Социальная инженерия: как преступники эксплуатируют поведение человека

#Обучение

Социальная инженерия – это искусство использования человеческой психологии, а не технических методов взлома, для получения доступа к зданиям, системам или данным.

Например, вместо того, чтобы пытаться найти уязвимость программного обеспечения, социальный инженер может позвонить сотруднику и выдать себя за сотрудника службы поддержки, пытаясь обмануть сотрудника в разглашении его пароля.

Знаменитый хакер Кевин Митник помог популяризировать термин «социальная инженерия» в 90-х годах, хотя идея и многие из техник существовали с тех пор, как были мошенники.Даже если у вас самая лучшая защита, и вы вложили средства в защитные технологии, вы располагаете правильными политиками и процессами безопасности и измеряете их эффективность и постоянно улучшаетесь, все еще хитрый социальный инженер может проложить свой путь прямо через (или вокруг).

Методы социальной инженерии

Социальная инженерия оказалась очень успешным способом проникновения преступника в вашу организацию. Когда у социального инженера есть пароль доверенного сотрудника, он может просто войти в систему и просмотреть важные данные. С помощью карты доступа или кода для того, чтобы физически проникнуть внутрь учреждения, преступник может получить доступ к данным, украсть активы или даже причинить вред людям.

В статье «Анатомия взлома» тестер проникновения рассказывает, как он использовал текущие события, общедоступную информацию, доступную на сайтах социальных сетей, и футболку Cisco за 4 доллара, которую он купил в благотворительном магазине, чтобы подготовиться к незаконному проникновению. Рубашка помогла ему убедить администрацию здания и других сотрудников, что он был сотрудником Cisco во время технической поддержки. Оказавшись внутри, он смог дать другим членам своей команды незаконный въезд. Ему также удалось сбросить несколько вредоносных USB-устройств и взломать сеть компании – все в поле зрения других сотрудников. 

Вам не нужно идти куда-либо, чтобы осуществить социальную инженерию. Она работает так же хорошо по электронной почте, телефону или в социальных сетях. Общим для всех этих атак является то, что они используют человеческую природу в своих интересах, охотясь на нашу жадность, страх, любопытство и даже наше желание помогать другим.

Примеры социальной инженерии

Преступникам часто требуются недели и месяцы, чтобы узнать место, прежде чем даже войти в дверь или сделать телефонный звонок. Их подготовка может включать в себя поиск списка телефонов компании или организационной диаграммы и исследование сотрудников в социальных сетях, таких как LinkedIn или Facebook.

1. По телефону
2. Социальный инженер может позвонить и притвориться коллегой по работе или доверенным внешним органом (таким как правоохранительные органы или аудитор).

2. В офисе

«Можете ли вы держать дверь для меня? У меня нет своего ключа / карты доступа». Как часто вы слышали это в своем здании? Хотя тот, кто спрашивает, может не показаться подозрительным, это очень распространенная тактика, используемая социальными инженерами.

3. Интернет

сайты социальных сетей облегчают проведение атак социальной инженерии. Сегодняшние злоумышленники могут посещать сайты, такие как LinkedIn, и находить всех пользователей, которые работают в компании, и собирать множество подробной информации, которая может быть использована для дальнейшей атаки. 

Социальные инженеры также используют новости, праздники, поп-культуру и другие устройства, чтобы заманить жертв. В фильме «Женщина» теряет 1825 долларов из-за мошеннических покупок, называемых «BestMark, Inc.», вы видите, как преступники использовали имя известной компании, занимающейся мистическими покупками, для проведения мошенничества. Мошенники часто используют поддельные благотворительные организации для достижения своих преступных целей в праздничные дни. 

Злоумышленники также будут настраивать фишинговые атаки, ориентированные на известные интересы (например, любимых художников, актеров, музыку, политику, филантропию), которые можно использовать для того, чтобы побудить пользователей нажимать на вложенные вредоносные программы. 

Знаменитые атаки социальной инженерии

Хороший способ понять, какую тактику социальной инженерии вы должны учитывать, – это узнать о том, что использовалось в прошлом. Есть все детали в обширной статье на эту тему , но на данный момент давайте сосредоточимся на трех методах социальной инженерии – независимо от технологических платформ – которые были успешны для мошенников в значительной степени.

Предложите что-нибудь сладкое. Как скажет любой мошенник, самый простой способ мошенничества – использовать собственную жадность. Это основа классического мошенничества в Нигерии 419, в котором мошенник пытается убедить жертву помочь получить предположительно незаконно полученные наличные деньги из своей страны в безопасный банк, предлагая часть средств в обмен. Эти электронные письма «нигерийского принца» десятилетиями были шуткой, но они по-прежнему являются эффективным методом социальной инженерии, к которому люди относятся: в 2007 году казначей малонаселенного округа Мичиган выделил 1,2 миллиона долларов в виде государственных средств такому мошеннику в надежды на личную выгоду. Еще одна распространенная приманка – это перспектива новой, лучшей работы, которая, по-видимому, является тем, чего многие из нас хотят: в крайне смущающем нарушении 2011 года,

Поддельные, пока вы не сделаете это. Один из самых простых – и на удивление наиболее успешных – методов социальной инженерии – просто притворяться вашей жертвой. В одном из легендарных ранних мошенничеств Кевина Митника он получил доступ к серверам разработки ОС Digital Equipment Corporation, просто позвонив в компанию, заявив, что является одним из их ведущих разработчиков, и сказав, что у него возникли проблемы при входе в систему; он был немедленно вознагражден новым логином и паролем. Все это произошло в 1979 году, и вы могли бы подумать, что с тех пор все стало бы лучше, но вы ошибаетесь: в 2016 году хакер получил контроль над адресом электронной почты Министерства юстиции США и использовал его, чтобы выдать себя за сотрудника, обманывая его. справочной службе для передачи токена доступа для интрасети DoJ, сказав, что это была его первая неделя на работе

Действуй, как будто ты главный. Большинство из нас склонны уважать власть или, как выясняется, уважать людей, которые действуют как будто они имеют право делать то, что делают. Вы можете использовать различную степень знаний о внутренних процессах компании, чтобы убедить людей в том, что у вас есть право быть на месте или видеть то, что вы не должны, или что сообщение, исходящее от вас, действительно исходит от того, кого они уважают. Например, в 2015 году финансовые работники Ubiquiti Networks перечислили миллионы долларов денег компании в руки мошенников, которые выдавали себя за руководителей компаний, вероятно, используя похожий URL в своем адресе электронной почты. С другой стороны, следователи, работавшие на британские таблоиды в конце 00-х и начале 10-х годов, часто находили способы получить доступ к учетным записям голосовой почты жертв, выдавая себя за других сотрудников телефонной компании путем явного блефа

Хиллари Клинтон Джон подверглась взлому своей электронной почта русскими шпионами в 2016 году, когда они отправили ей фишинговое электронное письмо, замаскированное под Google, с просьбой восстановить свой пароль. Предприняв действия, которые, как она думала, защитят учетную запись

Профилактика социальной инженерии

Тренинг по повышению безопасности – это лучший способ предотвратить социальную инженерию. Сотрудники должны знать, что социальная инженерия существует, и знать наиболее часто используемые тактики. 

Не только средний сотрудник должен знать о социальной инженерии. Старшее руководство и руководители являются основными целями предприятия. 

Инструментарий социальной инженерии

Также стоит ознакомиться с пакетом Social Engineering Toolkit , который можно скачать бесплатно. Этот инструментарий помогает автоматизировать тестирование на проникновение с помощью социальной инженерии, включая фишинговые атаки, создание веб-сайтов, выглядящих легитимно, атаки на USB-накопителях и многое другое.

Еще один хороший ресурс – Социальная инженерия .

В настоящее время лучшая защита от атак социальной инженерии – это обучение пользователей и уровни технической защиты, позволяющие лучше обнаруживать атаки и реагировать на них. Обнаружение ключевых слов в электронных письмах или телефонных звонках может быть использовано, чтобы отсеять потенциальные атаки, но даже эти технологии, вероятно, будут неэффективными для остановки квалифицированных социальных инженеров. 

Источник