu, ciekawości, a nawet na naszym pragnieniu pomagania innym.

Przykłady inżynierii społecznej

Przestępcy często potrzebują tygodni i miesięcy, aby poznać miejsce, zanim nawet wejdą do drzwi lub zadzwonią. Ich przygotowanie może obejmować znalezienie firmowej listy telefonów lub schematu organizacyjnego oraz badanie pracowników na portalach społecznościowych, takich jak LinkedIn lub Facebook.

1. Przez telefon Inżynier społeczny może zadzwonić i udawać, że jest współpracownikiem lub zaufanym organem zewnętrznym (takim jak organy ścigania lub audytor).

2. W biurze
„Czy możesz trzymać dla mnie drzwi? Nie mam przy sobie mojego klucza / karty dostępu”. Jak często słyszałeś to w swoim budynku? Chociaż osoba pytająca może nie wydawać się podejrzana, jest to bardzo powszechna taktyka stosowana przez inżynierów społecznych.

3. Internetowe
serwisy społecznościowe ułatwiły przeprowadzanie ataków socjotechnicznych. Dzisiejsi napastnicy mogą odwiedzać witryny takie jak LinkedIn i znajdować wszystkich użytkowników pracujących w firmie oraz gromadzić wiele szczegółowych informacji, które można wykorzystać do dalszego ataku.

Inżynierowie społecznościowi wykorzystują także najnowsze wiadomości, święta, popkulturę i inne urządzenia, aby zwabić ofiary.  Oszuści często wykorzystują fałszywe organizacje charytatywne do realizacji swoich przestępczych celów podczas wakacji.

Atakujący będą również dostosowywać ataki phishingowe, aby celować w znane zainteresowania (np. Ulubionych artystów, aktorów, muzykę, politykę, filantropie), które można wykorzystać, aby zachęcić użytkowników do klikania załączników zawierających złośliwe oprogramowanie.

Słynne ataki inżynierii społecznej

Dobrym sposobem, aby dowiedzieć się, na jakie taktyki socjotechniki powinieneś zwrócić uwagę, jest wiedza o tym, co było używane w przeszłości. Skupmy się na trzech technikach inżynierii społecznej – niezależnych od platform technologicznych – które okazały się dużym sukcesem dla oszustów.

Zaproponuj coś słodkiego. Jak powie każdy oszust, najprostszym sposobem na oszustwo jest wykorzystanie własnej chciwości. Jest to podstawa klasycznego oszustwa w Nigerii 419, w którym oszust próbuje przekonać ofiarę do pomocy w pozyskaniu rzekomo źle zdobytej gotówki z własnego kraju do bezpiecznego banku, oferując część funduszy w zamian. Te e-maile z „księciem nigeryjskim” są od dziesięcioleci żartem, ale nadal są skuteczną techniką inżynierii społecznej, w której ludzie się zakochują: w 2007 r. Skarbnik słabo zaludnionego hrabstwa Michigan przekazał 1,2 miliona dolarów na publiczne oszustwo w nadzieji na osobiste zarobienie pieniędzy. Kolejną popularną przynętą jest perspektywa nowej, lepszej pracy, która najwyraźniej jest czymś co zdecydowanie zbyt wielu z nas chce.

Udawać, aż ci się uda. Jedną z najprostszych – i zaskakująco najbardziej udanych – technik inżynierii społecznej jest po prostu udawanie, że jesteś ofiarą. W jednym z legendarnych wczesnych oszustw Kevina Mitnicka uzyskał dostęp do serwerów programistycznych Digital Equipment Corporation po prostu dzwoniąc do firmy, podając się za jednego z głównych programistów i mówiąc, że ma problemy z zalogowaniem się; został natychmiast nagrodzony nowym loginem i hasłem. Wszystko to wydarzyło się w 1979 roku i można by pomyśleć, że od tego czasu wszystko się poprawiłoby, ale mylisz się: w 2016 roku haker przejął kontrolę nad adresem e-mail Departamentu Sprawiedliwości USA i użył go do podszywania się pod pracownika, namawiając biuro pomocy przy przekazywaniu tokena dostępu do intranetu DoJ, mówiąc, że był to jego pierwszy tydzień w pracy, a on tego nie zrobił

Wiele organizacji ma bariery mające na celu zapobieganie tego rodzaju bezczelnym podszywaniu się, ale często można je dość łatwo obejść. Gdy Hewlett-Packard zatrudnił prywatnych detektywów, aby dowiedzieć się, którzy członkowie zarządu HP wyciekali informacje do prasy w 2005 r., Byli oni w stanie dostarczyć do PI cztery ostatnie cyfry numeru ubezpieczenia społecznego swoich celów – które wsparcie techniczne AT&T zaakceptowało jako dowód tożsamości przed przekazaniem szczegółowych dzienników połączeń.

Zachowuj się jak ty. Większość z nas jest gotowa szanować autorytet – lub, jak się okazuje, szanować ludzi, którzy działają jakby mieli uprawnienia do robienia tego, co robią. Możesz wykorzystać różną wiedzę na temat wewnętrznych procesów firmy, aby przekonać ludzi, że masz prawo być miejscem lub widzieć rzeczy, których nie powinieneś, lub że komunikacja pochodząca od ciebie naprawdę pochodzi od osoby, którą szanują. Na przykład w 2015 r. Pracownicy finansowi w Ubiquiti Networks przekazali miliony dolarów w pieniądzach firmowych oszukańcom, którzy podszywali się pod dyrektorów firm, prawdopodobnie używając podobnego adresu URL w adresie e-mail. Z drugiej strony śledczy pracujący dla brytyjskich tabloidów pod koniec lat 00. i na początku lat 10. często znajdowali sposoby na uzyskanie dostępu do kont poczty głosowej ofiar, udając, że są innymi pracownikami firmy telefonicznej poprzez zwykłe blefowanie; na przykład,

Czasami są to władze zewnętrzne, których żądania przestrzegamy bez namysłu. John Podesta, honorowy kampanii Hillary Clinton, został zhakowany przez rosyjskich szpiegów w 2016 roku, gdy wysłali mu wiadomość phishingową ukrywaną jako wiadomość od Google z prośbą o zresetowanie hasła. Podejmując działania, które według niego zabezpieczyłyby jego konto, faktycznie podał swoje dane logowania.

Zapobieganie inżynierii społecznej

Szkolenie uświadamiające w zakresie bezpieczeństwa to najważniejszy sposób zapobiegania inżynierii społecznej. Pracownicy powinni zdawać sobie sprawę z istnienia inżynierii społecznej i znać najczęściej stosowane taktyki.

Na szczęście świadomość inżynierii społecznej nadaje się do opowiadania historii. A historie są znacznie łatwiejsze do zrozumienia i znacznie ciekawsze niż wyjaśnienie wad technicznych. Quizy i przykuwające uwagę lub humorystyczne plakaty są również skutecznymi przypomnieniami, aby nie zakładać, że każdy jest tym, za kogo się podaje.

Ale nie tylko przeciętny pracownik musi być świadomy inżynierii społecznej. Kierownictwo wyższego szczebla i kierownictwo są głównymi celami przedsiębiorstwa.

5 wskazówek, jak bronić się przed socjotechniką

Współpracownik CSO Dan Lohrmann oferuje następujące porady:

1. Trenuj i trenuj ponownie, jeśli chodzi o świadomość bezpieczeństwa.
Upewnij się, że masz kompleksowy program szkoleniowy dotyczący świadomości bezpieczeństwa, który jest regularnie aktualizowany w celu zaradzenia zarówno ogólnym zagrożeniom phishingowym, jak i nowym ukierunkowanym zagrożeniom cybernetycznym. Pamiętaj, że nie chodzi tylko o klikanie linków.

2. Przekazanie kluczowego personelu szczegółowego „briefingu” na temat najnowszych technik oszustw internetowych.
Tak, uwzględnij kierownictwo wyższego szczebla, ale nie zapomnij o nikim, kto ma uprawnienia do dokonywania przelewów lub innych transakcji finansowych. Pamiętaj, że wiele prawdziwych historii dotyczących oszustw ma miejsce w przypadku pracowników niższego szczebla, którzy oszukują się, że kierownictwo prosi ich o pilne działanie – zwykle z pominięciem normalnych procedur i / lub kontroli.

3. Przegląd istniejących procesów, procedur i rozdziału obowiązków dotyczących transferów finansowych i innych ważnych transakcji.
W razie potrzeby dodaj dodatkowe elementy sterujące. Pamiętaj, że rozdzielenie obowiązków i inne zabezpieczenia mogą w pewnym momencie zostać zagrożone przez zagrożenia wewnętrzne, więc przegląd ryzyka może wymagać ponownej analizy ze względu na zwiększone zagrożenia.

4. Rozważ nowe zasady dotyczące transakcji „poza pasmem” lub pilnych wniosków wykonawczych.
Wiadomość e-mail z konta Gmail CEO powinna automatycznie podnieść czerwoną flagę do pracowników, ale muszą oni zrozumieć najnowsze techniki stosowane przez ciemną stronę. Potrzebujesz autoryzowanych procedur awaryjnych, które są dobrze zrozumiałe dla wszystkich.

5. Przejrzyj, udoskonal i przetestuj swoje systemy zarządzania incydentami i zgłaszania phishingu.
Regularnie przeprowadzaj ćwiczenie na stole z zarządem i kluczowym personelem. Przetestuj kontrole i potencjalne obszary podatności na zmiany techniczne.

Zestaw narzędzi do inżynierii społecznej

Wielu dostawców oferuje narzędzia lub usługi, które pomagają w przeprowadzaniu ćwiczeń z zakresu inżynierii społecznej i / lub budowaniu świadomości pracowników za pomocą takich środków, jak plakaty i biuletyny.

Warto również sprawdzić zestaw narzędzi inżynierii społecznej social-engineer.org  , który można pobrać bezpłatnie. Zestaw narzędzi pomaga zautomatyzować testy penetracyjne za pomocą inżynierii społecznej, w tym  ataki typu phishing spear , tworzenie legalnie wyglądających stron internetowych, ataki oparte na napędzie USB i inne.

Innym dobrym źródłem są ramy socjotechniki .

Obecnie najlepszą obroną przed atakami inżynierii społecznej jest edukacja użytkowników i poziomy zabezpieczeń technologicznych w celu lepszego wykrywania ataków i reagowania na nie. Wykrywanie słów kluczowych w wiadomościach e-mail lub rozmowach telefonicznych może być wykorzystane do wyeliminowania potencjalnych ataków, ale nawet te technologie prawdopodobnie nie będą skuteczne w powstrzymywaniu wykwalifikowanych inżynierów społecznych.

Leave a Comment

Twój adres email nie zostanie opublikowany. Pola, których wypełnienie jest wymagane, są oznaczone symbolem *

*

Instagram