it-swarm-eu.dev

Je sociální inženýrství skutečnou hrozbou

Nedávno jsem dokončil knihu mění podvodu: Řízení lidského prvku bezpečnosti od Kevin Mitnick

Kniha byla vydána 4. prosince 2002. Nemluvíme jen o technikách popsaných v této knize, ale jsou způsoby, které sociální inženýři stále používají, dnes hrozbou?

Myslím si, že nyní, když jsme se alespoň 10 let od knihy a problémů v ní popsaných dostali, měli bychom být vůči takovým útokům imunní, protože můžeme rychle ověřit veškeré informace, které nám byly předloženy, a možnosti použít cyphering, high-speed mobile síťová připojení, systémy kontroly oprávnění, biometrická identifikace atd. ...

Žiji ve falešném smyslu pro bezpečnost, nebo to ze mě mluví strach?


A teď můžete přemýšlet o tom, zda bylo sociální inženýrství položit takovou otázku a získat všechny své cenné znalosti, nebo ne. :-)

105
Marek Sebera

Rozhodně žijete ve smyslu falešné bezpečnosti! Sociální inženýrství je dnes stále velmi rozšířené a pochybuji, že se to v průběhu desítek let změní, pokud vůbec.

Zde je několik stručných vysvětlení, proč funguje sociální inženýrství. Je těžké pokrýt vše, protože sociální inženýrství je opravdu široké pole.

Některé důvody, proč funguje sociální inženýrství (Z knihy citované dole):

  • Většina lidí si přeje být zdvořilý, zejména k cizincům
  • Profesionálové chtějí vypadat dobře informovaní a inteligentní
  • Pokud jste chváleni, budete často mluvit více a prozradit více
  • Většina lidí by nelhala kvůli lhaní
  • Většina lidí laskavě reaguje na lidi, kteří se zdají být znepokojeni

Být užitečný

Lidé si obvykle chtějí navzájem pomáhat. Rád děláme hezké věci!

  • Narazil jsem na recepci ve velké firemní kanceláři s papíry namočenými v kávě. Mluvím s recepční a vysvětlím, že mám schůzku na pracovní pohovor za 5 minut, ale právě jsem rozlil kávu na všechny své papíry. Pak se zeptám, jestli by recepční mohl být tak sladký, a vytisknout je znovu pro mě s touto USB pamětí, kterou mám.

    Mohlo by to vést ke skutečné infekci PC recepční a mohlo by mi to získat oporu v síti.

Používání strachu

Strach z neúspěchu nebo nedělání podle pokynů:

  • Facebooková stránka ředitele společnosti (John Smith) (nebo jakýkoli jiný zdroj informací) ukazuje, že právě odjel na plavbu po dobu 3 týdnů. Zavolám sekretářce a velícím hlasem říkám: „Ahoj, volá Chris. Právě jsem opustil telefon s Johnem Smithem, má velmi dobrý čas na své plavbě se svou ženou Carlou a dětmi. Nicméně jsme v uprostřed integrace velmi důležitého obchodního systému, a řekl mi, abych vám zavolal, abyste nám mohli pomoci. Nemohl volat sám sebe, protože jde o safari, ale to je opravdu naléhavé. Vše, co musíte udělat, je vzít USB flash disk, který mu je zaslán v poště a zapojen, spusťte počítač a my jsme hotovi. Projekt přežije!

    Děkuji mnohokrát! Byla jste skvělá pomoc! Jsem si jistý, že vás John Smith uzná za tento čin vstřícnosti. "

Hra na reciproci

  • Dveře zavazadlového prostoru. Zadržuji pro vás vstupní dveře a rychle za tebou chodím. Když otevřete další dveře, což je zabezpečené zabezpečení, zamířím stejným směrem a většina lidí se pokusí splácet užitečnou akci tím, že pro vás dveře opět podrží, čímž se dostanete na místo, kde byste neměli být. Bojíte se, že vás chytí? Ne. Jen říkáš, že je ti líto a že jsi šel špatně.

    Cíl by se téměř cítil povinen držet dveře za vás!

Využití zvědavosti

  • Zkuste hodit 10 USB flash disků na různá místa ve vaší organizaci. Nemusíte je umisťovat na příliš zjevná místa. USB by mělo mít automaticky spuštěný domácí program telefonu, abyste viděli, kdy někdo připojí USB flash disk a měl by být teoreticky využit.

    Další verzí tohoto je vyhodit USB flash disky s jediným dokumentem PDF, který se nazývá např. „John Smith - Norway.pdf“. Dokument PDf obsahuje exploat Adobe Acrobat Reader (existuje spousta a poté, co uživatel klikne na dokument, který bude vlastnit. Samozřejmě jste se ujistili, že je zneužití přizpůsobeno konkrétní verzi Adobe cílové organizace. Bude pro většinu lidí přirozené otevřít dokument, aby mohli zkuste USB disk vrátit jeho vlastníkovi.

    • Dalším příkladem zvědavosti (možná jiný termín to vysvětluje lépe) jsou všechny tyto SPAM maily nebo špatné internetové reklamy, že jste něco vyhráli nebo nigerijský princ vám nabízí spoustu peněz, pokud mu můžete pomoci. Jsem si jist, že jste s nimi již obeznámeni, ale jedná se také o útoky na sociální inženýrství a důvod, proč se nezastavili, je, že stále fungují!

To je jen několik příkladů. Samozřejmě existuje spousta tun!

Můžeme se také podívat na historické události sociálního inženýrství:

HBGary

Celý příběh si můžete přečíst zde (Strana 3 obsahuje část sociálního inženýrství)

  • V loňském roce byl HBGary hacknut. Tento útok zahrnoval mnoho různých kroků, ale také aspekt sociálního inženýrství. Hacker v krátkosti vyprávěl e-mailový účet společnosti VIP) ve společnosti a poslal e-mail administrátorovi cílového systému, který řekl něco podobného: „Ahoj Johne, v současné době jsem v Evropě a poskakuji mezi letišti. Můžete mi otevřít SSH na vysoce číslovaném portu pocházejícím z jakékoli IP? Potřebuji udělat nějakou práci. “Když administrátor dostane tento e-mail, cítí, že je přirozené vyhovět tomuto, když e-mail pochází z důvěryhodného zdroje.

    Ale to není ono! Útočník měl heslo k účtu, ale přihlášení nefungovalo! Takže pošle e-mailem zpět administrátorovi: „Hej znovu, zdá se, že to nefunguje. Heslo je stále správné? Jaké bylo uživatelské jméno znovu?“. Nyní také poskytl skutečné heslo pro systém (útočník to měl z dřívějšího kompromisu jiného systému ve stejném hacku), což útočníkovi poskytlo mnohem větší důvěru správce. Správce samozřejmě souhlasí a sdělí útočníkovi své uživatelské jméno.

Seznam nahoře pochází z knihy " Sociální inženýrství: Umění lidského hackování " a mohu ho velmi doporučit!

166
Chris Dale

Ano, jakýkoli systém je stejně slabý jako nejslabší člen, a to je lidská bytost a vždy to bude.

Můžete být 'imunní' pro některé z těchto nejzřetelnějších technik nyní, ale platí to stejně pro stresovaného sekretáře, který dostane telefonní hovor od 'IT oddělení' pro rychlé vyhledání některých důležitých informací na počítači jejích šéfů, které nemohou čekat, až po nadcházejícím víkendu, oh a podivném okně, které by se mohlo objevit a zeptejte se nedůležité otázky, stačí kliknout na Accept. Samozřejmě to udělá ... každý to udělá ve špatné situaci ...

29
ordag

Sociální inženýrství (SE) není jen o využívání informací, které má útočník, ale také o využívání vzorců (lidského) chování.

Abychom to vysvětlili, udělejme trochu cvičení - řekněme nahlas barvu, ne slovo.

enter image description here

Vidíte zde „vykořisťování“? Použití tohoto „vykořisťování“ v reálném životě je velmi sporné, ale velmi jasně nám ukazuje, jak může být náš mozek manipulován, i když máme platné informace (všichni jsme se naučili barvy, když jsme byli miminka).

Příkladem skutečného života by mohlo být něco takového - řekněme, že chcete, aby sekretářka vložila USB do jejího počítače. Jít k ní a zdvořilý požádat ji, aby tak učinila, by mohlo být odmítnuto, zejména pokud existují politiky, které to zakazují. Ale mohl byste se obléknout, vylít kávu na vaše košile/kalhoty a na vaše papíry a pak k ní přijít, držet ty papíry a říkat - „Jsem pozdě na schůzku a když jsem jel sem, došla kočka před mým autem a začal jsem opravdu tvrdě lámat. Kočka přežila, ale moje papíry ne. Vím, že je to zvláštní žádost, ale prosím, mohli byste si ji vytisknout pro mě? Jsem opravdu pozdě a váš šéf může být opravdu na mě naštvaný! “

Tomu se říká záminka av podstatě jde o roli, kterou hraje SEr. Co děláme v této zámince? Využíváme emoce. Pokud se to hraje dobře a vaše mikroexprese jsou pravé, s největší pravděpodobností udělá, co chcete. Proč? Protože my, lidé, jsme takto kódováni. Ano, možná bude vědět, že uvedení neznámého zařízení do jejího počítače může být škodlivé; ano, mohla by být o tom poučena, ale buďme vážní, pokusili jste se nenarazit na kočku, nepili jste kávu, zničili jste oblek, už jste na schůzce pozdě, šéf se na vás zlobí a nyní některé zásady žádají, aby vám byla hrubá. No tak ... Klíčovou součástí je však nastavit ji do správné nálady - litovat vás. Aby to bylo možné, musí být vaše mikroexprese interpretována jako pravdivá (pravá). Pokud jste hráli správně, máte stejné efekty jako u barev. Ví, že by to neměla dělat (barva slov), ale emoce jí říkají jinak (význam slov).

Další trik, který SEr může vytáhnout na cíl, je tzv. Pavlovův psí experiment . Co tedy má slintající pes společného s ITSec? Řekněme, že chci vědět o fyzické bezpečnosti na vašem pracovišti. Víte, že byste se mnou tyto informace neměli sdílet. Také vím, že po práci vždy chodíte na drink do místní hospody. Jednoho dne se představím a začneme mluvit. Nejprve to bylo jen o vašem chladném autě. Pak jsme začali mluvit o ženách v baru, pak o našich exech, o loňských prázdninách atd. Celkově vzato něco o čem není neobvyklé mluvit, ale je to ze soukromého života. Když jsme se potkali, všimli jste si, že pokaždé, když se ptám, narazil jsem na stůl s cigaretou. Nejprve to může být dokonce nepříjemný zvyk, ale pak jste to prostě ignorovali. Po několika dnech/týdnech, kdy jste se kolem mě začali cítit pohodlně, jsem se začal ptát na vaše pracovní a pracovní prostředí. A kousek po kousku jsi mi řekl, co jsem chtěl vědět o fyzické bezpečnosti ve vaší společnosti.

Co jsem tady udělal? Příležitostným rozhovorem s tebou jsem trénoval tvůj mozek, aby mi odpověděl pokaždé, když jsem zasáhl stůl cigaretou. I když to není mytí mozku, a tím byste mi neřekli svá nejtemnější tajemství, představte si to jako - loupání jedné vrstvy cibule. Druhou vrstvou byla důvěra, kterou jsem získal časem stráveným s tebou v baru. A tak dále a dál ... manipuloval jsem s tebou a tento jednoduchý trik mi pomohl nezvýšet žádné červené vlajky, když jsem se tě ptal citlivých otázek. Opět to nebylo o informacích, které máte (neříkej to cizím lidem), ale o vašem chování a reakci na vnější svět.

Zde se snažím říci, že - bez ohledu na to, co víte, pokud jste ve správné situaci, uděláte to, co se od vás žádá. Proč? Protože je to v naší genetice.


Stačí uvést jeden nebo dva příklady „mimo IT“, jak mohou mít informace/znalosti, které mají za cíl, smysl, pokud je napaden zručným SEr. U soudu jsou důkazy čistě chladná fakta, ale dobrý právník může, bez ohledu na to, jak špatný je jeho klient, obrátit tyto skutečnosti ve svůj prospěch pomocí SE.

Než si koupíte auto, půjdete a informujte se, který je pro vás nejlepší. Když dorazíte do obchodu a koupíte si, může vás prodejce přesvědčit, že byste si měli koupit dražší auto znovu pomocí SE.

Také zkontrolujte toto video . Jak to udělal? Prostě jedná normální. Nic víc.

17
StupidOne

Je to jedna z nejpoužívanějších forem cíleného útoku, když je cílem interní informace - ve spolupráci s týmy útoku v oblasti sociálního inženýrství jsme měli mnoho let přístup do serverových místností a zabezpečených oblastí, obdrželi jsme důvěrné doklady, dostali účty na citlivých systémech atd. .

Lidé jako obecnost jsou nápomocní a nevědomí. Zní to drsně, ale celkově se lidé budou snažit pomoci někomu v nouzi, zvláště pokud ten člověk vypadá nebo zní hrozivě. A když se setkáme s někým, kdo ví více o systému nebo postupu, mnoho z nich udělá to, co se od nich požaduje.

Poměrně levný způsob, jak zlepšit zabezpečení v vaše organizaci - školení o zvyšování povědomí každý rok. Pokud jde o ránu za babku, může to být efektivnější než utrácet za bezpečnost IT.

10
Rory Alsop

Sociální inženýrství je stále velmi často nejslabším článkem. Lidé obecně důvěřují a někdy lidé, kteří řeší problémy technické podpory na nízké úrovni, jako je resetování hesla, jsou levnou špatně vyškolenou prací, která si není zvlášť vědoma bezpečnosti.

Kromě toho nemusí být informační bezpečnost nutně tak vysoká priorita, jako je spokojenost zákazníků, když jsou systémy/politiky navrhovány, což vede k slabým stránkám sociálního inženýrství.

6
dr jimbob

Social Engineer = Confidence Trixter. Con muži byli zcela úspěšní v porušení jakékoli metody zabezpečení (X) tam, kde X se rovná datům, zbraním, patentům, obchodním tajemstvím, heslům atd.

Vedení lidí je stejně staré jako čas a je flexibilní, protože mysl lidí se učí novou technologii a další slabá místa při interakci s ní.

Měl by to být vtip (Správa CVE-0) , ale nejlepším způsobem, jak zacílit na svůj útok, je poznat vaši společnost a najít méně technologického viceprezidenta společnosti, který otevře dveře klenotům společnosti.

5
Fiasco Labs

Podívejte se na veškerý phishingový spam ve vašem účtu, který byl pozastaven. Kdyby to někdy nefungovalo, neposílali by to. To je útok sociálního inženýrství.

A protože jsem psal svou původní odpověď, narazil jsem na další případ: Kovaný e-mail od šéfa podřízenému, který je přikázal, aby zaplatili šestimístnou částku na určitý bankovní účet jako platbu za obraz, který zakoupili. Kdokoli zkusil tento kopiják, neznal jeho cíl dostatečně dobře, takový nákup by pro něj byl mimo charakter.

1
Loren Pechtel