it-swarm-eu.dev

L'ingegneria sociale è una vera minaccia

Ho recentemente finito il libro L'arte dell'inganno: controllare l'elemento umano della sicurezza di Kevin Mitnick

Il libro è stato pubblicato il 4 dicembre 2002. Non si parla solo delle tecniche descritte in questo libro, ma i modi utilizzati dagli ingegneri sociali sono ancora oggi una minaccia?

Penso che ora, siccome ci siamo allontanati di almeno 10 anni dal libro e dai problemi in esso descritti, dovremmo essere immuni da tali attacchi, in quanto possiamo verificare rapidamente qualsiasi informazione che ci viene presentata e con possibilità di utilizzare un dispositivo mobile ad alta velocità connessioni di rete, sistemi di controllo dei privilegi, identificazione biometrica, ecc ...

Vivo in un falso senso di sicurezza o è paura di parlare da parte mia?


E ora puoi pensare, se era ingegneria sociale porre tale domanda e ottenere o meno tutte le tue preziose conoscenze. :-)

105
Marek Sebera

Sicuramente vivi in ​​un senso di falsa sicurezza! L'ingegneria sociale è ancora molto diffusa oggi e dubito che sta per cambiare tra decenni se non mai.

Ecco alcune brevi spiegazioni sul perché il social engineering funziona. È difficile coprire tutto perché il social engineering è un campo davvero ampio.

Alcuni motivi per cui il social engineering funziona (dal libro citato in fondo):

  • Molte persone hanno il desiderio di essere educate, specialmente con gli estranei
  • I professionisti vogliono apparire ben informati e intelligenti
  • Se sei elogiato, spesso parlerai di più e divulgherai di più
  • La maggior parte delle persone non mentirebbe per il gusto di mentire
  • Molte persone rispondono gentilmente alle persone che sembrano preoccupate per loro

Essere utile

Di solito gli umani vogliono aiutarsi a vicenda. Ci piace fare cose carine!

  • Corro alla reception in un grande ufficio aziendale con i miei documenti imbevuti di caffè. Parlo con l'addetto alla reception e spiego che ho un colloquio di lavoro tra 5 minuti, ma ho appena versato il caffè su tutti i miei documenti. Chiedo quindi se l'addetto alla reception potrebbe essere così dolce e stamparli di nuovo per me con questa chiavetta USB che ho.

    Ciò potrebbe causare una vera infezione del PC della receptionist e potermi guadagnare un punto d'appoggio all'interno della rete.

Uso della paura

La paura di fallire o di non fare come ordinato:

  • La pagina facebook del direttore della compagnia (John Smith) (o qualunque altra fonte di informazione) rivela che è appena partito da una crociera per 3 settimane. Chiamo la segretaria e con voce dominante dico "Ciao, è Chris che chiama. Ho appena parlato al telefono con John Smith, si sta divertendo molto durante la sua crociera con sua moglie Carla e i suoi figli. Tuttavia, siamo nel nel mezzo dell'integrazione di un sistema aziendale molto importante e mi ha detto di chiamarti per consentirci di aiutarci. Non poteva chiamarsi perché stanno andando in un safari, ma questo è davvero urgente. Tutto quello che devi fare è prendere la chiavetta USB che gli viene indirizzata nella posta e collegala, avvia il computer e abbiamo finito. Il progetto sopravvive!

    Grazie mille! Sei stato di grande aiuto! Sono sicuro che John Smith ti riconoscerà per questo atto di disponibilità. "

Giocando sulla reciprocità

  • Il portellone. Tengo la porta d'ingresso per te e cammino velocemente dietro di te. Quando apri la porta successiva, che è abilitata per la sicurezza, vado nella stessa direzione e la maggior parte delle persone proverà a ripagare l'azione utile tenendo di nuovo la porta per te, permettendoti così di entrare in un posto dove non dovresti essere. Preoccupato di essere scoperto? Nah .. Dici solo che ti dispiace e che hai sbagliato strada.

    Il bersaglio si sentirebbe quasi obbligato a tenere la porta per te!

Sfruttare la curiosità

  • Prova a far cadere 10 chiavette USB in varie posizioni della tua organizzazione. Non devi metterli in luoghi troppo ovvi. L'USB dovrebbe avere un programma home del telefono a esecuzione automatica in modo da poter vedere quando qualcuno collega la chiavetta USB e teoricamente dovrebbe essere sfruttato.

    Un'altra versione di questo è far cadere le chiavette USB con un singolo PDF chiamato ad esempio "John Smith - Norway.pdf". Il documento PDf contiene un exploit di Adobe Acrobat Reader (ci sono tonnellate di ) e una volta che l'utente fa clic sul documento di cui sarà proprietario. Naturalmente, ti sei assicurato che l'exploit sia adattato alla versione specifica di Adobe dell'organizzazione di destinazione. Sarà naturale per la maggior parte delle persone aprire il documento in modo che possano prova a restituire la chiavetta USB al suo proprietario.

    • Un altro esempio di curiosità (forse un altro termine lo spiega meglio) sono tutte queste mail SPAM o cattive pubblicità su Internet che hai vinto qualcosa o che un principe nigeriano ti offre un sacco di soldi se puoi aiutarlo. Sono sicuro che hai già familiarità con questi, ma questi sono anche attacchi di social engineering e il motivo per cui non si sono fermati è che funzionano ancora!

Questi sono solo alcuni esempi. Naturalmente ce ne sono tonnellate di più!

Possiamo anche dare un'occhiata agli eventi storici di ingegneria sociale:

HBGary

La storia completa può essere letta qui (Pagina 3 contiene la parte di ingegneria sociale)

  • L'anno scorso HBGary è stato violato. Questo attacco ha comportato molti passaggi diversi ma anche un aspetto di ingegneria sociale. Per farla breve, l'hacker ha compromesso l'account e-mail di un VIP in azienda e ha inviato un'e-mail a un amministratore del sistema di destinazione dicendo qualcosa del genere: "Ciao John, attualmente sono in Europa e sto rimbalzando da un aeroporto all'altro. Puoi aprire SSH su una porta numerata per me proveniente da qualsiasi IP? Devo fare un po 'di lavoro ". Quando l'amministratore riceve questa email sente che è naturale rispettarlo, visto che l'e-mail proviene da una fonte attendibile.

    Ma non è così! L'attaccante aveva la password per l'account, ma il login non funzionava! Quindi ricambia via e-mail all'amministratore "Ehi di nuovo, non sembra funzionare. La password è ancora corretta? Qual era di nuovo il nome utente?". Ora ha anche fornito la password effettiva per il sistema (l'attaccante l'ha ottenuta dal precedente compromesso di un altro sistema nello stesso hack), dando all'aggressore molta più fiducia da parte dell'amministratore. Quindi, naturalmente, l'amministratore si attiene e comunica all'attaccante il suo nome utente.

L'elenco in alto viene dal libro " Social Engineering: The Art of Human Hacking " e lo consiglio vivamente!

166
Chris Dale

Sì, qualsiasi sistema è altrettanto debole del membro più debole e che è l'essere umano, e lo sarà sempre.

Potresti essere 'immune' per alcune di queste tecniche più ovvie ora, ma lo stesso vale per il segretario stressato che riceve una telefonata dal 'Dipartimento IT' per cercare rapidamente alcune informazioni importanti sul computer dei suoi capi che non possono aspettare fino al prossimo weekend, oh e quella strana finestra che potrebbe apparire e fai qualche domanda non importante, deve semplicemente fare clic su Accept. Certo che lo farà ... tutti lo faranno nella situazione sbagliata ...

29
ordag

L'ingegneria sociale (SE) non riguarda solo lo sfruttamento delle informazioni che l'attaccante ha, ma anche lo sfruttamento di modelli di comportamento (umano).

Per spiegare questo, facciamo un piccolo esercizio: diciamo ad alta voce il colore, non la Parola.

enter image description here

Riesci a vedere lo "exploit" qui? L'uso nella vita reale di questo "exploit" è molto discutibile, ma ci mostra chiaramente come il nostro cervello può essere manipolato anche se disponiamo delle informazioni valide (abbiamo imparato tutti i colori quando eravamo bambini).

L'esempio di vita reale potrebbe essere qualcosa del genere: supponiamo che tu voglia che la segretaria inserisca la tua USB nella sua macchina. Andare da lei e educatamente chiederle di farlo potrebbe essere rifiutato, soprattutto se ci sono politiche che lo vietano. Ma potresti vestirti bene, versare il caffè sulla maglietta/sui pantaloni e sulle carte e poi venire da lei, tenendo quelle carte e dicendo: "Sono così in ritardo all'incontro e mentre stavo guidando qui, il gatto è finito fuori davanti alla mia macchina e ho iniziato a rompersi davvero. Il gatto è sopravvissuto, ma i miei documenti no. So che questa è una richiesta strana, ma per favore, potresti stamparla per me? Sono davvero in ritardo e il tuo capo potrebbe essere davvero arrabbiato con me! "

Questo si chiama pretesto e sostanzialmente è un ruolo svolto da SEr. Cosa stiamo facendo in questo pretesto? Stiamo sfruttando le emozioni. Se questo si gioca bene e le tue microespressioni sono autentiche, molto probabilmente farà quello che vuoi. Perché? Perché noi umani siamo codificati in questo modo. Sì, potrebbe sapere che mettere un dispositivo sconosciuto nel suo PC potrebbe essere dannoso; sì, potrebbe essere istruita a riguardo, ma facciamo sul serio, hai cercato di non colpire il gatto, non hai bevuto il tuo caffè, hai rovinato la tuta, sei in ritardo per l'incontro, il capo sarà arrabbiato con te e ora una politica le chiede di essere scortese con te. Dai ... Comunque, la parte fondamentale qui è di metterla nel giusto umore - sentirsi dispiaciuta per te. Per fare ciò, le tue microespressioni devono essere interpretate come vere (autentiche) da lei. Se hai giocato bene le tue carte, hai gli stessi effetti dei colori. Sa che è qualcosa che non dovrebbe farlo (colore delle parole), ma le emozioni le stanno dicendo diversamente (significato delle parole).

Un altro trucco che SEr può tirare sul bersaglio è il cosiddetto esperimento sul cane di Pavlov . Quindi, cosa c'entra il cane sbavante con ITSec? Diciamo che voglio sapere della sicurezza fisica sul posto di lavoro. Sai che non dovresti condividere queste informazioni con me. So anche che dopo il lavoro, vieni sempre al pub locale per un drink. Un giorno mi presento e iniziamo a chiacchierare. All'inizio si trattava solo della tua bella macchina. Poi abbiamo iniziato a parlare di donne al bar, poi delle nostre ex, delle vacanze dell'anno scorso e così via ... Tutto sommato, qualcosa di cui non è insolito parlare, ma è della vita privata. Quando ci siamo incontrati, hai notato che ogni volta che faccio una domanda vado a tavola con la sigaretta. All'inizio potrebbe anche essere un'abitudine fastidiosa, ma poi l'hai semplicemente ignorata. Dopo alcuni giorni/settimane in cui hai iniziato a sentirti a tuo agio con me, ho iniziato a chiedere del tuo lavoro e del tuo ambiente di lavoro. E a poco a poco mi hai detto cosa volevo sapere sulla sicurezza fisica nella tua azienda.

Quindi cosa ho fatto qui? Parlando casualmente con te, ho allenato il tuo cervello a darmi risposte ogni volta che raggiungo il tavolo con la sigaretta. Mentre questo non sta lavando il cervello, e semplicemente facendo così non mi diresti i tuoi segreti più oscuri, immagina questo come - sbucciare uno strato di cipolla. Il secondo livello era la fiducia che avevo guadagnato con il tempo trascorso con te al bar. E così via ... Ti ho manipolato e questo semplice trucco mi ha aiutato a non sollevare bandiere rosse quando ti ho posto domande delicate. Ancora una volta, non si trattava di informazioni che hai (non dirlo agli estranei), ma del tuo comportamento e della tua reazione al mondo esterno.

Quello che sto cercando di dire qui è: non importa quello che sai, se ti trovi nella giusta situazione, farai ciò che ti viene chiesto. Perché? Perché è nella nostra genetica.


Giusto per dare uno o due esempi "fuori dal settore IT" in che modo le informazioni/conoscenze che il bersaglio ha può essere insignificante se viene attaccato da un esperto SEr. In tribunale, le prove sono fatti puramente freddi, tuttavia, un buon avvocato può, indipendentemente dalla cattiva posizione del suo cliente, trasformare quei fatti a suo favore usando SE.

Prima di acquistare un'auto, ti informerai su quale sia la migliore per te. Quando arrivi al negozio per acquistarne uno, il venditore può convincerti che dovresti acquistare un'auto più costosa, di nuovo, utilizzando SE.

Inoltre, guarda questo video . Come ha fatto Agendo normalmente. Niente di più.

17
StupidOne

È una delle forme più utilizzate di attacco mirato quando l'obiettivo è l'informazione interna: lavorando per anni con i team di attacco di ingegneria sociale abbiamo avuto accesso alle sale server e alle aree protette, ricevuto scartoffie riservate, dati su sistemi sensibili ecc. .

Le persone, in generale, sono utili e ignoranti. Sembra duro, ma nel complesso le persone cercheranno di aiutare qualcuno in difficoltà, specialmente se quella persona sembra o non sembra minacciosa. E di fronte a qualcuno che sa di più su un sistema o una procedura, molti faranno ciò che viene loro chiesto di fare.

Un modo relativamente economico per migliorare la sicurezza nell'organizzazione your - formazione di sensibilizzazione ogni anno. In termini di bang for buck questo può essere più efficace della spesa in sicurezza IT.

10
Rory Alsop

L'ingegneria sociale è ancora molto spesso l'anello più debole. Le persone generalmente si fidano e talvolta le persone che risolvono problemi di supporto tecnico di basso livello come la reimpostazione delle password, sono manodopera poco qualificata a basso costo che non è particolarmente attenta alla sicurezza.

Inoltre, la sicurezza delle informazioni non è necessariamente una priorità tanto alta quanto la soddisfazione del cliente quando si progettano i sistemi/le politiche, prestando a debolezze di ingegneria sociale.

6
dr jimbob

Ingegnere sociale = Trixter di fiducia. I truffatori hanno avuto pieno successo nel violare qualsiasi metodo per proteggere (X) là fuori dove X è uguale a dati, armi, brevetti, segreti commerciali, password, ecc.

Conning persone è vecchio come il tempo ed è flessibile come le menti delle persone stanno imparando nuove tecnologie e altri punti deboli nell'interagire con essa.

Questo dovrebbe essere uno scherzo (Managing CVE-0), ma il modo migliore per colpire il tuo attacco è conoscere la tua azienda e trovare un vice presidente dell'azienda meno esperto di tecnologia che apre le porte ai gioielli dell'azienda.

5
Fiasco Labs

Guarda tutto lo spam di phishing del tuo account che è stato sospeso. Non lo spedirebbero se a volte non funzionasse. È un attacco di ingegneria sociale.

E da quando ho scritto la mia risposta originale mi sono imbattuto in un altro caso: un'e-mail falsa dal capo a un underling che li ordina di pagare una somma di 6 cifre a un determinato conto bancario in pagamento per un dipinto che hanno acquistato. Chiunque abbia provato questo spearphish non conosceva abbastanza bene il suo obiettivo, un acquisto del genere sarebbe stato fuori dal comune per lui.

1
Loren Pechtel