it-swarm-eu.dev

Ist Social Engineering eine tatsächliche Bedrohung?

Ich habe kürzlich das Buch Die Kunst der Täuschung: Kontrolle des menschlichen Elements der Sicherheit von Kevin Mitnick

Das Buch wurde am 4. Dezember 2002 veröffentlicht. Es geht nicht nur um die in diesem Buch beschriebenen Techniken, sondern sind die von Sozialingenieuren verwendeten Methoden auch heute noch eine Bedrohung?

Ich denke, jetzt, da wir uns mindestens 10 Jahre von dem Buch und den darin beschriebenen Problemen entfernt haben, sollten wir gegen solche Angriffe immun sein, da wir alle uns präsentierten Informationen schnell überprüfen können und die Möglichkeit haben, Hochgeschwindigkeits-Handys mit Verschlüsselung zu verwenden Netzwerkverbindungen, Berechtigungskontrollsysteme, biometrische Identifizierung usw.

Lebe ich in falschem Sicherheitsgefühl oder ist es Angst, von mir zu sprechen?


Und jetzt können Sie darüber nachdenken, ob es ein Social Engineering war, eine solche Frage zu stellen und all Ihr wertvolles Wissen zu erhalten oder nicht. :-)

105
Marek Sebera

Sie leben definitiv in einem Gefühl falscher Sicherheit! Social Engineering ist bis heute weit verbreitet, und ich bezweifle, dass sich dies in Jahrzehnten, wenn überhaupt, ändern wird.

Hier einige kurze Erklärungen, warum Social Engineering funktioniert. Es ist schwierig, alles abzudecken, da Social Engineering ein wirklich weites Feld ist.

Einige Gründe, warum Social Engineering funktioniert (Aus dem unten zitierten Buch):

  • Die meisten Menschen haben den Wunsch, höflich zu sein, besonders gegenüber Fremden
  • Profis wollen gut informiert und intelligent erscheinen
  • Wenn Sie gelobt werden, werden Sie oft mehr reden und mehr preisgeben
  • Die meisten Menschen würden nicht lügen, um zu lügen
  • Die meisten Menschen reagieren freundlich auf Menschen, die besorgt über sie zu sein scheinen

Hilfsbereit sein

Normalerweise wollen Menschen einander helfen. Wir machen gerne schöne Dinge!

  • Ich renne mit meinen in Kaffee getränkten Papieren in die Rezeption einer großen Unternehmenszentrale. Ich spreche mit der Rezeptionistin und erkläre, dass ich in 5 Minuten ein Vorstellungsgespräch habe, aber ich habe nur Kaffee über alle meine Papiere verschüttet. Ich frage dann, ob die Rezeptionistin so süß sein könnte und drucke sie mit diesem USB-Speicherstick, den ich habe, erneut für mich aus.

    Dies kann zu einer tatsächlichen Infektion des PCs der Empfangsdame führen und mir helfen, im Netzwerk Fuß zu fassen.

Angst benutzen

Die Angst zu versagen oder nicht wie befohlen zu tun:

  • Die Facebook-Seite des Direktors des Unternehmens (John Smith) (oder eine andere Informationsquelle) zeigt, dass er gerade drei Wochen lang auf einer Kreuzfahrt war. Ich rufe die Sekretärin an und sage mit befehlender Stimme: "Hallo, es ist Chris, der anruft. Ich habe gerade mit John Smith telefoniert, er hat eine sehr gute Zeit auf seiner Kreuzfahrt mit seiner Frau Carla und seinen Kindern. Wir sind jedoch in der Während er ein sehr wichtiges Geschäftssystem integriert hat, sagte er mir, ich solle Sie anrufen, damit Sie uns helfen können. Er konnte sich nicht selbst anrufen, weil sie eine Safari machen, aber das ist wirklich dringend. Alles, was Sie tun müssen, ist zu nehmen den USB-Stick, der in der Mail an ihn adressiert ist und einstecken, den Computer starten und wir sind alle fertig. Das Projekt überlebt!

    Vielen Dank! Du warst eine große Hilfe! Ich bin sicher, John Smith wird Sie für diesen Akt der Hilfsbereitschaft anerkennen. ""

Auf Gegenbewegung spielen

  • Die Heckklappe. Ich halte die Eingangstür für dich und gehe schnell hinter dich. Wenn Sie die nächste Tür öffnen, die sicherheitsaktiviert ist, gehe ich in die gleiche Richtung, und die meisten Leute werden versuchen, die hilfreiche Aktion zurückzuzahlen, indem sie die Tür erneut für Sie halten, sodass Sie an einen Ort gelangen, an dem Sie nicht sein sollten. Sie haben Angst, erwischt zu werden? Nein. Du sagst nur, dass es dir leid tut und dass du den falschen Weg gegangen bist.

    Das Ziel würde sich fast verpflichtet fühlen, die Tür für Sie zu halten!

Die Neugier ausnutzen

  • Versuchen Sie, 10 USB-Sticks an verschiedenen Stellen in Ihrem Unternehmen abzulegen. Sie müssen sie nicht an zu offensichtlichen Stellen platzieren. Der USB sollte über ein automatisch laufendes Telefon-Home-Programm verfügen, damit Sie sehen können, wann jemand den USB-Stick anschließt, und sollte theoretisch ausgenutzt werden.

    Eine andere Version davon ist das Ablegen von USB-Sticks mit einem einzigen PDF Dokument, das z. B. "John Smith - Norway.pdf" heißt. Das PDf-Dokument enthält einen Adobe Acrobat Reader-Exploit (es gibt Unmengen davon) Sie) und sobald der Benutzer auf das Dokument klickt, dessen Eigentümer er ist, haben Sie natürlich sichergestellt, dass der Exploit auf die spezifische Version von Adobe der Zielorganisation zugeschnitten ist. Für die meisten Benutzer ist es selbstverständlich, das Dokument zu öffnen, damit sie es können Versuchen Sie, den USB-Stick an seinen Besitzer zurückzugeben.

    • Ein weiteres Beispiel für Neugier (vielleicht erklärt ein anderer Begriff dies besser) sind all diese SPAM-Mails oder schlechten Internet-Anzeigen, die Sie gewonnen haben oder die ein nigerianischer Prinz Ihnen eine Menge Geld anbietet, wenn Sie ihm helfen können. Ich bin mir sicher, dass Sie mit diesen bereits vertraut sind, aber es handelt sich auch um Social-Engineering-Angriffe, und der Grund, warum sie nicht aufgehört haben, ist, dass sie immer noch funktionieren!

Das sind nur einige Beispiele. Natürlich gibt es noch Tonnen mehr!

Wir können uns auch historische Social-Engineering-Ereignisse ansehen:

HBGary

Die ganze Geschichte kann gelesen werden hier (Seite 3 enthält den Social Engineering Teil)

  • Letztes Jahr wurde HBGary gehackt. Dieser Angriff umfasste viele verschiedene Schritte, aber auch einen Social-Engineering-Aspekt. Kurz gesagt, der Hacker hat das E-Mail-Konto eines VIP im Unternehmen) kompromittiert und eine E-Mail an einen Administrator des Zielsystems gesendet, in der er etwa Folgendes sagte: "Hallo John, ich bin derzeit in Europa und ich hüpfe zwischen Flughäfen. Können Sie SSH an einem hoch nummerierten Port für mich öffnen, der von einer IP-Adresse kommt? Ich muss einige Arbeiten erledigen. "Wenn der Administrator diese E-Mail erhält, hält er es für selbstverständlich, dies einzuhalten. da die E-Mail von einer vertrauenswürdigen Quelle stammt.

    Aber das ist es nicht! Der Angreifer hatte das Passwort für das Konto, aber die Anmeldung funktionierte nicht! Also schickt er eine E-Mail an den Administrator zurück. "Hey, es scheint nicht zu funktionieren. Das Passwort ist immer noch richtig? Wie war der Benutzername nochmal?". Jetzt hat er auch das eigentliche Passwort für das System angegeben (der Angreifer hatte es aus dem früheren Kompromiss eines anderen Systems im selben Hack), was dem Angreifer viel mehr Vertrauen vom Administrator gibt. Natürlich stimmt der Administrator zu und teilt dem Angreifer seinen Benutzernamen mit.

Die Liste oben stammt aus dem Buch " Social Engineering: Die Kunst des menschlichen Hackens " und ich kann es sehr empfehlen!

166
Chris Dale

Ja, jedes System ist genauso schwach wie das schwächste Mitglied und das ist der Mensch, und es wird immer so sein.

Sie sind vielleicht "immun" für einige dieser offensichtlichsten Techniken, aber gilt dies auch für die gestresste Sekretärin, die einen Anruf von der 'IT-Abteilung' , um schnell einige wichtige Informationen auf dem Computer ihres Chefs nachzuschlagen, die nicht bis nach dem kommenden Wochenende warten können, oh und dieses seltsame Fenster, das auftauchen könnte und Stellen Sie eine unwichtige Frage, sie soll einfach auf Accept klicken. Natürlich wird sie es tun ... jeder wird es in der falschen Situation tun ...

29
ordag

Beim Social Engineering (SE) geht es nicht nur darum, Informationen des Angreifers auszunutzen, sondern auch darum, (menschliches) Verhaltensmuster auszunutzen.

Um dies zu erklären, machen wir eine kleine Übung - sagen Sie laut die Farbe, nicht das Wort.

enter image description here

Kannst du den "Exploit" hier sehen? Die Verwendung dieses "Exploits" in der realen Situation ist sehr fragwürdig, aber es zeigt uns sehr deutlich, wie unser Gehirn manipuliert werden kann, selbst wenn wir die gültigen Informationen haben (wir alle haben Farben gelernt, als wir Babys waren).

Das Beispiel aus dem wirklichen Leben könnte ungefähr so ​​aussehen - nehmen wir an, Sie möchten, dass die Sekretärin Ihren USB-Stick in ihre Maschine steckt. Zu ihr zu gehen und sie höflich zu bitten, könnte abgelehnt werden, insbesondere wenn es Richtlinien gibt, die dies verbieten. Aber du könntest dich anziehen, Kaffee auf dein Hemd/deine Hose und auf deine Papiere verschütten und dann zu ihr kommen, diese Papiere halten und sagen: "Ich bin so spät zum Treffen und während ich hierher fuhr, rannte die Katze hinein Vor meinem Auto und ich fingen an, richtig hart zu brechen. Die Katze hat überlebt, aber meine Papiere nicht. Ich weiß, dass dies eine seltsame Bitte ist, aber bitte, können Sie sie für mich ausdrucken? Ich bin wirklich spät dran und Ihr Chef könnte es sein wirklich wütend auf mich! "

Dies nennt man Vorwand und im Grunde ist es eine Rolle, die SEr spielt. Was machen wir unter diesem Vorwand? Wir nutzen Emotionen aus. Wenn dies gut gespielt wird und Ihre Mikroausdrücke echt sind, wird sie höchstwahrscheinlich tun, was Sie wollen. Warum? Weil wir Menschen so codiert sind. Ja, sie weiß möglicherweise, dass das Einstecken eines unbekannten Geräts in ihren PC schädlich sein kann. Ja, sie könnte darüber aufgeklärt sein, aber seien wir mal ernst, Sie haben versucht, die Katze nicht zu schlagen, Sie haben Ihren Kaffee nicht getrunken, Sie haben Ihren Anzug ruiniert, Sie sind spät dran, der Chef wird wütend auf Sie sein, und Jetzt bittet eine Politik sie, unhöflich zu dir zu sein. Komm schon ... Das Wichtigste dabei ist jedoch, sie in die richtige Stimmung zu bringen - um Mitleid mit dir zu haben. Dazu müssen Ihre Mikroausdrücke von ihr als wahr (echt) interpretiert werden. Wenn Sie Ihre Karten richtig gespielt haben, haben Sie die gleichen Effekte wie bei Farben. Sie weiß, dass es etwas ist, das sie nicht tun sollte (Farbe der Wörter), aber Emotionen sagen ihr etwas anderes (Bedeutung der Wörter).

Ein weiterer Trick, den SEr auf das Ziel ziehen kann, ist Pawlows Hundeexperiment . Was hat der sabbernde Hund mit ITSec zu tun? Angenommen, ich möchte etwas über die physische Sicherheit an Ihrem Arbeitsplatz wissen. Sie wissen, dass Sie diese Informationen nicht mit mir teilen sollten. Ich weiß auch, dass man nach der Arbeit immer in die lokale Kneipe kommt, um etwas zu trinken. Eines Tages stelle ich mich vor und wir beginnen mit Smalltalk. Zuerst ging es nur um dein cooles Auto. Dann haben wir angefangen, über Frauen in der Bar zu sprechen, dann über unsere Exen, über die Ferien im letzten Jahr und so weiter ... Alles in allem etwas, worüber man nicht ungewöhnlich spricht, aber es ist aus dem Privatleben. Als wir uns trafen, haben Sie bemerkt, dass ich jedes Mal, wenn ich Fragen stelle, mit der Zigarette auf den Tisch gehe. Zuerst mag es sogar eine nervige Angewohnheit sein, aber dann hast du es einfach ignoriert. Nach einigen Tagen/Wochen, in denen Sie sich in meiner Umgebung wohl fühlten, begann ich nach Ihrer Arbeit und Ihrem Arbeitsumfeld zu fragen. Und Stück für Stück haben Sie mir gesagt, was ich über physische Sicherheit in Ihrem Unternehmen wissen wollte.

Was habe ich hier gemacht? Indem ich beiläufig mit Ihnen sprach, trainierte ich Ihr Gehirn, mir jedes Mal Antworten zu geben, wenn ich mit einer Zigarette auf den Tisch schlug. Dies ist zwar keine Gehirnwäsche, und wenn Sie dies nur tun, würden Sie mir nicht Ihre dunkelsten Geheimnisse verraten, stellen Sie sich dies als - Schälen einer Schicht Zwiebel vor. Die zweite Schicht war das Vertrauen, das ich mit der Zeit gewonnen habe, die ich mit Ihnen in der Bar verbracht habe. Und so weiter und so fort ... Ich habe dich manipuliert und dieser einfache Trick hat mir geholfen, keine roten Fahnen zu hissen, als ich dir sensible Fragen stellte. Auch hier ging es nicht um Informationen, die Sie haben (sagen Sie das nicht Fremden), sondern um Ihr Verhalten und Ihre Reaktion auf die Außenwelt.

Ich versuche hier zu sagen: Egal was Sie wissen, wenn Sie sich in der richtigen Situation befinden, werden Sie das tun, was von Ihnen verlangt wird. Warum? Weil es in unserer Genetik liegt.


Nur um ein oder zwei "Out-of-IT-Sektor" -Beispiele zu nennen, wie Informationen/Wissen, über die das Ziel verfügt, bedeutungslos sein können, wenn es von einem geschickten SEr angegriffen wird. Vor Gericht sind Beweise reine kalte Tatsachen, doch ein guter Anwalt kann, egal in welcher schlechten Position sein Mandant ist, diese Tatsachen mit SE zu seinen Gunsten wenden.

Bevor Sie ein Auto kaufen, informieren Sie sich, welches für Sie das Beste ist. Wenn Sie im Geschäft ankommen, um eines zu kaufen, kann der Verkäufer Sie davon überzeugen, dass Sie mit SE wieder ein teureres Auto kaufen sollten.

Auch siehe dieses Video . Wie hat er das gemacht? Indem ich mich einfach normal verhalte. Nichts mehr.

17
StupidOne

Es ist eine der am häufigsten verwendeten Formen gezielter Angriffe, wenn das Ziel interne Informationen sind. In langjähriger Zusammenarbeit mit Social-Engineering-Angriffsteams hatten wir Zugriff auf Serverräume und Sicherheitsbereiche, erhielten vertrauliche Unterlagen, erhielten Konten auf sensiblen Systemen usw. .

Die Menschen sind im Allgemeinen hilfsbereit und unwissend. Das klingt hart, aber im Großen und Ganzen werden die Leute versuchen, jemandem in Not zu helfen, besonders wenn diese Person nicht bedrohlich aussieht oder klingt. Und wenn Sie mit jemandem konfrontiert werden, der mehr über ein System oder eine Prozedur weiß, werden viele das tun, worum sie gebeten werden.

Ein relativ billiger Weg, um die Sicherheit in Ihrer Organisation - Sensibilisierungstraining jedes Jahr zu verbessern. In Bezug auf das Preis-Leistungs-Verhältnis kann dies effektiver sein als Ausgaben für IT-Sicherheit.

10
Rory Alsop

Social Engineering ist immer noch sehr oft das schwächste Glied. Die Menschen vertrauen im Allgemeinen und manchmal sind die Menschen, die Probleme mit dem technischen Support auf niedriger Ebene wie das Zurücksetzen von Passwörtern lösen, billige, schlecht ausgebildete Arbeitskräfte, die nicht besonders sicherheitsbewusst sind.

Darüber hinaus hat Informationssicherheit nicht unbedingt eine so hohe Priorität wie beispielsweise die Kundenzufriedenheit bei der Entwicklung der Systeme/Richtlinien, was zu Schwachstellen im Bereich Social Engineering führt.

6
dr jimbob

Social Engineer = Vertrauens-Trixter. Betrüger haben es voll und ganz geschafft, gegen jede Methode zur Sicherung von (X) zu verstoßen, bei der X Daten, Waffen, Patenten, Geschäftsgeheimnissen, Passwörtern usw. entspricht.

Menschen zu verbinden ist so alt wie die Zeit und flexibel, da die Köpfe der Menschen neue Technologien lernen und andere Schwachstellen bei der Interaktion mit ihnen.

Dies sollte ein Witz sein (Verwalten von CVE-0), aber der beste Weg, um Ihren Angriff zu zielen, besteht darin, Ihr Unternehmen zu kennen und einen weniger technisch versierten Vizepräsidenten des Unternehmens zu finden, der die Tür zu den Juwelen des Unternehmens öffnet.

5
Fiasco Labs

Schauen Sie sich all den Phishing-Spam an, den Ihr Konto ausgesetzt hat. Sie würden es nicht senden, wenn es manchmal nicht funktionieren würde. Das ist ein Social-Engineering-Angriff.

Und seit ich meine ursprüngliche Antwort geschrieben habe, bin ich auf einen anderen Fall gestoßen: Eine gefälschte E-Mail des Chefs an einen Untergebenen, in der er angewiesen wird, einen sechsstelligen Betrag auf ein bestimmtes Bankkonto zu zahlen, um ein von ihm gekauftes Gemälde zu bezahlen. Wer auch immer diesen Speerfisch probierte, kannte sein Ziel nicht gut genug, ein solcher Kauf wäre für ihn völlig untypisch gewesen.

1
Loren Pechtel